Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Dieser Ratgeber erklärt aus IT-Perspektive, was betroffene Unternehmen konkret umsetzen müssen – pragmatisch und ohne Juristendeutsch.
NIS2 betrifft Unternehmen in 18 regulierten Sektoren ab bestimmten Schwellenwerten – aber auch deren Zulieferer.
Sektoren mit hoher Kritikalität (Energie, Transport, Gesundheit, digitale Infrastruktur u.a.) mit ≥250 Mitarbeitern oder ≥50 Mio. € Umsatz. Strengste Anforderungen, Bußgelder bis 10 Mio. €.
Alle 18 regulierten Sektoren mit ≥50 Mitarbeitern oder ≥10 Mio. € Umsatz. Dazu zählen Produktion, Chemie, Lebensmittel, Post, Abfall und digitale Dienste. Bußgelder bis 7 Mio. €.
Auch Unternehmen unterhalb der Schwellenwerte können betroffen sein: NIS2 verpflichtet betroffene Unternehmen, Cybersicherheit in der gesamten Lieferkette sicherzustellen. Wenn deine Kunden NIS2-pflichtig sind, werden sie Nachweise von dir verlangen.
Art. 21 NIS2UmsuCG definiert zehn Kategorien von Sicherheitsmaßnahmen. Hier sind die wichtigsten aus IT-Perspektive.
Kontinuierliche Überwachung aller Systeme auf Anomalien und Sicherheitsvorfälle — nicht nur zu Bürozeiten.
Dokumentierte Abläufe für Sicherheitsvorfälle: Erkennung, Eindämmung, Analyse, Wiederherstellung und Meldung an das BSI innerhalb von 24 Stunden.
Rollenbasierte Zugriffsrechte, Multi-Faktor-Authentifizierung und regelmäßige Überprüfung der Berechtigungen.
Regelmäßige, dokumentierte Updates aller Systeme. Kritische Sicherheitsupdates müssen zeitnah eingespielt werden.
Systematische Identifikation, Bewertung und Behandlung von IT-Risiken — regelmäßig aktualisiert und dokumentiert.
Regelmäßige Schulungen für alle Mitarbeiter zu Cybersicherheit, Phishing-Erkennung und sicherem Umgang mit IT.
Wenn du bereits mit einem professionellen IT-Dienstleister arbeitest, erfüllst du viele NIS2-Anforderungen möglicherweise schon. 24/7-Monitoring, Patch-Management, Backup-Prüfung und dokumentierte Prozesse gehören bei einem guten MSP zum Standardleistungsumfang.
Was häufig fehlt: Die Dokumentation und der Nachweis. NIS2 verlangt nicht nur, dass Maßnahmen umgesetzt werden – sondern dass sie nachweisbar und prüfbar sind.
24/7-Monitoring & Alerting
Automatisches Patch-Management
Verschlüsselte Backups mit regelmäßigen Tests
Firewall mit Intrusion Detection
Endpoint Security & Schwachstellenanalyse
Monatliches Security-Reporting
Dokumentierte Incident-Response-Prozesse
Multi-Faktor-Authentifizierung
NIS2 macht Cybersicherheit zur Chefsache. Geschäftsführer und Vorstände haften persönlich für die Umsetzung der Sicherheitsmaßnahmen. Das bedeutet: IT-Sicherheit ist keine Aufgabe, die an die IT-Abteilung delegiert werden kann – die Verantwortung liegt bei der Geschäftsführung.
Mehr zur GeschäftsführerhaftungVon der Betroffenheitsprüfung bis zum laufenden Nachweis – so gehst du systematisch vor.
Fällt dein Unternehmen unter NIS2? Welche Kategorie (besonders wichtig / wichtig / Lieferkette) trifft zu? Unser Betroffenheitscheck gibt eine erste Orientierung.
Wo stehst du heute? Ein BSI-konformes IT-Audit zeigt, welche Anforderungen bereits erfüllt sind und wo Handlungsbedarf besteht.
Lücken schließen: Monitoring aufbauen, Incident-Response dokumentieren, Zugriffsrechte bereinigen, Backups absichern.
NIS2 ist kein Projekt, sondern ein laufender Prozess. Monatliches Reporting, regelmäßige Audits und dokumentierte Prozesse sichern deine Compliance.
Ja. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist für betroffene Unternehmen lief am 6. März 2026 ab. Wer noch nicht gehandelt hat, sollte umgehend aktiv werden.
Möglicherweise ja – über die Lieferkette. Auch wenn dein Unternehmen die Schwellenwerte (50 Mitarbeiter / 10 Mio. € Umsatz) nicht erreicht, können NIS2-pflichtige Kunden Sicherheitsnachweise von dir als Zulieferer verlangen. Prüfe deine Situation mit unserem Betroffenheitscheck.
Es drohen Bußgelder von bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes. Dazu kommt die persönliche Haftung der Geschäftsführung. Mehr dazu auf unserer Seite zur Geschäftsführerhaftung.
Ein IT-Dienstleister kann die technischen Maßnahmen umsetzen und dokumentieren: Monitoring, Patch-Management, Backup, Incident-Response, Zugriffsschutz. Die organisatorische Verantwortung (Risikomanagement, Meldepflichten, Schulungsplanung) bleibt bei dir – aber wir unterstützen dich dabei. Erfahre mehr über unsere IT-Flatrate.
Vereinbare jetzt dein kostenloses Erstgespräch. Wir prüfen, wo du stehst und was du konkret tun musst.
