NIS 2 gilt in Deutschland – Was Unternehmer jetzt wissen müssen

Mit dem neuen NIS-2-Umsetzungsgesetz hat Deutschland die europäische NIS 2-Richtlinie vollständig in nationales Recht überführt. Das bedeutet für viele Unternehmen – auch solche, die bisher nicht als kritisch galten – deutlich strengere Anforderungen an ihre Cybersicherheit. Rund 30.000 Unternehmen aus 18 Sektoren sind direkt betroffen und müssen handeln.
Wer ist betroffen?
Die NIS-2-Regelungen gelten für Unternehmen aus insgesamt 18 Sektoren – von Energie, Gesundheit und Transport über Hersteller im Maschinenbau oder der Elektronik bis hin zu digitalen Plattformen, Forschungseinrichtungen und vielen IT-Dienstleistern.
Es gibt zwei Kategorien:
1. Besonders wichtige Einrichtungen – z. B.:
  • Betreiber kritischer Anlagen
  • große Telekommunikationsanbieter
  • Unternehmen ab 250 Mitarbeitern oder über 50 Mio. € Umsatz UND über 43 Mio. € Bilanzsumme
2. Wichtige Einrichtungen – z. B.:
  • kleinere Telekommunikationsanbieter
  • Unternehmen ab 50 Mitarbeitern oder über 10 Mio. € Umsatz
Wichtig:
Auch Unternehmen, die nicht direkt betroffen sind, können Anforderungen erfüllen müssen – insbesondere, wenn sie Zulieferer oder Dienstleister eines betroffenen Unternehmens sind. Denn NIS 2 schreibt eine sichere Lieferkette vor.
Wie finde ich heraus, ob mein Unternehmen betroffen ist?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet online eine Betroffenheitsprüfung an. Sie gibt eine gute Ersteinschätzung – ist aber nicht rechtlich bindend. Unternehmer sollten sie nutzen, um Klarheit zu gewinnen und frühzeitig Maßnahmen einzuplanen.
Die wichtigsten Pflichten für Unternehmen
Die NIS 2-Richtlinie und das nationale Umsetzungsgesetz bringen eine Reihe verbindlicher Anforderungen mit sich, die für Unternehmer zentral sind:
1. Risikomanagement und technische Sicherheitsmaßnahmen
Unternehmen müssen umfassende technische und organisatorische Maßnahmen einführen, darunter:
  • systematische Risikoanalyse
  • Schutzkonzepte und Sicherheitsrichtlinien
  • Notfall- und Wiederanlaufpläne
  • regelmäßige Überprüfungen und Tests
  • sichere Prozesse für Entwicklung, Einkauf und Wartung
  • Absicherung der Lieferkette
Diese Anforderungen gehen deutlich über bisherige Standards hinaus und betreffen das gesamte Unternehmen.
2. Strenge Meldepflichten bei Sicherheitsvorfällen
Bei erheblichen IT-Sicherheitsvorfällen gilt ein klares dreistufiges Verfahren:
  1. Erstmeldung innerhalb von 24 Stunden
  2. Update-Meldung innerhalb von 72 Stunden
  3. Abschlussmeldung innerhalb von 1 Monat
Gemeldet wird an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auch Vorfälle, die nur potenziell Auswirkungen haben könnten, sind meldepflichtig – eine deutliche Verschärfung gegenüber den bisherigen Regeln.
3. Registrierungs- und Nachweispflichten
Unternehmen müssen sich:
  • innerhalb von 3 Monaten bei den zuständigen Behörden registrieren,
  • auf Anforderung Nachweise über ihre Sicherheitsmaßnahmen vorlegen.
Die Registrierung erfolgt über „Mein Unternehmenskonto“ und ab 2026 über das neue BSI-Portal.
4. Klare Verantwortung der Unternehmensleitung
Für Geschäftsführer und Vorstände gilt:
  • sie müssen Cybersicherheitsmaßnahmen billigen, überwachen und aktiv begleiten,
  • sie müssen regelmäßig an Schulungen teilnehmen,
  • sie tragen eine persönliche Haftung, wenn Pflichten verletzt werden,
  • sie müssen eine angemessene Compliance-Struktur sicherstellen.
Damit rückt Cybersecurity stärker denn je in die Pflicht der obersten Führungsebene.
5. Schulungen und Sensibilisierung
Alle Mitarbeitenden – inklusive der Leitungsebene – müssen regelmäßig geschult werden. Ziel ist ein breites Sicherheitsbewusstsein im gesamten Unternehmen.
6. Branchenspezifische Zusatzanforderungen
Je nach Branche (z. B. Energie, Telekommunikation, KRITIS-Sektoren) können weitere spezifische Sicherheitsstandards gelten.
Bußgelder
Die Geldbußen sind hoch:
  • bis zu 10 Mio. €, oder
  • bis zu 2 % des weltweiten Jahresumsatzes bei großen Unternehmen.
Was Unternehmer jetzt tun sollten
  1. Betroffenheit klären (z. B. über die BSI-Betroffenheitsprüfung)
  2. Budget und Ressourcen einplanen
  3. Verantwortlichkeiten festlegen – Geschäftsführung und operative Leitungsfunktion
  4. Risikomanagement überprüfen und Lücken identifizieren
  5. Maßnahmen priorisieren und umsetzen
  6. Notfall- und Wiederanlaufkonzepte aktualisieren
  7. Mitarbeiter schulen
  8. Cybersicherheit laufend überprüfen und verbessern
Fazit
Unternehmen, die unter NIS 2 fallen, müssen ein deutlich höheres Niveau an Cybersicherheit gewährleisten. Dazu gehören ein umfassendes Risikomanagement, strengere Meldepflichten, klare Verantwortlichkeiten der Unternehmensleitung und regelmäßige Schulungen. Das nationale Umsetzungsgesetz konkretisiert diese Vorgaben und verleiht den Behörden weitreichende Kontrollrechte.
Für Unternehmer bedeutet das: frühzeitig starten, Strukturen aufbauen und Cybersicherheit als strategisches Thema verankern.
Business 2 Go – praxisnah, kompakt, interaktiv
Sie wollen Cybersecurity, NIS 2 und weitere unternehmensrelevante Themen praxisnah kennenlernen? Dann besuchen Sie „Business 2 Go“ – die Veranstaltungsreihe für Unternehmer:
  • Vielfältige Bausteine: Von Cybersecurity über Marketing & Branding bis hin zum Gründungscheck.
  • Cybersecurity-Baustein: NIS 2 wird als ein wichtiger Aspekt behandelt, aber das Modul geht allgemein auf Sicherheitsstrategien ein.
Der nächste Termin zum Thema Cybersecurity findet am 26. Februar 2026 statt.
Jetzt anmelden