NIS2Compass — NIS2-Compliance-Plattform
Use CasesPreise

Weiterführende Seiten

  • Blog
  • FAQ
  • Glossar
  • Use Cases
  • Branchen
  • Preisgestaltung

Offizielle Quellen

  • BSI – Bundesamt für Sicherheit in der Informationstechnik
  • NIS2-Richtlinie (EUR-Lex)
  • NIS2UmsuCG (Bundesgesetzblatt)
NIS2Compass — NIS2-Compliance-Plattform

Ihr Navigator durch die NIS2-Compliance

Rechtliches

  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen
  • Cookie-Richtlinie
  • Impressum

Ressourcen

  • Blog
  • Use Cases
  • Branchen
  • Preise
  • FAQ
  • Glossar

Kontakt

Kontakt

kontakt@nis2compass.de

NIS2Compass bietet Informationen und Orientierungshilfen zur NIS2-Compliance. Die Inhalte stellen keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar und ersetzen keine individuelle rechtliche oder fachliche Beratung.

© Copyright 2026 NIS2Compass. Alle Rechte vorbehalten.

Entwickelt in DeutschlandAllianz für Cyber-Sicherheit — Teilnehmer
Startseite/Blog/NIS2 einfach erklärt: Was IT-Leiter wissen müssen
Leitfaden

NIS2 einfach erklärt: Was IT-Leiter wissen müssen

Verfasst von NIS2Compass Team, NIS2-Compliance-Experte
Stand:25. Juni 20269 Min. Lesezeit
NIS2-Richtlinie verständlich aufbereitet: Vom Gesetzestext zum strukturierten Umsetzungsplan

NIS2 ohne Juristendeutsch: Was die Richtlinie bedeutet, wen sie betrifft, welche Pflichten gelten und wie IT-Leiter den Einstieg schaffen.

NIS2 ist die neue Cybersicherheits-Richtlinie der EU, die seit Dezember 2025 als deutsches Gesetz gilt. Rund 29.500 Unternehmen in Deutschland müssen verbindliche Sicherheitsmaßnahmen umsetzen, Vorfälle melden und sich beim BSI registrieren. Dieser Artikel erklärt alle Kernkonzepte ohne Fachjargon. Der NIS2Compass Vor-Check zeigt in unter 5 Minuten, ob Ihr Unternehmen betroffen ist.

Was ist NIS2 und warum gibt es das Gesetz?

NIS2 steht für die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie verpflichtet Unternehmen in kritischen Sektoren zu verbindlichen Cybersicherheitsmaßnahmen. In Deutschland gilt seit Dezember 2025 das NIS2UmsuCG als nationales Umsetzungsgesetz, das die EU-Vorgaben in deutsches Recht überführt.

Eine EU-Richtlinie gibt das Ziel vor, die konkrete Umsetzung regelt jedes EU-Mitgliedsland durch ein eigenes nationales Gesetz. Das unterscheidet die Richtlinie von einer EU-Verordnung, die direkt und einheitlich in allen Mitgliedsstaaten gilt. Für Deutschland bedeutet das: Maßgeblich ist das NIS2UmsuCG, nicht der EU-Originaltext.

Warum brauchte es NIS2?

Die erste NIS-Richtlinie aus dem Jahr 2016 hatte eine entscheidende Schwäche: Sie erfasste nur rund 4.500 Unternehmen in Deutschland. Angesichts wachsender Cyberbedrohungen war das zu wenig. Laut Bitkom entstand der deutschen Wirtschaft 2024 ein Schaden von 266,6 Milliarden EUR durch Cyberangriffe, Sabotage und Datendiebstahl.

NIS2 weitet den Anwendungsbereich erheblich aus: Statt 4.500 fallen jetzt rund 29.500 Unternehmen in Deutschland unter die Pflichten. Neu hinzugekommen sind Sektoren wie Abfallwirtschaft, Lebensmittelproduktion, Post- und Kurierdienste sowie Teile des verarbeitenden Gewerbes.

Das deutsche Umsetzungsgesetz, das NIS2UmsuCG, ist am 6. Dezember 2025 in Kraft getreten, ohne Übergangsfrist. Wer betroffen ist, muss die Anforderungen bereits erfüllen. Einen umfassenden Überblick bietet der Artikel NIS2 in Deutschland: Was müssen Unternehmen 2026 wissen?.

Wen betrifft NIS2 — und wen nicht?

NIS2 betrifft Unternehmen in 18 definierten Sektoren ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz. In Deutschland sind rund 29.500 Unternehmen betroffen, darunter erstmals auch Branchen wie Lebensmittelproduktion, Abfallwirtschaft und digitale Dienste.

Welche Sektoren fallen unter NIS2?

Das Gesetz unterscheidet zwei Gruppen. Die 11 wesentlichen Sektoren umfassen Bereiche mit besonders hoher gesellschaftlicher Bedeutung: Energie, Transport, Gesundheit, Trinkwasser und digitale Infrastruktur gehören dazu. Die 7 wichtigen Sektoren wurden neu aufgenommen: Lebensmittelproduktion, Abfallwirtschaft, Post- und Kurierdienste, Chemie und Forschung. Für IT-Leiter in produzierenden Unternehmen ist das oft eine Überraschung.

Gilt die Schwelle von 50 Mitarbeitern absolut?

Die Faustregel lautet: 50 oder mehr Mitarbeiter ODER mindestens 10 Mio. EUR Jahresumsatz reichen aus, um reguliert zu sein. Beide Kriterien werden alternativ, nicht kumulativ geprüft. Es gibt aber Ausnahmen nach unten: Alleinversorger in einer Region oder Betreiber kritischer DNS-Dienste können auch unterhalb dieser Schwelle reguliert sein.

Was ist der Unterschied zwischen BWE und WE?

Das NIS2UmsuCG kennt zwei Einrichtungsklassen. Besonders wichtige Einrichtungen (BWE) werden strenger beaufsichtigt: Das BSI kann hier anlasslos prüfen, und Bußgelder reichen bis zu 10 Mio. EUR. Wichtige Einrichtungen (WE) unterliegen einer reaktiven Aufsicht mit Bußgeldern bis zu 7 Mio. EUR.

Zum Vergleich: Unter dem alten KRITIS-Regime waren nur rund 4.500 Unternehmen reguliert. Heute sind es rund 550% mehr, weil NIS2 die Schwellen deutlich abgesenkt und neue Branchen einbezogen hat.

Ob Ihr Unternehmen betroffen ist, lässt sich systematisch prüfen. Der Artikel Bin ich von NIS2 betroffen? So prüfen Sie es führt Schritt für Schritt durch die Kriterien. Der NIS2Compass Vor-Check prüft Ihre Betroffenheit in unter 5 Minuten.

Welche Pflichten kommen auf betroffene Unternehmen zu?

Das NIS2UmsuCG verlangt zehn Kategorien von Risikomanagementmaßnahmen, eine dreistufige Meldepflicht bei Sicherheitsvorfällen und die Registrierung beim BSI. Die Geschäftsleitung haftet persönlich für die Umsetzung nach §38 BSIG (dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik).

Was fordert §30 BSIG konkret von Ihrem Unternehmen?

§30 BSIG legt zehn Maßnahmenkategorien fest, die betroffene Unternehmen umsetzen müssen:

  • Risikoanalyse: Bedrohungen für Ihre IT-Systeme systematisch erfassen und nach Wahrscheinlichkeit und Schadenspotenzial bewerten.
  • Vorfallbewältigung: Klare Prozesse für den Ernstfall festlegen, damit Ihr Team bei einem Angriff weiß, wer was wann tut.
  • Backup und Betriebskontinuität: Daten regelmäßig sichern und einen Notfallplan erstellen, der den Betrieb auch bei einem Ausfall aufrechthält.
  • Lieferkettensicherheit: Sicherheitsanforderungen an externe Dienstleister und Zulieferer stellen und deren Einhaltung prüfen.
  • Sicherheit bei Beschaffung und Entwicklung: IT-Systeme und Software nur mit definierten Sicherheitsanforderungen einkaufen und betreiben.
  • Wirksamkeitsprüfung: Umgesetzte Maßnahmen regelmäßig testen und bei Bedarf anpassen.
  • Cyberhygiene und Schulungen: Mitarbeiter für Cybergefahren sensibilisieren und die Geschäftsleitung aktiv in NIS2-Schulungen einbinden.
  • Kryptografie: Verschlüsselung dort einsetzen, wo sensible Daten übertragen oder gespeichert werden.
  • Personalsicherheit und Zugriffskontrolle: Klar regeln, wer auf welche Systeme und Daten zugreifen darf.
  • Multi-Faktor-Authentifizierung: Kritische Systeme durch einen zweiten Anmeldefaktor zusätzlich absichern.

Welche Fristen gelten für die Meldung von Sicherheitsvorfällen?

Tritt ein erheblicher Sicherheitsvorfall auf, greift eine dreistufige Meldepflicht gegenüber dem BSI. Innerhalb von 24 Stunden ist eine Frühwarnung abzugeben. Nach spätestens 72 Stunden folgt eine Erstmeldung mit ersten Erkenntnissen. Einen vollständigen Abschlussbericht müssen betroffene Unternehmen innerhalb von 30 Tagen einreichen.

Zusätzlich sind alle betroffenen Unternehmen verpflichtet, sich beim BSI zu registrieren. Die Registrierungsfrist ist am 6. März 2026 abgelaufen.

Wer trägt die persönliche Verantwortung für die Umsetzung?

§38 BSIG macht die Geschäftsleitung persönlich haftbar. Geschäftsführer und Vorstände können die Verantwortung nicht an die IT-Abteilung delegieren. Das Gesetz verpflichtet sie ausdrücklich, an NIS2-Schulungen teilzunehmen und die Umsetzung aktiv zu verantworten.

Der Umsetzungsstand in der Praxis ist ernüchternd: Laut einer Studie von G DATA haben nur 12,1% der betroffenen Unternehmen NIS2 vollständig umgesetzt. Für IT-Leiter, die noch am Anfang stehen, bietet der Artikel NIS2 umsetzen: Schritt für Schritt zur Compliance einen strukturierten Einstieg.

Welche Strafen drohen bei Verstößen?

Bei Verstößen gegen das NIS2UmsuCG drohen Bußgelder von bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes. Das BSI kann als Aufsichtsbehörde Prüfungen durchführen und Anweisungen erteilen. Auch die Geschäftsleitung haftet persönlich.

Das NIS2UmsuCG unterscheidet beim Bußgeldrahmen nach Einrichtungsklasse:

  • Besonders wichtige Einrichtungen (BWE): bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
  • Wichtige Einrichtungen (WE): bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes

Das BSI hat weitreichende Befugnisse. Es darf Prüfungen anordnen, Nachweise einfordern und verbindliche Anweisungen erteilen. Unternehmen müssen auf Anfrage belegen können, dass sie ihre Pflichten erfüllen.

Persönliche Haftung der Geschäftsleitung ist ein oft unterschätzter Punkt. §38 BSIG verpflichtet Geschäftsführer und Vorstandsmitglieder, Cybersicherheitsmaßnahmen aktiv zu überwachen und zu genehmigen. Wer diese Pflicht vernachlässigt, kann auch persönlich in die Haftung genommen werden.

Wichtig zu wissen: Es handelt sich nicht um ein Alles-oder-nichts-System. Nachweisbare Umsetzungsbemühungen und dokumentierte Fortschritte werden bei der Bewertung berücksichtigt. Zum Fristablauf am 06.03.2026 lag die Registrierungsquote beim BSI bei nur 38,5% der betroffenen Unternehmen.

„Unternehmen, die ihre Umsetzungsbemühungen systematisch dokumentieren, stehen bei einer BSI-Prüfung deutlich besser da als solche, die gar nicht angefangen haben," erklärt Dr. Markus Hartmann, Senior Compliance-Berater bei NIS2Compass.

Einen detaillierten Überblick über den gesamten Bußgeldrahmen bietet der Artikel NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?.

Wie unterscheidet sich NIS2 von ISO 27001 und BSI IT-Grundschutz?

ISO 27001 und BSI IT-Grundschutz sind freiwillige Rahmenwerke für Informationssicherheit. NIS2 ist ein verbindliches Gesetz mit Meldepflichten, Registrierungspflicht und Bußgeldern. Eine bestehende ISO-27001-Zertifizierung deckt etwa 70% der NIS2-Anforderungen ab, ersetzt die Compliance aber nicht.

Gesetz oder Rahmenwerk: Was ist der Unterschied?

ISO 27001 und BSI IT-Grundschutz sind freiwillige Standards. Kein Gesetz verpflichtet Unternehmen zur Zertifizierung, und es gibt keine Behörde, die Verstöße ahndet. Das NIS2UmsuCG ist dagegen geltendes deutsches Recht. Das BSI kann Bußgelder verhängen, Nachweise einfordern und Anweisungen erteilen.

Wer bereits nach ISO 27001 zertifiziert ist, hat einen guten Vorsprung. Das Rahmenwerk deckt viele NIS2-relevante Bereiche ab: Risikomanagement, Dokumentation, Zugriffskontrolle und die kontinuierliche Verbesserung der Sicherheitsmaßnahmen. Laut BSI-Webinar #nis2know (April 2026) reicht ISO 27001 allein dennoch nicht für vollständige NIS2-Compliance aus.

Was decken bestehende Zertifizierungen nicht ab?

Drei Pflichten aus dem NIS2UmsuCG lassen sich durch kein Rahmenwerk ersetzen:

  • BSI-Registrierung: Betroffene Einrichtungen müssen sich beim BSI registrieren. Das ist eine gesetzliche Meldepflicht, unabhängig von bestehenden Sicherheitsstandards.
  • Vorfallmeldepflicht: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet, innerhalb von 72 Stunden detailliert berichtet und nach 30 Tagen abgeschlossen werden.
  • Geschäftsführer-Schulungspflicht: §38 BSIG verpflichtet die Leitungsebene zur regelmäßigen Teilnahme an Schulungen zur Cybersicherheit. ISO 27001 kennt keine vergleichbare Anforderung.

Eine ISO-27001-Zertifizierung ist kein Freifahrtschein für NIS2. Sie ist ein wertvoller Ausgangspunkt, der den Aufwand erheblich reduziert. Doch die NIS2-spezifischen Pflichten müssen separat erfüllt werden. Einen ausführlichen Vergleich lesen Sie im Artikel NIS2 vs. ISO 27001: Was ist der Unterschied?.

Wie starten Sie als IT-Leiter mit der NIS2-Umsetzung?

Der Einstieg beginnt mit drei Schritten: Betroffenheit prüfen, Geschäftsleitung einbinden und eine erste Gap-Analyse durchführen. Der NIS2Compass-Guide führt in 8 Kapiteln und über 120 Schritten durch den gesamten Umsetzungsprozess.

Welche fünf Schritte sind am Anfang entscheidend?

Schritt 1: Betroffenheit klären. Prüfen Sie zunächst, ob Ihr Unternehmen unter NIS2 fällt. Maßgeblich sind Sektor, Mitarbeiterzahl und Jahresumsatz. Der NIS2Compass Vor-Check identifiziert Ihre individuellen Compliance-Lücken basierend auf ISO 27001 und BSI IT-Grundschutz.

Schritt 2: Geschäftsleitung einbinden. §38 BSIG verlangt die aktive Beteiligung der Unternehmensleitung, nicht nur deren Unterschrift. Bereiten Sie eine kompakte Briefing-Unterlage vor, die Pflichten und Konsequenzen klar benennt.

Schritt 3: Ist-Stand erfassen. Eine Gap-Analyse zeigt, welche der zehn Maßnahmenbereiche nach §30 BSIG bereits abgedeckt sind und wo konkrete Lücken bestehen. Ohne diesen Überblick arbeiten Sie ohne Richtung.

Schritt 4: Umsetzungsplan erstellen. Priorisieren Sie nach Risiko, nicht nach Aufwand. Kritische Lücken wie fehlende Incident-Response-Prozesse oder ungesicherte Zugriffskontrollen haben Vorrang vor administrativen Dokumentationspflichten.

Schritt 5: Dokumentation von Anfang an mitführen. Das BSI erwartet Nachweise, dass Maßnahmen umgesetzt wurden. Wer erst im Nachhinein dokumentiert, verliert wertvolle Zeit.

Brauchen Sie dafür externe Berater?

Nicht zwingend. Der NIS2Compass-Guide begleitet Sie in 8 Kapiteln durch alle Pflichten nach §30 BSIG, von der Risikoanalyse bis zur Lieferkettensicherheit. Die NIS2Compass Vorlagen-Bibliothek liefert fertige Dokumente für Richtlinien, Risikoanalysen und Meldeprozesse, die Sie direkt an Ihr Unternehmen anpassen können.

Wie ein strukturierter Einstieg konkret aussieht, beschreibt der Artikel NIS2-Einstieg: Wie starte ich schnell und richtig?.

Häufig gestellte Fragen zu NIS2

Gilt NIS2 auch für Unternehmen mit weniger als 50 Mitarbeitern?

In Ausnahmefällen ja. Unternehmen, die in ihrer Region als Alleinversorger agieren oder zur kritischen Infrastruktur zählen, können unabhängig von der Größe betroffen sein. Die Standardschwelle liegt bei 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz. Ob Ihr Unternehmen betroffen ist, zeigt der NIS2Compass Vor-Check.

Ist NIS2 schon in Kraft?

Ja. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfristen. Die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Unternehmen, die noch nicht registriert sind, sollten die Registrierung beim BSI-Portal umgehend nachholen.

Reicht eine ISO-27001-Zertifizierung für die NIS2-Compliance?

Nein, ISO 27001 allein genügt nicht. Die Norm deckt einen Großteil der technischen Anforderungen ab, aber NIS2-spezifische Pflichten fehlen: die BSI-Registrierung, die 24-Stunden-Erstmeldepflicht bei Sicherheitsvorfällen und die gesetzlich vorgeschriebene Schulungspflicht der Geschäftsleitung. Details im Artikel NIS2 vs. ISO 27001: Was ist der Unterschied?.

Wer haftet persönlich bei NIS2-Verstößen?

Die Geschäftsleitung haftet persönlich nach §38 BSIG. Sie muss Sicherheitsmaßnahmen aktiv überwachen und nachweislich an NIS2-Schulungen teilnehmen. Eine Delegation der Verantwortung an die IT-Abteilung schützt nicht vor persönlicher Haftung.

Was kostet die NIS2-Umsetzung typischerweise?

Das hängt stark von der Ausgangslage ab. Unternehmen mit bestehendem Informationssicherheits-Managementsystem (ISMS) haben deutlich weniger Aufwand. Der NIS2Compass-Guide ermöglicht eine strukturierte Eigenleistung für 29 EUR/Monat, verglichen mit externen Beratungshonoraren von 700 bis 1.200 EUR pro Tag.

NIS2 strukturiert umsetzen

NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.

Jetzt starten

Ähnliche Artikel

guide

KRITIS-Dachgesetz und NIS2: Was gilt für wen?

Seit Juli 2026 müssen sich rund 2.000 KRITIS-Betreiber zusätzlich zu NIS2 registrieren. Wer NIS2, das KRITIS-Dachgesetz oder beide Regelwerke erfüllen muss – Sektoren, Fristen und Bußgelder im Überblick.

7 Min. Lesezeit

guide

NIS2 ISO 27001 Mapping: Das Excel-Checklist zum Download

ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Das Mapping-Excel zeigt auf einen Blick, was bereits abgedeckt ist — und wo die regulatorische Lücke bleibt.

6 Min. Lesezeit

guide

NIS2 BSI-Registrierung: Frist verpasst — was jetzt?

Die gesetzliche NIS2-Registrierungsfrist ist abgelaufen, doch das BSI setzt eine Nachfrist bis 31. Juli 2026. So holen Sie die Registrierung im BSI-Portal Schritt für Schritt nach.

9 Min. Lesezeit

Zurück zum Blog