NIS-2 ist da: Sind Sie betroffen?
Januar 2026
Seit dem 6. Dezember 2025 gilt in Deutschland das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das BSI-Gesetz (BSIG) grundlegend novelliert. Damit gelten für rund 30.000 Unternehmen erstmals erhebliche Cybersecurity-Pflichten, die weit über die bisherigen KRITIS-Anforderungen hinausgehen.
Für Geschäftsführer stellt sich jetzt die zentrale Frage: Ist mein Unternehmen betroffen – und was muss ich tun?
Welche Unternehmen fallen unter das NIS-2-Umsetzungsgesetz?
Die Betroffenheit hängt von Unternehmensgröße, Branche und – im Einzelfall – weiteren Faktoren ab. Wichtig: Die Größenkriterien gelten nicht in allen Fällen. Bestimmte Einrichtungen sind unabhängig von ihrer Größe erfasst.
Besonders wichtige Einrichtungen (§ 28 Abs. 1 BSIG)
Umfassen in der Regel Unternehmen ab 250 Mitarbeitern oder mit über 50 Mio. EUR Jahresumsatz und einer Bilanzsumme über 43 Mio. EUR in kritischen Sektoren wie Energie, Gesundheit, Transport, Finanzwesen oder digitale Infrastruktur.
Zusätzlich: Qualifizierte Vertrauensdienste, TLD-Registrierungsstellen, DNS-Diensteanbieter und Betreiber kritischer Anlagen sind grundsätzlich als besonders wichtige Einrichtungen erfasst – unabhängig von ihrer Größe.
Wichtige Einrichtungen (§ 28 Abs. 2 BSIG)
Umfassen mittlere Unternehmen ab 50 Mitarbeitern oder mit über 10 Mio. EUR Umsatz und Bilanzsumme über 10 Mio. EUR in Sektoren wie Lebensmittelproduktion, Chemie, Post, Abfallwirtschaft oder verarbeitendes Gewerbe.
Betroffenheit ist hochkomplex:
Die Prüfung der Betroffenheit im konkreten Einzelfall kann sich hochkomplex gestalten, insbesondere für Konzernunternehmen und Unternehmen mit gemischten Geschäftstätigkeiten.
Zum Beispiel: Bei der Berechnung der Mindestgrößen werden Konzern-/Beteiligungsstrukturen mitgerechnet. Das Gesetz kann also auch kleinere Einheiten erfassen. Es gibt aber wieder Sonderkonstellationen mit Ausnahmen.
Bei Unternehmen, deren hauptsächliche Geschäftstätigkeit nicht unter eine Einrichtungskategorie fällt, aber eine Nebentätigkeit davon erfasst sein könnte, bestehen besondere Herausforderungen.
Dokumentieren Sie Ihre Prüfung detailliert – die Feststellung der Betroffenheit liegt in der Eigenverantwortung des Unternehmens, eine automatische Benachrichtigung durch das BSI erfolgt nicht. Bei Unsicherheiten empfiehlt sich externe juristische Beratung.
Was bedeutet das NIS-2-Umsetzungsgesetz konkret?
Betroffene Unternehmen müssen ein strukturiertes Informationssicherheits-Managementsystem (ISMS) nach § 30 BSIG aufbauen. Das umfasst mindestens:
Systematische Risikoanalysen und Schutzmaßnahmen
Meldepflichten bei Sicherheitsvorfällen (Frühwarnung innerhalb von 24 Stunden!)
Business-Continuity-Pläne und Backup-Strategien
Lieferkettensicherheit – auch Ihre Dienstleister müssen Sicherheitsstandards erfüllen
Geschäftsleitungsverantwortung: Die Geschäftsführung muss Maßnahmen billigen, überwachen und regelmäßig an Schulungen teilnehmen
Die gute Nachricht: Viele Anforderungen decken sich mit bestehenden Zertifizierungen wie ISO 27001. Wer bereits ein ISMS betreibt, kann darauf aufbauen.
Sanktionen: Was droht bei Verstößen?
Das NIS-2-Umsetzungsgesetz ist keine Empfehlung. Bei Verstößen drohen für besonders wichtige Einrichtungen Bußgelder bis zu 10 Mio. EUR, für wichtige Einrichtungen bis zu 7 Mio. EUR. Bei hohen Jahresumsätzen über 500 Millionen Euro gehen die Bußen sogar bis 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen oder 1,4 % des weltweiten Umsatzes für wichtige Einrichtungen. Hinzu kommt die persönliche Haftung der Geschäftsleitung, die nicht delegierbar ist.
Registrierung: So gehen Sie vor
Betroffene Unternehmen müssen sich spätestens drei Monate nach erstmaliger Einstufung beim BSI registrieren. Der Prozess ist zweistufig:
Mein Unternehmenskonto (MUK) einrichten
BSI-Portal-Registrierung durchführen
NIS-2 als Wettbewerbsvorteil nutzen
Erfolgreiche Unternehmen begreifen das NIS-2-Umsetzungsgesetz nicht als Bürde, sondern als Chance: Wer seine Cybersecurity professionalisiert, minimiert Ausfallrisiken, schützt seine Reputation und positioniert sich als vertrauenswürdiger Partner in der Lieferkette. Gerade im Mittelstand wird strukturierte IT-Sicherheit zunehmend zum Differenzierungsmerkmal gegenüber Wettbewerbern.
