Laden Sie diesen Artikel als kostenlose PDF-Datei herunter!

Ich willige ein, dass die Forum Verlag Herkert GmbH (Mandichostraße 18, 86504 Merching) meine im Rahmen des Downloads angegebenen Daten für regelmäßige Werbemaßnahmen über die entsprechenden Kanäle (z.B. Post, E-Mail, Telefon) nutzt. Mit dem Download stimme ich auch dem E-Mail-Tracking zu statistischen Auswertungszwecken (z.B. Messung der Öffnungs- und Klickrate) zu. Meine Einwilligungserklärung kann ich jederzeit ohne Angabe von Gründen widerrufen. Weitere Informationen zur Verarbeitung der personenbezogenen Daten dazu und das Widerrufsrecht erhalte ich unter shop.forum-verlag.com/datenschutz.

Vielen Dank für Ihr Interesse

Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt. Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link. Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.

Um Sie gezielter beraten zu können, würden wir uns freuen, wenn Sie uns folgende Informationen zukommen lassen. Alle Angaben sind freiwillig.

NIS-2-Umsetzung in Deutschland: Was betroffene Unternehmen tun müssen

22.03.2024 | L. Gschnitzer – Online-Redaktion, FORUM VERLAG HERKERT GMBH

Fachartikel jetzt herunterladen

Die Umsetzung der NIS-2-Richtlinie in deutsches Recht ist seit 6. Dezember 2025 in Kraft. Rund 30.000 Unternehmen fallen nun unter neue Pflichten, was Cybersicherheit betrifft. Für wen die Richtlinie konkret gilt, was sich durch das Umsetzungsgesetz ändert und was Unternehmen jetzt tun müssen, lesen Sie hier.

Inhaltsverzeichnis

Was ist die NIS-2-Richtlinie?
So läuft die NIS-2-Umsetzung in Deutschland ab
Wer ist von der NIS-2-Richtlinie betroffen?
Was das NIS-2-Umsetzungsgesetz für deutsche Unternehmen bedeutet

Was ist die NIS-2-Richtlinie

Die NIS-2-Richtlinie ist ein Regelwerk der EU, das die Cybersicherheit in kritischen Sektoren stärken soll (Richtlinie (EU) 2022/2555).

Die Richtlinie verfolgt dabei diese Ziele:

Ein einheitliches Schutzniveau für Netz- und Informationssysteme in der gesamten EU schaffen
Die Widerstandsfähigkeit kritischer Infrastrukturen gegen digitale Angriffe stärken

Rechtssichere Arbeitshilfen zur Umsetzung von IT-Sicherheitsvorgaben!

Vorlagensammlung Cybersecurity

NIS-2-Richtlinie: Zusammenfassung

Die NIS-2-Richtlinie ist nicht grundlegend neu, sondern baut auf der ersten NIS-Richtlinie von 2016 auf. Allerdings erweitert die NIS-2 den Anwendungsbereich um zusätzliche Sektoren und verschärft die Anforderungen.

Im Kern geht es in der neuen Richtlinie um folgende Pflichten:

Risikomanagement: Unternehmen müssen Risiken analysieren und diese durch geeignete technische und organisatorische Maßnahmen absichern.
Meldepflichten: Sicherheitsvorfälle sind innerhalb bestimmter Fristen an die zuständigen Behörden zu melden.
Managementverantwortung: Die Geschäftsleitung ist persönlich für Umsetzung verantwortlich und haftet bei Verstößen.

So läuft die NIS-2-Umsetzung in Deutschland ab?

Was ist das NIS-2-Umsetzungsgesetz?

Als Richtlinie gilt NIS-2 nicht unmittelbar. Das heißt: Jeder EU-Mitgliedsstaat muss die Vorgaben zunächst in nationales Recht überführen. In Deutschland erfolgt dies über das NIS-2-Umsetzungsgesetz. Es legt fest, welche Unternehmen betroffen sind und welche Pflichten sie erfüllen müssen. Zentrale Aufsichtsbehörde für die Umsetzung ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Wie ist der aktuelle Stand des NIS-2-Umsetzungsgesetzes?

Das NIS-2-Umsetzungsgesetz ist seit 6. Dezember 2025 in Deutschland in Kraft. Damit kam die deutsche Umsetzung mit einer Verzögerung: Denn die Frist zur Überführung in nationales Recht war bereits am 17. Oktober 2024 abgelaufen.

Bis wann muss NIS-2 umgesetzt werden?

Das NIS-2-Umsetzungsgesetz gilt seit seinem Inkrafttreten im Dezember 2025. Für Unternehmen bedeutet das: Die konkreten Pflichten und Anforderungen greifen damit sofort.

Alle betroffenen Unternehmen müssen sich zudem bis zum 6. März 2026 beim BSI registrieren.

Wer ist von der NIS-2-Richtlinie betroffen?

Ob ein Unternehmen von der NIS-2-Richtlinie betroffen ist, hängt von zwei Faktoren ab: dem Sektor, in dem es tätig ist, und seiner Größe. Beide Kriterien müssen gleichzeitig erfüllt sein.

In Deutschland sind schätzungsweise über 30.000 Unternehmen von der NIS-2 betroffen.

Sektoren

Das Gesetz definiert verschiedene Sektoren, die in zwei Gruppen aufgeteilt sind:

Hochkritische Sektoren	Weitere kritische Sektoren
Energie (Strom, Gas, Öl, Fernwärme)	Post- und Kurierdienste
Transport und Verkehr (Luft, Schiene, Straße, Wasserwege)	Abfallbewirtschaftung
Finanzwesen	Produktion, Herstellung und Handel mit chemischen Stoffen
Gesundheit	Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Wasser (Trinkwasser und Abwasser)	Verarbeitendes Gewerbe/Herstellung von Waren
Digitale Infrastruktur (z. B. DNS-Dienste, Rechenzentren)	Anbieter digitaler Dienste (z. B. Online-Marktplätze, Suchmaschinen)
Weltraum	Forschung

Unternehmensgröße

NIS-2 gilt grundsätzlich erst ab einer bestimmten Unternehmensgröße:

Mittelgroße Unternehmen
- mindestens 50 Mitarbeiter
- oder über 10 Millionen Euro Jahresumsatz und über 10 Millionen Euro Bilanzsumme
- Große Unternehmen
  - mindestens 250 Mitarbeiter
  - oder über 50 Millionen Euro Jahresumsatz und über 43 Millionen Euro Bilanzsumme

Veranstaltungsempfehlung

Mit dem Online-Live-Seminar "NIS2: Cybersicherheit, Pflichten & Governance erfolgreich umsetzen" bereiten unsere Experten ihr Unternehmen in nur 4 Stunden auf die rechtlichen Änderungen in der Cybersicherheit vor und erarbeiten mit Ihnen zusammen entsprechende Maßnahmenpakete. Stellen sich jetzt ihr KRITIS-Unternehmen zukunftsorientiert und rechtssicher auf!

Ist Ihr Unternehmen betroffen?

Ist Ihr Unternehmen in den definierten Sektoren tätig und überschreitet die festgelegten Größenschwellen, ergibt sich folgende Einstufung:

Besonders wichtige Einrichtung: Großes Unternehmen in einem hochkritischen Sektor
Wichtige Einrichtung: Mittelgroßes Unternehmen in einem hochkritischen Sektor; mittelgroßes oder großes Unternehmen in einem weiteren kritischen Sektor

Diese Einteilung entscheidet über den Umfang der Aufsichtsmaßnahmen und die Höhe möglicher Bußgelder bei Verstößen.

Darüber hinaus gibt es Sonderfälle. Dies betrifft KRITIS-Betreiber (Betreiber kritischer Anlagen), wie Strom- oder Wasserversorger, Krankenhäuser oder Flughäfen. Diese gelten unabhängig von ihrer Unternehmensgröße als besonders wichtige Einrichtungen.

Was das NIS-2-Umsetzungsgesetz für deutsche Unternehmen bedeutet

NIS-2 ist geltendes Recht. Das heißt: Wer betroffen ist, muss handeln und die Umsetzung der NIS-2-Richtlinie angehen.

Das sollten Unternehmen in Deutschland nun machen:

Betroffenheit prüfen: Klären Sie zunächst anhand von Sektor und Unternehmensgröße, ob Ihr Unternehmen unter NIS-2 fällt. Und falls ja, ob Sie als wichtige oder besonders wichtige Einrichtung eingestuft werden. Nutzen Sie dafür die NIS-2-Betroffenheitsprüfung des BSI.
Beim BSI registrieren: Alle betroffenen Einrichtungen müssen sich im BSI-Portal bis zum 6. März 2026 registrieren. Dafür ist ein Konto bei „Mein Unternehmenskonto“ (MUK) notwendig.
Risikomanagement angehen: Gleichen Sie ab, welche Sicherheitsmaßnahmen in Ihrem Betrieb bereits vorhanden sind und wo noch Lücken bestehen. Das Gesetz schreibt hier zehn Maßnahmen vor, u. a. Bewältigung von Sicherheitsvorfällen, Lieferkettensicherheit oder Mitarbeiterschulungen.
Meldeprozesse aufsetzen: Legen Sie intern fest, wer Sicherheitsvorfälle erkennt, bewertet und meldet. Das Umsetzungsgesetz gibt klare Fristen vor: Die Erstmeldung ans BSI muss innerhalb von 24 Stunden erfolgen, ein detaillierter Bericht innerhalb von 72 Stunden, der Abschlussbericht innerhalb eines Monats.

Quellen: www.europaparl.europa.eu, www.germany.representation.ec.europa.eu, Richtlinie (EU) 2022/2555, BGBl. 2025 I Nr. 301 vom 05.12.2025, NIS-2-Betroffenheitsprüfung

Fachartikel jetzt herunterladen

Vorlagensammlung Cybersecurity

Die richtige Wahl für alle, die rechtssichere Arbeitshilfen zur Umsetzung von IT-Sicherheitsvorgaben nutzen und dabei alle Mitarbeitenden ganz konkret mit einbinden wollen.

Mehr erfahren

Gratis-Download: Muster für Datenschutzerklärung für Internetauftritte

Als Betreiber einer Website wollen Sie Abmahnungen aufgrund der DSGVO verhindern und den Internetauftritt datenschutzkonform gestalten.

Mehr erfahren

NIS-2: Cybersicherheit, Pflichten & Governance erfolgreich umsetzen

Gestalten Sie Ihre betrieblichen Prozesse sicher und erfüllen gleichzeitig Ihre Nachweispflicht nach § 38 NIS2UmsucG!

ONLINE-LIVE-SEMINAR
DAUER 1 TAG

Mehr erfahren

Inhouse Schulungen im Bereich Datenschutz & IT-Sicherheit

Mehr erfahren

Ihr Fach-Newsletter

✓ aktuelle Informationen
✓ wertvolle Praxishilfen
✓ kostenlos und unverbindlich

Jetzt anmelden

Laden Sie diesen Artikel als kostenlose PDF-Datei herunter!

Vielen Dank für Ihr Interesse

Vielen Dank für Ihre zusätzlichen Angaben.

NIS-2-Umsetzung in Deutschland: Was betroffene Unternehmen tun müssen

Was ist die NIS-2-Richtlinie

NIS-2-Richtlinie: Zusammenfassung

So läuft die NIS-2-Umsetzung in Deutschland ab?

Was ist das NIS-2-Umsetzungsgesetz?

Wie ist der aktuelle Stand des NIS-2-Umsetzungsgesetzes?

Bis wann muss NIS-2 umgesetzt werden?

Wer ist von der NIS-2-Richtlinie betroffen?

Sektoren

Unternehmensgröße

Ist Ihr Unternehmen betroffen?

Was das NIS-2-Umsetzungsgesetz für deutsche Unternehmen bedeutet

Vorlagensammlung Cybersecurity

Gratis-Download: Muster für Datenschutzerklärung für Internetauftritte

NIS-2: Cybersicherheit, Pflichten & Governance erfolgreich umsetzen

Inhouse Schulungen im Bereich Datenschutz & IT-Sicherheit

Ihr Fach-Newsletter