NIS 2 kommt – mit großen Schritten. Nachdem der Bundestag am 13.11.2025 das Umsetzungsgesetz in zweiter und dritter Lesung angenommen hat, dürfte es nicht mehr lange dauern, bis es in Kraft tritt. Es wird damit gerechnet, dass es spätestens (!) 2026 anwendbar ist – ohne Übergangsfristen! Was Unternehmen wissen und umsetzen sollten:

1. Hintergrund und Zielsetzung

Mit der NIS-2-Richtlinie (EU) 2022/2555 werden Cybersicherheitsanforderungen unionsweit harmonisiert. Deutschland setzt dies mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (nachfolgend: „NIS 2-G“) um und entwickelt den Rahmen des IT-SiG 2015/2.0 fort. Ziel ist ein hohes, verhältnismäßiges Sicherheitsniveau. Erfasst sind die gesamte Bundesverwaltung (inkl. Geschäftsbereichsbehörden) und deutlich mehr Unternehmen der Privatwirtschaft.

2. Betroffene Unternehmen – Wer muss handeln?

2.1 Kategorisierung

Das Gesetz unterscheidet zwischen besonders wichtigen Einrichtungen (§ 28 Abs. 1 NIS 2-G) und wichtigen Einrichtungen (§ 28 Abs. 2 NIS 2-G). Die Zuordnung erfolgt nach den Anlagen 1 und 2 (Sektoren), Size-Cap-Schwellen und Sondertatbeständen. KRITIS bleibt eigenständig geregelt.

Besonders wichtige Einrichtungen sind insbesondere:

• Betreiber kritischer Anlagen (KRITIS)
• Qualifizierte Vertrauensdiensteanbieter
• Top-Level-Domain-Registries und bestimmte DNS-Diensteanbieter
• Einrichtungen der Sektoren nach Anlage 1, die die Size-Cap-Schwellen (min. 250 Mitarbeiter oder Jahresumsatz > 50 Mio. EUR und Jahresbilanzsumme > 43Mio. EUR) erfüllen

Wichtige Einrichtungen sind insbesondere:

• Einrichtungen der Sektoren nach Anlagen 1 und 2, die die Size-Cap-Schwellen für wichtige Einrichtungen (min. 50 Mitarbeiter oder Jahresumsatz und Jahresbilanzsumme > 10 Mio. EUR) erfüllen
• Weitere in Anlage 2 erfasste Einrichtungen, soweit die Schwellenwerte erreicht werden oder Sondertatbestände greifen

2.2 Erfasste Sektoren

Erfasst sind zahlreiche Sektoren. 

Anlage 1: u.a. Energie, Verkehr, Finanzwesen, Gesundheit, Wasser/Abwasser, digitale Infrastruktur, IKT-Dienstverwaltung und Weltraum. 

Anlage 2 u.a. Post/Kurier, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe (sofern gesondert benannt), digitale Dienste, Forschung.

2.3 Wichtige Ausnahmen und sektorale Spezialregime

Im Finanzsektor gelten vorrangig Spezialvorgaben (insb. DORA). Energie und Telekommunikation: sektorale Pflichten im EnWG/TKG gehen vor. Tätigkeiten zu nationaler/öffentlicher Sicherheit, Verteidigung oder Strafverfolgung sind ausgenommen.

2.4 Konzernstrukturen und Nebentätigkeiten

Größenschwellen sollen die tatsächliche Risikolage und die Eigenständigkeit der IT sachgerecht abbilden. Für eine etwaige Zurechnung von Mitarbeitern und Jahresumsatz/Jahresbilanz innerhalb eines Konzerns oder bei Unternehmensbeteiligungen verweist das Gesetz auf die Empfehlung der Kommission 2003/361/EG.

Nebentätigkeiten sind für die Zuordnung nicht entscheidend.

3. Kernpflichten – Was ist zu tun?

3.1 Risikomanagementmaßnahmen – Mindestanforderungen

Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen umsetzen (§ 30 Abs. 2 NIS 2-G). Dazu gehören insbesondere Risikoanalyse/Sicherheitskonzept, Incident Response, Betriebsaufrechterhaltung (Backups, Disaster Recovery, Business Continuity Management), Lieferkettensicherheit, sichere Beschaffung/Entwicklung/Wartung (inkl. CVD), Wirksamkeitskontrollen (Audits, Tests), Cyberhygiene/Schulungen, Kryptografie, Personal-/Zugriffs-/Asset-Management sowie starke Authentifizierung und gesicherte Kommunikation. Die Verhältnismäßigkeit berücksichtigt Risikoexposition, Größe, Kosten sowie Eintrittswahrscheinlichkeit und Schwere möglicher Auswirkungen. Der verpflichtende Einsatz zertifizierter IKT-Produkte, -Dienste oder -Prozesse kann per Rechtsverordnung angeordnet werden.

3.2 Lieferkettensicherheit – Mittelbare Betroffenheit nicht regulierter Unternehmen

Einrichtungen müssen die Cybersicherheitsqualität ihrer unmittelbaren Lieferanten bewerten, vertragliche Anforderungen festlegen und die Einhaltung überwachen. Im Fokus: Schwachstellen-/Patch-Management, Entwicklungsprozesse, Meldepflichten, Audit-Rechte, Exit-Regelungen.

Praktische Konsequenz: Auch Unternehmen außerhalb des direkten Anwendungsbereichs werden faktisch verpflichtet, wenn sie IT-Produkte oder -Dienstleistungen an NIS-2-pflichtige Kunden liefern. Betroffen sind insbesondere IT-Dienstleister, Software-/Hardwarehersteller und Beratungsunternehmen. Diese sollten NIS-2-pflichtige Kunden identifizieren, eine Gap-Analyse durchführen, Nachweispakete vorbereiten (ISO 27001, IT-Grundschutz) und sich auf vertragliche Sicherheitsanforderungen sowie Kunden-Audits einstellen.

3.3 Meldepflichten – Dreistufiges Verfahren

Betroffene Unternehmen sind bei erheblichen Sicherheitsvorfällen verpflichtet, die eingerichtete gemeinsame Meldestelle zu informieren (§ 32 NIS 2-G); die Meldepflichten sind dreistufig ausgestaltet: 

• Frühwarnung 24h, 
• Vollmeldung 72h, 
• Abschlussmeldung binnen 1 Monat. Bei andauernden Vorfällen: Fortschrittsmeldung; Abschluss nach Behebung. 

Erheblich ist ein Vorfall bei gravierenden Störungen, finanziellen Verlusten oder drohenden erheblichen Schäden Dritter.

3.4 Registrierungspflichten

Besonders wichtige und wichtige Einrichtungen müssen binnen drei Monaten nach Einstufung registrierungsrelevante Angaben an das BSI übermitteln (§§ 33, 34 NIS 2-G). Betreiber kritischer Anlagen übermitteln zusätzlich kritische Dienstleistungen, Typen kritischer Komponenten, IP-Bereiche, Anlagenkategorien, Versorgungskennzahlen, Standorte und eine jederzeit erreichbare Kontaktstelle. Alle registrierungspflichtigen Einrichtungen müssen Änderungen der Registrierungsangaben unverzüglich, spätestens zwei Wochen nach Kenntniserlangung, übermitteln. Geänderte Versorgungskennzahlen sind hingegen nur jährlich zu übermitteln.

3.5 Verantwortung der Geschäftsleitung

Die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen müssen die Risikomanagementmaßnahmen umsetzen, die Umsetzung überwachen (§ 38 Abs. 1 NIS 2-G) und regelmäßig an geeigneten Schulungen teilnehmen (§ 38 Abs. 3 NIS 2-G bzw. sektorspezifisch). Bei schuldhafter Pflichtverletzung greifen die einschlägigen gesellschaftsrechtlichen Haftungsregeln (§ 38 Abs. 2 NIS 2-G).

3.6 Dokumentations- und Nachweispflichten

Die Erfüllung der Pflichten ist nachvollziehbar zu dokumentieren (Richtlinien, Prozesse, Schulungen, Audits, Zertifizierungen). Betreiber kritischer Anlagen unterliegen regelmäßigen Nachweisen im Dreijahresrhythmus (§ 39 NIS 2-G). Für andere besonders wichtige Einrichtungen kann das BSI – unter Priorisierung nach Risiko – Nachweise anordnen; die Ausgestaltung differenziert zwischen besonders wichtigen und wichtigen Einrichtungen gemäß den unionsrechtlichen Vorgaben zur Aufsicht.

4. Erweiterte Anforderungen für Betreiber kritischer Anlagen

Für versorgungsrelevante IT sind über das allgemeine Schutzniveau hinausgehende Maßnahmen angemessen; der verpflichtende Einsatz von Systemen zur Angriffserkennung ist normiert. Solche Systeme analysieren fortlaufend Parameter, erkennen Bedrohungen frühzeitig und triggern Gegenmaßnahmen (typisch: SIEM, IDS/IPS, SOC).

5. Aufsicht, Befugnisse und Durchsetzung

5.1 Zuständigkeit und Befugnisse

Das BSI ist zentrale Anlauf-, Verbindungs- und Meldestelle, koordiniert, erstellt Lagebilder und unterrichtet grenzüberschreitend. Aufsicht: bei besonders wichtigen Einrichtungen proaktiv/risikobasiert; bei wichtigen primär ex post. Datenschutzaufsichtsbehörden werden bei relevanten Feststellungen informiert.

5.2 Kritische Komponenten

Das BMI kann den Einsatz kritischer Komponenten untersagen oder anordnen, insbesondere bei fehlender Hersteller-Vertrauenswürdigkeit. Betreiber müssen mitwirken; Verstöße sind bußgeldbewehrt. Der starre Anzeige-Vorabmechanismus wurde durch ein risikobasiertes Untersagungs-/Anordnungsregime ersetzt.

6. Sanktionen

Bei Verstößen gegen Risiko- und Meldepflichten drohen hohe Bußgelder. Für besonders wichtige Einrichtungen bis 10 Mio. EUR bzw. 2% Umsatz; für wichtige Einrichtungen bis 7 Mio. EUR bzw. 1,4% Umsatz. Auch Registrierung, Auskunft/Mitwirkung und Anordnungen sind sanktionsbewehrt; gängige Zumessungskriterien gelten.

7. Handlungsempfehlungen nach Unternehmenskategorie

Betreiber kritischer Anlagen sollten unverzüglich ihre Betroffenheit klären, sich fristgerecht registrieren, das dreistufige Meldeverfahren organisatorisch und technisch sicherstellen, die Mindestanforderungen strukturiert implementieren, Systeme zur Angriffserkennung einführen und die Geschäftsleitung schulen. Mittelfristig sind regelmäßige Nachweise vorzubereiten und über das Schutzniveau hinausgehende Maßnahmen für versorgungsrelevante IT umzusetzen. Laufend sind Jahres- und Anlassmeldungen einzuhalten.

Besonders wichtige Einrichtungen ohne KRITIS-Status sollten die Registrierung binnen drei Monaten abschließen, die Mindestmaßnahmen implementieren, das Meldeverfahren etablieren, die Geschäftsleitungspflichten verankern und die Dokumentation der Compliance sicherstellen; risikoorientierte Nachweisanforderungen des BSI sind einzuplanen.

Wichtige Einrichtungen sollten die Registrierung, die verhältnismäßige Umsetzung der Mindestmaßnahmen, das Meldeverfahren und die Geschäftsleitungsschulungen zügig umsetzen und sich auf eine ex-post-Aufsicht bei Hinweisen vorbereiten.

Alle betroffenen Einrichtungen – Lieferkettensicherheit intern und extern verankern:

Intern (Compliance): Richtlinien und Prozesse zur Lieferkettensicherheit etablieren, einschließlich Lieferanten-Risikobewertung, Vorgaben zu Incident Response und Patchmanagement sowie Berücksichtigung von BSI-Empfehlungen.

Extern (Verträge): Cybersicherheitsanforderungen in alle Lieferanten- und Dienstleisterverträge aufnehmen, insbesondere:

• IT-Grundschutz/Mindeststandards und Security by Design/Default
• Audit- und Einsichtsrechte
• Melde- und Mitwirkungspflichten bei Sicherheitsvorfällen
• Mängelbeseitigung und Vertragsstrafen
• Durchreichung der BSI-Befugnisse

Bei der Auswahl geeigneter Maßnahmen sind die spezifischen Schwachstellen und die Gesamtqualität der Cybersicherheitspraktiken der Anbieter zu berücksichtigen.

Lieferanten und Dienstleister sollten NIS-2-pflichtige Kunden identifizieren, eine Gap-Analyse ihrer Sicherheitsmaßnahmen durchführen, belastbare Nachweispakete (z.B. ISO 27001, IT-Grundschutz) vorbereiten, Verträge um Sicherheits- und Schwachstellenklauseln ergänzen, Prozesse in Schwachstellen- und Patch-Management sowie Incident Response schließen und sich auf Kunden-Audits einstellen.

8. Zeitschiene und Inkrafttreten

9. Fazit und nächste Schritte

Die NIS-2-Umsetzung schärft und erweitert die Cybersicherheitsanforderungen, führt eine klare Kategorisierung mit Mindestmaßnahmen ein, etabliert ein dreistufiges Melderegime und stärkt die Aufsichtsbefugnisse des BSI. Unternehmen sollten umgehend ihre Betroffenheit klären, eine Gap-Analyse gegen die Mindestanforderungen durchführen, eine umsetzbare Compliance-Roadmap mit Prioritäten und Zeitschienen aufsetzen, Lieferketten-Compliance adressieren, Dokumentations- und Nachweisketten aufbauen und die Geschäftsleitung verbindlich in die Steuerung einbinden, um Sanktionsrisiken wirksam zu minimieren.

Wir unterstützen Sie bei:

• Betroffenheitsanalyse und Einstufung
• Gap-Analyse und Compliance-Roadmap
• Vertragsgestaltung (Lieferantenverträge, Kundenverträge)
• Vorbereitung auf BSI-Aufsicht und Nachweispflichten