NIS2 in Deutschland: Was müssen Unternehmen 2026 wissen? | NIS2Compass Blog | NIS2Compass
Leitfaden
NIS2 in Deutschland: Was müssen Unternehmen 2026 wissen?
10 Min. LesezeitNIS2Compass Team
Das NIS2UmsuCG ist seit Dezember 2025 in Kraft. Rund 29.500 Unternehmen in Deutschland müssen jetzt Registrierungs-, Melde- und Risikomanagementpflichten erfüllen. Pflichten, Fristen, Bußgelder und Umsetzung — der komplette Überblick.
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfristen. Rund 29.500 Unternehmen in Deutschland müssen jetzt Registrierungs-, Melde- und Risikomanagementpflichten erfüllen. Bei Verstößen drohen Bußgelder bis 10 Mio. EUR. NIS2Compass' Vor-Check zeigt in unter 5 Minuten, ob Ihr Unternehmen betroffen ist.
Das NIS2UmsuCG setzt die EU-Richtlinie NIS2 (EU 2022/2555) in deutsches Recht um und novelliert das BSI-Gesetz grundlegend. Seit dem 6. Dezember 2025 gelten alle Pflichten sofort — Deutschland hatte die EU-Frist vom 17. Oktober 2024 um über ein Jahr überzogen. Statt bisher 4.500 reguliert das BSI nun rund 29.500 Einrichtungen.
Von der EU-Richtlinie zum deutschen Gesetz: Die EU-Richtlinie NIS2 gibt einen verbindlichen Rahmen vor, den die Mitgliedstaaten in nationales Recht umsetzen müssen. In Deutschland geschieht das durch das NIS2UmsuCG, das das BSI-Gesetz (BSIG) grundlegend novelliert. Entscheidend: Das NIS2UmsuCG ist das maßgebliche Gesetz für deutsche Unternehmen — nicht die EU-Richtlinie selbst.
Gesetzgebungsverfahren im Überblick:
13. November 2025: Bundestag verabschiedet das NIS2UmsuCG
5. Dezember 2025: Verkündung im Bundesgesetzblatt (BGBl. I Nr. 301)
6. Dezember 2025: Inkrafttreten — alle Pflichten gelten sofort, keine Übergangsfristen
Keine Schonfrist: Anders als bei früheren Regulierungsvorhaben gibt es keine gestaffelte Einführung. Unternehmen, die unter das Gesetz fallen, sind seit dem 6. Dezember 2025 vollumfänglich zur Compliance verpflichtet.
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
Hintergrund und offizielle Einordnung liefert auch die Bundesregierung in ihrer Übersicht zur NIS-2-Richtlinie. Welche konkreten Pflichten sich daraus für Ihr Unternehmen ergeben, führt NIS2Compass' NIS2 Guide Schritt für Schritt durch alle acht Kapitel durch.
Von NIS2 betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz in einem der 18 regulierten Sektoren. In Deutschland fallen rund 29.500 Einrichtungen unter das neue Gesetz. Der Vor-Check von NIS2Compass ermittelt in unter 5 Minuten Ihre individuelle Betroffenheit.
Das NIS2UmsuCG unterscheidet zwei Einrichtungskategorien — maßgeblich ist die Size-Cap-Regel nach EU-Empfehlung 2003/361/EG.
Besonders wichtige Einrichtungen (§28 Abs. 1 BSIG): ab 250 Mitarbeiter oder Jahresumsatz über 50 Mio. EUR und Bilanzsumme über 43 Mio. EUR — ausschließlich in Sektoren der Anlage 1.
Wichtige Einrichtungen (§28 Abs. 2 BSIG): ab 50 Mitarbeiter oder Jahresumsatz über 10 Mio. EUR und Bilanzsumme über 10 Mio. EUR — in Sektoren der Anlage 1 und Anlage 2.
Wichtig: Einige Einrichtungen fallen unabhängig von diesen Schwellenwerten unter die Regulierung. Dazu gehören qualifizierte Vertrauensdiensteanbieter, DNS-Dienste und TLD-Registries.
Das NIS2UmsuCG verpflichtet betroffene Unternehmen zu drei Kernpflichten: Registrierung beim BSI, Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden und Umsetzung von 10 Risikomanagementmaßnahmen nach §30 BSIG. Die Geschäftsleitung haftet persönlich für die Einhaltung.
Die Registrierungspflicht ergibt sich aus §33–34 BSIG. Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Feststellung ihrer Betroffenheit im BSI-Portal registrieren. Änderungen an den Angaben sind innerhalb von zwei Wochen zu melden.
Für die Registrierung werden folgende Angaben benötigt:
ELSTER-Organisationszertifikat zur sicheren Identifikation
Unternehmensangaben (Name, Adresse, Rechtsform)
NIS-2-Kontaktstelle als zentraler Ansprechpartner für das BSI
Sektor und Branche gemäß den Anhängen des NIS2UmsuCG
§32 BSIG regelt die Meldepflicht bei erheblichen Sicherheitsvorfällen. Ein Vorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen oder erhebliche finanzielle Verluste verursacht (§2 Nr. 11 BSIG). Das Gesetz sieht ein dreistufiges Meldeverfahren vor:
24 Stunden: Frühe Erstmeldung nach Kenntniserlangung mit vorläufiger Einschätzung
72 Stunden: Folgemeldung mit Details zu Ursache, Ausmaß und ergriffenen Maßnahmen
30 Tage: Abschlussmeldung mit vollständiger Beschreibung und Bewertung des Vorfalls
§30 BSIG definiert zehn verpflichtende Maßnahmenbereiche, die alle betroffenen Unternehmen umsetzen müssen. Die Geschäftsleitung trägt dafür persönliche Verantwortung nach §38 BSIG — diese Haftung ist nicht abdingbar und kann nicht auf nachgeordnete Stellen übertragen werden.
Die zehn Maßnahmenbereiche im Überblick:
Risikoanalyse und IT-Sicherheitskonzepte
Incident Response — Bewältigung von Sicherheitsvorfällen
Business Continuity Management — inkl. Backup und Disaster Recovery
Lieferkettensicherheit — Sicherheit bei Dienstleistern und Zulieferern
Sicherheit bei Systementwicklung, -beschaffung und -wartung
Bewertung der Wirksamkeit der eingesetzten Maßnahmen
Schulungen und Sensibilisierung — Cyberhygiene für Mitarbeitende
Kryptographie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Asset Management
Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Geschäftsführer sind zudem verpflichtet, regelmäßig an Schulungen zu Cybersicherheitsthemen teilzunehmen. Für die Dokumentation dieser Maßnahmen stellt die Template Library von NIS2Compass fertige Vorlagen bereit. Weiterführende Erläuterungen zu den einzelnen Anforderungen finden Sie im Knowledge Hub.
Verstöße gegen das NIS2UmsuCG können mit Bußgeldern bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes geahndet werden. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Mio. EUR oder 1,4 %. Bereits die verspätete Registrierung beim BSI kann bis zu 500.000 EUR kosten.
Der §65 BSIG sieht einen abgestuften Bußgeldrahmen vor, der sich nach Einrichtungstyp und Schwere des Verstoßes richtet:
Bis 10 Mio. EUR: Besonders wichtige Einrichtungen bei Verstößen gegen Kernpflichten — oder 2 % des weltweiten Jahresumsatzes, wenn dieser 500 Mio. EUR übersteigt
Bis 7 Mio. EUR: Wichtige Einrichtungen bei Verstößen gegen Kernpflichten — oder 1,4 % des Jahresumsatzes bei entsprechender Größe
Bis 500.000 EUR: Verstöße gegen die Registrierungspflicht oder die Meldepflicht bei Sicherheitsvorfällen
Bis 100.000 EUR: Formelle Verstöße, etwa fehlende oder unvollständige Dokumentation
Die Höhe des Bußgeldes orientiert sich stets am tatsächlichen Schaden, der Schwere des Verstoßes und dem Grad des Verschuldens. Unternehmen mit hohem Jahresumsatz riskieren im Zweifel den prozentualen Wert — dieser kann die absolute Obergrenze deutlich übersteigen.
§38 BSIG verpflichtet Geschäftsleitungen ausdrücklich, Risikomanagementmaßnahmen zu billigen, zu veranlassen und zu überwachen. Das hat weitreichende Konsequenzen:
Persönliche Haftung mit dem Privatvermögen — nicht nur die Gesellschaft haftet
Die Haftung kann nicht vertraglich ausgeschlossen werden; Verzichts- und Vergleichsvereinbarungen sind unwirksam
Schulungspflicht mindestens alle drei Jahre, um den Anforderungen fachlich zu genügen
Gilt für AG-Vorstände, GmbH-Geschäftsführer — und ausdrücklich auch für faktische Geschäftsführer
Laut einer Auswertung von Security Insider haben sich bis zum Ablauf der Registrierungsfrist am 6. März 2026 nur 38,5 % der betroffenen Unternehmen fristgerecht beim BSI registriert. Über 18.000 Einrichtungen sind damit säumig und riskieren Ordnungswidrigkeitsverfahren.
Welche konkreten Bußgelder bei einzelnen Verstößen drohen und wie Behörden diese berechnen, erläutert NIS2Compass ausführlich im Artikel NIS2-Bußgelder: Welche Strafen drohen?.
Die wichtigsten Fristen sind bereits abgelaufen: Das NIS2UmsuCG gilt seit dem 6. Dezember 2025, die BSI-Registrierungsfrist endete am 6. März 2026. Wer sich noch nicht registriert hat, riskiert Bußgelder bis 500.000 EUR. Die nächste relevante Frist betrifft KRITIS-Nachweise — frühestens ab 2027.
Der chronologische Überblick zeigt, wie die Umsetzung verlaufen ist:
16. Januar 2023: EU NIS-2-Richtlinie (EU 2022/2555) tritt in Kraft
17. Oktober 2024: EU-Umsetzungsfrist abgelaufen — Deutschland über ein Jahr verspätet
13. November 2025: Bundestag verabschiedet das NIS2UmsuCG
5. Dezember 2025: Verkündung im Bundesgesetzblatt (BGBl. I Nr. 301)
6. Dezember 2025: Inkrafttreten — alle Pflichten gelten sofort, keine Übergangsfristen
6. März 2026: BSI-Registrierungsfrist abgelaufen — Bußgelder möglich
Ab 2027 (frühestens): Erste KRITIS-Nachweispflichten (3 Jahre nach Inkrafttreten)
Wiederkehrend: Geschäftsführer-Schulungen mindestens alle 3 Jahre
Über 18.000 Unternehmen haben die Registrierungsfrist am 6. März 2026 verpasst. Das bedeutet ein erhebliches Bußgeldrisiko — denn das BSI kann Verstöße gegen die Registrierungspflicht bereits heute sanktionieren. Wer die Frist verpasst hat, sollte die Registrierung umgehend nachholen. Je früher dies geschieht, desto geringer fällt das Risiko einer behördlichen Maßnahme aus.
Der schnellste Einstieg beginnt mit drei Schritten: Betroffenheit prüfen, BSI-Registrierung nachholen und eine Gap-Analyse durchführen. NIS2Compass begleitet diesen Prozess mit dem Vor-Check für die Bestandsaufnahme und einem 8-Kapitel-Guide für die strukturierte Umsetzung aller 10 Maßnahmenbereiche.
Der Einstieg in die NIS2-Umsetzung folgt einem klaren Pfad — unabhängig davon, wie weit ein Unternehmen bereits ist.
Betroffenheit prüfen: Sektor und Mitarbeiterzahl gegen die Schwellenwerte des NIS2UmsuCG abgleichen — der Vor-Check von NIS2Compass führt strukturiert durch diese Bestandsaufnahme.
BSI-Registrierung nachholen: Im BSI-Portal registrieren (ELSTER-Zertifikat erforderlich). Die Registrierungsfrist ist am 6. März 2026 abgelaufen — wer noch nicht registriert ist, sollte das unverzüglich nachholen.
Gap-Analyse durchführen: Den Ist-Zustand der IT-Sicherheit systematisch bewerten und Lücken gegenüber den Anforderungen des §30 BSIG identifizieren.
Maßnahmenplan erstellen: Prioritäten nach den 10 Maßnahmenbereichen setzen — geordnet nach Umsetzungsaufwand und Risiko.
Dokumentation aufbauen: Richtlinien, Prozesse und Nachweise erstellen. Fertige Vorlagen reduzieren diesen Aufwand erheblich.
Ein mittelständisches Fertigungsunternehmen aus Nordrhein-Westfalen mit 180 Mitarbeitern und einem IT-Team von fünf Personen stand vor genau dieser Situation. Durch den Vor-Check von NIS2Compass wurde zunächst die Betroffenheit bestätigt: Das Unternehmen fällt als „wichtige Einrichtung" im Sektor Verarbeitendes Gewerbe unter das NIS2UmsuCG.
Die vorhandene ISO-27001-Zertifizierung deckte bereits rund 60 % der Anforderungen ab. Der NIS2 Guide half dabei, die verbleibenden Lücken zu identifizieren — insbesondere bei Meldeprozessen und der Absicherung der Lieferkette. Mit den Vorlagen aus der Template Library konnte die fehlende Dokumentation in vier Wochen erstellt werden.
Dieses Beispiel zeigt: Wer bereits strukturierte Sicherheitsprozesse hat, ist oft näher an der Compliance als gedacht. Die eigentliche Arbeit liegt im Identifizieren und Schließen der verbliebenen Lücken.
Laut BSI-Lagebericht 2025 zielen 80 % aller Ransomware-Angriffe auf KMU. Eine strukturierte NIS2-Umsetzung ist damit nicht nur eine regulatorische Pflicht, sondern der wirksamste Schutz gegen die häufigsten Angriffsvektoren. Wie NIS2 mit bestehenden Sicherheitsrahmenwerken zusammenspielt, erläutert der Artikel NIS2 und ISMS: Was Ihr bestehendes System nicht abdeckt.
Die EU NIS2-Richtlinie (EU 2022/2555) ist der europäische Rechtsrahmen für Cybersicherheit. Das NIS2UmsuCG ist die deutsche Umsetzung, die das BSI-Gesetz novelliert. Für deutsche Unternehmen ist ausschließlich das NIS2UmsuCG maßgeblich — es gilt seit dem 6. Dezember 2025 ohne Übergangsfristen.
Prüfen Sie zwei Kriterien: Gehört Ihr Unternehmen zu einem der 18 regulierten Sektoren? Und erreichen Sie die Schwellenwerte (ab 50 Mitarbeiter oder 10 Mio. EUR Jahresumsatz)? Der Vor-Check von NIS2Compass führt diese Prüfung strukturiert durch — in wenigen Minuten.
Die Frist endete am 6. März 2026. Unternehmen, die sich nicht registriert haben, riskieren Ordnungswidrigkeitsverfahren und Bußgelder bis zu 500.000 EUR. Registrieren Sie sich umgehend über das BSI-Portal — eine verspätete Registrierung ist besser als keine.
Ja. Nach §38 BSIG ist die Geschäftsleitung verpflichtet, Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen. Bei Pflichtverletzung greift die persönliche Haftung mit dem Privatvermögen. Diese Haftung ist nicht vertraglich ausschließbar — auch ein nachträglicher Verzicht ist unwirksam.
Ja, mit der richtigen Struktur. Der NIS2 Guide von NIS2Compass führt in 8 Kapiteln und rund 124 Schritten durch den gesamten Umsetzungsprozess. Fertige Vorlagen aus der Template Library reduzieren den Aufwand zusätzlich. Externe Beratung kann bei komplexen Sonderfällen sinnvoll sein, ist aber nicht zwingend erforderlich.
