NIS2-Checkliste 2026: Was Unternehmen jetzt umsetzen müssen

1 Min. Lesezeit

Das NIS-2-Umsetzungsgesetz tritt 2025 in Kraft und betrifft in Deutschland geschätzt 30.000 Unternehmen. Viele wissen noch nicht, ob sie betroffen sind – und was konkret zu tun ist. Diese Checkliste fasst die wichtigsten Pflichten und Fristen zusammen.

Das Wichtigste in Kürze

• 30.000 Unternehmen betroffen: Deutlich mehr als unter der alten NIS-Richtlinie – auch viele Mittelständler.
• Geschäftsführer haften persönlich: Bußgelder bis 10 Mio. Euro oder 2% des Jahresumsatzes.
• 24-Stunden-Meldepflicht: Erhebliche Sicherheitsvorfälle müssen innerhalb eines Tages erstgemeldet werden.
• Lieferketten-Security wird Pflicht: Unternehmen müssen die Sicherheit ihrer Zulieferer bewerten.
• Jetzt starten: Die Umsetzung dauert 6-18 Monate – wer wartet, riskiert Verstöße ab Tag 1.

Wer ist betroffen?

NIS2 unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen in 18 Sektoren. Schwellenwerte: mindestens 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz. Einige Sektoren sind unabhängig von der Größe betroffen.

Wesentliche Einrichtungen: Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT Service Management, öffentliche Verwaltung, Weltraum.

Wichtige Einrichtungen: Post, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung.

Die NIS2-Checkliste: 10 Pflichten

1. Betroffenheit prüfen: Sektor, Größe und Umsatz gegen NIS2-Kriterien abgleichen. Im Zweifel Rechtsberatung hinzuziehen.

2. Risikomanagement: Systematisches Cybersecurity-Risikomanagement aufbauen, dokumentieren und regelmäßig aktualisieren.

3. Incident-Response: 24h Erstwarnung, 72h Detailbericht, 1 Monat Abschluss an das BSI. Prozess definieren und üben.

4. Geschäftsführung einbinden: Maßnahmen genehmigen, überwachen und an Schulungen teilnehmen. Persönliche Haftung.

5. Lieferketten-Security: Kritische Zulieferer identifizieren, Sicherheitsmaßnahmen prüfen, vertraglich absichern.

6. Business Continuity: Backup-Konzepte, Disaster Recovery und Krisenmanagement regelmäßig testen.

7. Verschlüsselung und Zugangskontrolle: Daten verschlüsseln, MFA für kritische Systeme, Least-Privilege-Prinzip.

8. Schwachstellenmanagement: Vulnerability Scans, Penetrationstests, Patch-Management mit definierten SLAs.

9. Schulungen: Alle Mitarbeitenden regelmäßig schulen, Geschäftsführung in spezifischen Cybersecurity-Trainings.

10. BSI-Registrierung: Beim BSI registrieren und Ansprechpartner für Cybersicherheit benennen.

Fristen und Bußgelder

Das NIS-2-Umsetzungsgesetz tritt voraussichtlich Mitte 2025 in Kraft. Bußgelder: bis 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes. Bei wesentlichen Einrichtungen gelten höhere Bußgeldrahmen und proaktive Aufsicht.

Key Facts auf einen Blick

Betroffene DE: ~30.000 Unternehmen (vorher ~4.500)

Sektoren: 18 (11 wesentliche, 7 wichtige)

Meldepflicht: 24h → 72h → 1 Monat

Bußgelder: Bis 10 Mio. € oder 2% Jahresumsatz

Umsetzungsdauer: 6-18 Monate je nach Ausgangslage

Fakt: Laut BSI-Lagebericht 2025 sind durch NIS2 rund 30.000 Unternehmen in Deutschland erstmals regulierungspflichtig – sechsmal mehr als unter der alten KRITIS-Verordnung.

Fakt: Die NIS2-Meldepflicht verlangt eine Erstmeldung innerhalb von 24 Stunden – laut ENISA schaffen das bisher weniger als 40 % der betroffenen Organisationen in Testszenarien.

Häufige Fragen

Gilt NIS2 für Unternehmen unter 50 Mitarbeitern?

Grundsätzlich nicht. Ausnahmen: digitale Infrastruktur, DNS-Dienste und qualifizierte Vertrauensdiensteanbieter sind unabhängig von der Größe betroffen.

Reicht ISO 27001 für NIS2?

ISO 27001 deckt vieles ab, aber nicht alles. Zusätzlich: spezifische Meldepflichten, Geschäftsführer-Schulung, Lieferketten-Bewertung und BSI-Registrierung.

Was passiert bei Verstößen?

Bußgelder bis 10 Mio. Euro, persönliche Geschäftsführer-Haftung. Bei wesentlichen Einrichtungen proaktive Aufsichtsprüfungen.

Wie starte ich die Umsetzung?

Betroffenheit prüfen, Gap-Analyse durchführen, Maßnahmenplan erstellen, Budget sichern, externe Beratung bei Bedarf. BSI-Orientierungshilfen und Bitkom-Leitfäden nutzen.

Was ist der Unterschied zu DORA?

DORA ist sektorspezifisch für die Finanzbranche und geht in vielen Bereichen über NIS2 hinaus. Für Finanzunternehmen hat DORA Vorrang.

Weitere Artikel zum Thema

→ DSGVO 2026: Was sich ändert und worauf Unternehmen achten müssen

→ AI Act 2026: Was der EU AI Act für die Cybersecurity bedeutet

→ OT-Security 2026: Warum die Industrie jetzt handeln muss

Weiterführende Lektüre im Netzwerk

NIS2 Hintergrund: NIS2: Jetzt handeln (Security Today)

DORA für den Finanzsektor: DORA im Finanzsektor (Security Today)

Cloud-Compliance: cloudmagazin.com

Cybersecurity für C-Level: digital-chiefs.de

Verwandte Artikel

• NIS2 und Geschäftsführerhaftung: Warum Cybersecurity jetzt Chefsache ist
• NIS2-Meldepflichten: 24 Stunden, die über alles entscheiden
• DSGVO 2026: Was sich ändert und worauf Unternehmen achten müssen

Mehr aus dem MBF Media Netzwerk

cloudmagazin | MyBusinessFuture | Digital Chiefs

Quelle Titelbild: Pexels / Markus Winkler

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik