Was ist das NIS2-Umsetzungsgesetz?

Die EU-Richtlinie NIS2 wurde in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht umgesetzt. Das Gesetz ist seit Dezember 2025 in Kraft und erweitert die Cybersicherheitspflichten auf rund 29.500 Unternehmen in Deutschland, die zuvor nicht reguliert waren.

Das Gesetz unterscheidet zwischen zwei Kategorien: wesentliche Einrichtungen tragen die strengsten Pflichten, wichtige Einrichtungen unterliegen etwas weniger strengen, aber gleichwohl erheblichen Anforderungen. Welche Kategorie auf Ihr Unternehmen zutrifft, hängt von Ihrer Branche und der Unternehmensgröße ab.

NIS2-Betroffenheitsprüfung

2 Schritte, ca. 30 Sekunden

In welcher Branche ist Ihr Unternehmen tätig?

Wählen Sie den Bereich aus, der Ihrem Hauptgeschäftsfeld am nächsten kommt.

Anlage 1 Energie Strom, Gas, Öl, Fernwärme, Wasserstoff
Anlage 1 🚊 Transport & Verkehr Luft, Schiene, Straße, See, ÖPNV
Anlage 1 🏠 Bankwesen & Finanzen Banken, Zahlungsinstitute, Finanzmarktinfrastruktur
Anlage 1 🏥 Gesundheit Krankenhäuser, Labore, Medizintechnik
Anlage 1 💧 Wasser & Abwasser Trinkwasserversorgung, Abwasserentsorgung
Anlage 1 🖥 Digitale Infrastruktur Cloud, Rechenzentren, DNS, IXP, CDN, Vertrauensdienste
Anlage 1 💻 IT-Dienstleistungen (B2B) Managed Services, IT-Outsourcing für Unternehmen
Anlage 1 🚀 Raumfahrt Satellitenbetrieb, Bodenstationen
Anlage 2 📦 Post & Logistik Post- und Kurierdienste
Anlage 2 Abfallwirtschaft Abfallentsorgung und -verwertung
Anlage 2 🧪 Chemie & Pharma Chemische Industrie, pharmazeutische Produktion
Anlage 2 🌿 Lebensmittel Lebensmittelproduktion und -großhandel
Anlage 2 🏭 Verarbeitendes Gewerbe Maschinenbau, Kfz, Elektronik, Medizinprodukte
Anlage 2 🌎 Digitale Dienste Online-Marktplätze, Suchmaschinen, Social Media
Anlage 2 🔬 Forschung Forschungseinrichtungen
Keine der genannten Branchen Mein Unternehmen ist in einem anderen Bereich tätig

Wie groß ist Ihr Unternehmen?

Maßgeblich ist entweder die Mitarbeiterzahl oder der Jahresumsatz, je nachdem welches Kriterium erfüllt ist.

Klein Unter 50 Mitarbeitende
und unter 10 Mio. € Umsatz
Mittel 50 bis 249 Mitarbeitende
oder 10 bis 49 Mio. € Umsatz
Groß 250 oder mehr Mitarbeitende
oder ab 50 Mio. € Umsatz

Was bedeutet die Einstufung konkret?

Die Einstufung bestimmt, welche Maßnahmen Ihr Unternehmen umsetzen und welche Fristen Sie einhalten müssen. Zwischen wesentlichen und wichtigen Einrichtungen gibt es bei den Pflichten wenig Unterschied; der wesentliche Unterschied liegt in der Aufsichtsintensität und bei den maximalen Bußgeldrahmen.

Anforderung Wesentliche Einrichtung Wichtige Einrichtung
Risikomanagement & ISMS Pflicht Pflicht
BSI-Registrierung Pflicht Pflicht
Meldepflicht bei Vorfällen 24 h / 72 h / 1 Monat 24 h / 72 h / 1 Monat
Sicherheitsaudits Regelmäßig, alle 2 Jahre Auf Anforderung der Behörde
Persönliche Geschäftsführerhaftung Ja Ja
Maximales Bußgeld 10 Mio. € oder 2 % des Umsatzes 7 Mio. € oder 1,4 % des Umsatzes

Auch ohne direkte Betroffenheit: die Lieferkettenpflicht

Selbst wenn Ihr Unternehmen nicht direkt unter das NIS2UmsuCG fällt, kann es indirekt betroffen sein. Wesentliche und wichtige Einrichtungen sind verpflichtet, die Cybersicherheit ihrer Lieferkette zu überprüfen. Das bedeutet: Ihre Kunden, die selbst NIS2-pflichtig sind, werden von Ihnen Nachweise über Ihre Sicherheitsmaßnahmen verlangen. Ein ISO-27001-Zertifikat oder ein ausgefüllter Fragebogen nach dem TISAX-Standard kann hier die einfachste Antwort sein.

Was sind die nächsten Schritte?

  • Betroffenheit im Einzelfall prüfen: Die obige Prüfung gibt eine erste Orientierung. Grenzfälle, Konzernstrukturen und Mehrfachzuordnungen sollten individuell bewertet werden.
  • BSI-Registrierung: Betroffene Einrichtungen müssen sich beim BSI registrieren. Die Registrierungspflicht läuft gestaffelt an.
  • Risikoanalyse und Maßnahmenplan: Ausgangspunkt ist eine strukturierte Analyse des Ist-Zustandes.
  • ISMS aufbauen oder anpassen: ISO 27001 deckt rund 70 bis 80 Prozent der NIS2-Anforderungen ab. Wer bereits zertifiziert ist, hat einen erheblichen Vorsprung.
  • Governance und Schulung: NIS2 schreibt vor, dass die Unternehmensleitung Cybersicherheitsmaßnahmen billigt und überwacht. Führungskräfteschulungen sind vorgeschrieben.