Deutschland hat die NIS2-Richtlinie im Dezember 2025 in nationales Recht umgesetzt und gehört damit zu den Nachzüglern in der EU. Die Umsetzung sollte ursprünglich bereits im Oktober 2024 erfolgen. Für Zehntausende deutsche Unternehmen bedeutet das: höchste Zeit zum Handeln. Die Bußgelder sind drastisch, die Geschäftsführung haftet persönlich und viele Firmen wissen noch nicht einmal, dass sie überhaupt betroffen sind.
Was ist NIS2 und warum betrifft es dich?
NIS2 steht für „Network and Information Security Directive 2“ und ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie löst die alte NIS-Richtlinie von 2016 ab und verschärft die Anforderungen massiv. Das Ziel: Kritische Infrastrukturen und wichtige Wirtschaftssektoren besser gegen Cyberangriffe schützen.
Anders als die Vorgängerversion erfasst NIS2 deutlich mehr Branchen und Unternehmen. Waren es unter NIS1 nur wenige hundert Betreiber kritischer Infrastrukturen, sind jetzt schätzungsweise 25.000 bis 40.000 deutsche Unternehmen in der Pflicht. Das ist eine gewaltige Ausweitung.
Die Richtlinie verpflichtet betroffene Unternehmen zu umfassenden Cybersicherheitsmaßnahmen. Dazu gehören Risikoanalysen, Notfallpläne, regelmäßige Sicherheitsaudits und die Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden an das BSI, das Bundesamt für Sicherheit in der Informationstechnik.
Deutschlands verspätete Umsetzung
Die EU hatte allen Mitgliedstaaten eine klare Frist gesetzt: bis 17. Oktober 2024 sollte NIS2 in nationales Recht umgesetzt sein. Deutschland brauchte 14 Monate länger. Erst am 2. Dezember 2025 trat das NIS2-Umsetzungsgesetz in Kraft. Damit gehört Deutschland zu den letzten EU-Ländern, die ihre Hausaufgaben gemacht haben.
Die Europäische Kommission hatte bereits Vertragsverletzungsverfahren gegen 13 Mitgliedstaaten eingeleitet, darunter auch Deutschland, Frankreich, Spanien und Polen. Die verspätete Umsetzung hat konkrete Folgen für Unternehmen: Sie hatten weniger Zeit zur Vorbereitung und müssen nun unter Zeitdruck die neuen Anforderungen erfüllen.
Das deutsche Umsetzungsgesetz ändert bestehende Gesetze wie das BSI-Gesetz und führt neue Regelungen ein. Das BSI übernimmt dabei die zentrale Aufsichtsrolle und kann empfindliche Bußgelder verhängen.
Welche Unternehmen sind betroffen?
NIS2 gilt für Unternehmen aus 18 definierten Sektoren, die mehr als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von über 10 Millionen € erwirtschaften. Die betroffenen Branchen sind vielfältig und reichen weit über klassische kritische Infrastrukturen hinaus.
Zu den betroffenen Sektoren gehören Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Dienste und Forschung.
Das Tückische: Unternehmen erhalten keine offizielle Benachrichtigung vom Staat, ob sie unter NIS2 fallen. Jedes Unternehmen muss selbst prüfen, ob es betroffen ist. Diese Selbsteinschätzungspflicht führt zu großer Unsicherheit. Viele mittelständische Betriebe haben noch gar nicht erkannt, dass sie in den Anwendungsbereich fallen.
Die Richtlinie unterscheidet zwischen „wesentlichen Einrichtungen“ mit hoher Kritikalität und „wichtigen Einrichtungen“ in anderen relevanten Sektoren. Für beide Kategorien gelten Pflichten, aber die Sanktionen unterscheiden sich in ihrer Höhe.
Diese Pflichten kommen auf Unternehmen zu
Die Anforderungen von NIS2 sind umfassend und greifen tief in die Unternehmensorganisation ein. Im Kern geht es um ein systematisches Risikomanagement für die IT-Sicherheit.
Unternehmen müssen konkrete Maßnahmen zum Risikomanagement implementieren. Dazu gehören die Identifikation aller relevanten IT-Assets, regelmäßige Risikoanalysen nach dem PDCA-Zyklus (Plan-Do-Check-Act) und die Dokumentation aller Sicherheitsmaßnahmen. Die Geschäftsführung muss sich alle drei Jahre zu Cybersicherheit schulen lassen. Diese Schulungspflicht ist verpflichtend und kann nicht delegiert werden.
Ein zentraler Punkt ist das Incident Management. Sicherheitsvorfälle müssen dem BSI gemeldet werden: eine Erstmeldung innerhalb von 24 Stunden, ein Zwischenbericht nach 72 Stunden und ein Abschlussbericht spätestens einen Monat nach dem Vorfall. Diese straffen Fristen setzen Unternehmen unter Druck.
Die Lieferkettensicherheit ist ein weiterer Schwerpunkt. Unternehmen müssen ihre Dienstleister und Lieferanten auf Cybersicherheit prüfen und vertraglich zur Einhaltung von Sicherheitsstandards verpflichten. Regelmäßige Audits bei wichtigen Zulieferern sind vorgesehen.
Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren. Das bedeutet: Die Frist läuft bis spätestens April 2026. Wer diese Frist verpasst, riskiert bereits Sanktionen.
Der erste Nachweis über die Umsetzung der Sicherheitsmaßnahmen muss spätestens drei Jahre nach Inkrafttreten erfolgen, also bis Ende 2028. Danach sind alle drei Jahre erneute Nachweise fällig.
Drastische Strafen und persönliche Haftung
Die Bußgelder unter NIS2 haben es in sich. Für wesentliche Einrichtungen drohen Strafen von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen sind es immerhin noch bis zu 7 Millionen € oder 1,4 % des Umsatzes.
Diese Summen können gerade für mittelständische Unternehmen existenzbedrohend sein. Ein Unternehmen mit 100 Millionen € Jahresumsatz könnte im Extremfall 2 Millionen € Strafe zahlen müssen.
Besonders brisant: Die Geschäftsführung haftet persönlich. NIS2 nimmt die Unternehmensleitung direkt in die Verantwortung. Kommt es zu einem Sicherheitsvorfall, weil die vorgeschriebenen Maßnahmen nicht umgesetzt wurden, können Manager persönlich für entstandene Schäden haftbar gemacht werden. Das ist ein Paradigmenwechsel in der Cybersicherheit.
Das BSI kann bei Verstößen nicht nur Bußgelder verhängen, sondern auch Anordnungen zur Nachbesserung erlassen, Unternehmen öffentlich benennen oder im Extremfall sogar den Betrieb untersagen.
Was Unternehmen jetzt tun müssen
Betroffene Unternehmen sollten sofort handeln. Der erste Schritt ist die Klärung, ob das eigene Unternehmen überhaupt unter NIS2 fällt. Dafür hat das BSI einen Selbsttest veröffentlicht, der bei der Einordnung hilft.
Sobald klar ist, dass das Unternehmen betroffen ist, muss die Registrierung beim BSI erfolgen. Dafür bleiben nur noch wenige Monate Zeit. Die Registrierung erfolgt über ein Online-Portal des BSI.
Parallel dazu sollte eine Gap-Analyse durchgeführt werden: Welche der geforderten Maßnahmen sind bereits implementiert? Wo bestehen Lücken? Diese Bestandsaufnahme ist die Grundlage für den weiteren Aktionsplan.
Die Geschäftsführung muss eingebunden werden und sollte zeitnah an einer entsprechenden Cybersecurity-Schulung teilnehmen. Viele Berufsverbände und spezialisierte Dienstleister bieten inzwischen NIS2-Schulungen an.
Ein Incident Response Plan muss erstellt oder überarbeitet werden. Dieser Plan legt fest, wer im Fall eines Cyberangriffs was zu tun hat, wie die Meldung an das BSI erfolgt und wie die Kommunikation intern und extern abläuft.
Die Überprüfung der Lieferkette sollte nicht unterschätzt werden. Welche Dienstleister haben Zugriff auf kritische Systeme? Erfüllen sie selbst angemessene Sicherheitsstandards? Hier sind oft Vertragsanpassungen und neue Vereinbarungen nötig.
Viele Unternehmen ziehen externe Berater hinzu, weil das interne Know-how fehlt. Das BSI bietet zwar Unterstützung an, kann aber nicht jeden Einzelfall individuell betreuen.
Was bedeutet NIS2 für Privatanwender?
Auf den ersten Blick scheint NIS2 nur Unternehmen zu betreffen. Doch die Auswirkungen spürst auch du als Privatperson. Wenn Unternehmen, bei denen du Kunde bist, ihre IT-Sicherheit verbessern müssen, profitierst du davon direkt.
Deine persönlichen Daten bei Banken, Versicherungen, Online-Shops oder Gesundheitsdienstleistern werden besser geschützt. Die strengeren Meldepflichten bedeuten auch, dass du im Fall eines Datenlecks schneller informiert wirst.
Allerdings können die Compliance-Kosten auch an dich weitergegeben werden. Unternehmen investieren Millionen in die Umsetzung von NIS2, und diese Kosten fließen teilweise in die Produktpreise ein.
Du kannst auch selbst etwas tun: Achte darauf, mit welchen Unternehmen du Geschäfte machst. Frag im Zweifelsfall nach, wie sie deine Daten schützen. NIS2-konforme Unternehmen werden das als Qualitätsmerkmal nutzen.
Mein Fazit
Die NIS2-Richtlinie markiert einen Wendepunkt in der europäischen Cybersicherheit. Dass Deutschland so spät dran ist, hilft niemandem. Unternehmen haben jetzt wenig Zeit zur Vorbereitung, und der Druck ist enorm.
Die persönliche Haftung der Geschäftsführung wird das Thema Cybersicherheit endlich auf Vorstandsebene verankern. Jahrelang wurde IT-Sicherheit als rein technisches Thema betrachtet. Damit ist jetzt Schluss.
Für viele mittelständische Unternehmen wird die Umsetzung eine Herausforderung. Fehlende Fachkräfte, knappe Budgets und komplexe Anforderungen machen es nicht einfach. Aber es führt kein Weg daran vorbei.
Die gute Nachricht: Wer seine Hausaufgaben macht, ist nicht nur compliant, sondern auch besser geschützt. In einer Zeit, in der Cyberangriffe täglich zunehmen, ist das ein echter Wettbewerbsvorteil.
Quellen:
BSI-Bericht Lage der IT-Sicherheit in Deutschland 2024: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/Archiv-Lageberichte/2024/lagebericht_2024_node.html
Germany NIS-2 Implementation Act Strengthens Cybersecurity: https://cyble.com/blog/nis-2-implementation-act-germany/
NIS2 Implementation in Germany: https://www.openkritis.de/eu/eu-nis-2-germany.html
A new era in IT security: a comparison of NIS2 and DORA: https://paytechlaw.com/en/comparison-of-nis2-and-dora/
Cybersecurity 2024 – Verschärfte EU-Regeln nehmen die Wirtschaft in die Pflicht: https://navax-software.com/financebusiness-blog-article/cybersecurity-2024-dora-nis2
