29.000 Unternehmen. Keine Übergangsfrist.
Das deutsche NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft. Das überarbeitete BSI-Gesetz (BSIG) ist jetzt geltendes Recht. Und anders als bei den meisten EU-Regulierungen gab es keine Schonfrist.
Die Ausweitung des Geltungsbereichs traf hart. Deutschland ging von etwa 4.500 regulierten Einrichtungen unter der ursprünglichen NIS-Richtlinie auf rund 29.000 unter NIS2. Wenn Ihre Organisation in einem der 18 bezeichneten Branchen tätig ist und die Größenschwellen erreicht, sind Sie betroffen. Ab sofort.
Cybersicherheit ist kein IT-Thema mehr. Unter dem neuen BSI-Gesetz haften Leitungsorgane persönlich für Compliance-Verstöße. Ihre Geschäftsführung kann direkt zur Verantwortung gezogen werden.
Wer fällt unter NIS2?
Zwei Kategorien von Einrichtungen, beide mit verbindlichen Cybersicherheitspflichten:
Wesentliche Einrichtungen. Große Organisationen in kritischen Sektoren. Energieversorger, Transportunternehmen, Gesundheitseinrichtungen, Bank- und Finanzdienstleistungen, digitale Infrastruktur, Wasserversorger.
Schwelle: in der Regel 250+ Beschäftigte oder 50 Millionen Euro+ Jahresumsatz. Bußgelder: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Wichtige Einrichtungen. Ein breiterer Kreis. Fertigung, Lebensmittelproduktion, Chemie, Abfallwirtschaft, Post- und Kurierdienste, Forschungseinrichtungen. Schwelle: 50+ Beschäftigte oder 10 Millionen Euro+ Umsatz. Gleiche technische Anforderungen. Niedrigere Höchstbußgelder, aber immer noch erheblich.
Die 18 Sektoren
Energie. Transport. Bankwesen. Finanzmarktinfrastruktur. Gesundheit. Trinkwasser. Abwasser. Digitale Infrastruktur. IKT-Dienstemanagement. Öffentliche Verwaltung. Weltraum. Post- und Kurierdienste. Abfallwirtschaft. Verarbeitendes Gewerbe. Lebensmittelproduktion und -vertrieb. Chemie. Forschung. Digitale Anbieter.
Wenn Sie denken “das betrifft ja fast jeden”: Richtig. NIS2 ist bewusst breit angelegt.
Die technischen Anforderungen
NIS2 schreibt keine spezifischen Technologien vor. Es fordert Ergebnisse.
Risikoanalyse und Sicherheit der Informationssysteme
Kontinuierliche Risikobewertung. Kein einmaliges Audit. Ihre Organisation muss eine aktuelle Sicht auf Bedrohungen, Schwachstellen und potenzielle Auswirkungen über alle Informationssysteme hinweg pflegen.
Vorfallbehandlung
Erkennung, Analyse, Eindämmung und Reaktion. Sie brauchen die Fähigkeit, einen Sicherheitsvorfall zu erkennen, seinen Umfang zu verstehen, den Schaden einzudämmen und effektiv zu reagieren.
Die Meldepflichten sind streng. Innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Vorfalls müssen Sie eine Erstmeldung an das BSI übermitteln. Innerhalb von 72 Stunden einen umfassenden Bericht. Ein Abschlussbericht folgt innerhalb eines Monats.
Kann Ihr Team das heute leisten? Die meisten können es nicht. Nur 14 % der KMU haben einen formalen Cybersicherheitsplan. Die Kluft zwischen Anforderung und Realität ist enorm.
Geschäftskontinuität und Backup-Management
Backup-Strategien, die tatsächlich funktionieren. Nicht nur “wir machen nächtliche Backups.” Getestete Wiederherstellungsverfahren. Definierte RTOs und RPOs. Krisenmanagementpläne, die Ihr Team geprobt hat.
Lieferkettensicherheit
Sie sind verantwortlich für die Cybersicherheitslage Ihrer Lieferanten und Zulieferer. Jede Drittanbieter-Komponente in Ihrem Software-Stack, jeder Cloud-Provider, jedes SaaS-Tool. NIS2 verlangt formale Lieferantenrisikobewertungen und vertragliche Sicherheitsanforderungen.
Das ist die Anforderung, die die meisten Organisationen überrascht. Ihre Sicherheit ist nur so stark wie Ihr schwächster Lieferant. Mehr dazu in unserem Leitfaden zum Drittanbieter-Risikomanagement.
Netzwerksicherheit und Zugangskontrolle
Least-Privilege-Zugriff. Netzwerksegmentierung. Multi-Faktor-Authentifizierung für administrativen Zugang. Regelmäßige Zugriffsüberprüfungen. Das sind keine Empfehlungen unter NIS2. Es sind Anforderungen.
Verschlüsselung
Daten im Transit und im Ruhezustand. TLS 1.2+ für alle Kommunikation. AES-256 für gespeicherte Daten. Schlüsselverwaltungsverfahren. Zertifikats-Lifecycle-Management.
Schwachstellenmanagement
Regelmäßige Schwachstellenscans. Patch-Management mit definierten SLAs. Teams, die kritische Schwachstellen innerhalb von 30 Tagen beheben, bestehen Compliance-Audits zu 94 %. Teams, die das nicht tun, bekommen unangenehme Fragen.
Cyberhygiene und Schulungen
Regelmäßige Schulungen für alle Mitarbeitenden. Nicht nur IT. Jeder, der eine Tastatur bedient. Phishing-Bewusstsein. Passworthygiene. Meldeverfahren für Vorfälle.
Architekturmuster für NIS2-Compliance
Zentralisierte Sicherheitsprotokollierung
Jedes System, jeder Dienst, jedes Zugriffsereignis fließt in eine zentrale Logging-Plattform. SIEM oder gleichwertig. Korrelationsregeln, die verdächtige Muster erkennen. Aufbewahrungsfristen, die den regulatorischen Anforderungen entsprechen.
Ohne zentralisierte Protokollierung können Sie Vorfälle nicht innerhalb von 24 Stunden erkennen. Das ist Ihr Fundament.
Anomalieerkennung
Normales Verhalten als Baseline erfassen. Bei Abweichungen alarmieren. Das kann so einfach sein wie schwellenwertbasierte Alarmierung bei fehlgeschlagenen Anmeldeversuchen, ungewöhnlichen Datenzugriffsmustern oder unerwartetem Netzwerkverkehr.
Starten Sie einfach. Erst Sichtbarkeit gewinnen. Dann verfeinern.
Zero-Trust-Architektur
Keiner Verbindung standardmäßig vertrauen, auch nicht innerhalb Ihres Netzwerks. Jede Anfrage verifizieren. Jeden Benutzer und jedes Gerät authentifizieren. Jede Aktion autorisieren. Alles protokollieren.
Netzwerksegmentierung
Kritische Systeme von der allgemeinen Infrastruktur trennen. Wenn ein Angreifer einen Marketing-Laptop kompromittiert, sollte er nicht Ihre Produktionsdatenbank erreichen können. VLANs, Firewalls und strikte Routing-Regeln. Einfaches Konzept, häufig ignoriert.
Unveränderliche Prüfpfade
Logs, die nicht modifiziert oder gelöscht werden können. Write-Once-Speicher. Kryptographisches Hashing zur Integritätsüberprüfung.
BSI-Registrierung: Nicht überspringen
Jede betroffene Einrichtung muss sich innerhalb von drei Monaten beim BSI registrieren. Angesichts des Inkrafttretens am 6. Dezember 2025 war die Frist für die meisten Organisationen Anfang März 2026.
Die Registrierung erfolgt über das BSI-Portal (bsi.bund.de) mit einem “Mein Unternehmen”-Konto (MUK) und einem Elster-Organisationszertifikat. Sie müssen angeben: Unternehmensinformationen, Branchenklassifizierung, Kontaktdaten für Sicherheitsvorfälle und einen benannten Ansprechpartner.
Falls noch nicht geschehen: diese Woche erledigen.
Die Strafen sind real
Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 %.
Aber die Bußgelder sind nicht das Bedrohlichste. Die Geschäftsführerhaftung ist es. Unter dem überarbeiteten BSI-Gesetz können Führungskräfte persönlich für unzureichende Cybersicherheitsmaßnahmen haften. Das ist neu.
Deutschland ist Europas Ziel Nummer eins für Cyberangriffe. Nur 29 % der KMU bewerten ihre Cyberabwehr als ausgereift. Und 55 % der KMU sagen, dass ein Cyberangriff-Schaden unter 50.000 Euro ihre Geschäftsfähigkeit bedrohen würde.
Umsetzungsfahrplan
Woche 1-2: Betroffenheitsprüfung. Feststellen, ob Sie betroffen sind. Welche Kategorie? Beim BSI registrieren, falls noch nicht geschehen.
Woche 3-4: Gap-Analyse. Aktuelle Fähigkeiten gegen NIS2-Anforderungen bewerten. Lücken nach Risiko priorisieren.
Monat 2-3: Quick Wins. MFA für alle administrativen Zugänge. Zentralisierte Protokollierung aktivieren. Backup-Verfahren überprüfen. Initialen Schwachstellenscan durchführen.
Monat 3-6: Kernimplementierung. SIEM bereitstellen. Incident-Response-Verfahren etablieren und testen. Lieferketten-Sicherheitsbewertungen durchführen. Netzwerksegmentierung implementieren.
Laufend: Kontinuierliche Verbesserung. Regelmäßige Schwachstellenscans. Jährliche Penetrationstests. Vierteljährliche Incident-Response-Übungen. Mitarbeiterschulungen.
Für den breiteren EU-Regulierungskontext siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Und zur Integration von Sicherheit in Ihren Entwicklungsprozess: Security by Design.
Müssen Sie Ihre Softwaresysteme NIS2-konform machen? Lassen Sie uns Ihren aktuellen Stand bewerten. Wir bauen Sicherheit von Anfang an in die Architektur ein.
