NIS-2-Richtlinie: Anforderungen, Strafen und Umsetzung

Das Wichtigste in Kürze

• Die NIS-2-Richtlinie ist seit dem 6. Dezember 2025 in Deutschland geltendes Recht. Über 29.500 Unternehmen aus 18 Sektoren müssen die Anforderungen umsetzen – bei Verstößen drohen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
• Geschäftsführungen haften persönlich für die NIS2 Umsetzung. Die Richtlinie macht Cybersicherheit zur Chefsache: Leitungsorgane müssen Maßnahmen aktiv überwachen, an Schulungen teilnehmen und können bei Versäumnissen persönlich haftbar gemacht werden.
• Die NIS-2-Richtlinie verlangt eine lückenlose, nachweisbare Dokumentation aller IT-Systeme und Sicherheitsmaßnahmen. Wer seine IT-Landschaft nicht vollständig kennt, kann weder Risiken bewerten noch im Audit bestehen – IT-Dokumentation ist die Grundlage jeder NIS2 Compliance.

Sie haben das Thema NIS2 bisher aufgeschoben – vielleicht, weil die Gesetzgebung in Deutschland lange unklar war. Vielleicht, weil Ihre IT-Abteilung andere Prioritäten hatte. Jetzt ist das NIS2-Umsetzungsgesetz seit Dezember 2025 in Kraft, die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen, und die Realität sieht ernüchternd aus: Nur rund 11.500 der geschätzt 29.500 betroffenen Unternehmen haben sich fristgerecht registriert. Das heißt: Mehr als die Hälfte der betroffenen Organisationen in Deutschland sind bereits im Verzug.

Die Frage ist nicht mehr, ob NIS2 Sie betrifft. Die Frage ist, wie schnell Sie die Lücke zwischen Pflicht und Umsetzung schließen können.

Was ist die NIS-2-Richtlinie – und warum betrifft sie jetzt so viele Unternehmen?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie definiert seit Januar 2023 verbindliche Mindeststandards für Cybersicherheit und löst die ursprüngliche NIS-Richtlinie von 2016 ab.

In Deutschland wurde das NIS2-Umsetzungsgesetz (NIS2UmsuCG) am 13. November 2025 vom Bundestag beschlossen und ist seit dem 6. Dezember 2025 geltendes Recht – veröffentlicht im Bundesgesetzblatt 2025 I Nr. 301. Zuständige Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das Ziel: Die digitale Resilienz von Unternehmen und öffentlichen Einrichtungen auf ein gemeinsames, hohes Niveau bringen – dort, wo IT-Ausfälle gravierende Auswirkungen auf Wirtschaft, Gesellschaft oder die öffentliche Sicherheit hätten.

Was hat sich gegenüber der alten NIS-Richtlinie geändert?

Die Unterschiede zwischen NIS1 und NIS2 sind erheblich. Während die erste NIS-Richtlinie nur rund 4.600 KRITIS-Betreiber in Deutschland betraf, weitet NIS2 den Anwendungsbereich auf über 29.500 Unternehmen in 18 Sektoren aus. Die wichtigsten Änderungen:

• Breiterer Geltungsbereich: Nicht mehr nur klassische kritische Infrastrukturen, sondern auch Mittelstand, IT-Dienstleister und Zulieferer
• Konkretere Pflichten: Verschärfte Anforderungen bei Risikomanagement, Meldepflichten und Lieferkettensicherheit gemäß Art. 21 der Richtlinie
• Persönliche Haftung: Erstmals haften Geschäftsführer persönlich für die NIS2 Umsetzung
• Härtere Strafen: Bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes statt bisher moderater Bußgelder
• Einheitliche Meldepflichten: 24-Stunden-Frühwarnung, 72-Stunden-Meldung, 1-Monats-Abschlussbericht

Was hat sich 2026 bei NIS2 geändert?

Seit Anfang 2026 hat sich die Lage rund um die NIS-2-Richtlinie deutlich konkretisiert. Das BSI-Portal für Registrierung und Vorfallsmeldungen ist seit dem 6. Januar 2026 freigeschaltet. Am 6. März 2026 lief die dreimonatige Registrierungsfrist ab – mit dem Ergebnis, dass sich nur rund 11.500 von geschätzt 29.500 betroffenen Einrichtungen registriert haben.

Parallel dazu hat die Europäische Kommission am 20. Januar 2026 gezielte Änderungen an der NIS-2-Richtlinie vorgeschlagen. Diese sollen die Umsetzung für rund 28.700 Unternehmen vereinfachen – darunter 6.200 Kleinst- und Kleinunternehmen, die bislang unverhältnismäßig belastet wurden. Über die Änderungen wird voraussichtlich im Laufe des Jahres 2026 verhandelt.

Für IT-Verantwortliche in Deutschland bedeutet das: Die Pflichten gelten bereits jetzt. Wer noch nicht registriert ist, sollte das umgehend nachholen. Und wer die inhaltlichen Anforderungen noch nicht systematisch angeht, riskiert nicht nur Bußgelder, sondern auch die persönliche Haftung der Geschäftsleitung.

Der Cyber Security Report 2026 von Schwarz Digits zeichnet dabei ein alarmierendes Bild: 48 Prozent der befragten Unternehmen unterschätzen ihre NIS2-Pflichten. Bei umsatzstarken Kleinunternehmen mit 10 bis 49 Mitarbeitenden schließen sogar 92 Prozent eine Betroffenheit fälschlicherweise aus – obwohl sie regulierungspflichtig sind.

Welche NIS2 Anforderungen müssen Unternehmen jetzt umsetzen?

Die NIS-2-Richtlinie formuliert in Art. 21 konkrete organisatorische, technische und prozessuale Anforderungen. Im Mittelpunkt steht ein risikobasierter Ansatz: Unternehmen müssen ihre individuellen Cyberrisiken kennen, bewerten und passende Maßnahmen ergreifen.

Wie funktioniert das Risikomanagement nach NIS2?

Unternehmen müssen ein strukturiertes Risikomanagement für ihre Informationssicherheit aufbauen – vergleichbar mit ISO 27001 oder dem BSI-Grundschutz. In der Praxis heißt das: eine Risikoanalyse durchführen, Schutzmaßnahmen umsetzen und deren Wirksamkeit regelmäßig überprüfen. Dazu gehören Firewalls, Intrusion Detection Systeme, Verschlüsselung, Notfallpläne sowie Backup- und Wiederherstellungskonzepte.

Der erste Schritt – und zugleich die größte Hürde für viele Unternehmen – ist dabei die vollständige Transparenz über die eigene IT-Landschaft. Wer nicht weiß, welche Systeme, Software und Zugriffsrechte in seiner Umgebung existieren, kann keine fundierte Risikoanalyse durchführen.

Welche Meldepflichten gelten bei Sicherheitsvorfällen?

Die NIS-2-Richtlinie sieht ein mehrstufiges Meldeverfahren bei erheblichen Sicherheitsvorfällen vor:

• Innerhalb von 24 Stunden: Frühwarnung an das BSI nach Entdeckung eines erheblichen Sicherheitsvorfalls
• Innerhalb von 72 Stunden: Detaillierte Meldung mit erster Bewertung des Vorfalls und seiner Auswirkungen
• Innerhalb eines Monats: Abschlussbericht mit Analyse und ergriffenen Maßnahmen

Die strikte Einhaltung dieser Meldepflichten ist ein zentraler Prüfpunkt bei NIS2-Audits. Unternehmen, die keine funktionierenden Prozesse für die Vorfallserkennung und -meldung etabliert haben, werden bei einer BSI-Prüfung Schwierigkeiten haben.

Warum ist Lieferkettensicherheit eine der größten Herausforderungen?

Für viele Unternehmen besonders neu: Die NIS2 Anforderungen umfassen die Sicherheit der gesamten Lieferkette. Zulieferer und Dienstleister müssen vertraglich zu Risikomanagementmaßnahmen verpflichtet werden. Eine dokumentierte Lieferkettensicherheitsrichtlinie mit Bewertung aller kritischen Dienstleister ist Pflicht.

Das betrifft auch Unternehmen, die selbst nicht unter NIS2 fallen. Wenn Sie als IT-Dienstleister oder Zulieferer für ein NIS2-pflichtiges Unternehmen arbeiten, müssen Sie vertraglich Sicherheitsstandards einhalten und nachweisen können.

Welche Rolle spielen Schulungen und Cyberhygiene?

Alle Mitarbeitenden müssen regelmäßig zu Cybersicherheitsthemen geschult werden. Die NIS-2-Richtlinie legt besonderen Wert auf die Geschäftsführung: Leitungsorgane sind verpflichtet, selbst an Schulungen teilzunehmen und ausreichende Kenntnisse zur Risikobewertung nachzuweisen. Zu den grundlegenden Cyberhygiene-Maßnahmen zählen regelmäßige Updates, Multi-Faktor-Authentifizierung und ein strukturiertes Identitätsmanagement.

Warum ist IT-Dokumentation der Dreh- und Angelpunkt für NIS2?

Die NIS-2-Richtlinie verlangt eine vollständige, nachweisbare Dokumentation aller Sicherheitsmaßnahmen, IT-Systeme und Prozesse. Unternehmen müssen ihre IT-Infrastruktur regelmäßig dokumentieren, Nachweise über umgesetzte Maßnahmen bei Audits vorlegen können und Änderungen an Systemen und Berechtigungen nachvollziehbar protokollieren.

Diese Dokumentationspflicht ist kein einmaliger Aufwand, sondern ein kontinuierlicher Prozess. Für Unternehmen mit gewachsenen IT-Landschaften, in denen niemand genau weiß, welche Systeme wo laufen und wer welche Zugriffsrechte hat, wird diese Anforderung zur zentralen Herausforderung der NIS2 Umsetzung.

Ein strukturierter Einstieg hilft: Mit einem Kontrollkatalog, einer Gap-Analyse zur Reifegradbestimmung und konkreten Prüfpunkten lässt sich systematisch ermitteln, wo die eigene Organisation die NIS2-Dokumentationspflichten bereits erfüllt und wo die größten Lücken liegen.

Wie weit reicht die persönliche Haftung der Geschäftsführung?

Ein wesentliches Novum: Die Geschäftsleitung trägt persönliche Verantwortung für die NIS2 Umsetzung. Bei nachweislichen Versäumnissen können Aufsichtsbehörden Sanktionen gegen einzelne Führungskräfte verhängen – bis hin zum Entzug der Leitungsfunktion. Cybersicherheit wird damit zur Führungsaufgabe, vergleichbar mit Compliance, Datenschutz oder Arbeitssicherheit.

Wer ist von der NIS-2-Richtlinie betroffen?

Die NIS-2-Richtlinie erweitert den Anwendungsbereich im Vergleich zur Vorgängerrichtlinie erheblich. In Deutschland sind über 29.500 Unternehmen betroffen – ein Vielfaches der bisher rund 4.600 KRITIS-Betreiber.

Welche Größenkriterien gelten?

Grundsätzlich fallen Unternehmen unter die NIS-2-Richtlinie, wenn sie in einem der 18 regulierten Sektoren tätig sind und mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von mindestens 10 Millionen Euro erreichen. Bestimmte Einrichtungen – wie Anbieter öffentlicher Kommunikationsnetze oder DNS-Dienste – fallen unabhängig von ihrer Größe unter die Richtlinie.

Welche Sektoren sind betroffen?

Sektoren mit hoher Kritikalität (Besonders wichtige Einrichtungen): Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum.

Sonstige kritische Sektoren (Wichtige Einrichtungen): Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe (z. B. Medizinprodukte, Maschinen, Fahrzeuge), Digitale Dienste, Forschungseinrichtungen.

Auch Unternehmen, die nicht direkt betroffen sind, können über die Lieferkettenpflicht indirekt reguliert werden. Details zur Betroffenheitsprüfung finden Sie auf der offiziellen BSI-Seite zur NIS2-Betroffenheitsprüfung sowie in unserem Blogartikel NIS2: Wer ist betroffen?

Welche NIS2 Strafen drohen bei Verstößen?

Die NIS-2-Richtlinie verschärft die Sanktionsvorschriften deutlich. Die Höhe der Strafen richtet sich nach der Einstufung:

Für besonders wichtige Einrichtungen drohen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegen die Grenzen bei 7 Millionen Euro oder 1,4 % des Jahresumsatzes.

Neben Geldbußen stehen den Behörden weitere Durchsetzungsinstrumente zur Verfügung: verbindliche Anweisungen, Aussetzung von Zulassungen, Pflicht zur Information betroffener Kunden und – in schweren Fällen – das Verbot der Ausübung von Leitungsfunktionen für Geschäftsführer.

Die Aufsicht liegt beim BSI. Besonders wichtige Einrichtungen werden proaktiv und regelmäßig geprüft. Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht – Kontrollen erfolgen bei begründetem Verdacht oder nach Sicherheitsvorfällen.

Wie hängen NIS2 und ISO 27001 zusammen?

Wenn Ihr Unternehmen bereits nach ISO 27001 zertifiziert ist oder den BSI IT-Grundschutz umsetzt, haben Sie einen deutlichen Vorsprung. Rund 70 Prozent der NIS2 Anforderungen werden durch ein bestehendes Informationssicherheits-Managementsystem (ISMS) bereits abgedeckt – vor allem bei Risikomanagement, Zugriffssteuerung und Vorfallmanagement.

Allerdings geht die NIS-2-Richtlinie in einigen Punkten weiter: Die Governance-Anforderungen (persönliche Haftung der Geschäftsführung), die Lieferkettensicherheit und die konkreten Meldepflichten (24h/72h/1 Monat) erfordern zusätzliche Maßnahmen. Ein ISO 27001-konformes ISMS bildet eine hervorragende Basis, reicht aber allein nicht aus.

Für Unternehmen aus dem Banken- und Versicherungssektor gilt die DORA-Verordnung (EU 2022/2554) als spezielleres Regelwerk. Diese Unternehmen müssen die schärferen DORA-Anforderungen erfüllen, sind aber weiterhin zur NIS2-Registrierung beim BSI verpflichtet.

Welche Fristen gelten für die NIS2 Umsetzung?

Die wichtigsten Daten auf einen Blick:

• 6. Dezember 2025: NIS2-Umsetzungsgesetz in Deutschland in Kraft getreten
• 6. Januar 2026: BSI-Portal für Registrierung und Vorfallsmeldungen freigeschaltet
• 6. März 2026: Registrierungsfrist abgelaufen – bislang nur rund 11.500 von 29.500 Einrichtungen registriert
• Bis zu 3 Jahre nach Inkrafttreten: Übergangsfrist für den vollständigen Nachweis aller Maßnahmen; KRITIS-Betreiber müssen alle 3 Jahre proaktiv Compliance nachweisen

Die Registrierung erfolgt in zwei Schritten: Zunächst ein Konto bei „Mein Unternehmenskonto" (MUK) anlegen, anschließend über das BSI-Portal mit Angaben zu Sektor, Unternehmensgröße und Kontaktdaten für Sicherheitsvorfälle registrieren.

Wie gelingt die NIS2 Umsetzung in drei Schritten?

Als IT-Verantwortlicher stehen Sie vor der Aufgabe, die NIS2 Anforderungen operativ umzusetzen. Mit einem strukturierten Vorgehen wird aus regulatorischem Druck ein planbarer Prozess.

Schritt 1: Betroffenheit prüfen und Scope definieren

Klären Sie zunächst, ob und in welchem Umfang Ihr Unternehmen unter die NIS-2-Richtlinie fällt. Nutzen Sie die BSI-Betroffenheitsprüfung, ordnen Sie Ihren Sektor zu und prüfen Sie die Größenkriterien. Definieren Sie den Geltungsbereich: Welche Standorte, Services und Prozesse sind relevant? Dokumentieren Sie Ihre Bewertung schriftlich – das zeigt bei späteren Audits eine durchdachte Herangehensweise.

Schritt 2: IT-Landschaft dokumentieren und Risiken bewerten

Bevor Sie Maßnahmen ergreifen, brauchen Sie Transparenz über Ihre IT-Infrastruktur. Erfassen Sie alle Systeme, Software, Netzwerke, Benutzerberechtigungen und Abhängigkeiten. Auf dieser Basis führen Sie eine strukturierte Risikoanalyse durch und identifizieren Schwachstellen.

Automatisierte IT-Inventarisierungstools wie Docusnap erfassen die gesamte Umgebung agentenlos und liefern eine aktuelle, vollständige Bestandsaufnahme – von Netzwerkgeräten über Software bis zu Benutzerberechtigungen. So entsteht die Dokumentationsbasis, die NIS2 verlangt, ohne manuellen Aufwand.

Schritt 3: Maßnahmen umsetzen und Compliance sichern

Auf Basis der Risikoanalyse implementieren Sie die erforderlichen Maßnahmen: Notfallpläne, Schulungskonzepte, Meldeprozesse, Lieferantenmanagement. Entscheidend ist, dass Sie alles nachweisbar dokumentieren und die Dokumentation kontinuierlich aktuell halten. Bei einem BSI-Audit müssen Sie nicht nur zeigen, dass Maßnahmen existieren – Sie müssen belegen, dass sie funktionieren und regelmäßig überprüft werden.

‍

Praxisszenario: Wie ein Energieversorger die NIS2-Dokumentationspflicht löst

Ein typisches Szenario aus unserer Beratungspraxis: Ein mittelständischer Energieversorger mit rund 120 Mitarbeitenden steht vor der NIS2 Umsetzung. Die IT-Abteilung weiß, dass ein BSI-Audit kommt – aber der Überblick über die gewachsene IT-Infrastruktur fehlt. Wer hat Zugriff auf welche Systeme? Welche Altlasten gibt es im Netzwerk?

Mit einer automatisierten IT-Inventarisierung lässt sich die gesamte Umgebung in wenigen Stunden erfassen. Dabei fällt typischerweise auf: Mehrere ehemalige Mitarbeitende haben noch aktive Zugänge zu kritischen Systemen – ein erhebliches Sicherheitsrisiko und ein häufiger Befund bei NIS2-Audits. Durch eine Berechtigungsanalyse wird das Problem sichtbar, die Bereinigung erfolgt gezielt.

Für das BSI-Audit stehen dann auf Knopfdruck aktuelle Nachweise bereit: Systemübersichten, Netzwerkpläne, Berechtigungsreports. Statt wochenlanger manueller Vorbereitung – Minuten. Das ist der Unterschied zwischen Compliance als Bürde und Compliance als Ergebnis guter Prozesse.

Weiterführende Artikel rund um NIS2

Das Thema NIS2 ist vielschichtig – und je nach Ausgangslage Ihres Unternehmens stehen unterschiedliche Fragen im Vordergrund. In unserer Artikelserie beleuchten wir weitere wichtige Aspekte der NIS 2 Richtlinie:

• NIS2 Compliance: Anforderungen verstehen und umsetzen – Was NIS2 Compliance in der Praxis bedeutet, welche Checkliste hilft und wie Docusnap als NIS2 Compliance Software unterstützt.
• NIS2 Audit: Fit für die Prüfung – Was bei einem NIS2 Audit geprüft wird, wie Sie sich vorbereiten und warum automatisierte IT-Dokumentation dabei entscheidend ist.
• NIS2 Österreich: Was Unternehmen beachten müssen – Besonderheiten der NIS2 Umsetzung in Österreich: NISG 2026, rund 4.000 betroffene Unternehmen und Fristen.
• NIS2 Schweiz – Was Schweizer Unternehmen über NIS2 wissen müssen – zwischen nationalem ISG und EU-Anforderungen für Lieferketten und Tochtergesellschaften
• NIS 2 Software: Docusnap ist Ihre Komplettlösung