NIS-2 Richtlinie
Das Wichtigste in Kürze
- NIS-2 ist seit 6. Dezember 2025 in Kraft - keine Uebergangsfristen
- Ca. 29.500 Unternehmen in Deutschland betroffen (ab 50 MA oder 10 Mio. EUR Umsatz)
- Geschaeftsfuehrer haften persoenlich fuer Cybersecurity-Massnahmen
- Bussgelder bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
- BSI-Registrierung bis Anfang Maerz 2026 erforderlich
Seit Dezember 2025 gilt in Deutschland ein neues Cybersecurity-Gesetz, und viele Unternehmen wissen es noch nicht. Rund 29.500 Betriebe sind betroffen, Geschaeftsfuehrer haften persoenlich, und es gibt keine Uebergangsfristen. Wer jetzt nicht handelt, riskiert Bussgelder bis 10 Millionen EUR.
JETZT IN KRAFT - Keine Uebergangsfristen!
- 6. Dezember 2025: NIS-2-Umsetzungsgesetz in Kraft getreten
- 6. Januar 2026: BSI-Meldeportal freigeschaltet
- Anfang Maerz 2026: Registrierung beim BSI erforderlich
- Ca. 29.500 Unternehmen in Deutschland betroffen
Was ist NIS-2?
NIS-2 ist die verschaerfte EU-Cybersecurity-Richtlinie, die seit Dezember 2025 in Deutschland gilt. Sie betrifft ca. 29.500 Unternehmen und bringt Bussgelder bis 10 Mio. EUR oder 2% des Jahresumsatzes sowie persoenliche Geschaeftsfuehrerhaftung fuer Cybersecurity-Versaeumnisse.
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Verordnung, die Mindestanforderungen fuer Cybersecurity in kritischen Sektoren festlegt. Sie loest die NIS-1-Richtlinie von 2016 ab und erweitert den Anwendungsbereich drastisch.
Wichtigste Aenderungen gegenueber NIS-1
- Erweiterung von 7 auf 18 betroffene Sektoren
- Niedrigere Schwellenwerte (mehr Unternehmen betroffen)
- Persoenliche Haftung der Geschaeftsfuehrung
- Strengere Meldepflichten bei Sicherheitsvorfaellen
- Hoehere Bussgelder (bis 10 Mio. EUR oder 2% Umsatz)
- Verpflichtende Risikomanagement-Massnahmen
Welche Unternehmen sind betroffen?
Ca. 29.500 deutsche Unternehmen in 18 Sektoren sind von NIS-2 betroffen. Wichtige Einrichtungen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz, wesentliche Einrichtungen ab 250 Mitarbeitern oder 50 Mio. EUR Umsatz muessen die neuen Cybersecurity-Anforderungen erfuellen.
NIS-2 unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen in 18 Sektoren:
Wesentliche Einrichtungen (Essential Entities)
Energie
Strom, Gas, Oel, Fernwaerme
Transport
Luft, Schiene, Wasser, Strasse
Bankwesen
Kreditinstitute
Finanzmarkt
Handelsplaetze, Clearingstellen
Gesundheit
Krankenhaeuser, Pharma, Medizinprodukte
Trinkwasser
Wasserversorgung und -verteilung
Abwasser
Abwasserentsorgung
Digitale Infrastruktur
Internet-Knoten, DNS, TLD, Rechenzentren, Cloud
Wichtige Einrichtungen (Important Entities)
Post und Kurier
Postdienste
Abfallwirtschaft
Abfallsammlung und -entsorgung
Chemie
Chemische Stoffe Herstellung/Handel
Lebensmittel
Produktion, Verarbeitung, Vertrieb
Verarbeitendes Gewerbe
Medizinprodukte, Elektronik, Maschinen, KFZ
Digitale Dienste
Marktplaetze, Suchmaschinen, Social Media
Schwellenwerte
Unternehmen in den genannten Sektoren sind betroffen, wenn sie:
- Mehr als 50 Mitarbeiter haben, ODER
- Mehr als 10 Mio. EUR Jahresumsatz haben
Kleinere Unternehmen koennen trotzdem betroffen sein, wenn sie als "kritisch" eingestuft werden oder Alleinanbieter sind.
Anforderungen an Unternehmen
NIS-2 verlangt zehn konkrete Risikomanagement-Massnahmen, strenge Meldepflichten innerhalb von 24 Stunden bei Sicherheitsvorfaellen und persoenliche Verantwortung der Geschaeftsfuehrung. Geschaeftsfuehrer haften mit ihrem Privatvermoegen fuer Cybersecurity-Versaeumnisse.
Risikomanagement-Massnahmen
NIS-2 schreibt folgende Mindestmassnahmen vor:
- Risikoanalyse und Sicherheitskonzepte
- Behandlung von Sicherheitsvorfaellen
- Betriebskontinuitaet und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT
- Bewertung der Wirksamkeit von Massnahmen
- Cyberhygiene und Schulungen
- Kryptografie und Verschluesselung
- Personalsicherheit und Zugriffskontrolle
- Multi-Faktor-Authentifizierung
Meldepflichten
Bei erheblichen Sicherheitsvorfaellen muessen Unternehmen:
- Innerhalb von 24 Stunden: Fruehwarnung an die Behoerde
- Innerhalb von 72 Stunden: Vollstaendige Meldung mit Bewertung
- Innerhalb von 1 Monat: Abschlussbericht
Geschaeftsfuehrer-Verantwortung
Persoenliche Haftung
NIS-2 macht die Geschaeftsfuehrung persoenlich verantwortlich fuer die Umsetzung der Cybersecurity-Massnahmen. Bei Versaeumnissen drohen persoenliche Bussgelder und Haftung. Eine D&O Versicherung kann hier wichtigen Schutz bieten.
Sanktionen und Bussgelder
NIS-2 droht mit empfindlichen Strafen: Wesentliche Einrichtungen riskieren Bussgelder bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, wichtige Einrichtungen bis 7 Mio. EUR oder 1,4%. Geschaeftsfuehrer koennen zudem persoenlich haftbar gemacht werden.
| Kategorie | Maximales Bussgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes |
| Geschaeftsfuehrer persoenlich | Je nach Mitgliedstaat, ggf. Tatigkeitsverbot |
Was Unternehmen jetzt tun sollten
Sofortiges Handeln ist erforderlich: Die NIS-2-Pflichten gelten bereits ohne Uebergangsfristen. Die BSI-Registrierung muss bis Anfang Maerz 2026 erfolgen. Geschaeftsfuehrer sollten ihren Versicherungsschutz (Cyber und D&O) umgehend pruefen und anpassen.
- Betroffenheit pruefen: Fallen Sie unter NIS-2? Sektor und Schwellenwerte checken.
- Gap-Analyse: Wo stehen Sie heute? Welche Anforderungen fehlen?
- Roadmap erstellen: Priorisierte Massnahmen planen
- Geschaeftsfuehrung einbinden: Bewusstsein fuer persoenliche Haftung schaffen
- Versicherungsschutz pruefen: Cyberversicherung und D&O-Versicherung anpassen
Cyberversicherung und NIS-2
Eine Cyberversicherung ersetzt keine NIS-2-Compliance, bietet aber wichtige Absicherung: Sie deckt Kosten bei Sicherheitsvorfaellen, IT-Forensik und Betriebsunterbrechungen. Versicherer werden zunehmend NIS-2-Compliance als Voraussetzung fuer Versicherungsschutz fordern.
Eine Cyberversicherung kann NIS-2-Compliance nicht ersetzen, aber wertvolle Unterstuetzung bieten:
- Deckung von Kosten bei Sicherheitsvorfaellen
- Zugang zu IT-Forensik und Krisenmanagement
- Unterstuetzung bei Meldepflichten
- Finanzielle Absicherung bei Betriebsunterbrechungen
Beachten Sie: Versicherer werden zunehmend NIS-2-Compliance als Voraussetzung fuer Versicherungsschutz erwarten.
Fazit
NIS-2 gilt jetzt. Handeln Sie sofort.
Seit Dezember 2025 muessen betroffene Unternehmen die zehn Mindestmassnahmen umsetzen, sich beim BSI registrieren und die Meldepflichten einhalten. Wer das versaeumt, haftet persoenlich. Die Bussgelder sind empfindlich.
Pruefen Sie jetzt, ob Ihr Unternehmen betroffen ist (ab 50 MA oder 10 Mio. EUR Umsatz in einem der 18 Sektoren). Und sichern Sie sich ab: mit einer Cyberversicherung fuer die finanziellen Folgen und einer D&O-Versicherung fuer die persoenliche Geschaeftsfuehrer-Haftung.
NIS-2 (Network and Information Security Directive 2) ist eine EU-Richtlinie, die Mindeststandards fuer Cybersecurity in kritischen Sektoren festlegt. Sie ersetzt die NIS-1-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich auf rund 29.500 Unternehmen in Deutschland.
Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten. Die Pflichten gelten sofort - es gibt keine Uebergangsfristen. Die Registrierung beim BSI muss bis Anfang Maerz 2026 erfolgen.
NIS-2 betrifft Unternehmen in 18 definierten Sektoren. Besonders wichtige Einrichtungen: ab 250 Mitarbeiter oder 50 Mio. EUR Umsatz. Wichtige Einrichtungen: ab 50 Mitarbeiter oder 10 Mio. EUR Umsatz. IT-Dienstleister und MSPs sind explizit betroffen.
Bussgelder bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes (bei besonders wichtigen Einrichtungen), bis 7 Mio. EUR oder 1,4% (bei wichtigen Einrichtungen). Die Geschaeftsfuehrung haftet persoenlich nach §38 BSIG.
Ja, die D&O-Versicherung kann Schadenersatzansprueche wegen NIS-2-Pflichtverletzungen abdecken. Der Gesetzgeber hat in §38 BSIG klargestellt, dass D&O-Versicherungen nicht eingeschraenkt werden sollen. Bussgelder selbst sind jedoch nicht versicherbar.
Seit dem 6. Januar 2026 steht das BSI-Meldeportal zur Verfuegung. Betroffene Unternehmen muessen sich dort bis Anfang Maerz 2026 registrieren. Sie benoetigen dafuer einen Ansprechpartner fuer IT-Sicherheit und grundlegende Angaben zu Ihrem Unternehmen und den betroffenen Diensten.
Eine Cyberversicherung kann die finanziellen Folgen eines Cybervorfalls abfedern, etwa Kosten fuer IT-Forensik, Datenwiederherstellung und Betriebsunterbrechung. Sie ersetzt aber nicht die NIS-2-Compliance. Viele Versicherer fordern inzwischen sogar NIS-2-Konformitaet als Voraussetzung fuer den Versicherungsschutz.
Risikomanagement, Vorfallbewaeltigung, Backup und Krisenmanagement, Lieferkettensicherheit, Sicherheit bei Beschaffung, Schwachstellenmanagement, Bewertung der Wirksamkeit, Cyberhygiene und Schulungen, Kryptografie und Verschluesselung sowie Multi-Faktor-Authentifizierung.
Fazit
Die NIS-2-Richtlinie betrifft mehr Unternehmen als die meisten denken. Pruefen Sie, ob Ihr Betrieb in einen der betroffenen Sektoren faellt, und beginnen Sie fruehzeitig mit der Umsetzung der Anforderungen. Die Bussgelder bei Verstoessen sind empfindlich, und Geschaeftsfuehrer haften persoenlich.
Eine Cyberversicherung ersetzt die Compliance-Pflichten nicht, federt aber die finanziellen Folgen eines Sicherheitsvorfalls ab.