NIS2-Einstieg: Wie starte ich schnell und richtig? | NIS2Compass
Leitfaden
NIS2-Einstieg: Wie starte ich schnell und richtig?
9 Min. LesezeitNIS2Compass Team
NIS2UmsuCG gilt seit Dezember 2025. So prüfen Sie Betroffenheit, Einrichtungsklasse und BSI-Registrierungspflicht — der praktische Einstieg für KMU.
Wer jetzt mit NIS2 beginnt, ist nicht zu spät — aber die ersten Schritte müssen stimmen. Rund 29.000 Unternehmen in Deutschland sind vom NIS2UmsuCG betroffen. Mit dem NIS2Compass Vor-Check sehen Sie in wenigen Minuten, wo Sie stehen und was als Nächstes zu tun ist.
NIS2 gilt nicht für alle Unternehmen. Die Pflicht entsteht aus zwei Faktoren: dem Sektor, in dem ein Unternehmen tätig ist, und seiner Größe. Das NIS2UmsuCG listet die betroffenen Branchen in Anlage I und II des BSIG.
Sektor prüfen: Anlage I BSIG umfasst 11 wesentliche Sektoren: Energie, Verkehr, Gesundheit, Trinkwasser, Bankwesen, Finanzmarktinfrastrukturen, digitale Infrastruktur, IKT-Dienstleister, Raumfahrt, öffentliche Verwaltung und Abwasser. Anlage II BSIG listet 7 wichtige Sektoren: Post- und Kurierdienste, Abfallentsorgung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, digitale Dienste und Forschung.
Größenschwellen beachten: Wichtige Einrichtungen fallen ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz unter das Gesetz. Wesentliche Einrichtungen erst ab 250 Mitarbeitern oder 50 Mio. EUR Jahresumsatz. Die 50-Mitarbeiter-Schwelle überrascht viele: Sie ist deutlich niedriger, als die meisten Unternehmen erwarten.
Ausnahmen: KRITIS-Betreiber und qualifizierte Vertrauensdienstleister fallen unabhängig von ihrer Größe unter NIS2. Für sie gelten die Schwellenwerte nicht.
Laut Schätzungen von BSI und Bundesregierung sind rund 29.000 Unternehmen in Deutschland betroffen. Das BSI-Betroffenheitstool hilft bei der ersten Einschätzung. Eine ausführlichere Erklärung der Kriterien bietet der Artikel .
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
Wer die Betroffenheit bestätigt hat, sollte den nächsten Schritt nicht aufschieben: Der NIS2Compass Vor-Check zeigt, welche Anforderungen bereits erfüllt sind und wo konkrete Lücken bestehen.
Das NIS2UmsuCG unterscheidet drei Einrichtungsklassen: wesentliche Einrichtungen (WE), besonders wichtige Einrichtungen (BWE) und KRITIS-Betreiber. Die Klasse bestimmt, welche Pflichten gelten und wie intensiv die BSI-Aufsicht ist. §28 BSIG schreibt vor, dass die Einstufung dokumentiert werden muss.
Besonders wichtige Einrichtungen (BWE) sind Organisationen aus Anlage I des BSIG ab 250 Mitarbeitern oder 50 Millionen Euro Jahresumsatz, anerkannte KRITIS-Betreiber sowie qualifizierte Vertrauensdienstleister. Für sie gelten die schärfsten Anforderungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (§65 BSIG).
Wesentliche Einrichtungen (WE) umfassen zwei Gruppen: Einrichtungen aus Anlage I des BSIG ab 50 Mitarbeitern oder 10 Millionen Euro, die nicht als BWE eingestuft sind, sowie Einrichtungen aus Anlage II des BSIG ab denselben Schwellenwerten. Hier liegt die Bußgeldobergrenze bei 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (§66 BSIG). Die genaue Bußgeldstruktur und welche Verstöße konkret sanktioniert werden ist ein eigenes Thema.
Die Einstufung klingt bürokratisch, hat aber direkte operative Konsequenzen: Wer sich als WE einstuft, obwohl BWE-Kriterien zutreffen, hat möglicherweise zu niedrige Meldepflichten angenommen und zu wenig dokumentiert — ein typischer Ansatzpunkt für BSI-Prüfungen.
"Die Einstufungsdokumentation ist häufig der erste Schritt, der fehlt", erklärt Dr. Markus Hartmann, Senior Compliance-Berater. "Unternehmen unterschätzen, dass §28 BSIG dies explizit verlangt — unabhängig vom weiteren Umsetzungsstand."
Die Einstufung ist keine Selbstauskunft, die das BSI passiv entgegennimmt. Sie muss aktiv schriftlich dokumentiert werden, inklusive der Begründung, warum welche Schwellenwerte zutreffen oder nicht. Wer diese Dokumentation nicht vorbereitet hat, sollte das nachholen — bevor das BSI nachfragt.
Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Wer sich noch nicht registriert hat, sollte das unverzüglich nachholen: Die Registrierungspflicht besteht unverändert fort, und Verstöße können zu Bußgeldern führen. Das BSI-Meldeportal (MUK) ist seit dem 6. Januar 2026 freigeschaltet.
Die wichtigsten Daten im Überblick:
6. Dezember 2025: NIS2UmsuCG tritt in Kraft, alle Pflichten gelten ab diesem Tag
6. Januar 2026: BSI-Meldeportal (MUK) für Erstregistrierungen geöffnet
6. März 2026: Frist für die Erstregistrierung abgelaufen
Für die Registrierung über das BSI-Meldeportal sind drei Dinge erforderlich: ein ELSTER-Organisationszertifikat zur Authentifizierung, Angaben zu Unternehmen, Sektor und Einrichtungsklasse sowie die Kontaktdaten einer rund um die Uhr erreichbaren Sicherheitskontaktstelle.
Der häufigste Fehler in der Praxis: Unternehmen unterschätzen die Registrierung nicht, weil sie inhaltlich komplex ist, sondern wegen des ELSTER-Organisationszertifikats. Die Registrierung selbst dauert wenige Minuten. Das Zertifikat hingegen braucht je nach Finanzamt zwei bis sechs Wochen. Wer damit nicht sofort beginnt, blockiert den gesamten Prozess.
Der 6. März 2026 ist kein Stichtag, ab dem das BSI automatisch Bußgelder verhängt. Die Aufsicht läuft schrittweise an. Aber die Pflicht besteht, und Unternehmen, die sie dauerhaft ignorieren, gehen ein kalkulierbares Risiko ein. Bußgelder von bis zu 10 Millionen Euro sind im NIS2UmsuCG für wesentliche Einrichtungen vorgesehen.
Nach der Registrierung ändert sich der operative Alltag konkret: Betroffene Unternehmen empfangen BSI-Warnmeldungen und Lageberichte und unterliegen ab diesem Zeitpunkt der Meldepflicht bei erheblichen Sicherheitsvorfällen. Die Fristen: 24 Stunden für die Frühwarnung, 72 Stunden für die Erstmeldung, ein Monat für den Abschlussbericht.
Nach der BSI-Registrierung folgt die eigentliche Umsetzungsarbeit: Risikomanagement aufbauen, technische Maßnahmen definieren und einen Incident-Response-Prozess einrichten. Der NIS2 Guide von NIS2Compass strukturiert diesen Weg in 8 Kapitel mit rund 124 Schritten. Das gibt Orientierung, auch ohne externe Berater.
Die Registrierung ist der administrative Einstieg. Was danach kommt, ist technisch und organisatorisch anspruchsvoller. Fünf Aufgaben haben Priorität:
Asset-Inventar erstellen: Welche IT-Systeme, Anwendungen und Dienste unterstützen den regulierten Betrieb? Ohne vollständige Bestandsaufnahme lässt sich keine sinnvolle Risikoanalyse durchführen.
Zuständigkeit klären: Wer koordiniert intern die NIS2-Umsetzung? Das muss nicht zwingend ein dedizierter ISB sein, aber eine klare Verantwortung braucht es von Anfang an.
Risikomanagement-Prozess aufsetzen: Eine erste, vereinfachte Risikoanalyse ist besser als keine. Sie zeigt die kritischsten Schwachstellen und priorisiert die nächsten Maßnahmen. Perfektion ist hier kein sinnvolles Ziel für Phase 1.
Technische Quick Wins umsetzen: MFA für privilegierte Zugänge, strukturiertes Patch-Management und eine dokumentierte Backup-Strategie bieten das beste Aufwand-Nutzen-Verhältnis. Diese drei Bereiche decken gleichzeitig mehrere der 10 Pflichtkategorien nach §30 BSIG ab.
Incident-Response-Grundstruktur aufbauen: Wer meldet was, an wen, in welcher Frist? Die gesetzlichen BSI-Fristen (24h, 72h, 1 Monat) sind fix. Die interne Kommunikationskette muss vorher stehen, nicht erst im Ernstfall.
Für Risikoanalyse, IS-Richtlinie und Incident-Response-Plan stellt NIS2Compass fertige Vorlagen bereit: Template Library. Die rechtlichen Hintergründe zu einzelnen §30-Pflichtkategorien — Kryptographie, Netzwerksicherheit, Zugangskontrollen — vertiefen die Fachbeiträge im Knowledge Hub. Den vollständigen Umsetzungspfad Schritt für Schritt durcharbeiten: NIS2 Guide und Artikel NIS2 umsetzen: Schritt für Schritt zur Compliance.
Viele Unternehmen warten auf den "richtigen Moment": den perfekten Plan, das vollständige Budget, den idealen Berater. NIS2-Compliance ist aber kein einmaliges Projekt, sondern ein laufender Prozess. Wer heute mit Betroffenheitsprüfung und Registrierung beginnt, schafft die Basis, auf der alles weitere aufbaut.
Ein Lebensmittelunternehmen aus Süddeutschland, 80 Mitarbeiter, 12 Mio. EUR Umsatz — als wesentliche Einrichtung unter Anlage II BSIG eindeutig betroffen. Der IT-Leiter wusste das. Er wollte erst eine vollständige interne Aufgabenliste erstellen, bevor er mit der Umsetzung beginnt. Das Ergebnis war weniger vernünftig: Die BSI-Registrierungsfrist lief ab, weil das ELSTER-Organisationszertifikat nie beantragt worden war. Nicht aus Unwissen, sondern aus aufgeschobenen Entscheidungen.
Das Zertifikat selbst zu beantragen dauert Stunden. Aber die Bearbeitung durch das zuständige Finanzamt braucht Wochen. Wer mit dem Anfangen wartet, blockiert sich selbst durch Vorlaufzeiten, die sich nicht beschleunigen lassen.
Der häufigste Fehler ist nicht, zu wenig zu wissen. Es ist, auf den Moment zu warten, in dem man alles weiß. Den gibt es nicht.
Für die meisten KMU lohnt es sich, in Phase 1 drei Bereiche zu priorisieren: Incident-Response-Grundstruktur (wegen der gesetzlichen Meldefristen), Zugangskontrollen (MFA, Berechtigungskonzept) und Backup-Strategie. Das deckt die größten operativen Risiken ab. Der Rest folgt strukturiert danach.
Das NIS2UmsuCG schreibt in §30 ausdrücklich vor, dass Sicherheitsmaßnahmen "verhältnismäßig" zu gestalten sind — angemessen zu Größe, Ressourcen und dem tatsächlichen Risiko der Einrichtung. KMU müssen nicht alles auf dem Niveau eines Großkonzerns umsetzen. Aber sie müssen anfangen.
NIS2Compass bietet mit dem NIS2 Guide genau diese Priorisierung: Welche Kapitel zuerst, welche Schritte als Quick Wins — ohne dass Sie sich durch das vollständige Gesetz arbeiten müssen.
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Alle Cybersicherheitspflichten gelten ab diesem Datum. Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Betroffene Unternehmen, die noch nicht registriert sind, müssen dies unverzüglich nachholen.
Wie prüfe ich, ob mein Unternehmen von NIS2 betroffen ist?
Zwei Kriterien müssen erfüllt sein: Ihr Unternehmen ist in einem der 18 Sektoren aus Anlagen I oder II des BSIG tätig, und es beschäftigt mindestens 50 Mitarbeiter oder erzielt über 10 Millionen Euro Jahresumsatz. Das offizielle BSI-Betroffenheitstool unter betroffenheitspruefung.bsi.bund.de liefert eine erste Einschätzung. Der Vor-Check von NIS2Compass hilft Ihnen darüber hinaus, bestehende Lücken bei der Umsetzung zu identifizieren.
Was passiert, wenn die BSI-Registrierungsfrist verpasst wurde?
Die Registrierungspflicht besteht unverändert fort — sie erlischt nicht durch Fristablauf. Holen Sie die Registrierung über das MUK-Portal des BSI so schnell wie möglich nach. Eine sofortige Bußgeldverhängung ist nicht automatisch vorgesehen, aber das Bußgeldrisiko steigt mit der Dauer der Nichtregistrierung.
Welche Unterlagen brauche ich für die BSI-Registrierung?
Zwingend erforderlich ist ein ELSTER-Organisationszertifikat für die Authentifizierung im MUK-Portal (portal.bsi.bund.de) — die Beantragung dauert mehrere Wochen. Darüber hinaus benötigen Sie Angaben zu Unternehmen, Sektor und Einrichtungsklasse sowie eine rund um die Uhr erreichbare Sicherheitskontaktstelle.
Muss ich sofort einen Informationssicherheitsbeauftragten (ISB) benennen?
Das NIS2UmsuCG schreibt keine formale ISB-Pflicht vergleichbar dem Datenschutzbeauftragten nach DSGVO vor. §38 BSIG weist die Verantwortung für Cybersicherheitsmaßnahmen der Unternehmensleitung zu. Eine klar benannte interne Zuständigkeit ist dennoch sinnvoll — das gesetzlich vorgeschriebene Format bleibt jedoch offen.
Metadaten (für Publish-Script)
Title Tag: NIS2-Einstieg: Wie starte ich schnell und richtig?
Meta Description: NIS2UmsuCG gilt seit Dezember 2025. So prüfen Sie Betroffenheit, wählen die richtige Einrichtungsklasse und starten mit den ersten Schritten.
