Was ist NIS2? Definition, Pflichten und Haftung
Was ist NIS2? Die Richtlinie (EU) 2022/2555 zur Netz- und Informationssicherheit, kurz NIS2, ist ein EU-Rechtsakt, der den Cybersicherheitsrahmen für kritische Infrastrukturen und wichtige Dienste in der Europäischen Union erweitert. Sie verpflichtet betroffene Organisationen zu Risikomanagement, zu Meldepflichten bei Sicherheitsvorfällen und zur persönlichen Haftung der Geschäftsleitung.
Das Wichtigste in Kürze
- Umsetzung: In Deutschland gilt NIS2 über das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das die Pflichten im BSI-Gesetz (BSIG) verankert.
- Rechtslage: Die Vorgaben gelten in Deutschland seit Dezember 2025 unmittelbar. Eine Übergangsfrist gibt es nicht.
- Haftung: Die Geschäftsführung haftet persönlich bei grober Pflichtverletzung. Bußgelder erreichen bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Was NIS2 konkret bedeutet
NIS2 verschiebt das regulatorische Umfeld der IT-Sicherheit deutlich. Der bisherige Ansatz konzentrierte sich auf eine begrenzte Gruppe kritischer Infrastrukturen. NIS2 deckt dagegen einen breiten Kreis wesentlicher Wirtschaftssektoren ab. Die deutsche Umsetzung erfolgt über das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das die Pflichten direkt im BSI-Gesetz (BSIG) verankert.
Ein zentrales Merkmal ist das Fehlen einer Übergangsfrist. Die Vorgaben gelten in Deutschland seit Dezember 2025. Betroffene Einrichtungen sind ab diesem Zeitpunkt vollumfänglich verpflichtet, die Anforderungen umzusetzen. Einen Zeitraum, in dem die Einhaltung nur empfohlen wäre, gibt es nicht.
Die Pflichten stehen auf drei Säulen, definiert in Art. 21 NIS2 und § 30 BSIG. Erstens gilt eine Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Zweitens müssen erhebliche Sicherheitsvorfälle unverzüglich an das BSI gemeldet werden. Drittens sind Risikomanagement-Maßnahmen zu implementieren und zu dokumentieren. Dazu zählen die Behandlung von Sicherheitsrisiken, die Krisenbewältigung und die Lieferkettensicherheit.
Durchgesetzt werden die Vorgaben auch über finanzielle Sanktionen. Für als „besonders wichtig“ eingestufte Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Es gilt der höhere der beiden Beträge.
Wer betroffen ist
Der Kreis der betroffenen Organisationen wächst erheblich. Im vorherigen Regelwerk waren in Deutschland etwa 4.500 Einrichtungen erfasst. Unter NIS2 steigt diese Zahl auf rund 29.500. Grund ist die Aufteilung in zwei Kategorien: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Die Einstufung richtet sich nach Größe und strategischer Bedeutung der Organisation in ihrer Branche.
Beschäftigte ab Schwelle
Jahresumsatz ab Schwelle
regulierte Sektoren
Für mittlere Unternehmen, die bisher oft außerhalb des strengen Rahmens standen, bringt NIS2 neue Schwellenwerte. Ein Unternehmen fällt unter die Pflichten, wenn es mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von 10 Millionen Euro erzielt. Zusätzlich muss es in einem der 18 definierten Sektoren tätig sein, von Energie und Verkehr über Gesundheit und Wasser bis zu digitalen Infrastrukturen und öffentlicher Verwaltung.
Die Unterscheidung zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen entscheidet über das Maß der Aufsicht und die Höhe der Sanktionen. Besonders wichtige Einrichtungen unterliegen strengeren Anforderungen und höheren Bußgeldern. Aber auch „wichtige Einrichtungen“ sind vollumfänglich verpflichtet, die technischen und organisatorischen Maßnahmen nach Art. 21 NIS2 umzusetzen. Eine Befreiung von diesen Grundpflichten gibt es für keine der beiden Gruppen, solange die Größen- oder Umsatzschwellen erreicht werden.
Hinzu kommt eine verschärfte persönliche Verantwortung der Unternehmensführung. Nach § 38 BSIG müssen die geschäftsführenden Organe, also Geschäftsführer oder Vorstände, die Sicherheitsmaßnahmen billigen und ihre Umsetzung überwachen. Sie müssen zudem an Schulungen zur Cybersicherheit teilnehmen. Bei grober Pflichtverletzung haften die Führungskräfte persönlich. Damit rückt IT-Sicherheit von der Fachabteilung auf die Vorstandsebene und wird zum Governance-Thema.
Was Unternehmen jetzt prüfen müssen
Unternehmen sollten zuerst ihre eigene Lage analysieren und feststellen, ob sie unter die „wichtigen“ oder „besonders wichtigen“ Einrichtungen fallen. Der erste Schritt ist der Abgleich der eigenen Personalzahl und des Jahresumsatzes mit den Schwellenwerten von 50 Mitarbeitern beziehungsweise 10 Millionen Euro. Trifft das zu, folgt die Prüfung der Zugehörigkeit zu einem der 18 regulierten Sektoren.
Jetzt prüfen
- ✓Personalzahl und Jahresumsatz gegen die Schwellen (50 Beschäftigte, 10 Mio. Euro) prüfen
- ✓Zugehörigkeit zu einem der 18 regulierten Sektoren feststellen
- ✓Registrierung beim BSI durchführen
- ✓Sicherheitsprozesse gegen Artikel 21 NIS2 dokumentieren
- ✓Meldeverfahren für erhebliche Vorfälle definieren
Ist die Betroffenheit festgestellt, muss die Registrierung beim BSI erfolgen. Das BSI-Portal dafür ist seit Januar 2026 verfügbar. Eine frühe Anmeldung ist sinnvoll, da die Registrierung die Grundlage für die Kommunikation mit den zuständigen Behörden bildet. Parallel sind bestehende Sicherheitsprozesse gegen die Anforderungen aus Art. 21 NIS2 zu prüfen, einschließlich der Dokumentation aller Risikomanagement-Maßnahmen.
Ein weiterer Punkt ist das Meldeverfahren für Sicherheitsvorfälle. Unternehmen müssen sicherstellen, dass erhebliche Vorfälle erkannt, bewertet und zeitnah an das BSI gemeldet werden. Das erfordert klare interne Eskalationswege und eine definierte Schnittstelle zur Behörde. Schließlich sollte die Geschäftsleitung die Billigung und Überwachung der Maßnahmen formalisieren. Da persönliche Haftung droht, gehören Entscheidungen und Schulungsteilnahmen der Führungsebene sorgfältig dokumentiert.
Abgrenzung zu verwandten Begriffen
NIS2 wird oft mit dem Digital Operational Resilience Act (DORA) verwechselt. Die rechtliche Natur und der Anwendungsbereich beider Regelwerke unterscheiden sich jedoch klar. DORA ist eine Verordnung, NIS2 eine Richtlinie. Als Verordnung gilt DORA unmittelbar in allen Mitgliedstaaten ohne nationalen Umsetzungsvorbehalt, während NIS2 über nationale Gesetze wie das NIS2UmsuCG umgesetzt wird.
Der entscheidende Unterschied liegt im Sektor. DORA richtet sich ausschließlich an den Finanzsektor und regelt die operationale Resilienz von Banken, Versicherungen und anderen Finanzmarktteilnehmern. NIS2 deckt neben dem Finanzsektor auch Energie, Gesundheit, Verkehr, digitale Infrastruktur und weitere Bereiche ab.
Im Finanzsektor gilt das Prinzip der Spezialität. Da DORA die speziellere Rechtsvorschrift für den Finanzbereich ist, geht sie NIS2 vor. Finanzunternehmen erfüllen also primär die Anforderungen der DORA. Soweit DORA keine Regelung trifft, können weiterhin NIS2-Pflichten greifen. Für Unternehmen außerhalb des Finanzsektors bleibt NIS2 das primäre Instrument zur Sicherung der Netz- und Informationssicherheit.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Gibt es eine Übergangsfrist für die Umsetzung von NIS2?
Nein. Die Vorgaben gelten in Deutschland seit Dezember 2025 unmittelbar. Eine Übergangsfrist gibt es nicht, die Pflichten sind ab diesem Zeitpunkt verbindlich.
Wie hoch sind die maximalen Bußgelder für besonders wichtige Einrichtungen?
Bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Es gilt der höhere der beiden Beträge.
Wann startet die Registrierung beim BSI?
Das BSI-Portal für die Registrierung ist seit Januar 2026 verfügbar. Betroffene Einrichtungen müssen sich dort anmelden, sobald ihre Pflichten greifen.
Welche Unternehmensgröße macht ein Unternehmen NIS2-pflichtig?
Ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz, sofern das Unternehmen in einem der 18 regulierten Sektoren tätig ist. Für einzelne kritische Dienste können auch kleinere Einrichtungen erfasst sein.
Worin unterscheidet sich NIS2 von DORA?
DORA ist eine unmittelbar geltende Verordnung nur für den Finanzsektor, NIS2 eine Richtlinie für 18 Sektoren, die über nationales Recht umgesetzt wird. Im Finanzbereich geht DORA als speziellere Vorschrift vor.
Lesetipps der Redaktion
LesetippFünf Posten, die vor dem SIEM Budget brauchenLesetippWas die Geschäftsführung unter NIS2 dokumentieren mussLesetippDORA im Betrieb: Was die Aufsicht sehen will
Mehr aus dem MBF Media Netzwerk
cloudmagazinKRITIS in die Cloud: Was die Migration absichertMyBusinessFutureDie KI-Aufsicht in Deutschland hat jetzt eine AdresseDigital ChiefsDie KI schreibt den Code. Wer haftet dafür?





