NIS-2-Richtlinie: Umsetzung in Deutschland – Gesetz, Fristen und Pflichten

Das Wichtigste in Kürze

• Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Rund 29.500 Unternehmen aus 18 Sektoren müssen Risikomanagement, Meldepflichten und BSI-Registrierung sofort umsetzen.
• Die Geschäftsführung haftet persönlich für die Einhaltung der Cybersicherheitspflichten. Verstöße können Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach sich ziehen.
• Der erste praktische Schritt ist eine vollständige Bestandsaufnahme der IT-Infrastruktur – denn ohne Transparenz über Systeme, Berechtigungen und Abhängigkeiten lässt sich kein belastbares Risikomanagement aufbauen.

Sie haben in den letzten Monaten beobachtet, wie das NIS2-Thema immer drängender wurde – und gehofft, dass sich der Zeitplan noch verschiebt. Seit Dezember 2025 ist diese Hoffnung gegenstandslos. Das Gesetz gilt, die Registrierungsfrist beim BSI ist abgelaufen, und die ersten Unternehmen stehen bereits unter Aufsicht.

Gleichzeitig herrscht Unsicherheit: Welche Pflichten gelten ab sofort? Was passiert, wenn die Registrierung noch fehlt? Und wo fängt man an, wenn bisher keine systematische IT-Dokumentation existiert?

Dieser Artikel gibt Ihnen den aktuellen Stand der NIS-2-Umsetzung in Deutschland – mit konkreten Fristen, den wichtigsten Paragraphen und einer realistischen Einschätzung, was jetzt Priorität hat.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (EU 2022/2555) ist die europäische Vorgabe für ein einheitliches Cybersicherheitsniveau bei Unternehmen und Einrichtungen, deren Ausfall gravierende Folgen für Wirtschaft oder Gesellschaft hätte. Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und geht in drei Punkten deutlich weiter: Der Kreis der betroffenen Unternehmen wächst von rund 4.500 auf über 29.500 in Deutschland. Die Anforderungen an Risikomanagement, Meldepflichten und Lieferkettensicherheit werden konkreter. Und erstmals haften Geschäftsführer persönlich für die Umsetzung.

Einen allgemeinen Überblick über die Richtlinie – unabhängig von der deutschen Umsetzung – finden Sie im Blogartikel zu den NIS2-Anforderungen, Strafen und Umsetzungspflichten.

Was hat sich 2025 und 2026 geändert?

Die Gesetzgebungsgeschichte der deutschen NIS2-Umsetzung war lang und turbulent. Nach dem Scheitern unter der Ampel-Koalition musste der Entwurf nach der Neuwahl komplett neu eingebracht werden – das sogenannte Diskontinuitätsprinzip ließ keine andere Wahl. Hier die entscheidenden Meilensteine:

• 13. November 2025: Der Bundestag verabschiedet das NIS2-Umsetzungsgesetz (NIS2UmsuCG).
• 20. November 2025: Der Bundesrat bestätigt das Gesetz.
• 6. Dezember 2025: Das Gesetz tritt mit Verkündung im Bundesgesetzblatt in Kraft – ohne Übergangsfrist.
• 6. Januar 2026: Das BSI-Portal (MUK) wird freigeschaltet. Die dreimonatige Registrierungsfrist beginnt.
• 6. März 2026: Die Registrierungsfrist für betroffene Einrichtungen beim BSI endet.
• 17. März 2026: Das KRITIS-Dachgesetz tritt in Kraft – mit zusätzlichen Anforderungen an physische Resilienz.

Auf EU-Ebene hat die Europäische Kommission Anfang 2026 im Rahmen des Cyber Security Act 2 (CSA2) erste Vorschläge zur Aktualisierung der NIS2-Richtlinie veröffentlicht. Dabei sollen unter anderem Schwellenwerte für bestimmte Einrichtungen angepasst und die Betroffenheit in Teilen abgeschwächt werden. Für die aktuell geltenden Pflichten in Deutschland ändert sich dadurch vorerst nichts – die deutschen Anforderungen bleiben bestehen und können durch nationale Gesetzgebung sogar über die EU-Mindeststandards hinausgehen.

Wie ist der aktuelle Stand des NIS2-Umsetzungsgesetzes?

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 geltendes Recht. Es novelliert vor allem das BSI-Gesetz (BSIG) und das Energiewirtschaftsgesetz (EnWG) und erweitert den Kreis der durch das BSI beaufsichtigten Einrichtungen von bisher rund 4.500 auf über 29.500.

Der Weg dorthin war holprig: Unter der Ampel-Koalition scheiterte die Verabschiedung – alle offenen Gesetzesvorhaben verfielen mit der Neuwahl. Die EU-Kommission hatte Deutschland wegen der verspäteten Umsetzung bereits offiziell ermahnt und ein Vertragsverletzungsverfahren eingeleitet. Die neue Bundesregierung legte im Juni 2025 einen überarbeiteten Referentenentwurf vor, im Juli folgte der Regierungsentwurf. Im parlamentarischen Verfahren gab es noch wesentliche Änderungen bei der Rolle der Telekommunikationsanbieter und bei der Definition kritischer Komponenten.

Fünf Paragraphen des novellierten BSIG sind für betroffene Unternehmen besonders relevant:

• §28 BSIG: Definiert, wer als „besonders wichtige" oder „wichtige" Einrichtung gilt
• §30 BSIG: Legt die zehn Maßnahmenbereiche für Risikomanagement fest
• §32 BSIG: Regelt das gestufte Meldeverfahren bei Sicherheitsvorfällen
• §38 BSIG: Bestimmt die Pflichten und Haftung der Geschäftsleitung
• §65 BSIG: Definiert Bußgeldtatbestände und -höhen

Den vollständigen Gesetzestext finden Sie im Bundesgesetzblatt (BGBl. 2025 I Nr. 301). Die offizielle Übersicht zum Gesetzgebungsverfahren bietet das BMI unter Gesetzgebungsverfahren NIS2UmsuCG.

Wer muss die NIS-2-Richtlinie in Deutschland umsetzen?

Die Betroffenheit richtet sich nach Unternehmensgröße und Sektorzugehörigkeit. Das Gesetz unterscheidet drei Gruppen:

• Besonders wichtige Einrichtungen (§28 Abs. 1): Großunternehmen ab 250 Mitarbeitern oder über 50 Mio. EUR Umsatz in den Sektoren der Anlage 1 – plus größenunabhängig: qualifizierte Vertrauensdiensteanbieter, TLD-Registrare, DNS-Dienste, TK-Anbieter und Betreiber kritischer Anlagen.
• Wichtige Einrichtungen (§28 Abs. 2): Mittlere Unternehmen ab 50 Mitarbeitern oder über 10 Mio. EUR Umsatz in Sektoren der Anlagen 1 und 2.
• Betreiber kritischer Anlagen (KRITIS): Die bisherigen KRITIS-Betreiber mit Schwellenwerten bleiben bestehen und gelten automatisch als besonders wichtige Einrichtungen.

Insgesamt fallen laut BSI rund 29.500 Unternehmen in Deutschland unter die neue Regulierung. Die 18 betroffenen Sektoren reichen von Energie, Transport und Gesundheitswesen über digitale Infrastruktur und Abfallwirtschaft bis zu Chemie, Lebensmittel und Automotive.

Selbst Zulieferer, die unter den Schwellenwerten liegen, können über Lieferketten-Anforderungen indirekt betroffen sein. Ein Beispiel: Ein IT-Dienstleister mit 30 Mitarbeitern, der Managed Services für ein Krankenhaus erbringt, fällt zwar nicht direkt unter NIS2 – muss aber damit rechnen, dass sein Auftraggeber vertragliche Sicherheitsanforderungen weiterreicht, die aus der Richtlinie stammen. Unternehmen müssen selbstständig prüfen, ob sie betroffen sind – das BSI nimmt keine aktive Benachrichtigung vor.

Ob Ihr Unternehmen konkret betroffen ist, erfordert eine Einzelfallprüfung. Eine Orientierungshilfe bietet die NIS2-Betroffenheitsprüfung des BSI. Detaillierte Informationen zur Prüflogik finden Sie im Blogartikel NIS2: Wer ist betroffen?

Welche Fristen gelten jetzt für die NIS2-Umsetzung?

Das Gesetz sieht keine Schonfrist vor. Seit dem 6. Dezember 2025 gelten die Pflichten – aber es gibt eine praktisch wichtige Abstufung zwischen Sofort-Pflichten und Nachweisfristen.

Sofort-Pflichten (seit 6.12.2025):

• Registrierung beim BSI über das MUK-Portal (Frist: 6. März 2026 – bereits abgelaufen, verspätete Registrierung aber weiterhin möglich und dringend ratsam)
• Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden
• Beginn der Umsetzung der Risikomanagementmaßnahmen nach §30

Für die Registrierung benötigen Sie ein ELSTER-Organisationszertifikat, das über die Finanzverwaltung beantragt wird. Die Ausstellung dauert einige Werktage. Mit dem Zertifikat wird das Unternehmen im BSI-Portal angelegt – inklusive Stammdaten, Sektorzuordnung und einer Kontaktperson für Sicherheitsmeldungen. Meldepflichtige Einrichtungen, die vor der Registrierung einen erheblichen Sicherheitsvorfall erleiden, melden diesen vorübergehend über ein separates Online-Formular des BSI.

Nachweisfristen:

• Besonders wichtige Einrichtungen müssen die Umsetzung der Maßnahmen innerhalb von drei Jahren (bis Dezember 2028) gegenüber dem BSI nachweisen.
• Das BSI wird voraussichtlich Unternehmen priorisieren, die weder registriert sind noch erkennbare Maßnahmen ergriffen haben.

Wer zumindest registriert ist und einen dokumentierten Umsetzungsplan vorlegen kann, steht im Fall einer Prüfung deutlich besser da. Die fehlende Registrierung ist ein eigenständiger Bußgeldtatbestand – sie signalisiert dem BSI, dass ein Unternehmen die Regulierung entweder nicht kennt oder ignoriert.

Wie müssen Unternehmen die NIS-2-Richtlinie konkret umsetzen?

§30 BSIG definiert zehn Maßnahmenbereiche, die betroffene Unternehmen umsetzen müssen. Der Gesetzgeber hat sich dabei erkennbar an ISO 27001 orientiert – Unternehmen mit bestehendem ISMS decken erfahrungsgemäß bereits 70 bis 80 % der Anforderungen ab.

Die zehn Kernbereiche im Überblick:

• Risikoanalyse und Sicherheitskonzepte für Informationssysteme
• Bewältigung von Sicherheitsvorfällen (Incident Response)
• Aufrechterhaltung des Betriebs (Business Continuity, Backup-Management)
• Sicherheit der Lieferkette und bei Dienstleistern
• Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
• Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
• Cyberhygiene und Schulungen
• Kryptografie und Verschlüsselung
• Personalsicherheit und Zugangskontrollen
• Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Die verbleibenden 20 bis 30 %, die ISO 27001 nicht abdeckt, betreffen NIS2-spezifische Pflichten: die BSI-Registrierung, das gestufte Meldeverfahren und die Geschäftsleitungspflichten. Wer noch kein ISMS betreibt, baut mit der NIS2-Umsetzung faktisch eines auf – denn die Maßnahmenbereiche entsprechen den ISMS-Standardprozessen.

Zusätzlich gilt das gestufte Meldeverfahren nach §32: Innerhalb von 24 Stunden muss eine Frühwarnung an das BSI erfolgen, die angibt, ob der Vorfall auf rechtswidrige Handlungen zurückzuführen ist und ob grenzüberschreitende Auswirkungen drohen. Nach 72 Stunden folgt eine Zwischenmeldung mit erster Bewertung und Indicators of Compromise. Nach einem Monat wird ein Abschlussbericht fällig.

Warum haftet die Geschäftsführung persönlich?

§38 BSIG macht Cybersicherheit zur Chefsache – und das ist kein Lippenbekenntnis. Geschäftsführer besonders wichtiger Einrichtungen sind gesetzlich verpflichtet, die Risikomanagementmaßnahmen zu billigen, deren Umsetzung aktiv zu überwachen und regelmäßig an Schulungen teilzunehmen.

Der entscheidende Punkt: Diese Verantwortung ist nicht delegierbar. Auch wenn die IT-Abteilung die operative Umsetzung übernimmt, erwartet der Gesetzgeber, dass die Leitungsebene versteht, welche Bedrohungen bestehen, und nachvollziehbare Entscheidungen über den Umgang mit Risiken trifft. Bei schuldhafter Pflichtverletzung haften Geschäftsführer persönlich für entstandene Schäden.

Das bedeutet konkret drei Pflichten für die Leitungsebene: informierte Entscheidungen über Sicherheitsinvestitionen treffen, die Umsetzung aktiv kontrollieren und die eigene Qualifikation durch Schulungen sicherstellen. Unwissen schützt nicht vor Verantwortung – das hat die EU bei der Formulierung der Richtlinie ausdrücklich betont.

Verstöße gegen die Umsetzungspflichten oder Meldepflichten können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach sich ziehen – je nachdem, welcher Betrag höher ist. Der jährliche Erfüllungsaufwand für die deutsche Wirtschaft wird laut Regierungsentwurf auf rund 2,3 Milliarden Euro geschätzt. Dem steht ein geschätzter abgewehrter Schaden von rund 3,6 Milliarden Euro gegenüber.

Wie unterstützt IT-Dokumentation bei der NIS2-Umsetzung?

Die NIS-2-Richtlinie verlangt an vielen Stellen eines: nachweisbare Transparenz über die eigene IT-Landschaft. Risikomanagement setzt voraus, dass Sie wissen, welche Systeme existieren. Meldepflichten erfordern, dass Sie Abhängigkeiten verstehen. Und Audits verlangen, dass Sie Dokumentation nicht erst unter Zeitdruck zusammenstellen müssen.

Ein typisches Szenario aus der Praxis: Ein mittelständisches IT-Systemhaus, das als Dienstleister für Krankenhäuser unter NIS2 fällt, muss nachweisen, dass Berechtigungen regelmäßig geprüft werden. Bei der Prüfung fallen ehemalige Mitarbeiter mit noch aktiven Zugängen auf – ein typischer Befund, der ein erhebliches Sicherheitsrisiko darstellt und bei einem NIS2-Audit sofort auffallen würde. Ohne automatisierte Inventarisierung ist das Aufspüren solcher Lücken ein manueller Kraftakt, der Wochen dauert – und der beim nächsten Audit wieder von vorn beginnt.

Agentenlose Inventarisierungstools wie Docusnap machen diese Bestandsaufnahme in wenigen Stunden möglich. Dabei werden Hardware, Software, Benutzerberechtigungen und Netzwerkabhängigkeiten automatisch erfasst und dokumentiert – eine Grundlage, die für Risikomanagement, Notfallplanung und Audit-Nachweise gleichermaßen nutzbar ist.

Wer prüfen möchte, wo die eigene Organisation bei der NIS2-Umsetzung steht, findet im kostenlosen NIS2 Framework einen strukturierten Einstieg: Der Kontrollkatalog, die Gap-Analyse mit Reifegradmodell und der Überblick über Meldepflichten helfen, die Lücke zwischen IST und SOLL sichtbar zu machen – und den richtigen Startpunkt für die Umsetzung zu finden.

Weiterführende Artikel:

• https://www.docusnap.com/it-dokumentation/nis2-wer-ist-betroffen
• https://www.docusnap.com/it-dokumentation/nis-2-richtlinie
• https://www.docusnap.com/it-dokumentation/nis2-compliance
• https://www.docusnap.com/it-dokumentation/nis2-audit

FAQ: Häufig gestellte Fragen zur NIS2-Umsetzung in Deutschland

Ist das NIS2-Umsetzungsgesetz bereits in Kraft?

Ja. Das NIS2UmsuCG wurde am 13. November 2025 vom Bundestag beschlossen und ist seit dem 6. Dezember 2025 geltendes Recht. Es gibt keine Übergangsfrist für die Umsetzung der Pflichten. Betroffene Unternehmen müssen seit dem Inkrafttreten Risikomanagementmaßnahmen umsetzen und Sicherheitsvorfälle melden.

Wie registriere ich mein Unternehmen beim BSI?

Die Registrierung erfolgt über das Melde- und Unterrichtungskanal-Portal (MUK) unter muk.bsi.bund.de. Sie benötigen ein ELSTER-Organisationszertifikat. Die dreimonatige Registrierungsfrist ist am 6. März 2026 abgelaufen, eine verspätete Registrierung ist aber weiterhin möglich – und ratsam, da die fehlende Registrierung ein eigenständiger Bußgeldtatbestand ist.

Welche Bußgelder drohen bei NIS2-Verstößen?

§65 BSIG sieht Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Die Höhe richtet sich nach Art und Schwere des Verstoßes. Bereits die fehlende BSI-Registrierung oder die Nicht-Meldung eines erheblichen Sicherheitsvorfalls kann sanktioniert werden.

Was ist der Unterschied zwischen NIS2 und dem KRITIS-Dachgesetz?

Das NIS2-Umsetzungsgesetz regelt die Cybersicherheitspflichten (IT-Risikomanagement, Meldepflichten, technische Maßnahmen). Das KRITIS-Dachgesetz, das seit dem 17. März 2026 in Kraft ist, ergänzt dies um Anforderungen an die physische Resilienz kritischer Anlagen – also Schutz vor Naturkatastrophen, Sabotage oder Ausfällen der Infrastruktur. Betreiber kritischer Anlagen müssen beide Gesetze beachten.

Reicht ein bestehendes ISMS nach ISO 27001 für NIS2-Compliance?

Unternehmen mit bestehendem ISMS nach ISO 27001 decken erfahrungsgemäß 70 bis 80 % der NIS2-Anforderungen ab. Die verbleibenden 20 bis 30 % betreffen NIS2-spezifische Pflichten: die BSI-Registrierung, das gestufte Meldeverfahren nach §32 BSIG und die Geschäftsleitungspflichten nach §38 BSIG. Diese Lücken müssen gezielt geschlossen werden.

‍