NIS-2: Neue Pflichten für mehr IT-Sicherheit

Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weite Regelung zur Cyber- und Informationssicherheit. Zur Stärkung von Unternehmen und kritischen Infrastrukturen gegenüber Cyberattacken und IT-Störungen gibt es neue Vorgaben und Pflichten, die in Kürze zu erfüllen sind.

Was ist die NIS-2-Richtlinie und ab wann gilt sie?

Die NIS-2-Richtlinie (Network and Information Security) ist eine EU-weite Regelung zur Cyber- und Informationssicherheit von Unternehmen und Instituten.
Sie wurde mit dem NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz (kurz NIS2UmsuCG) im Dezember 2025 ins nationale Recht überführt und gilt somit für Unternehmen verbindlich. Unternehmen müssen nun prüfen, ob Sie von dem Gesetz betroffen sind. Die Registrierungspflicht für betroffene Unternehmen greift 3 Monate nach in Kraft treten des Gesetzes. Das Portal zur Registrierung ist aktuell noch nicht aufrufbar.

Wie wirkt sich NIS-2 auf Unternehmen aus?

Je nach Einstufung der Unternehmen müssen Maßnahmen, Registrierungs-, Dokumentations- oder Unterrichtungspflichten für mehr IT-Sicherheit erfüllt werden. Dabei müssen besonders wichtige Einrichtungen (Hohe Kritikalität) mehr erfüllen, als sogenannte wichtige Einrichtungen (Sonstige Kritikalität).

Welche Unternehmen sind von NIS-2 betroffen?

Alle Unternehmen müssen eigenständig prüfen, ob Sie von den Regelungen betroffen sind. Eine behördliche Information erfolgt nicht.

Webtool

Auf der Website der Aufsichtsbehörde Bundesamt für Sicherheit in der Informationstechnik gibt es ein Webtool NIS-2-Betroffenheitsprüfung, das bei der Einschätzung unterstützt, allerdings nicht verbindlich ist.

NIS-2-Anlaufstelle NRW

Die kostenfreie Anlaufstelle des Landes NRW berät klein- und mittelständische Unternehmen zum Thema NIS-2 – auch zu der Frage, ob Ihr Unternehmen betroffen ist.

Online-Tool

Das Bundesministerium für Wirtschaft und Energie stellt Unternehmen ein praxisnahes Online-Tool, den FitNIS2-Navigator, zur Verfügung. Mit diesem können Sie die eigene Betroffenheit prüfen, vorhandene IT-Sicherheitsmaßnahmen beurteilen und erfahren, welche Anforderungen für Sie bestehen. Darüber hinaus erhalten Sie passgenaue Handlungsempfehlungen zur Verbesserung der eigenen Sicherheitsmaßnahmen und zur Erfüllung der neuen Sicherheitsvorgaben.
Wird eine Betroffenheit vom Unternehmen selbst festgestellt, besteht eine Registrierungspflicht des Unternehmens beim Bundesamt für Sicherheit in der Informationstechnik (BSI). In bestimmten Fällen kann das BSI eine Betroffenheit auch anordnen.

Ein Unternehmen ist betroffen, wenn es

  • die Schwellwerte (Anzahl Mitarbeiter oder Jahresumsatz/Jahresbilanzsumme) überschreitet und
  • in einem bestimmten Sektor tätig ist

Einstufungen, Schwellenwerte und Sektoren

Schwellenwert:
  • Einrichtungen ab 250 Mitarbeitende ODER mehr als 50 Millionen Euro Jahresumsatz und 43 Millionen Euro Jahresbilanzsumme in den Bereichen:
Sektoren:
  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (ohne Rücksicht auf Schwellenwert)
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung (ohne Rücksicht auf Schwellenwert)
  • Weltraum
  • Anbieter öffentlicher TK-Netze und TK-Dienste
Schwellenwert:
  • Einrichtungen ab 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz und 10 Millionen Euro Jahresbilanzsumme
Sektoren:
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe / Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung
  • Mittlere Unternehmen der besonders wichtigen Einrichtungen (bei Erfüllung der Schwellenwerte 50-249 Mitarbeiter und 10 Mio. Jahresbilanzsumme)

Was muss ein betroffenes Unternehmen konkret tun?

  • Betroffene Unternehmen müssen sich eigenständig bei einer Behörde melden. (Details zum Meldevorgang sind aktuell noch nicht veröffentlicht) – (§§ 34, 34)
  • Einhaltung von Melde- und Dokumentationspflichten für erhebliche Sicherheitsvorfälle (z. B. 24 h nach Kenntnis, ausführlicher Bericht 72 nach Kenntnis.) – (§32)
  • Ergreifung von operativen Maßnahmen und Anforderungen ab Oktober 2024 . Diese variieren je nachdem, ob ein Unternehmen als „Betreiber kritischer Anlagen”, „Besonders wichtige Einrichtung” oder „Wichtige Einrichtung” eingestuft wird. Daher ist unerlässlich, dass NIS2UmsuCG als betroffenes Unternehmen sorgfältig zu analysieren und die erforderlichen Maßnahmen für sich herauszuarbeiten.

Pflichten für alle betroffenen Unternehmen sind unter anderem:

  • Risikomanagementmaßnahmen, Business Continuity Management, dazu gehört z. B. der Einsatz technischer Maßnahmen wie Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
  • Maßnahmen zur Aufrechterhaltung und Wiederherstellung, Back-up-Management, Krisenmanagement
  • Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  • Unterrichtungspflichten
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter

Infos zum Registrierungsprozess

Ab Beginn des Jahres 2026 müssen sich ca. 30.000 Unternehmen bundesweit beim Bundesamt für Sicherheit in der Informationstechnik registrieren, eigene Sicherheitsvorfälle melden und Risikomanagementmaßnahmen implementieren und dokumentieren.
Das BSI sieht einen zweistufigen Registrierungsprozess vor:
Zunächst muss eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handelt es sich um ein Nutzerkonto für Unternehmen im Sinne des Onlinezugangsgesetzes (OZG). MUK basiert auf der ELSTER-Technologie und nutzt ELSTER-Organisationszertifikate, die üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit.
Das BSI empfiehlt, den Account bei „Mein Unternehmenskonto“ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren.
Das BSI-Portal wird am 6. Januar 2026 freigeschaltet und dient u.a. als Meldestelle für erhebliche Sicherheitsvorfälle.

Welche Folgen drohen bei Nichtbeachtung?

Sollten die geforderten Maßnahmen nicht eingehalten werden, drohen Unternehmen hohe Geldstrafen von einer Aufsichtsbehörde. Diese verfügen über Kontroll- und Weisungsrecht bei der Fristeinhaltung. Zudem existiert eine persönliche Haftung der Geschäftsführer.

Wo finde ich weitere Hilfestellungen?