NIS-2: Portal zur Registrierung ist online

Nach längerem Vorlauf wurde im Dezember 2025 das nationale Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet. Damit gelten jetzt für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. Schätzungsweise werden rund 30.000 Unternehmen betroffen sein. Zudem sind einige Unternehmen als Lieferanten möglicherweise indirekt betroffen.

Webinar: NIS-2 und KRITIS: Wer muss was in der Cybersicherheit tun? am 25. Februar 2026

Die Industrie- und Handelskammern in Südwestfalen laden in ihrer Webinar-Reihe „Guten Morgen Südwestfalen“ am 25. Februar 2026 von 10 Uhr bis 10:45 Uhr zu einer Online-Veranstaltung zum Thema „NIS-2 und KRITIS: Wer muss was in der Cybersicherheit tun?“ ein.

Hintergrund von NIS-2

NIS-2 (Network and Information Security Directive 2) ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab. Im Vergleich zur vorigen NIS Directive erweitert NIS-2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen drohen hohe Geldstrafen. In Deutschland regelt das BSI-Gesetz die nationale Umsetzung der europäischen NIS-2-Richtlinie. Es ist am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht worden und am 6. Dezember 2025 in Kraft getreten.

Betroffenheit

Ob ein Unternehmen betroffen ist, muss dieses eigenständig prüfen. Es wird hierzu nicht automatisch informiert. Betroffen ist ein Unternehmen dann, wenn es Schwellenwerte für die Anzahl der Mitarbeiter oder des Jahresumsatzes und der Jahresbilanzsumme überschreitet und in einem bestimmten Sektor tätig ist.
  • Von dem Gesetz werden zum einen „besonders wichtige Einrichtungen“ erfasst. Hierunter fallen neben den Betreibern kritischer Anlagen (sog. KRITIS-Unternehmen) auch Unternehmen mit mindestens 250 Mitarbeiter oder über 50 Millionen Euro Jahresumsatz und zudem einer Jahresbilanzsumme von über 43 Millionen Euro aus beispielsweise folgenden Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswirtschaft, Gesundheit, Wasser, Digitale Infrastruktur.
  • Zum anderen fallen auch „wichtige Einrichtungen“ in den Anwendungsbereich des Gesetzes. Hierzu zählen Unternehmen aus den o.g. Sektoren sowie beispielsweise Post- und Kurierdienste, Unternehmen aus Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe und Herstellung von Waren, die mindestens 50 Mitarbeiter beschäftigten oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mehr als 10 Millionen Euro aufweisen.
Zu beachten ist, dass man bei diesen Zahlen ggf. auch Partner-/Töchterunternehmen u.ä. berücksichtigen muss. Um konkret zu überprüfen, ob das eigene Unternehmen von NIS-2 betroffen ist, bietet das BSI einen Online-Check an: http://bsi.bund.de/dok/nis-2-betroffenheitspruefung Am Ende wird man insbesondere bei komplexen Situationen um das Hinzuziehen eines Anwaltes nicht herumkommen.

Maßnahmen

Das Gesetz listet eine Reihe von Maßnahmen auf, die die betroffenen Unternehmen erfüllen müssen. Die Anforderungen variieren allerdings danach, ob es sich um eine besonders wichtige Einrichtung, eine wichtige Einrichtung oder um einen Betreiber kritischer Anlagen handelt.
  • Registrierungspflicht bis zum 6. März 2026 für alle betroffenen Unternehmen beim BSI (Bundesamt für Sicherheit in der Informationstechnik): Login | BSI-Portal
  • Meldepflicht von Sicherheitsvorfällen innerhalb eines vorgegebenen Zeitraums beim BSI: Anleitung zur Meldung
  • bei erheblichen Sicherheitsvorfällen: unverzügliche Unterrichtung der Empfänger der Dienste über den Sicherheitsvorfall (kann Bundesamt anordnen)
  • Einrichtung eines Informationssicherheitsmanagementsystems (ISMS)
  • Durchführung von Risikoanalysen
  • Ergreifung von technischen und organisatorischen Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten
  • Ergreifung von Risikomanagementmaßnahmen (z. B. Konzepte für die Zugriffskontrollen, Einsatz von Kryptografie, Verschlüsselung oder Multi-Faktor-Authentifizierung).
All diese Maßnahmen sind vom Geschäftsführer umzusetzen und auch zu überwachen. Die Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Überwachung und Bewertung bzw. Erkennung von Risiken zu haben.
Für Betreiber kritischer Anlagen gelten zusätzlich spezifische Anforderungen.

Folgen

Im Falle der Nichteinhaltung der oben genannten Sorgfalts- und Meldepflichten drohen Bußgelder für alle genannten Einrichtungen. Das Gesetz sieht Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes des Unternehmens vor. Zudem haftet die Geschäftsführung.

Angebote des BSI zu NIS-2

Das BSI hat eine zentrale Rolle bei der Umsetzung von NIS-2 in Deutschland erhalten, z.B. als Registrierungs- und Meldestelle. Um Unternehmen zu informieren, hat das BSI Unterstützungsangebote veröffentlicht:
  • Eine Betroffenheitsprüfung enthält konkrete, an der NIS-2-Richtlinie orientierte Ja/Nein-Fragen, um Unternehmen in vier Kategorien einzuordnen: Betreiber Kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen.
  • Eine Anleitung rund um das Thema Registrierung und Verwaltung
  • Ein FAQ-Katalog umfasst Fragen und Antworten zu den wichtigsten Themen von NIS-2, etwa zur Betroffenheit, zu Ansprechstellen und gesetzlichen Pflichten.
  • Ein Maßnahmenkatalog NIS-2 - Was tun? informiert darüber, was unternommen werden kann, um gut vorbereitet zu sein.
  • Außerdem finden z.B. zum Thema "NIS-2 Kickoff" Webinare beim BSI statt: BSI - Veranstaltungen
  • Bei Rückfragen kann man sich auch direkt mit dem BSI in Verbindung setzen: service-center@bsi.bund.de