Die NIS2-Richtlinie ist seit Dezember 2025 in deutsches Recht umgesetzt. Finde heraus, ob dein Unternehmen zu den rund 29.500 betroffenen Einrichtungen in Deutschland gehört.
BSI-Registrierungsfrist abgelaufen — jetzt handeln
Die BSI-Registrierungsfrist ist abgelaufen. Betroffene Unternehmen müssen sich unverzüglich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Bei Verstößen drohen Bußgelder von bis zu 100.000 EUR.
Hintergrund
NIS2 ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit – die bislang umfassendste Cybersicherheits-Regulierung der Europäischen Union.
Die NIS2-Richtlinie (EU 2022/2555) ersetzt die ursprüngliche NIS-Richtlinie von 2016. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das seit dem 6. Dezember 2025 in Kraft ist.
Das Ziel: Ein einheitliches, hohes Cybersicherheitsniveau in der gesamten EU. Die bisherige KRITIS-Regulierung betraf in Deutschland nur rund 1.800 Unternehmen. Mit NIS2 steigt diese Zahl auf etwa 29.500 direkt betroffene Unternehmen – und viele weitere indirekt über die Lieferkette.
NIS2 fordert von betroffenen Unternehmen unter anderem: systematisches Risikomanagement, technische Schutzmaßnahmen, Incident-Response-Prozesse, Business-Continuity-Management, Lieferkettensicherheit und regelmäßige Schulungen. Meldepflichten bei Sicherheitsvorfällen werden verschärft – eine Erstmeldung an das BSI muss innerhalb von 24 Stunden erfolgen.
Betroffenheitsprüfung
Die Betroffenheit hängt von zwei Faktoren ab: der Branche deines Unternehmens und dessen Größe.
250+ Mitarbeiter oder
50 Mio. EUR+ Jahresumsatz und 43 Mio. EUR+ Jahresbilanzsumme
Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienste, Öffentliche Verwaltung, Weltraum
Bußgelder bei Verstößen: bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
50+ Mitarbeiter oder
10 Mio. EUR+ Jahresumsatz
Zusätzliche Sektoren: Post & Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
Bußgelder bei Verstößen: bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes
NIS2 unterscheidet zwischen Sektoren mit hoher Kritikalität (besonders wichtige Einrichtungen) und sonstigen kritischen Sektoren (wichtige Einrichtungen).
Energie
Verkehr
Bankwesen
Finanzmarktinfrastruktur
Gesundheit
Trinkwasser
Abwasser
Digitale Infrastruktur
IKT-Dienste
Öffentliche Verwaltung
Weltraum
Post & Kurier
Abfallwirtschaft
Chemie
Lebensmittel
Verarbeitendes Gewerbe
Digitale Dienste
Forschung
Finde in 4 Schritten heraus, ob dein Unternehmen unter NIS2 fällt.
Wähle den Sektor, der am besten zu deiner Branche passt.
NIS2 verpflichtet betroffene Unternehmen dazu, die Cybersicherheit in ihrer gesamten Lieferkette sicherzustellen (Art. 21 Abs. 2d NIS2UmsuCG). Das bedeutet konkret: Auch wenn dein Unternehmen die Schwellenwerte nicht erreicht, können deine Kunden als NIS2-pflichtige Unternehmen von dir angemessene Sicherheitsmaßnahmen verlangen.
In der Praxis werden betroffene Unternehmen ihre Zulieferer zunehmend nach IT-Sicherheitsnachweisen fragen – ähnlich wie es bei der DSGVO der Fall war. Wer keine angemessenen Maßnahmen vorweisen kann, riskiert den Verlust wichtiger Geschäftsbeziehungen.
Sicherheitsanforderungen an Zulieferer
NIS2-pflichtige Unternehmen müssen Mindestanforderungen an die IT-Sicherheit ihrer Lieferanten definieren und vertraglich festhalten.
Nachweispflichten
Zulieferer müssen die Einhaltung von Sicherheitsstandards nachweisen können – etwa durch Audits, Zertifizierungen oder dokumentierte Sicherheitskonzepte.
Risikobewertung der Lieferkette
Betroffene Unternehmen müssen regelmäßig die Cybersicherheitsrisiken in ihrer Lieferkette bewerten und dokumentieren.
Konsequenzen
NIS2 verschärft die Sanktionen erheblich. Die Bußgelder orientieren sich am DSGVO-Modell – und die persönliche Geschäftsführerhaftung ist neu.
100.000 EUR
Fehlende Kontaktstelle
Unternehmen müssen eine Kontaktstelle beim BSI registrieren. Wer diese Meldepflicht versäumt, riskiert eine Geldbuße von bis zu 100.000 EUR.
500.000 EUR
Fehlendes ISMS
NIS2 fordert ein systematisches Informationssicherheits-Managementsystem (ISMS). Fehlt dieses oder ist es mangelhaft, drohen Bußgelder von bis zu 500.000 EUR.
bis 10 Mio. EUR / 2 % Umsatz
Schwere Verstöße
Bei schwerwiegenden Verstößen gegen die NIS2-Anforderungen können Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist.
Persönliche Haftung
Geschäftsführerhaftung
Geschäftsführer haften persönlich für die Umsetzung der NIS2-Anforderungen. Bei Pflichtverletzung droht ein vorübergehendes Verbot der Leitungstätigkeit.
Prüfe selbst, ob dein Unternehmen von NIS2 betroffen ist – oder lass dich von uns beraten.
Ist dein Unternehmen in einem der 18 regulierten Sektoren tätig? Dazu gehören unter anderem Energie, Gesundheit, Verkehr, Lebensmittel, Chemie, verarbeitendes Gewerbe und digitale Dienste.
Hast du 50 oder mehr Mitarbeiter? Oder liegt dein Jahresumsatz bei 10 Mio. EUR oder mehr? Dann fällst du wahrscheinlich unter NIS2.
Auch ohne direkte Betroffenheit: Bist du Zulieferer für ein NIS2-pflichtiges Unternehmen? Dann können vertragliche Sicherheitsanforderungen auf dich zukommen.
Lass deine Betroffenheit von Experten prüfen. Wir analysieren deine Situation und erstellen dir einen konkreten Fahrplan für die NIS2-Compliance.
NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie, die einheitliche Mindeststandards für Cybersicherheit in der Europäischen Union festlegt. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt, das seit dem 6. Dezember 2025 in Kraft ist. Die Richtlinie erweitert den Kreis der betroffenen Unternehmen massiv – von rund 1.800 auf etwa 29.500 Unternehmen in Deutschland. Mehr über die konkreten Anforderungen erfährst du auf unserer Lösungen-Seite.
Das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ist seit dem 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist für betroffene Unternehmen ist am 6. März 2026 abgelaufen. Alle betroffenen Einrichtungen müssen sich unverzüglich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren — andernfalls drohen Bußgelder.
NIS2 betrifft grundsätzlich Unternehmen ab 50 Mitarbeitern oder ab 10 Mio. EUR Jahresumsatz, die in einem der 18 regulierten Sektoren tätig sind. Kleinere Unternehmen können jedoch über die Lieferketten-Anforderungen indirekt betroffen sein: Wenn du Zulieferer eines NIS2-pflichtigen Unternehmens bist, kann dieses von dir angemessene Sicherheitsmaßnahmen verlangen. Eine IT-Auditierung schafft Klarheit über deinen aktuellen Sicherheitsstatus.
Die Konsequenzen sind erheblich: Bußgelder reichen von 100.000 EUR für fehlende Registrierungen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei schweren Verstößen. Besonders brisant: Geschäftsführer haften persönlich für die Umsetzung der NIS2-Anforderungen. Bei Pflichtverletzung kann ihnen ein vorübergehendes Verbot der Leitungstätigkeit auferlegt werden.
Als Geschäftsführer bist du nach NIS2 persönlich verantwortlich für die IT-Sicherheit deines Unternehmens. Konkret musst du: (1) dein Unternehmen unverzüglich beim BSI registrieren (Frist bereits abgelaufen), (2) ein Risikomanagement und Sicherheitskonzept einführen, (3) Meldeprozesse für Sicherheitsvorfälle etablieren und (4) regelmäßige Schulungen für dich und deine Mitarbeiter sicherstellen. Du darfst diese Pflichten nicht vollständig delegieren – die persönliche Haftung bleibt bestehen.
Wir unterstützen dich bei der gesamten NIS2-Umsetzung: von der Betroffenheitsprüfung über die BSI-Registrierung bis hin zur technischen Umsetzung der geforderten Sicherheitsmaßnahmen. Unsere IT-Sicherheitslösungen decken die zentralen technischen Anforderungen ab – Firewall, Backup, E-Mail-Sicherheit, Endpoint Security, Zugriffsschutz und Mobile Sicherheit. Mit einer IT-Auditierung identifizieren wir die dringendsten Maßnahmen und erstellen dir einen konkreten Umsetzungsplan.
Das NIS2-Gesetz ist seit Dezember 2025 in Kraft, die BSI-Frist ist abgelaufen. Vereinbare jetzt deine kostenlose Erstberatung und erfahre, welche Schritte du sofort unternehmen musst.
