Seit dem 6. Dezember 2025 ist NIS2 geltendes Recht in Deutschland
Kein Aufschub mehr. Kein “wird schon nicht so schlimm”. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz ist in Kraft.
Der Geltungsbereich ist massiv gewachsen. Nicht mehr nur klassische KRITIS-Betreiber wie Energieversorger und Krankenhäuser. Jetzt fallen auch Maschinenbauer, Lebensmittelhersteller und IT-Dienstleister unter die Regulierung.
Sind Sie betroffen?
Wer fällt unter NIS2?
Zwei neue Kategorien ersetzen das alte KRITIS-System: “besonders wichtige Einrichtungen” und “wichtige Einrichtungen”. Die Einstufung hängt von Branche und Unternehmensgröße ab.
18 Sektoren sind betroffen, darunter Energie, Transport, Gesundheit, Wasserversorgung, digitale Infrastruktur, Lebensmittelproduktion und verarbeitendes Gewerbe.
Die Schwellenwerte für wichtige Einrichtungen: mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz. Für besonders wichtige Einrichtungen: ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz.
Auch kleinere Unternehmen können betroffen sein, wenn sie in der Lieferkette eines regulierten Unternehmens stecken. Die Lieferkettenabsicherung ist eine explizite NIS2-Anforderung.
Die drei zentralen Pflichten
1. Registrierung beim BSI
Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Das BSI-Portal ist seit dem 6. Januar 2026 freigeschaltet.
Die Registrierung erfolgt über “Mein Unternehmenskonto”. Wer es noch nicht getan hat, sollte es sofort nachholen.
2. Meldepflicht bei Sicherheitsvorfällen
Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden. Die Fristen: 24 Stunden für die Erstmeldung, 72 Stunden für den vollständigen Bericht.
Das bedeutet: Sie brauchen einen dokumentierten Incident-Response-Prozess. Wer nach einem Ransomware-Angriff erst überlegt, wen er anrufen soll, wird die Fristen reißen.
3. Risikomanagementmaßnahmen
Technische und organisatorische Schutzmaßnahmen müssen implementiert und dokumentiert werden. Zugangskontrollen, Verschlüsselung, Netzwerksegmentierung, Backup-Konzepte, Schwachstellenmanagement, Lieferkettenabsicherung.
Nicht in den Köpfen. Auf Papier. Nachweisbar.
Was das für Ihre IT-Systeme bedeutet
NIS2 ist kein reines Papierthema. Es hat direkte technische Konsequenzen für Ihre Systemlandschaft.
Sicherheitsprotokollierung: Ihre Software muss Zugriffe, Änderungen und Anomalien lückenlos protokollieren. Audit-Trails, die manipulationssicher gespeichert werden.
Netzwerksegmentierung: Kritische Systeme dürfen nicht im selben Netzwerk laufen wie das Gäste-WLAN. Zero-Trust-Architektur ist der Goldstandard, aber selbst eine grundlegende Segmentierung hilft.
Verschlüsselung: Daten in Bewegung und im Ruhezustand. TLS 1.3 für Kommunikation, AES-256 für Speicherung.
Backup und Recovery: Regelmäßige Backups, offline gespeichert, regelmäßig getestet. “Wir haben ein Backup” ist kein Konzept. “Wir haben letzte Woche einen Restore-Test gemacht” schon.
Multi-Faktor-Authentifizierung: Für alle administrativen Zugänge und idealerweise auch für reguläre Nutzer. Ein einfaches Passwort reicht nicht mehr.
Patch-Management: Bekannte Schwachstellen müssen zeitnah gepatcht werden. Kein “machen wir nächste Woche”, sondern ein dokumentierter Prozess mit definierten Zeitfenstern.
Die Zahlen aus dem BSI-Lagebericht 2025
119 neue Sicherheitslücken pro Tag. 24 Prozent mehr als im Vorjahr.
950 Ransomware-Angriffe im Berichtszeitraum 2024/2025. 80 Prozent davon trafen KMU. Das sind nicht nur große Konzerne.
KMU erfüllen im Schnitt nur 56 Prozent der Basisanforderungen an IT-Sicherheit. 55 Prozent sagen, dass ein Cyberangriff mit Schäden unter 50.000 Euro sie in die Existenzgefährdung treiben würde.
Deutschland ist Europas Ziel Nummer eins für Cyberangriffe. Das ist der Kontext, in dem NIS2 zu verstehen ist.
Sanktionen bei Nichteinhaltung
Die Bußgelder wurden massiv erhöht. Für besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Für wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Das sind keine theoretischen Maximalsummen.
Und es geht nicht nur ums Geld. Die Geschäftsführung haftet persönlich. CEO und Vorstand müssen nachweisen, dass sie sich mit IT-Sicherheit befasst haben.
Pragmatischer Maßnahmenplan für den Mittelstand
Wo anfangen? Nicht alles auf einmal. Ein realistischer Fahrplan:
Woche 1 bis 2: Betroffenheitsprüfung. Fallen Sie unter NIS2? Prüfen Sie Branche, Größe und Lieferketten-Abhängigkeiten. Registrieren Sie sich beim BSI.
Woche 3 bis 4: Asset-Inventur. Welche IT-Systeme haben Sie? Wo liegen sensible Daten? Welche Systeme kommunizieren nach außen?
Monat 2: Risikobewertung und Quick Wins. Multi-Faktor-Authentifizierung einführen, Passwortrichtlinien verschärfen, Backup-Konzept prüfen.
Monat 3: Incident-Response-Plan erstellen. Wer meldet was, an wen, innerhalb welcher Frist? Dokumentieren und üben.
Monat 4 bis 6: Größere Maßnahmen umsetzen. Netzwerksegmentierung, Verschlüsselung, Schwachstellenmanagement, Lieferantenbewertung.
Das BSI empfiehlt den CyberRisikoCheck nach DIN SPEC 27076 als Einstieg. Einen detaillierten Maßnahmenplan finden Sie in unserem IT-Sicherheitsleitfaden für den Mittelstand.
Zusammenspiel mit DSGVO und KI-Gesetz
NIS2 existiert nicht isoliert. Die DSGVO verlangt bereits technische und organisatorische Maßnahmen. Viele NIS2-Anforderungen überschneiden sich damit.
Die EU arbeitet an einer Vereinheitlichung der Meldepflichten über eine ENISA-Plattform: ein Portal für NIS2, DSGVO und DORA. Weniger Bürokratie, mehr Übersicht.
Ab August 2026 bringt die KI-Verordnung weitere Anforderungen. Wer KI-Systeme einsetzt, hat zusätzliche Transparenz- und Dokumentationspflichten. Mehr dazu in unserem Handlungsleitfaden zur KI-Verordnung.
Einen Gesamtüberblick bietet unser EU-Compliance-Leitfaden.
Sie müssen NIS2 umsetzen und wissen nicht, wo Sie anfangen? Vereinbaren Sie ein Erstgespräch. Wir prüfen Ihre Betroffenheit und helfen, die technischen Anforderungen in Ihre Systemlandschaft zu integrieren.
