NIS2 ist da: Was Unternehmen jetzt wissen und umsetzen müssen (Fristen, Pflichten, Bußgelder 2026)

Seit dem 6. Dezember 2025 gilt die NIS2-Richtlinie in Deutschland verbindlich. Mit dem NIS2UmsuCG wurde die EU-Richtlinie in nationales Recht überführt. Für rund 29.500–30.000 Organisationen bedeutet das: verschärfte Cybersicherheitsanforderungen, Registrierungspflicht beim BSI, strenge Meldefristen – und persönliche Haftung der Geschäftsführung.

Die Umsetzungsfrist läuft bis März 2026. Unternehmen sollten jetzt handeln.

Was ist NIS2?

Die EU-Richtlinie NIS2 (Network & Information Security) ist die Weiterentwicklung der NIS-Richtlinie von 2016. Ziel ist ein einheitlicher Mindeststandard für Cybersicherheit innerhalb der EU. In Deutschland erfolgte die Umsetzung durch das NIS2UmsuCG, das u. a. das BSI-Gesetz (BSIG) anpasst.

Die EU möchte mit die kritischen Infrastrukturen (KRITIS) mit der NIS2-Richtlinie besser schützen und soll der Mindeststandard für eine höhere Cybersicherheit werden.

Wesentliche Neuerungen:

• Deutlich erweiterter Anwendungsbereich
• Einbeziehung mittelständischer Unternehmen
• Strengere Kontrollrechte der Behörden
• Persönliche Haftung der Geschäftsführung
• Hohe Bußgelder bei Verstößen

Wer ist von NIS2 betroffen?

Die Richtlinie betrifft nicht mehr nur klassische KRITIS-Betreiber. Neben Energie, Wasser, Gesundheit oder Transport wurden zahlreiche weitere Branchen aufgenommen.

Relevante Branchen (Auszug)

• Energie
• Finanz- und Versicherungswesen
• Digitale Infrastruktur
• Gesundheit
• Transport & Verkehr
• Wasser & Abwasser
• Chemie
• Industrie (verarbeitendes Gewerbe)
• Post- und Kurierdienste
• Anbieter digitaler Dienste
• Forschung (kommerziell)
• Weltraum

Zusätzlich gelten Sonderregelungen für bestimmte Bundeseinrichtungen sowie Betreiber kritischer Anlagen.

Größenkriterien: Wichtige vs. besonders wichtige Einrichtungen

Neben der Branche ist die Unternehmensgröße entscheidend.

KRITIS-Unternehmen gelten automatisch als besonders wichtig.

Unternehmen müssen sich selbst als wichtig bzw. besonders wichtig registrieren.

Persönliche Haftung der Geschäftsführung

Ein zentraler Unterschied zu früheren Regelungen: Die Geschäftsführung trägt persönliche Verantwortung für die Einhaltung der Sicherheitsanforderungen. Eine vertragliche Haftungsbegrenzung ist nicht möglich.

Geschäftsführer müssen:

• Maßnahmen überwachen
• sich regelmäßig schulen lassen
• Risikomanagement sicherstellen

Fristen: Diese Termine sind kritisch

• 6. Dezember 2025: Inkrafttreten des neuen BSIG
• Registrierung beim BSI: innerhalb von 3 Monaten
• Spätestens März 2026: Abschluss der Umsetzung

Die Anforderungen gelten ohne Übergangsfristen.

Meldepflichten bei Sicherheitsvorfällen

NIS2 schreibt strenge Reporting-Prozesse vor:

• Innerhalb 24 Stunden: Initiale Erstmeldung
• Innerhalb 72 Stunden: Folgemeldung mit Bewertung
• Spätestens 1 Monat nach Abschluss: Abschlussbericht

Diese Fristen erfordern ein funktionierendes Incident-Management-System.

Welche Maßnahmen fordert NIS2 konkret?

Gemäß §30 BSIG müssen Unternehmen umfassende organisatorische, technische und rechtliche Maßnahmen etablieren.

1. Risikomanagement

• Risikoanalyse
• Asset- & Vulnerability-Management
• Wirksamkeitsprüfung von Sicherheitsmaßnahmen

2. Incident Management

• Erkennung von Sicherheitsvorfällen
• Eindämmung & Forensik
• Krisenkommunikation

3. Business Continuity

• Backup-Strategien
• Disaster Recovery
• Notfallmanagement

4. Lieferkettensicherheit

• Prüfung von Zulieferern
• Supply-Chain-Risikomanagement

5. Technische Mindestanforderungen

• Multi-Faktor-Authentifizierung (MFA)
• Verschlüsselung
• Zugriffskontrolle
• Monitoring
• Penetrationstests
• Cybersecurity-Schulungen

Für KRITIS-Unternehmen gelten zusätzliche verschärfte Maßstäbe (§31 BSIG).

Registrierungspflicht beim BSI

Unternehmen im Geltungsbereich müssen sich eigenständig als „wichtige“ oder „besonders wichtige“ Einrichtung beim BSI registrieren. Die Registrierung erfolgt mit Elster-Zertifikat.

Typische Investitionsgrößen im Mittelstand

Ein Praxisbeispiel aus dem Security-Umfeld zeigt, dass die initialen Investitionen im ersten Jahr (je nach Reifegrad) zwischen 60.000 € und 160.000 €+ liegen können.

Beispielhafte Kostenblöcke:

• Endpoint Detection & Response
• Identity Security
• SIEM/SOC
• Backup & Disaster Recovery
• Cloud-Nutzung

Warum Unternehmen jetzt handeln sollten

• Keine Übergangsfristen
• Hohe Bußgelder
• Persönliche Haftung
• Erweiterte Behördenbefugnisse
• Reputationsrisiken

Die Umsetzung ist kein IT-Projekt, sondern eine strategische Managementaufgabe.

Fazit.

Mit NIS2 wird Cybersicherheit zur gesetzlichen Pflicht auf Vorstandsebene. Unternehmen müssen organisatorische, technische und rechtliche Maßnahmen integrieren und diese dauerhaft nachweisen können. Wer jetzt strukturiert vorgeht, reduziert nicht nur regulatorische Risiken, sondern stärkt nachhaltig die eigene Cyber-Resilienz.