Alle Beiträge

NIS 2: Was das Gesetz fordert – und wen es betrifft

Cybersicherheit & Compliance —  Praxiseinblick

NIS 2: Was das Gesetz fordert – und wen es betrifft

NIS 2 ist seit über zwei Jahren bekannt. Die Richtlinie wurde diskutiert, bewertet, auf Agenden gesetzt – und in vielen Unternehmen trotzdem nicht umgesetzt. Das ist keine Überraschung: Regulatorische Anforderungen konkurrieren mit dem Tagesgeschäft, und solange keine Strafe droht, fehlt der Druck. Den gibt es jetzt. Das deutsche Umsetzungsgesetz ist in Kraft, die Behörden prüfen, die Bußgelder sind empfindlich.

Bevor manüber die Umsetzung spricht, lohnt sich ein Schritt zurück. Was verlangt NIS 2eigentlich – und wen betrifft das überhaupt?

1. Was ist NIS 2 – und was hat sich geändert?

NIS 2 ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie löst die Vorgängerrichtlinie aus dem Jahr 2016 ab und reagiert auf eine Entwicklung, die in den letzten Jahren niemand mehr ernsthaft bestreitet: Cyberangriffe sind nicht mehr die Ausnahme, sondern die Regel. Lieferketten werden gezielt kompromittiert, Krankenhäuser stehen tagelang still, kommunale Verwaltungen werden lahmgelegt. Die alte Richtlinie war auf wenige Sektoren beschränkt und ließ den Mitgliedstaaten viel Spielraum – mit dem Ergebnis, dass der Schutzquer durch Europa sehr unterschiedlich ausfiel. NIS 2 zieht daraus die Konsequenz.

Drei Punkte sind dabei entscheidend: Der Anwendungsbereich wurde deutlich ausgeweitet – viele Unternehmen, die bislang nicht im Fokus standen, fallen jetzt in die Regulierung. Die Anforderungen wurden konkretisiert – wo früher allgemeine Sicherheitsziele standen, gibt es jetzt einen Katalog an Pflichten. Und die Durchsetzung wurde verschärft – mit spürbaren Bußgeldern und persönlicher Haftung der Geschäftsleitung.

In Deutschland wird die Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz: NIS2UmsuCG) umgesetzt. Es ist seit Dezember 2025 in Kraft – ohne Übergangsfrist. Wer in den Anwendungsbereich fällt, ist seitdem zur Umsetzung verpflichtet. Das BSI ist die zentrale Aufsichtsbehörde und nimmt seit Januar 2026 Registrierungen über sein Portalentgegen.

2. Wer ist betroffen? Und wie meldet man sich an?

Bevor eine Maßnahme Sinn ergibt, muss eine Frage geklärt sein: Ist mein Unternehmen überhaupt betroffen? Die Antwort liegt seltener auf der Hand, als man denkt. NIS 2 erfasst deutlich mehr Sektoren als die Vorgängerrichtlinie, und die Schwellenwerte sind so gesetzt, dass viele Mittelständler erstmals in den Anwendungsbereich fallen – oft, ohne es zu ahnen.

Das Gesetzkennt zwei Kategorien. Besonders wichtige Einrichtungen sind Unternehmen ab 250 Mitarbeitenden oder mindestens 50 Mio. € Jahresumsatz in hochkritischen Sektoren – Energie, Wasser, Gesundheit, digitale Infrastruktur, Verkehr und einige weitere. Wichtige Einrichtungen beginnen schon bei 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in einem deutlich breiteren Sektorenkatalog, der von Lebensmittelproduktion über Postdienste bis zu Anbietern digitaler Dienste reicht. Hinzu kommen Sonderfälle, bei denen die Größe keine Rolle spielt – etwa Vertrauensdiensteanbieter oder Teile der öffentlichen Verwaltung.

Die Registrierung ist die erstePflicht – und der häufigste Fehler.

Seit Januar 2026 ist das BSI-Registrierungsportal freigeschaltet. Wer betroffen ist, muss sich aktiv registrieren – das passiert nicht automatisch. Wer noch nicht eingetragen ist, begeht bereits eine Compliance-Verletzung. Und diese Pflichtverletzung ist sofort bußgeldbewehrt, noch bevor irgendeine technische oder organisatorische Maßnahme umgesetzt wurde. Das macht den Punkt so heimtückisch: Man kann formal in Verzug sein, ohne es zu merken.

Was konkret zu tun ist:

  • Betroffenheit prüfen – Sektor, Mitarbeiterzahl und Umsatz gegen die Schwellenwerte halten. Wer im Grenzbereich liegt, dokumentiert die Einschätzung schriftlich.
  • Im BSI-Portal registrieren – einmalig, mit Stammdaten und Sektorenzuordnung.
  • 24/7-Kontaktstelle benennen, an die das BSI im Ernstfall adressiert. Das ist keine Formalie, sondern muss tatsächlich erreichbar sein.
  • Änderungen aktiv pflegen – wer Geschäftsführung  ,Adresse oder Kontaktstelle ändert, muss das nachziehen.

Dieser Schritt kostet kein Budget und keine Beratungstage. Er schafft aber sofortige Rechtssicherheit darüber, ob man im Adressatenkreis steht – und befreit von dem latenten Risiko, dass eine BSI-Anfrage einen unvorbereitet trifft.

 

3. Haftung und Verantwortung der Leitungsebene

Mit NIS 2 verlässt die Verantwortung für Cybersicherheit den CISO, die IT-Abteilung etc. und landet direkt in der Geschäftsleitung. NIS 2 verändert die Rechtslagefundamental: Cybersicherheit ist keine IT-Angelegenheit mehr, die man delegiert und vergisst. Die Leitungsebene haftet persönlich, und zwar mit dem Privatvermögen. Eine Freistellung durch das Unternehmen oder die D&O-Versicherung ist ausgeschlossen.

Der Hebel ist die Sorgfaltspflicht. Geschäftsführer müssen die Risikomanagementmaßnahmen nicht nur einführen, sondern aktiv genehmigen und ihre Umsetzung überwachen. Das ist kein Abhaken im Quartalsmeeting, sondern eine dokumentierte Befassung – inklusive Nachweis, dass die Geschäftsführung den Stand der Sicherheit kennt, bewertet und Entscheidungen darüber trifft.

Die Bußgelder sind abgestuft, aber in beiden Kategorien empfindlich:

  • Bis zu 10 Mio. Euro oder 2 % vom weltweiten Jahresumsatz für besonders wichtige Einrichtungen – es gilt der höhere Wert.
  • Bis zu 7 Mio. Euro oder 1,4 % vom weltweiten Jahresumsatz für wichtige Einrichtungen – ebenfalls der höhere Wert.
  • Persönliche Haftung der Geschäftsleitung bei nachgewiesener Verletzung der Sorgfaltspflicht – keine Begrenzung, keine Freistellung.
  • Im Extremfall: vorübergehende Untersagung der Geschäftstätigkeit oder der Leitungsfunktion durch das BSI.

Hinzu kommt eine Schulungspflicht für die Leitungsebene. Wer im Ernstfall vor einer Aufsichtsbehörde steht und nicht erklären kann, was sein Unternehmen tut und warum, hat ein Problem. Unwissenheit schützt nicht vor Strafe – im Gegenteil, sie begründet die Sorgfaltspflichtverletzung.

 

Damit sind die Grundlagen geklärt: Was NIS 2 ist, wen es betrifft, wie die Anmeldung läuft und welche Konsequenzen die Leitungsebene persönlich treffen können. Die eigentliche Arbeit beginnt aber erst danach – mit der Umsetzung der konkreten Anforderungen an Prozesse, Technik und Organisation.

Darum geht es im zweiten Teil: Risikomanagement, Incident Response, Business Continuity und die heikelste Stelle von allen – die Sicherheit der eigenen Lieferkette.

Stand: Mai 2026  —  Dieser Artikel gibt praxisbasierte Einblicke und ersetzt keine individuelle Rechts- oder Sicherheitsberatung

👉Nächster Beitrag

Lernen Sie Leno kennen

Demo buchen
Vereinbaren Sie noch heute einen Termin, um Leno kennenzulernen.

Wie können wir Ihnen helfen?
Kontaktieren Sie uns.

Zu unserem Trust Center
Kontakt
© 2026 aixom. All rights reserved.