Eingabehilfen öffnen

Zum Hauptinhalt springen
Informations­sicherheit
Erfahren Sie mehr über folgende Leistungen
SICHER DURCH NIS-2: BERATUNG FÜR KRITIS-NAHE UND MITTELSTÄNDISCHE ORGANISATIONEN

NIS-2-Umsetzungs­gesetz: Cybersicher­heit in Deutschland neu geregelt

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Damit gelten die erweiterten Anforderungen an die IT-Sicherheit verbindlich für zahlreiche Unternehmen und Organisationen in Deutschland. Betroffene Unternehmen müssen prüfen, ob sie als »wichtige« oder »besonders wichtige« Einrichtungen eingestuft werden und welche spezifischen Pflichten sich daraus ergeben – insbesondere Registrierung, Risikomanagement und Vorfallsmeldung.

Für relevante Einrichtungen besteht die Pflicht zur Registrierung beim BSI innerhalb weniger Monate nach Feststellung der Betroffenheit. KRITIS-Betreiber gelten in der Regel als besonders wichtig und müssen zusätzlich die vorgeschriebenen Sicherheitsnachweise erbringen. Da das Gesetz jetzt gilt, sollten Unternehmen unverzüglich mit der Analyse ihrer Verpflichtungen und der Planung geeigneter Maßnahmen beginnen, um gesetzlichen Anforderungen und möglichen Sanktionen frühzeitig zu begegnen.

Wer fällt unter das Gesetz?

Das NIS-2-Umsetzungsgesetz unterscheidet zwischen zwei Kategorien von betroffenen Unternehmen: den besonders wichtigen Einrichtungen und den wichtigen EinrichtungenAuch Betreiber sogenannter kritischer Infrastrukturen (KRITIS), die bereits unter die bisherige KRITIS-Regulierung fallen, werden von den neuen Regeln erfasst. Nach Schätzungen des Gesetzgebers werden insgesamt rund 30.000 Unternehmen in Deutschland  betroffen sein.

Warum viele Unternehmen ihre Betroffenheit unterschätzen

Viele Unternehmen glauben, sie seien von NIS-2 nicht betroffen – weil sie nicht zu den klassischen Kritischen Infrastrukturen zählen. Doch die Realität ist komplex: Die Betroffenheit hängt nicht nur von Branche und Größe ab, sondern auch davon, welche Rolle Sie in digitalen Wertschöpfungsketten spielen und welche Dienstleistungen Sie anbieten.

Die Kriterien zur Einordnung sind vielschichtig:

  • Es gibt keine einfache Grenze bei Mitarbeitern oder Umsatz, die automatisch gilt.

  • Ein Unternehmen kann betroffen sein, auch wenn es bisher nicht als »kritisch« wahrgenommen wurde.

  • Die Anforderungen an Organisation, Prozesse und Nachweise betreffen nicht nur die IT-Abteilung, sondern die gesamte Geschäftsleitung.

Genau diese Unklarheit führt dazu, dass viele Unternehmen ihre Verpflichtungen zu spät erkennen – und sich erst in einer Situation mit hohem Zeit- und Umsetzungsdruck mit NIS-2 auseinandersetzen.

Deshalb ist die zentrale Frage nicht nur, ob Sie betroffen sind – sondern wie weit Ihre Organisation bereits vorbereitet ist und welche Lücken bestehen.

Unsere NIS-2 GAP-Analyse + Prozessbegleitung liefert Ihnen:

Cybersicherheit ist Chefsache – diese Pflichten müssen Sie kennen

Betroffene Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um ihre IT-Systeme und -Prozesse zu schützen. Dazu gehören unter anderem die Implementierung eines effektiven Risikomanagements, die Meldung von erheblichen Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von 24 Stunden, der Einsatz von Systemen zur Angriffserkennung und die regelmäßige Schulung von Mitarbeitern in Fragen der IT-SicherheitEine wesentliche Neuerung gegenüber den bisherigen Regeln sind die verschärften Nachweispflichten. KRITIS-Betreiber müssen künftig alle drei Jahre durch Audits, Prüfungen oder Zertifizierungen gegenüber dem BSI nachweisen, dass sie die geforderten Maßnahmen umgesetzt haben. Für die übrigen Einrichtungen sieht das Gesetz anlassbezogene Stichprobenprüfungen durch das BSI vor, die jederzeit durchgeführt werden können.

Strafen und Bußgelder

Das Gesetz sieht Bußgelder von bis zu 20 Millionen € oder bis zu 2% des weltweiten Jahresumsatzes vor, wobei der jeweils höhere Wert zugrunde gelegt wird. Auch Haftungsrisiken für Geschäftsleiter sind in bestimmten Fällen vorgesehen.

Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2-Richtlinie der EU betroffen ist? Machen Sie jetzt den Test.

Die NIS-2-Betroffenheitsprüfung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ermöglicht Ihnen in wenigen Schritten eine prägnante Einschätzung, ob Ihre Organisation von den neuen Regelungen betroffen ist. Die Prüfung stellt konkrete, an der Richtlinie orientierte Fragen, um Ihr Unternehmen einzuordnen.

zur Betroffenheitsprüfung des BSI

NIS-2 – wir unterstützen Sie!

Unser Angebot umfasst ein Erstgespräch zu NIS-2, bei dem wir grundlegende Fragen klären und gemeinsam die individuellen Bedürfnisse und Ziele besprechen. Dabei stehen wir Ihnen mit fachkundigem Rat und Unterstützung zur Seite, um sie optimal auf die Umsetzung von NIS-2 vorzubereiten. Wir bieten darüber hinaus eine kontinuierliche Begleitung über den gesamten Prozess, um sicherzustellen, dass die angestrebten Ergebnisse erreicht werden.

Jetzt Angebot anfordern

Je früher, desto besser.

FAQ

Welche Unternehmen fallen unter das NIS‑2‑Umsetzungsgesetz?

Betroffen sind »besonders wichtige« und »wichtige« Einrichtungen – darunter KRITIS‑Betreiber, große Behörden, Versorger und mittelständische Unternehmen ab 50 Mitarbeitenden oder 10 Mio € Jahresumsatz sowie großes Gewerbe ab 250 Mitarbeitenden oder 50 Mio € Umsatz.

Welche Sicherheitsanforderungen bringt das Gesetz mit sich?

Betroffene müssen ein systematisches Risikomanagement einführen, Angriffe erkennen (z. B. via IDS), Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden und Business-Continuity/Multi-Faktor-Authentifizierung, Schulungen, Backup sowie Notfallkommunikation sicherstellen.

Wer haftet bei Verstößen gegenüber dem NIS‑2‑Gesetz?

Auch die Geschäftsleitung haftet persönlich, da sie für die Überwachung der Umsetzung der NIS-2-Maßnahmen verantwortlich ist. Das Gesetz verpflichtet Führungskräfte, sich aktiv mit Cybersicherheitsrisiken auseinanderzusetzen und entsprechende Maßnahmen zu veranlassen. Kommt die Leitung diesen Pflichten nicht nach, drohen nicht nur finanzielle Bußgelder, sondern auch haftungsrechtliche Konsequenzen für Einzelpersonen.

Was ist der Unterschied zwischen NIS‑2-Richtlinie und Umsetzungsgesetz?

Die NIS‑2-Richtlinie ist europäisches Recht (seit 18. Oktober 2024 anwendbar), das Umsetzungsgesetz bildet den nationalen Rahmen und ergänzt EU-Vorgaben durch Vorschriften zu Registrierung, Meldepflichten und Sanktionen.