Rund 40.000 Unternehmen in Deutschland werden von der NIS2-Richtlinie erfasst — Schätzungen des BSI zufolge sind es möglicherweise noch deutlich mehr. Die meisten davon wissen es noch nicht. Und viele, die es wissen, handeln nicht. Dieser Artikel erklärt, was NIS2 für deutsche Unternehmen bedeutet, wer persönlich haftet und was Sie jetzt konkret tun sollten.

Deutsche Wirtschaft — Compliance und Regulierung
Der deutsche Mittelstand steht vor einer der größten regulatorischen Veränderungen der letzten Jahre. Foto: Unsplash

Was ist NIS2 — und warum ist es relevanter als die erste NIS-Richtlinie?

Die Network and Information Security Directive 2 (NIS2) ist eine EU-Richtlinie, die im Januar 2023 in Kraft getreten ist und von den Mitgliedstaaten bis Oktober 2024 in nationales Recht umgesetzt werden musste. Deutschland hat die Umsetzung durch das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) vollzogen, das 2025/2026 schrittweise in Kraft tritt.

Im Vergleich zur ersten NIS-Richtlinie (2016) ist NIS2 deutlich umfangreicher:

  • Der Anwendungsbereich wurde massiv erweitert — von wenigen hundert auf schätzungsweise 40.000+ Unternehmen in Deutschland
  • Neue Sektoren wurden einbezogen: Lebensmittel, Abfallwirtschaft, öffentliche Verwaltung, Post, digitale Infrastruktur
  • Die persönliche Haftung der Geschäftsleitung wurde explizit verankert
  • Bußgelder wurden deutlich erhöht: bis zu €10 Millionen oder 2% des weltweiten Jahresumsatzes
  • Meldepflichten wurden verschärft: Erstmeldung innerhalb von 24 Stunden, Vollmeldung nach 72 Stunden
Wichtig: NIS2 ist keine freiwillige Zertifizierung wie ISO 27001. Es ist verpflichtendes Recht mit direkter Durchsetzungsmacht durch das BSI und die zuständigen Landebehörden.

Wer ist betroffen? Die Einstufungskriterien im Detail

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Einordnung hängt von Branche, Unternehmensgröße und gesellschaftlicher Bedeutung ab.

Kategorie Kriterien Maximales Bußgeld
Wesentliche Einrichtung Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur — ab 250 MA oder €50M Umsatz €10 Mio. oder 2% Umsatz
Wichtige Einrichtung Post, Abfall, Chemie, Lebensmittel, Maschinenbau, digitale Dienste — ab 50 MA oder €10M Umsatz €7 Mio. oder 1,4% Umsatz

Entscheidend: Auch wenn Ihr Unternehmen die Schwellenwerte knapp unterschreitet, kann es trotzdem als kritisch für die Lieferkette einer wesentlichen Einrichtung eingestuft werden — und damit indirekt zur Compliance verpflichtet sein.

Mittelstand Deutschland — Betroffene Unternehmen
Der deutsche Mittelstand ist das Rückgrat der europäischen Wirtschaft — und das Hauptziel von NIS2. Foto: Unsplash

Die konkreten Pflichten: Was NIS2 von Unternehmen verlangt

NIS2 Art. 21 definiert einen Katalog von Maßnahmen, die betroffene Unternehmen umsetzen müssen. Diese sind keine Empfehlungen — sie sind gesetzliche Mindestanforderungen:

Risikomanagement-Prozess

Schriftliche Risikoanalyse und -bewertung für IT-Systeme, Prozesse und Drittanbieter. Nicht einmalig — sondern als kontinuierlicher Prozess.

Incident-Response-Plan

Dokumentiertes Verfahren zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen — inklusive der 24h/72h-Meldekette.

Business Continuity Management

Backup-Pläne, Notfallwiederherstellung und ein Business Continuity Plan (BCP), der beschreibt, wie das Unternehmen nach einem Angriff weiterarbeitet.

Lieferkettensicherheit

Bewertung der Sicherheitsmaßnahmen aller IT-Dienstleister und Cloud-Anbieter. Vertragliche Sicherheitsanforderungen für kritische Drittanbieter.

Mitarbeiterschulung

Dokumentierte, regelmäßige Schulungen zu Cybersicherheitsrisiken — Teilnehmerlisten und Schulungsinhalte müssen nachweisbar sein.

Management-Verantwortung (NIS2 Art. 20)

Die Geschäftsleitung muss Cybersicherheitsmaßnahmen formell billigen und aktiv überwachen. Diese Verantwortung ist nicht delegierbar.

Bußgelder und Sanktionen: Was wirklich droht

Die Bußgeldrahmen unter NIS2 sind erheblich — aber das eigentliche Risiko liegt oft woanders:

€10 Mio.
Maximales Bußgeld für wesentliche Einrichtungen
2%
Alternativ: 2% des weltweiten Jahresumsatzes
24h
Frist für Erstmeldung an BSI nach Vorfall

Wichtig: Bußgelder sind nicht das größte Risiko. Schwerwiegender sind oft:

  • Persönliche Haftung der Geschäftsführung — auch ohne persönliches Verschulden, wenn Aufsichtspflichten verletzt wurden
  • Betriebsunterbrechungen — ein Ransomware-Angriff ohne Incident-Response-Plan kann tagelange oder wochenlange Ausfälle bedeuten
  • Reputationsschäden — öffentliche Bekanntmachung von Bußgeldbescheiden durch das BSI
  • Zivilrechtliche Folgeansprüche — Kunden und Partner können Schäden durch mangelnde Sicherheitsmaßnahmen geltend machen
Hinweis zur Meldepflicht: Das Versäumen der 24-Stunden-Erstmeldung ist ein eigenständiger Bußgeldtatbestand — unabhängig davon, wie schwerwiegend der eigentliche Vorfall war. Meldeprozesse müssen vor dem Vorfall definiert und bekannt sein.

Persönliche GF-Haftung: Das unterschätzte Risiko

NIS2 Art. 20 enthält eine in der deutschen Unternehmenslandschaft bis dahin ungewöhnliche Regelung: Die Leitungsorgane — also Geschäftsführer und Vorstände — sind persönlich verantwortlich für die Umsetzung und Überwachung von Cybersicherheitsmaßnahmen.

Das bedeutet konkret:

  • Geschäftsführer können persönlich für Verstöße haftbar gemacht werden, auch wenn sie die technischen Maßnahmen an IT-Mitarbeitende delegiert haben
  • Im Schadensfall müssen sie nachweisen, dass sie ihrer Aufsichtspflicht nachgekommen sind
  • „Ich wusste das nicht" schützt nicht — Unkenntnis ist keine Entschuldigung, wenn die Informationspflicht bestand
  • D&O-Versicherungen decken Schäden aus regulatorischen Verstößen häufig nicht ab
Geschäftsführer — Verantwortung und Haftung
NIS2 macht Cybersicherheit zur Chefsache — mit persönlichen Konsequenzen bei Verstößen. Foto: Unsplash

Zeitplan: Was in Deutschland wann gilt

Die deutsche Umsetzung erfolgt gestaffelt. Hier der aktuelle Stand:

JANUAR 2023
NIS2-Richtlinie tritt in der EU in Kraft

Umsetzungsfrist für Mitgliedstaaten: Oktober 2024

OKTOBER 2024
EU-Umsetzungsfrist abgelaufen

Deutschland hat die Umsetzung begonnen, das NIS2UmsuCG befindet sich im Gesetzgebungsverfahren.

2025–2026
Nationales Recht tritt in Kraft

Das NIS2UmsuCG wird stufenweise wirksam. Das BSI beginnt mit der Registrierung betroffener Unternehmen und der aktiven Durchsetzung.

AB 2026
Aktive Behördendurchsetzung erwartet

Prüfungen, Bußgelder und öffentliche Bekanntmachungen durch das BSI werden erwartet. Unternehmen ohne Vorbereitung sind dann voll exponiert.

Erste Schritte: Was Sie jetzt konkret tun sollten

Die gute Nachricht: Regulierer beurteilen Vorbereitung, nicht Perfektion. Unternehmen, die nachweislich an ihrer Compliance-Vorbereitung arbeiten, werden deutlich anders behandelt als solche, bei denen keine Bemühungen erkennbar sind.

Ein strukturierter Einstieg in drei Phasen:

01
Betroffenheit klären

Prüfen Sie, ob und in welcher Kategorie Ihr Unternehmen unter NIS2 fällt. Auch Lieferanten wesentlicher Einrichtungen können indirekt betroffen sein.

02
Gap-Analyse durchführen

Welche der NIS2 Art. 21 Anforderungen sind bereits erfüllt — und welche fehlen? Beginnen Sie mit den vier kritischsten: ISMS-Policy, Risikoregister, Incident-Response-Plan, Business Continuity Plan.

03
Dokumentation aufbauen

Im Prüfungsfall zählt nur, was dokumentiert ist. Maßnahmen müssen mit Datum, Verantwortlichem und Wirksamkeitsnachweis erfasst werden — nicht nur geplant.

Kostenloser Self-Check: Machen Sie in 3 Minuten den Neurobird NIS2/DORA Readiness Check — 15 Fragen, sofortiges Ergebnis, vollständig anonym.
→ Self-Check starten
Über Neurobird

Neurobird ist ein Compliance-Betriebssystem für NIS2 und DORA — speziell für KMU in Deutschland und der DACH-Region. Keine Berater, keine Folien. Revisionssichere Dokumentation, automatisierte Nachweise und Audit-Bereitschaft in einem System.

Beta-Zugang sichern →