NIS2-Richtlinie: Was deutsche Unternehmen jetzt wissen müssen

1 Min. Lesezeit

Die NIS2-Richtlinie erweitert den Kreis der regulierten Unternehmen massiv: Statt bisher rund 4.000 sind künftig über 30.000 Organisationen in Deutschland betroffen. Wer jetzt nicht handelt, riskiert persönliche Haftung.

Das Wichtigste in Kürze

Die NIS2-Richtlinie erweitert den Kreis der regulierten Unternehmen in der EU massiv: Statt bisher rund 4.000 sind künftig über 30.000 Organisationen in Deutschland betroffen. Die nationale Umsetzung läuft. Wer jetzt nicht handelt, riskiert persönliche Haftung der Geschäftsführung.

Die Network and Information Security Directive 2 (NIS2) ist seit Januar 2023 auf EU-Ebene in Kraft. Die Mitgliedstaaten müssen die Richtlinie in nationales Recht umsetzen. In Deutschland geschieht dies durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das vom Bundesinnenministerium erarbeitet wird.

Wer ist betroffen?

NIS2 unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Die Kriterien:

Wesentliche Einrichtungen: Energie, Verkehr, Gesundheit, Trinkwasser, digitale Infrastruktur, Bankwesen, öffentliche Verwaltung
Wichtige Einrichtungen: Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung
Größenkriterium: Generell ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz

Die wichtigsten Pflichten

Risikomanagement: Unternehmen müssen technische und organisatorische Massnahmen implementieren, die dem Stand der Technik entsprechen. Dazu gehören Incident Response, Business Continuity, Supply-Chain-Security und Verschlüsselung.

Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Frühwarnung) bzw. 72 Stunden (vollständige Meldung) an die zuständige Behörde gemeldet werden.

Geschäftsführerhaftung: Die Leitungsebene muss Cybersecurity-Massnahmen genehmigen und deren Umsetzung überwachen. Bei Verstößen droht persönliche Haftung.

NIS2 vs. NIS1: Was ändert sich?

Deutlich mehr betroffene Sektoren und Unternehmen
Strengere Meldepflichten (24h statt „unverzüglich“)
Persönliche Haftung der Geschäftsführung
Harmonisierte Sanktionen: bis 10 Mio. EUR oder 2% des weltweiten Umsatzes
Verpflichtende Supply-Chain-Risikobewertung

Key Facts

Über 30.000 Unternehmen in Deutschland betroffen (vs. ca. 4.000 unter NIS1)

Meldepflicht: 24h Frühwarnung, 72h vollständige Meldung

Sanktionen: bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes

Persönliche Haftung der Geschäftsführung für Cybersecurity

Supply-Chain-Security wird zur Pflicht

Fakt: Laut Bitkom haben 2025 erst 14 Prozent der betroffenen Unternehmen die NIS2-Anforderungen vollständig umgesetzt.

Fakt: Nur 43 Prozent der deutschen KMUs haben laut Bitkom einen IT-Notfallplan.

Häufige Fragen

Gilt NIS2 auch für kleine Unternehmen?

Grundsätzlich erst ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz. Ausnahme: Anbieter von DNS-Diensten, TLD-Registries und bestimmte digitale Infrastrukturen sind unabhängig von der Größe betroffen.

Was passiert, wenn ich die Frist verpasse?

Die Aufsichtsbehörde kann Bussgelder verhängen und Auflagen erteilen. Für wesentliche Einrichtungen sind auch proaktive Audits vorgesehen. Die persönliche Haftung der Geschäftsführung gilt ab Inkrafttreten des Umsetzungsgesetzes.

Weiterführende Artikel

NIS2-Richtlinie: Was Unternehmen wissen müssen

Cyber-Versicherung 2026

Zero Trust: Die 7 häufigsten Fehler

Wie unterscheidet sich NIS2 von der DSGVO?

Die DSGVO schützt personenbezogene Daten, NIS2 sichert die Cybersecurity von Netzwerken und Informationssystemen. NIS2 verlangt technische und organisatorische Maßnahmen, Meldepflichten innerhalb von 24 Stunden und regelmäßige Risikobewertungen – mit deutlich kürzeren Fristen als die DSGVO.

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow

Auch verfügbar in

Français Español English

Lesen Sie weiter

Compliance

Cybersecurity

NIS2

Sicherheitsgesetz