Alle 10 Pflichten aus dem NIS2UmsuCG auf einen Blick – mit konkreten Handlungsempfehlungen für KMU.
Stand: Februar 2026
Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) sind seit Dezember 2025 deutlich mehr Unternehmen in der Pflicht – auch solche, die bisher nicht unter die KRITIS-Regulierung fielen.
~29.500
betroffene Unternehmen
vorher ~1.800 unter KRITIS
Keine
Übergangsfrist
NIS2UmsuCG gilt seit 6.12.2025
Persönlich
Geschäftsführerhaftung
nicht delegierbar
Abgelaufen
BSI-Registrierungsfrist
unverzüglich nachholen
Unsicher, ob dein Unternehmen betroffen ist? Zum NIS2-Betroffenheitscheck
Deine Checkliste
Das NIS2UmsuCG definiert konkrete Anforderungen an die Cybersicherheit. Hier sind alle Pflichten, die du als betroffenes Unternehmen erfüllen musst.
Systematische Identifikation und Bewertung von IT-Risiken. Unternehmen müssen ein dokumentiertes Risikomanagementsystem etablieren, das technische und organisatorische Maßnahmen umfasst und regelmäßig aktualisiert wird.
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Erstmeldung und innerhalb von 72 Stunden als vollständiger Bericht an das BSI gemeldet werden. Innerhalb eines Monats folgt der Abschlussbericht.
Unternehmen benötigen dokumentierte Notfallpläne für den IT-Ausfall, regelmäßige Tests der Wiederherstellungsprozesse sowie ein funktionierendes Backup-Konzept mit definierten Wiederherstellungszeiten.
Sicherheitsanforderungen an Zulieferer und IT-Dienstleister müssen vertraglich festgelegt werden. Die gesamte Lieferkette muss auf Sicherheitsrisiken bewertet und überwacht werden.
Multi-Faktor-Authentifizierung für kritische Systeme, rollenbasierte Zugriffsrechte und ein zentrales Berechtigungsmanagement sind Pflicht. Zugriffsrechte müssen regelmäßig überprüft werden.
Datenverschlüsselung bei Übertragung (Transport Layer Security) und bei Speicherung (At-Rest-Encryption). Sichere Kommunikationskanäle für sensible Daten sind zwingend vorgeschrieben.
Regelmäßige Schwachstellenscans, zeitnahes Patching bekannter Sicherheitslücken und ein dokumentierter Prozess für den Umgang mit Schwachstellenmeldungen sind erforderlich.
Die Geschäftsführung muss persönlich an Cybersecurity-Schulungen teilnehmen. Diese Pflicht ist nicht delegierbar – die Geschäftsleitung trägt die Verantwortung und muss die Risiken kennen.
Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle für Sicherheitsvorfälle benennen.
Lückenlose Dokumentation aller Maßnahmen, Richtlinien, Vorfallmeldungen und Schulungen. Bei Prüfungen durch das BSI müssen alle Nachweise vorgelegt werden können.
Der Unterschied zwischen Risiko und Schutz ist dokumentierte Umsetzung.
Von der Pflicht zur Lösung
Jede NIS2-Anforderung lässt sich mit konkreten Maßnahmen umsetzen. Wir bringen die Technik, die Prozesse und die Dokumentation – du behältst den Überblick.
NIS2-Pflicht: Risikomanagement
Unsere BSI-konforme IT-Auditierung mit 124 Prüfpunkten und detaillierte Infrastrukturanalyse bilden die Grundlage für dein NIS2-Risikomanagement.
NIS2-Pflicht: Business Continuity
Automatisierte Backup-Lösungen für Server, Endgeräte und Cloud-Dienste mit regelmäßigen Wiederherstellungstests – damit dein Notfallplan nicht nur auf dem Papier steht.
NIS2-Pflicht: Zugangskontrolle
Multi-Faktor-Authentifizierung, Passwortmanagement und rollenbasierte Zugriffssteuerung – zentral verwaltet und dokumentiert.
NIS2-Pflicht: Schwachstellenmanagement
Automatisierte Schwachstellenanalyse, kontinuierliches Monitoring und zeitnahes Patching deiner gesamten IT-Infrastruktur.
NIS2-Pflicht: Monitoring & Incident Response
Proaktives 24/7-Monitoring, definierte Reaktionszeiten und ein eingespieltes Incident-Response-Team – für die geforderte Überwachung und schnelle Vorfallbehandlung.
NIS2-Pflicht: E-Mail-Sicherheit
Sichere E-Mail-Kommunikation mit Verschlüsselung, Spam- und Phishing-Schutz sowie revisionssichere Archivierung für die Nachweispflicht.
Die wichtigsten Fragen, die uns KMU-Geschäftsführer zur NIS2-Compliance stellen.
Das hängt vom aktuellen Stand deiner IT-Sicherheit ab. Ein realistischer Zeitrahmen für die vollständige Umsetzung liegt bei 3–6 Monaten. Wir starten mit einer IT-Auditierung, um den Ist-Zustand zu erfassen, und erstellen daraus einen priorisierten Maßnahmenplan. So weißt du genau, was wann umgesetzt werden muss.
Die Kosten variieren je nach Unternehmensgröße und bestehendem Sicherheitsniveau. Viele Maßnahmen lassen sich in bestehende IT-Budgets integrieren – besonders wenn du bereits eine IT-Flatrate nutzt. In einem kostenlosen Erstgespräch geben wir dir eine realistische Einschätzung.
Grundsätzlich gelten alle Pflichten seit dem 6. Dezember 2025. In der Praxis empfehlen wir jedoch eine risikobasierte Priorisierung: Zunächst die kritischsten Lücken schließen (Meldeprozesse, Zugangskontrolle, BSI-Registrierung), dann schrittweise die weiteren Anforderungen umsetzen. Entscheidend ist, dass du einen dokumentierten Umsetzungsplan vorweisen kannst.
Nach der Registrierung bist du verpflichtet, erhebliche Sicherheitsvorfälle an das BSI zu melden (24h-Erstmeldung, 72h-Vollbericht). Das BSI kann zudem Nachweise über deine Sicherheitsmaßnahmen anfordern und Vor-Ort-Prüfungen durchführen. Deshalb ist eine lückenlose Dokumentation von Anfang an essenziell.
Die Geschäftsführung haftet persönlich – und zwar mit ihrem Privatvermögen. Diese Haftung kann nicht auf den IT-Leiter oder einen externen Dienstleister übertragen werden. Auch die Schulungspflicht der Geschäftsleitung ist nicht delegierbar. Mehr dazu erfährst du auf unserer Seite zur NIS2-Geschäftsführerhaftung.
In vier Schritten von der Betroffenheitsprüfung zur nachweisbaren Compliance.
Wir prüfen, ob und in welchem Umfang dein Unternehmen unter NIS2 fällt. Anschließend analysieren wir den Ist-Zustand deiner IT-Sicherheit gegen alle 10 NIS2-Anforderungen.
Auf Basis der GAP-Analyse erstellen wir einen konkreten, priorisierten Umsetzungsplan mit klaren Verantwortlichkeiten, Zeitrahmen und Budgetübersicht.
Wir implementieren die technischen Lösungen (Backup, Monitoring, Zugriffsschutz, E-Mail-Sicherheit) und erarbeiten die organisatorischen Prozesse (Meldekette, Notfallplan, Dokumentation).
Wir unterstützen dich bei der BSI-Registrierung und stellen durch laufendes Monitoring, regelmäßige Audits und dokumentierte Maßnahmen sicher, dass du dauerhaft compliant bleibst.
Lass uns in einem kostenlosen Erstgespräch klären, wo dein Unternehmen steht und welche Maßnahmen Priorität haben.
