NIS-2-Richtlinie – neue gesetzliche Anforderungen zur IT-Sicherheit
Am 13. November 2025 hat der Deutsche Bundestag das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie beschlossen, seit 6. Dezember 2025 ist es in Kraft getreten. Damit wird das nationale IT-Sicherheitsrecht umfassend modernisiert. Unternehmen müssen sich bis zum 6. März 2026 beim BSI registrieren, erhebliche Sicherheitsvorfälle melden und ein wirksames Risikomanagement etablieren. Das BSI übernimmt die Rolle der Aufsichtsbehörde und unterstützt mit Starterpaketen sowie Kick-off-Seminaren.
Seit dem 7. Januar 2026 ist das neue Registrierungsportal des BSI für die Umsetzung der NIS‑2‑Vorgaben aktiv. Der Anmeldeprozess gliedert sich in zwei Schritte: Zunächst erfolgt der Zugang über „Mein Unternehmenskonto“, anschließend wird die eigentliche Registrierung im BSI‑Portal vorgenommen, das als zentrale Plattform für alle Pflichten nach NIS‑2 fungiert.
Aktueller Stand zur NIS-2-Richtlinie
| Zeitpunkt | Meilenstein / To‑Do für Unternehmen |
|---|---|
| 13.11.2025 | Bundestag beschließt NIS‑2‑Umsetzungsgesetz |
| 05./06.12.2025 | Zustimmung des Bundesrats & Veröffentlichung im Bundesgesetzblatt → Gesetz ist in Kraft getreten |
| Bis 6. März 2026 | Unternehmen müssen sich beim BSI registrieren |
| Kurzfristig | Einführung von Meldeprozessen für erhebliche Sicherheitsvorfälle |
| Mittelfristig | Aufbau eines Risikomanagements sowie technischer & organisatorischer Maßnahmen |
| Laufend | Schulung der Geschäftsleitung und kontinuierliche Verbesserung der IT‑Sicherheit |
Um was geht es bei der NIS-2-Richtlinie?
Um europäische Unternehmen gegen zunehmende Cyber-Angriffe und IT-Ausfälle zu stärken, führte die Europäische Union 2023 die NIS-2-Richtlinie ein. Während die erste NIS-Richtlinie aus dem Jahr 2016 rund 2.000 Unternehmen als Betreiber kritischer Infrastrukturen (KRITIS) definierte, erweitert die NIS-2-Richtlinie diesen Kreis auf etwa 30.000 Unternehmen. Diese unterliegen künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
NIS-2 To-Do's für Unternehmen
| Schritt | Inhalt / Aufgabe |
|---|---|
| 1. Betroffenheit prüfen | Mit BSI‑Tool feststellen, ob das Unternehmen unter die NIS‑2‑Pflichten fällt. |
| 2. Verantwortung klären |
|
| 3. Risikoanalyse |
|
| 4. Ressourcen planen | Budget, Personal und externe Unterstützung für IT‑Sicherheit bereitstellen. |
| 5. Umsetzung starten |
|
| 6. Verstetigung sichern |
|
Wer ist betroffen?
Bereits in der ersten NIS-Richtlinie sind Mindestsicherheitsanforderungen und Meldepflichten für KRITIS-Betreiber sowie für bestimmte Anbieter digitaler Dienste definiert. KRITIS-Betreiber werden nach bestimmten Sektoren (z.B. Energie, Wasser) und Schwellenwerten (z.B. 500.000 versorgte Personen) definiert.
Ob ein Unternehmen von der NIS-2-Richtline betroffen ist, ergibt sich aus folgenden Kriterien:
- Zugehörigkeit zu Branchen (Anhang 1 und Anhang 2)
- Unternehmensgröße definiert nach Anzahl der Beschäftigten sowie Jahresumsatz bzw. Jahresbilanzsumme
Der digitale Fragebogen zur Betroffenheitsprüfung der NIS-2-Richtlinie bietet Unternehmen die Möglichkeit, ihre Betroffenheit zu ermitteln.
| Tätigkeit in Sektoren aufgelistet in Anhang 1 oder Anhang 2 der NIS-2-Richtlinie | |
|
Anhang 1 (hohe Kritikalität)
Energie, Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, IKT Dienste, öffentliche Verwaltung, Weltraum
|
Anhang 2 (sonstige Kritikalität)
Post-/Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe/Herstellung von Waren, Digitale Dienste, Forschung
|
| Unternehmensgröße | ||
|
Große Unternehmen
Mitarbeiter: > 250 und
Jahresumsatz: > 50 Mio. € oder
Jahresbilanzsumme: > 43 Mio. €
|
Mittlere Unternehmen
Mitarbeiter: < 250 und
Jahresumsatz: 10 - 50 Mio. € oder
Jahresbilanzsumme: ≤ 43 Mio. €
|
Kleine Unternehmen
Mitarbeiter: < 5 und
Jahresumsatz / Jahresbilanz: ≤ 10 Mio. €
|
| Betroffenheit | ||
| Große Unternehmen | Tätig in einem Sektor definiert in Anhang 1 oder 2 | betroffen |
| Mittlere Unternehmen | Tätig in einem Sektor definiert in Anhang 1 oder 2 | betroffen |
| Kleine Unternehmen | Tätig in einem Sektor definiert in Anhang 1 oder 2 | nicht betroffen |
Betroffene Unternehmen unterteilt die NIS-2-Richtlinie weiter in „besonders wichtige“ und „wichtige“ Unternehmen.
| Unterscheidung nach besonders wichtigen und wichtigen Einrichtungen | ||
|
Große Unternehmen
|
Tätig in Sektor nach Anhang 1 (hohe Kritikalität) | Besonders wichtige Einrichtung |
| Tätig in Sektor nach Anhang 2 (sonstige Kritikalität) | Wichtige Einrichtung | |
|
Mittlere Unternehmen
|
Tätig in Sektor nach Anhang 1 (hohe Kritikalität) | Wichtige Einrichtung |
| Tätig in Sektor nach Anhang 2 (sonstige Kritikalität) | Wichtige Einrichtung | |
Unabhängig von ihrer Unternehmensgröße sind spezielle IT-Einrichtungen wie qualifizierte Vertrauensdienstanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter von der NIS-2-Richtline betroffen. Darüber hinaus kann das BSI auch eine Betroffenheit anordnen.
Auch wenn ein Unternehmen nicht direkt von der NIS-2-Richtlinie betroffen ist, kann die NIS-2-Richtlinie dazu führen, dass zusätzliche Maßnahmen zum Schutz vor Cyber-Angriffen und IT-Störungen notwendig sind. Denn die NIS-2-Richtlinie fordert von betroffenen Unternehmen die Sicherheit der (IT-) Lieferkette. Es ist daher zu erwarten, dass betroffene Unternehmen auch ihre Dienstleister einbeziehen werden, um ihre IT-Sicherheitsziele zu erreichen.
Was sind die notwendige Maßnahmen?
Die notwendigen Maßnahmen, die betroffene Unternehmen zu ergreifen haben unterscheiden sich entsprechend der Zuordnung als KRITIS-Betreiber, „besonders wichtig“ oder „wichtige“ Unternehmen.
Folgende Pflichten sind für alle betroffenen Unternehmen relevant
- Risikomanagementmaßnahmen
- Business Continuity Management
- Meldepflichten
- Registrierungspflicht
- Unterrichtungspflichten
- Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter
- Einsatz technischer Maßnahmen wie z. B. Kryptografie, Verschlüsselung, Multi-Faktor-Authentifizierung
Zusätzlich zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz soll es zukünftig Rechtsverordnungen geben, für die bisher noch keine Entwürfe bekannt sind. Darin soll folgendes geregelt werden:
- Sicherheitszertifikate und Anerkennung: Details zur Erteilung von Sicherheitszertifikaten und zur Anerkennung nach spezifischen Vorschriften werden erläutert (§56 Abs. 1).
- IT-Sicherheitskennzeichnung: Die Einzelheiten des IT-Sicherheitskennzeichens und die Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben werden beschrieben, zusammen mit der Prozedur zur Freigabe solcher Vorgaben (§56 Abs. 2).
- Zertifizierungspflicht für bestimmte Produkte, Dienste oder Prozesse: Es wird festgelegt, dass bestimmte Produkte, Dienste oder Prozesse, die von besonders wichtigen Einrichtungen verwendet werden, eine Zertifizierung benötigen (§56 Abs.3).
- Kritische Dienstleistungen und Anlagen: Es wird definiert, welche Dienstleistungen und Anlagen als kritisch im Sinne des Gesetzes angesehen werden, einschließlich des Versorgungsgrades, der für diese als notwendig erachtet wird (§56 Abs. 4).
Welche Sanktionen drohen bei Verstoß?
Sofern Unternehmen keine oder nicht ausreichende Risikomaßnahmen treffen, drohen mit der NIS-2-Richtlinie Sanktionen:
- Warnungen und verbindliche Anweisungen
- Umsetzung der Empfehlungen der Sicherheitsüberprüfung
- Veröffentlichung von Verstößen gegen die Richtline
- Geldbuße
Die Höhe der Geldbuße hängt von davon ab, ob ein Unternehmen eine wesentliche oder eine wichtige Einrichtung ist.
| Wesentliche Einrichtung | Wichtige Einrichtung |
| Höchstbetrag: mind. 10 Mio.€ oder mind. 2 % des weltweiten Konzernumsatzes des Vorjahres | Höchstbetrag: mind. 7 Mio. € oder mind. 1,4 des weltweiten Konzernumsatzes des Vorjahres |