NIS-2-Richtlinie: betroffen, Pflichten und Bußgelder 2026

Das Wichtigste in Kürze
- Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) gilt in Deutschland seit dem 6. Dezember 2025, ohne Übergangsfristen.
- Betroffen sind rund 29.500 Unternehmen in 18 Sektoren, in der Regel ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz.
- Die Geschäftsführung trägt persönlich Verantwortung für die Cybersecurity-Maßnahmen (§ 38 BSIG).
- Bußgelder reichen bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
- Die Registrierung beim BSI ist bis Anfang März 2026 vorgesehen.
Die NIS-2-Richtlinie ist eine EU-Vorgabe für mehr Cybersecurity, die in Deutschland über das NIS-2-Umsetzungsgesetz seit dem 6. Dezember 2025 gilt. Betroffen sind rund 29.500 Unternehmen in 18 Sektoren, meist ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz. Wer darunterfällt, muss zehn Risikomanagement-Maßnahmen umsetzen, Sicherheitsvorfälle binnen 24 Stunden melden und sich beim BSI registrieren. Bei Verstößen drohen Bußgelder bis 10 Mio. EUR, und die Geschäftsführung haftet persönlich.
Dieser Ratgeber erklärt die NIS-2-Richtlinie aus Compliance-Sicht: Was sie regelt, wer betroffen ist, welche Pflichten und Fristen gelten und welche Sanktionen vorgesehen sind. Den Versicherungswinkel vertiefen wir in den weiterführenden Beiträgen zur Cyberversicherung für KMU und zur D&O-Versicherung.
In Kraft seit Dezember 2025, ohne Übergangsfrist
- 6. Dezember 2025: NIS-2-Umsetzungsgesetz in Kraft getreten
- 6. Januar 2026: BSI-Meldeportal freigeschaltet
- Anfang März 2026: Frist für die Registrierung beim BSI
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie, die einheitliche Mindeststandards für die IT-Sicherheit in wichtigen Wirtschaftssektoren festlegt. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert deren Anwendungsbereich deutlich. In nationales Recht gegossen wird sie durch das NIS-2-Umsetzungsgesetz, kurz NIS2UmsuCG, das die Vorgaben im BSI-Gesetz (BSIG) verankert.
Hinter der Reform steht ein einfacher Befund: Angriffe auf Lieferketten, Behörden und Mittelstand haben zugenommen, und die alte Richtlinie erfasste zu wenige Branchen. NIS-2 zieht den Kreis der verpflichteten Unternehmen weiter und macht die Leitungsebene ausdrücklich verantwortlich.
Was sich gegenüber NIS-1 ändert
- Mehr Sektoren: Der Anwendungsbereich wächst von 7 auf 18 Sektoren.
- Mehr Unternehmen: Niedrigere Schwellenwerte erfassen auch den Mittelstand.
- Persönliche Verantwortung der Geschäftsführung für die Cybersecurity-Maßnahmen.
- Strengere Meldepflichten mit festen Fristen (24 Stunden, 72 Stunden, ein Monat).
- Höhere Bußgelder von bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes.
- Verpflichtende Maßnahmen entlang der gesamten Lieferkette.
NIS-2: Wer ist betroffen?
Betroffen sind Unternehmen in 18 Sektoren, die in der Regel mindestens 50 Mitarbeiter beschäftigen oder mehr als 10 Mio. EUR Jahresumsatz erzielen. Das Gesetz trennt dabei zwei Kategorien: besonders wichtige Einrichtungen und wichtige Einrichtungen. Beide unterliegen denselben Sicherheitspflichten, unterscheiden sich aber bei Aufsicht und Bußgeldhöhe.
Ob Ihr Betrieb darunterfällt, hängt von Branche und Größe ab. Der folgende Schnellcheck ordnet Ihre Lage in wenigen Klicks ein. Er ersetzt keine Rechtsberatung, gibt aber eine erste belastbare Einschätzung.
Orientierungshilfe, kein Rechtsrat
NIS-2 Quick-Check: Sind Sie pflichtig?
Fuenf Fragen, eine erste Einschaetzung. Die endgueltige Pruefung sollten Sie durch eine Fachperson absichern lassen.
1Beschaeftigen Sie mindestens 50 Mitarbeitende?
Mitarbeitende in Vollzeit-Aequivalenten, einschliesslich Tochtergesellschaften.
2Liegt Ihr Jahresumsatz oder Ihre Bilanzsumme bei mindestens 10 Millionen Euro?
3Sind Sie in einem NIS-2-Sektor taetig (z. B. Energie, Trinkwasser, Gesundheit, Lebensmittelproduktion, Post, IT-Dienste, digitale Infrastruktur)?
4Wuerde ein Ausfall Ihrer IT-Systeme die Versorgung anderer Unternehmen oder Buergerinnen unmittelbar gefaehrden?
5Beliefern Sie KRITIS-Betreiber (Krankenhaeuser, Energieversorger, oeffentliche Verwaltung)?
Beantworten Sie alle fuenf Fragen, um das Ergebnis zu sehen.
Quelle: BSI, NIS-2-Umsetzungsgesetz (in Kraft seit 6. Dezember 2025). Diese Vorauswahl ersetzt keine individuelle Rechts- oder Versicherungsberatung im Sinne des VVG.
Besonders wichtige Einrichtungen
Ab 250 Mitarbeitern oder 50 Mio. EUR Umsatz gelten Unternehmen in diesen Sektoren als besonders wichtig:
Energie
Strom, Gas, Öl, Fernwärme
Transport
Luft, Schiene, Wasser, Straße
Bankwesen und Finanzmarkt
Kreditinstitute, Handelsplätze, Clearingstellen
Gesundheit
Krankenhäuser, Pharma, Medizinprodukte
Wasser und Abwasser
Trinkwasserversorgung, Abwasserentsorgung
Digitale Infrastruktur
Internet-Knoten, DNS, Rechenzentren, Cloud
Wichtige Einrichtungen
Ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz zählen unter anderem diese Branchen zu den wichtigen Einrichtungen:
Post und Kurier
Postdienste, Paketzustellung
Abfall- und Chemiewirtschaft
Entsorgung, Herstellung und Handel mit Chemikalien
Lebensmittel
Produktion, Verarbeitung, Vertrieb
Verarbeitendes Gewerbe
Maschinen, Elektronik, Medizinprodukte, Kfz
Digitale Dienste
Marktplätze, Suchmaschinen, soziale Netzwerke
IT-Dienstleister und MSP
Managed Services, oft auch unterhalb der Schwellen
Auch kleinere Betriebe können erfasst sein, etwa wenn sie als kritischer Alleinanbieter gelten oder einen wesentlichen Dienst für die Allgemeinheit erbringen. Für IT-Dienstleister lohnt deshalb ein genauer Blick. Wer für Mandanten IT betreut, sollte parallel die Absicherung über eine Berufshaftpflichtversicherung prüfen, da Fehler in der Lieferkette schnell zu Haftungsfragen führen.
Welche Pflichten gelten unter NIS-2?
Kernstück der NIS-2-Richtlinie sind zehn Mindestmaßnahmen für das Risikomanagement. Sie gelten für besonders wichtige und wichtige Einrichtungen gleichermaßen. Die Geschäftsführung muss diese Maßnahmen nicht nur dulden, sondern aktiv billigen und ihre Umsetzung überwachen.
- Risikoanalyse und Konzepte für die Informationssicherheit
- Behandlung und Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Beschaffung, Entwicklung und Wartung von IT-Systemen
- Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
- Cyberhygiene und Schulungen für Beschäftigte
- Kryptografie und Verschlüsselung
- Personalsicherheit und Konzepte für die Zugriffskontrolle
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Meldepflichten mit festen Fristen
Bei einem erheblichen Sicherheitsvorfall greift ein dreistufiges Meldeverfahren an das BSI:
- Innerhalb von 24 Stunden: Erste Warnmeldung an das BSI
- Innerhalb von 72 Stunden: Vollständige Meldung mit erster Bewertung
- Innerhalb von einem Monat: Abschlussbericht mit Ursachenanalyse
Verantwortung der Geschäftsführung
§ 38 BSIG verpflichtet die Leitungsorgane, die Risikomanagement-Maßnahmen zu billigen und ihre Umsetzung zu überwachen. Wer diese Pflicht verletzt, riskiert persönliche Haftung für den entstandenen Schaden. Schadenersatzansprüche aus solchen Pflichtverletzungen lassen sich über eine D&O-Versicherung absichern. Behördliche Bußgelder bleiben dagegen außen vor, sie sind nicht versicherbar.
NIS-2-Checkliste: die ersten Schritte
Die folgende NIS-2-Checkliste hilft Ihnen, die Umsetzung zu strukturieren. Sie ersetzt keine individuelle Prüfung, ordnet die Aufgaben aber in eine sinnvolle Reihenfolge.
- Betroffenheit klären: Sektor und Größe abgleichen. Nutzen Sie dazu den Schnellcheck weiter oben.
- Ist-Stand erheben: Welche der zehn Maßnahmen sind bereits umgesetzt, wo bestehen Lücken?
- Maßnahmenplan aufstellen: Lücken nach Risiko priorisieren und mit Terminen versehen.
- Lieferkette einbeziehen: Verträge und Sicherheitsniveau wichtiger Dienstleister prüfen.
- Meldewege festlegen: Zuständigkeiten und 24-Stunden-Prozess dokumentieren.
- Geschäftsführung einbinden: Maßnahmen formal billigen lassen und Schulungen ansetzen.
- Beim BSI registrieren: Anmeldung im Meldeportal bis Anfang März 2026.
- Versicherungsschutz prüfen: Cyber- und D&O-Deckung an die neue Risikolage anpassen.
NIS-2 und das BSI: Registrierung und Aufsicht
Zuständige Behörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Seit dem 6. Januar 2026 nimmt das BSI-Meldeportal Registrierungen entgegen. Betroffene Unternehmen melden sich dort selbst an, benennen einen Ansprechpartner für IT-Sicherheit und hinterlegen grundlegende Angaben zu Branche und Diensten. Die Selbsteinstufung ist Pflicht, eine behördliche Einzelaufforderung gibt es nicht.
Das BSI kann Nachweise verlangen, Audits anordnen und bei Verstößen Maßnahmen durchsetzen. Bei besonders wichtigen Einrichtungen erfolgt die Aufsicht proaktiv, bei wichtigen Einrichtungen anlassbezogen. Die offiziellen Vorgaben und Sektorzuordnungen finden Sie direkt beim BSI.
Welche Bußgelder drohen bei einem Verstoß?
NIS-2 sieht spürbare Sanktionen vor. Maßgeblich ist jeweils der höhere der beiden genannten Beträge.
| Kategorie | Maximales Bußgeld |
|---|---|
| Besonders wichtige Einrichtungen | 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes |
| Geschäftsführung persönlich | Haftung nach § 38 BSIG für den entstandenen Schaden |
Neben dem finanziellen Risiko zählt der Reputationsschaden. Ein gemeldeter Vorfall ohne nachweisbares Risikomanagement schwächt die Position gegenüber Kunden und Aufsicht. Das ist ein guter Grund, die Maßnahmen sauber zu dokumentieren, statt sie nur abzuhaken.
Wie hängen NIS-2 und Versicherungen zusammen?
Eine Versicherung ersetzt keine NIS-2-Compliance. Sie kann aber zwei Risiken abfedern, die das Gesetz nicht abnimmt. Erstens deckt eine Cyberversicherung die finanziellen Folgen eines Angriffs ab, etwa IT-Forensik, Datenwiederherstellung und Betriebsunterbrechung. Zweitens schützt eine D&O-Versicherung die Geschäftsführung vor persönlichen Schadenersatzansprüchen aus Pflichtverletzungen.
Beachten Sie die Wechselwirkung: Viele Cyber-Versicherer setzen grundlegende Sicherheitsmaßnahmen voraus, die sich mit den NIS-2-Pflichten überschneiden. Wer die zehn Maßnahmen umsetzt, verbessert damit oft auch seine Ausgangslage im Versicherungsantrag. Wie sich beide Themen für kleinere Betriebe verbinden, lesen Sie im Ratgeber zur Cyber-Risiken für KMU.
Fazit
NIS-2 gilt. Klären Sie zuerst, ob Sie betroffen sind.
Seit Dezember 2025 müssen betroffene Unternehmen die zehn Mindestmaßnahmen umsetzen, sich beim BSI registrieren und die Meldefristen einhalten. Die persönliche Verantwortung der Geschäftsführung macht das Thema zur Chefsache.
Prüfen Sie mit dem Schnellcheck Ihre Betroffenheit, arbeiten Sie die Checkliste ab und passen Sie Ihren Versicherungsschutz an: eine Cyberversicherung für KMU für die finanziellen Folgen und eine D&O-Versicherung für die persönliche Haftung der Geschäftsführung.
Hinweis: Die Inhalte auf dieser Seite dienen der allgemeinen Information. Sie ersetzen keine individuelle Rechts- oder Versicherungsberatung durch eine zugelassene Stelle.
NIS-2 (Network and Information Security Directive 2) ist eine EU-Richtlinie mit Mindeststandards für Cybersecurity. Sie löst die NIS-1-Richtlinie von 2016 ab und gilt in Deutschland über das NIS-2-Umsetzungsgesetz (NIS2UmsuCG). Der Anwendungsbereich wächst von 7 auf 18 Sektoren und erfasst rund 29.500 Unternehmen.
Das NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Die Pflichten greifen sofort, eine Übergangsfrist gibt es nicht. Die Registrierung beim BSI ist bis Anfang März 2026 vorgesehen.
Betroffen sind Unternehmen in 18 Sektoren, die mindestens 50 Mitarbeiter beschäftigen oder mehr als 10 Mio. EUR Jahresumsatz erzielen. Wichtige Einrichtungen starten ab 50 Mitarbeitern oder 10 Mio. EUR, besonders wichtige Einrichtungen ab 250 Mitarbeitern oder 50 Mio. EUR. IT-Dienstleister und Managed Service Provider fallen ausdrücklich darunter, teils auch unterhalb dieser Schwellen.
NIS-2 verlangt zehn Risikomanagement-Maßnahmen, darunter Risikoanalyse, Vorfallbehandlung, Backups, Lieferkettensicherheit, Verschlüsselung und Multi-Faktor-Authentifizierung. Hinzu kommen abgestufte Meldepflichten: Erstmeldung innerhalb von 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht nach einem Monat.
Besonders wichtige Einrichtungen riskieren bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, wichtige Einrichtungen bis 7 Mio. EUR oder 1,4 %. Maßgeblich ist jeweils der höhere Betrag. Die Geschäftsführung kann nach § 38 BSIG persönlich in die Verantwortung genommen werden.
Seit dem 6. Januar 2026 steht das Meldeportal des BSI bereit. Betroffene Unternehmen melden sich dort an und benennen einen Ansprechpartner für IT-Sicherheit. Benötigt werden grundlegende Angaben zum Unternehmen, zur Branche und zu den erbrachten Diensten. Die Frist endet Anfang März 2026.
Ja. § 38 BSIG verpflichtet die Leitungsorgane, die Risikomanagement-Maßnahmen zu billigen und ihre Umsetzung zu überwachen. Versäumnisse können zu persönlicher Haftung führen. Eine D&O-Versicherung kann daraus folgende Schadenersatzansprüche abdecken; Bußgelder selbst sind nicht versicherbar.
Nein. Eine Cyberversicherung federt finanzielle Folgen eines Angriffs ab, etwa IT-Forensik, Datenwiederherstellung und Betriebsunterbrechung. Sie ersetzt die gesetzlichen Pflichten nicht. Viele Versicherer setzen grundlegende Sicherheitsmaßnahmen inzwischen voraus, die sich mit den NIS-2-Anforderungen überschneiden.