NIS-2-Richtlinie - neue gesetzliche Anforderungen zur IT-Sicherheit

Am 13. November 2025 hat der Deutsche Bundestag das Gesetz zur Umsetzung der europäischen NIS‑2‑Richtlinie beschlossen. Damit wird das nationale IT‑Sicherheitsrecht umfassend modernisiert. Das Gesetz tritt jedoch erst nach Zustimmung des Bundesrats und Veröffentlichung im Bundesgesetzblatt in Kraft. Unternehmen sollten sich dennoch bereits jetzt vorbereiten: Sie müssen sich künftig beim BSI registrieren, erhebliche Sicherheitsvorfälle melden und ein wirksames Risikomanagement etablieren. Das BSI übernimmt die Rolle der Aufsichtsbehörde und unterstützt mit Starterpaketen sowie Kick‑off‑Seminaren.

Aktueller Stand zur NIS-2-Richtlinie

Zeitpunkt Meilenstein / To‑Do für Unternehmen
13.11.2025 Bundestag beschließt NIS‑2‑Umsetzungsgesetz
Ende 2025/Anfang 2026 Zustimmung des Bundesrats & Veröffentlichung im Bundesgesetzblatt → Gesetz tritt in Kraft
Ab Inkrafttreten Unternehmen müssen sich beim BSI registrieren
Kurzfristig Einführung von Meldeprozessen für erhebliche Sicherheitsvorfälle
Mittelfristig Aufbau eines Risikomanagements sowie technischer & organisatorischer Maßnahmen
Laufend Schulung der Geschäftsleitung und kontinuierliche Verbesserung der IT‑Sicherheit

Um was geht es bei der NIS-2-Richtlinie?

Um europäische Unternehmen gegen zunehmende Cyber-Angriffe und IT-Ausfälle zu stärken, führte die Europäische Union 2023 die NIS-2-Richtlinie ein. Während die erste NIS-Richtlinie aus dem Jahr 2016 rund 2.000 Unternehmen als Betreiber kritischer Infrastrukturen (KRITIS) definierte, erweitert die NIS-2-Richtlinie diesen Kreis auf etwa 30.000 Unternehmen. Diese unterliegen künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
© IHK Schwaben

NIS-2 To-Do's für Unternehmen

Schritt Inhalt / Aufgabe
1. Betroffenheit prüfen Mit BSI‑Tool feststellen, ob das Unternehmen unter die NIS‑2‑Pflichten fällt.
2. Verantwortung klären
  • Zuständigkeiten festlegen
  • Geschäftsleitung einbinden
  • IT‑Sicherheit zur Chefsache machen.
3. Risikoanalyse
  • Bestehende IT‑Sicherheitsmaßnahmen prüfen
  • Risiken bewerten
  • Lieferkette analysieren
4. Ressourcen planen Budget, Personal und externe Unterstützung für IT‑Sicherheit bereitstellen.
5. Umsetzung starten
  • Registrierung beim BSI
  • Meldeprozesse für Vorfälle einführen
  • technische & organisatorische Maßnahmen implementieren
6. Verstetigung sichern

Wer ist betroffen?

Bereits in der ersten NIS-Richtlinie sind Mindestsicherheitsanforderungen und Meldepflichten für KRITIS-Betreiber sowie für bestimmte Anbieter digitaler Dienste definiert. KRITIS-Betreiber werden nach bestimmten Sektoren (z.B. Energie, Wasser) und Schwellenwerten (z.B. 500.000 versorgte Personen) definiert.
Ob ein Unternehmen von der NIS-2-Richtline betroffen ist, ergibt sich aus folgenden Kriterien:
  • Zugehörigkeit zu Branchen (Anhang 1 und Anhang 2)
  • Unternehmensgröße definiert nach Anzahl der Beschäftigten sowie Jahresumsatz bzw. Jahresbilanzsumme
Der digitale Fragebogen zur Betroffenheitsprüfung der NIS-2-Richtlinie bietet Unternehmen die Möglichkeit, ihre Betroffenheit zu ermitteln.
Tätigkeit in Sektoren aufgelistet in Anhang 1 oder Anhang 2 der Nis-2-Richtlinie
Anhang 1 (hohe Kritikalität)
Energie, Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, IKT Dienste, öffentliche Verwaltung, Weltraum
Anhang 2 (sonstige Kritikalität)
Post-/Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe/Herstellung von Waren, Digitale Dienste, Forschung
Unternehmensgröße
Große Unternehmen
Mitarbeiter: > 250 und
Jahresumsatz: > 50 Mio. € oder
Jahresbilanzsumme: > 43 Mio. €
Mittlere Unternehmen
Mitarbeiter: < 250 und
Jahresumsatz: 10 - 50 Mio. € oder
Jahresbilanzsumme: ≤ 43 Mio. €
Kleine Unternehmen
Mitarbeiter: < 5 und
Jahresumsatz / Jahresbilanz: ≤ 10 Mio. €
Betroffenheit
Große Unternehmen Tätig in einem Sektor definiert in Anhang 1 oder 2 betroffen
Mittlere Unternehmen Tätig in einem Sektor definiert in Anhang 1 oder 2 betroffen
Kleine Unternehmen Tätig in einem Sektor definiert in Anhang 1 oder 2 nicht betroffen
Betroffene Unternehmen unterteilt die NIS-2-Richtlinie weiter in „besonders wichtige“ und „wichtige“ Unternehmen.
Unterscheidung nach besonders wichtigen und wichtigen Einrichtungen
Große Unternehmen

Tätig in Sektor nach Anhang 1 (hohe Kritikalität) Besonders wichtige Einrichtung
Tätig in Sektor nach Anhang 2 (sonstige Kritikalität) Wichtige Einrichtung
Mittlere Unternehmen

Tätig in Sektor nach Anhang 1 (hohe Kritikalität) Wichtige Einrichtung
Tätig in Sektor nach Anhang 2 (sonstige Kritikalität) Wichtige Einrichtung
Unabhängig von ihrer Unternehmensgröße sind spezielle IT-Einrichtungen wie qualifizierte Vertrauensdienstanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter von der NIS-2-Richtline betroffen. Darüber hinaus kann das BSI auch eine Betroffenheit anordnen.
Auch wenn ein Unternehmen nicht direkt von der NIS-2-Richtlinie betroffen ist, kann die NIS-2-Richtlinie dazu führen, dass zusätzliche Maßnahmen zum Schutz vor Cyber-Angriffen und IT-Störungen notwendig sind. Denn die NIS-2-Richtlinie fordert von betroffenen Unternehmen die Sicherheit der (IT-) Lieferkette. Es ist daher zu erwarten, dass betroffene Unternehmen auch ihre Dienstleister einbeziehen werden, um ihre IT-Sicherheitsziele zu erreichen.

Was sind die notwendige Maßnahmen?

Die notwendigen Maßnahmen, die betroffene Unternehmen zu ergreifen haben unterscheiden sich entsprechend der Zuordnung als KRITIS-Betreiber, „besonders wichtig“ oder „wichtige“ Unternehmen.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant
  • Risikomanagementmaßnahmen
  • Business Continuity Management
  • Meldepflichten
  • Registrierungspflicht
  • Unterrichtungspflichten
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
  • Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
Zusätzlich zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz soll es zukünftig Rechtsverordnungen geben, für die bisher noch keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:
  • Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§56 Abs. 1).
  • IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§56 Abs. 2).
  • Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§56 Abs.3).
  • Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§56 Abs. 4).

Welche Sanktionen drohen bei Verstoß?

Sofern Unternehmen keine oder nicht ausreichende Risikomaßnahmen treffen, drohen mit der NIS-2-Richtlinie Sanktionen:
  • Warnungen und verbindliche Anweisungen
  • Umsetzung der Empfehlungen der Sicherheitsüberprüfung
  • Veröffentlichung von Verstößen gegen die Richtline
  • Geldbuße
Die Höhe der Geldbuße hängt von davon ab, ob ein Unternehmen eine wesentliche oder eine wichtige Einrichtung ist.
Wesentliche Einrichtung Wichtige Einrichtung
Höchstbetrag: mind. 10 Mio.€ oder mind. 2% des weltweiten Konzernumsatzes des Vorjahres Höchstbetrag: mind. 7 Mio.€ oder mind. 1,4 des weltweiten Konzernumsatzes des Vorjahres

Weiterführende Informationen auf einen Blick

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzs (NIS2UmsuCG)
NIS-2 Richtlinie
NIS-2 Betroffenheitsprüfung
NIS-2 Fragen und Antworten
NIS-2 Handlungsempfehlungen

Stand: November 2025