NIS2 einfach erklärt: Was IT-Leiter wissen müssen | NIS2Compass
Leitfaden
NIS2 einfach erklärt: Was IT-Leiter wissen müssen
9 Min. LesezeitNIS2Compass Team
NIS2 ohne Juristendeutsch: Was die Richtlinie bedeutet, wen sie betrifft, welche Pflichten gelten und wie IT-Leiter den Einstieg schaffen.
NIS2 ist die neue Cybersicherheits-Richtlinie der EU, die seit Dezember 2025 als deutsches Gesetz gilt. Rund 29.500 Unternehmen in Deutschland müssen verbindliche Sicherheitsmaßnahmen umsetzen, Vorfälle melden und sich beim BSI registrieren. Dieser Artikel erklärt alle Kernkonzepte ohne Fachjargon. Der zeigt in unter 5 Minuten, ob Ihr Unternehmen betroffen ist.
NIS2 steht für die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie verpflichtet Unternehmen in kritischen Sektoren zu verbindlichen Cybersicherheitsmaßnahmen. In Deutschland gilt seit Dezember 2025 das NIS2UmsuCG als nationales Umsetzungsgesetz, das die EU-Vorgaben in deutsches Recht überführt.
Eine EU-Richtlinie gibt das Ziel vor, die konkrete Umsetzung regelt jedes EU-Mitgliedsland durch ein eigenes nationales Gesetz. Das unterscheidet die Richtlinie von einer EU-Verordnung, die direkt und einheitlich in allen Mitgliedsstaaten gilt. Für Deutschland bedeutet das: Maßgeblich ist das NIS2UmsuCG, nicht der EU-Originaltext.
Die erste NIS-Richtlinie aus dem Jahr 2016 hatte eine entscheidende Schwäche: Sie erfasste nur rund 4.500 Unternehmen in Deutschland. Angesichts wachsender Cyberbedrohungen war das zu wenig. Laut Bitkom entstand der deutschen Wirtschaft 2024 ein Schaden von 266,6 Milliarden EUR durch Cyberangriffe, Sabotage und Datendiebstahl.
NIS2 weitet den Anwendungsbereich erheblich aus: Statt 4.500 fallen jetzt rund 29.500 Unternehmen in Deutschland unter die Pflichten. Neu hinzugekommen sind Sektoren wie Abfallwirtschaft, Lebensmittelproduktion, Post- und Kurierdienste sowie Teile des verarbeitenden Gewerbes.
Das deutsche Umsetzungsgesetz, das NIS2UmsuCG, ist am 6. Dezember 2025 in Kraft getreten, ohne Übergangsfrist. Wer betroffen ist, muss die Anforderungen bereits erfüllen. Einen umfassenden Überblick bietet der Artikel NIS2 in Deutschland: Was müssen Unternehmen 2026 wissen?.
NIS2 betrifft Unternehmen in 18 definierten Sektoren ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz. In Deutschland sind rund 29.500 Unternehmen betroffen, darunter erstmals auch Branchen wie Lebensmittelproduktion, Abfallwirtschaft und digitale Dienste.
Das Gesetz unterscheidet zwei Gruppen. Die 11 wesentlichen Sektoren umfassen Bereiche mit besonders hoher gesellschaftlicher Bedeutung: Energie, Transport, Gesundheit, Trinkwasser und digitale Infrastruktur gehören dazu. Die 7 wichtigen Sektoren wurden neu aufgenommen: Lebensmittelproduktion, Abfallwirtschaft, Post- und Kurierdienste, Chemie und Forschung. Für IT-Leiter in produzierenden Unternehmen ist das oft eine Überraschung.
Die Faustregel lautet: 50 oder mehr Mitarbeiter ODER mindestens 10 Mio. EUR Jahresumsatz reichen aus, um reguliert zu sein. Beide Kriterien werden alternativ, nicht kumulativ geprüft. Es gibt aber Ausnahmen nach unten: Alleinversorger in einer Region oder Betreiber kritischer DNS-Dienste können auch unterhalb dieser Schwelle reguliert sein.
Das NIS2UmsuCG kennt zwei Einrichtungsklassen. Besonders wichtige Einrichtungen (BWE) werden strenger beaufsichtigt: Das BSI kann hier anlasslos prüfen, und Bußgelder reichen bis zu 10 Mio. EUR. Wichtige Einrichtungen (WE) unterliegen einer reaktiven Aufsicht mit Bußgeldern bis zu 7 Mio. EUR.
Zum Vergleich: Unter dem alten KRITIS-Regime waren nur rund 4.500 Unternehmen reguliert. Heute sind es rund 550% mehr, weil NIS2 die Schwellen deutlich abgesenkt und neue Branchen einbezogen hat.
Das NIS2UmsuCG verlangt zehn Kategorien von Risikomanagementmaßnahmen, eine dreistufige Meldepflicht bei Sicherheitsvorfällen und die Registrierung beim BSI. Die Geschäftsleitung haftet persönlich für die Umsetzung nach §38 BSIG (dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik).
Tritt ein erheblicher Sicherheitsvorfall auf, greift eine dreistufige Meldepflicht gegenüber dem BSI. Innerhalb von 24 Stunden ist eine Frühwarnung abzugeben. Nach spätestens 72 Stunden folgt eine Erstmeldung mit ersten Erkenntnissen. Einen vollständigen Abschlussbericht müssen betroffene Unternehmen innerhalb von 30 Tagen einreichen.
Zusätzlich sind alle betroffenen Unternehmen verpflichtet, sich beim BSI zu registrieren. Die Registrierungsfrist ist am 6. März 2026 abgelaufen.
§38 BSIG macht die Geschäftsleitung persönlich haftbar. Geschäftsführer und Vorstände können die Verantwortung nicht an die IT-Abteilung delegieren. Das Gesetz verpflichtet sie ausdrücklich, an NIS2-Schulungen teilzunehmen und die Umsetzung aktiv zu verantworten.
Der Umsetzungsstand in der Praxis ist ernüchternd: Laut einer Studie von G DATA haben nur 12,1% der betroffenen Unternehmen NIS2 vollständig umgesetzt. Für IT-Leiter, die noch am Anfang stehen, bietet der Artikel NIS2 umsetzen: Schritt für Schritt zur Compliance einen strukturierten Einstieg.
Bei Verstößen gegen das NIS2UmsuCG drohen Bußgelder von bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes. Das BSI kann als Aufsichtsbehörde Prüfungen durchführen und Anweisungen erteilen. Auch die Geschäftsleitung haftet persönlich.
Das NIS2UmsuCG unterscheidet beim Bußgeldrahmen nach Einrichtungsklasse:
Besonders wichtige Einrichtungen (BWE): bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
Wichtige Einrichtungen (WE): bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes
Das BSI hat weitreichende Befugnisse. Es darf Prüfungen anordnen, Nachweise einfordern und verbindliche Anweisungen erteilen. Unternehmen müssen auf Anfrage belegen können, dass sie ihre Pflichten erfüllen.
Persönliche Haftung der Geschäftsleitung ist ein oft unterschätzter Punkt. §38 BSIG verpflichtet Geschäftsführer und Vorstandsmitglieder, Cybersicherheitsmaßnahmen aktiv zu überwachen und zu genehmigen. Wer diese Pflicht vernachlässigt, kann auch persönlich in die Haftung genommen werden.
Wichtig zu wissen: Es handelt sich nicht um ein Alles-oder-nichts-System. Nachweisbare Umsetzungsbemühungen und dokumentierte Fortschritte werden bei der Bewertung berücksichtigt. Zum Fristablauf am 06.03.2026 lag die Registrierungsquote beim BSI bei nur 38,5% der betroffenen Unternehmen.
„Unternehmen, die ihre Umsetzungsbemühungen systematisch dokumentieren, stehen bei einer BSI-Prüfung deutlich besser da als solche, die gar nicht angefangen haben," erklärt Dr. Markus Hartmann, Senior Compliance-Berater bei NIS2Compass.
ISO 27001 und BSI IT-Grundschutz sind freiwillige Rahmenwerke für Informationssicherheit. NIS2 ist ein verbindliches Gesetz mit Meldepflichten, Registrierungspflicht und Bußgeldern. Eine bestehende ISO-27001-Zertifizierung deckt etwa 70% der NIS2-Anforderungen ab, ersetzt die Compliance aber nicht.
ISO 27001 und BSI IT-Grundschutz sind freiwillige Standards. Kein Gesetz verpflichtet Unternehmen zur Zertifizierung, und es gibt keine Behörde, die Verstöße ahndet. Das NIS2UmsuCG ist dagegen geltendes deutsches Recht. Das BSI kann Bußgelder verhängen, Nachweise einfordern und Anweisungen erteilen.
Wer bereits nach ISO 27001 zertifiziert ist, hat einen guten Vorsprung. Das Rahmenwerk deckt viele NIS2-relevante Bereiche ab: Risikomanagement, Dokumentation, Zugriffskontrolle und die kontinuierliche Verbesserung der Sicherheitsmaßnahmen. Laut BSI-Webinar #nis2know (April 2026) reicht ISO 27001 allein dennoch nicht für vollständige NIS2-Compliance aus.
Drei Pflichten aus dem NIS2UmsuCG lassen sich durch kein Rahmenwerk ersetzen:
BSI-Registrierung: Betroffene Einrichtungen müssen sich beim BSI registrieren. Das ist eine gesetzliche Meldepflicht, unabhängig von bestehenden Sicherheitsstandards.
Vorfallmeldepflicht: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet, innerhalb von 72 Stunden detailliert berichtet und nach 30 Tagen abgeschlossen werden.
Geschäftsführer-Schulungspflicht: §38 BSIG verpflichtet die Leitungsebene zur regelmäßigen Teilnahme an Schulungen zur Cybersicherheit. ISO 27001 kennt keine vergleichbare Anforderung.
Eine ISO-27001-Zertifizierung ist kein Freifahrtschein für NIS2. Sie ist ein wertvoller Ausgangspunkt, der den Aufwand erheblich reduziert. Doch die NIS2-spezifischen Pflichten müssen separat erfüllt werden. Einen ausführlichen Vergleich lesen Sie im Artikel NIS2 vs. ISO 27001: Was ist der Unterschied?.
Der Einstieg beginnt mit drei Schritten: Betroffenheit prüfen, Geschäftsleitung einbinden und eine erste Gap-Analyse durchführen. Der NIS2Compass-Guide führt in 8 Kapiteln und über 120 Schritten durch den gesamten Umsetzungsprozess.
Schritt 1: Betroffenheit klären. Prüfen Sie zunächst, ob Ihr Unternehmen unter NIS2 fällt. Maßgeblich sind Sektor, Mitarbeiterzahl und Jahresumsatz. Der NIS2Compass Vor-Check identifiziert Ihre individuellen Compliance-Lücken basierend auf ISO 27001 und BSI IT-Grundschutz.
Schritt 2: Geschäftsleitung einbinden. §38 BSIG verlangt die aktive Beteiligung der Unternehmensleitung, nicht nur deren Unterschrift. Bereiten Sie eine kompakte Briefing-Unterlage vor, die Pflichten und Konsequenzen klar benennt.
Schritt 3: Ist-Stand erfassen. Eine Gap-Analyse zeigt, welche der zehn Maßnahmenbereiche nach §30 BSIG bereits abgedeckt sind und wo konkrete Lücken bestehen. Ohne diesen Überblick arbeiten Sie ohne Richtung.
Schritt 4: Umsetzungsplan erstellen. Priorisieren Sie nach Risiko, nicht nach Aufwand. Kritische Lücken wie fehlende Incident-Response-Prozesse oder ungesicherte Zugriffskontrollen haben Vorrang vor administrativen Dokumentationspflichten.
Schritt 5: Dokumentation von Anfang an mitführen. Das BSI erwartet Nachweise, dass Maßnahmen umgesetzt wurden. Wer erst im Nachhinein dokumentiert, verliert wertvolle Zeit.
Nicht zwingend. Der NIS2Compass-Guide begleitet Sie in 8 Kapiteln durch alle Pflichten nach §30 BSIG, von der Risikoanalyse bis zur Lieferkettensicherheit. Die NIS2Compass Vorlagen-Bibliothek liefert fertige Dokumente für Richtlinien, Risikoanalysen und Meldeprozesse, die Sie direkt an Ihr Unternehmen anpassen können.
Gilt NIS2 auch für Unternehmen mit weniger als 50 Mitarbeitern?
In Ausnahmefällen ja. Unternehmen, die in ihrer Region als Alleinversorger agieren oder zur kritischen Infrastruktur zählen, können unabhängig von der Größe betroffen sein. Die Standardschwelle liegt bei 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz. Ob Ihr Unternehmen betroffen ist, zeigt der NIS2Compass Vor-Check.
Ist NIS2 schon in Kraft?
Ja. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfristen. Die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Unternehmen, die noch nicht registriert sind, sollten die Registrierung beim BSI-Portal umgehend nachholen.
Reicht eine ISO-27001-Zertifizierung für die NIS2-Compliance?
Nein, ISO 27001 allein genügt nicht. Die Norm deckt einen Großteil der technischen Anforderungen ab, aber NIS2-spezifische Pflichten fehlen: die BSI-Registrierung, die 24-Stunden-Erstmeldepflicht bei Sicherheitsvorfällen und die gesetzlich vorgeschriebene Schulungspflicht der Geschäftsleitung. Details im Artikel NIS2 vs. ISO 27001: Was ist der Unterschied?.
Wer haftet persönlich bei NIS2-Verstößen?
Die Geschäftsleitung haftet persönlich nach §38 BSIG. Sie muss Sicherheitsmaßnahmen aktiv überwachen und nachweislich an NIS2-Schulungen teilnehmen. Eine Delegation der Verantwortung an die IT-Abteilung schützt nicht vor persönlicher Haftung.
Was kostet die NIS2-Umsetzung typischerweise?
Das hängt stark von der Ausgangslage ab. Unternehmen mit bestehendem Informationssicherheits-Managementsystem (ISMS) haben deutlich weniger Aufwand. Der NIS2Compass-Guide ermöglicht eine strukturierte Eigenleistung für 29 EUR/Monat, verglichen mit externen Beratungshonoraren von 700 bis 1.200 EUR pro Tag.
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
