NIS2 Compliance: Was Sie jetzt für die Umsetzung wissen müssen

Sie sind IT-Verantwortlicher und wissen: NIS2 betrifft Ihr Unternehmen. Die Registrierungsfrist beim BSI ist abgelaufen, die Meldepflichten gelten seit Dezember 2025 – und trotzdem fehlt Ihnen an vielen Stellen der Überblick. Welche Systeme laufen in Ihrem Netzwerk? Wer hat Zugriff auf welche Daten? Und könnten Sie das morgen einem Auditor belegen?

Genau das verlangt NIS2 Compliance. Nicht als abstraktes Konzept, sondern als nachweisbare Realität in Ihrer IT-Umgebung. Dieser Artikel zeigt, was der Begriff konkret bedeutet, welche Anforderungen seit dem Inkrafttreten des deutschen Umsetzungsgesetzes gelten und wie Sie die Umsetzung strukturiert angehen – auch wenn Sie schon spät dran sind.

Was bedeutet NIS2 Compliance genau?

NIS2 Compliance bezeichnet die vollständige Erfüllung der Anforderungen aus der EU-Richtlinie 2022/2555 zur Netz- und Informationssicherheit. In Deutschland sind diese Anforderungen seit dem 6. Dezember 2025 über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verbindlich – als Teil des novellierten BSI-Gesetzes (BSIG).

Anders als bei vielen Regulierungen gibt es keine Übergangsfrist. Betroffene Unternehmen müssen seit dem Tag des Inkrafttretens die technischen und organisatorischen Maßnahmen nach § 30 BSIG implementiert haben. Die BSI-Registrierung über das MUK-Portal war bis zum 6. März 2026 vorgesehen – verspätete Registrierungen sind weiterhin möglich, allerdings als eigenständiger Bußgeldtatbestand.

Wer genau betroffen ist, hängt von Sektor und Unternehmensgröße ab. Die Schwelle liegt bei mindestens 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren. Eine detaillierte Prüfung ermöglicht unser Artikel zur NIS2-Betroffenheitsprüfung.

Welche Anforderungen stellt NIS2 Compliance konkret?

Der Pflichtenkatalog in § 30 BSIG übersetzt die europäischen Vorgaben in zehn Bereiche, die Unternehmen abdecken müssen. Diese sind keine Empfehlungen – sie sind rechtlich durchsetzbare Mindeststandards, an denen sich Aufsicht, Bußgeldpraxis und auch Zivilgerichte orientieren werden.

Die zehn Maßnahmenbereiche aus § 30 BSIG im Überblick:

• Risikoanalyse und Sicherheitskonzepte für Informationssysteme
• Bewältigung von Sicherheitsvorfällen (Incident Response)
• Aufrechterhaltung des Betriebs und Krisenmanagement (Business Continuity)
• Sicherheit der Lieferkette und bei Dienstleistern
• Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
• Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen
• Cyberhygiene und Schulungen zur Cybersicherheit
• Kryptografie und Verschlüsselung
• Personalsicherheit, Zugriffskontrolle und Asset-Management
• Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Drei dieser Bereiche verdienen besondere Aufmerksamkeit, weil sie in der Praxis die häufigsten Compliance-Lücken verursachen:

Risikomanagement und Sicherheitsmaßnahmen

Unternehmen müssen einen gefahrenübergreifenden Ansatz verfolgen, der Risikoanalysen, Zugriffskontrollen, Verschlüsselung, Netzwerksicherheit und Backup-Strategien umfasst. Entscheidend: Die Maßnahmen müssen verhältnismäßig zur Risikoexposition und Unternehmensgröße sein – aber sie müssen existieren und dokumentiert sein. Der ENISA-Leitfaden empfiehlt, sich dabei an bestehenden Standards wie ISO 27001 zu orientieren, da das die Umsetzung erheblich beschleunigt.

Meldepflichten bei Sicherheitsvorfällen

Erhebliche Vorfälle müssen innerhalb von 24 Stunden als Frühwarnung gemeldet werden, gefolgt von einem 72-Stunden-Bericht und einem Abschlussbericht innerhalb eines Monats. Diese Fristen gelten seit dem 6. Dezember 2025 – wer keinen funktionierenden Incident-Response-Prozess hat, riskiert bei jedem Vorfall einen Compliance-Verstoß. In der Praxis bedeutet das: Sie brauchen vorab definierte Eskalationswege und eine 24/7-erreichbare Kontaktperson, die beim BSI hinterlegt ist.

Persönliche Haftung der Geschäftsführung

Das ist das Novum: Die Leitungsebene muss Sicherheitskonzepte genehmigen, deren Umsetzung überwachen und an Schulungen zu Cyberrisiken teilnehmen. Diese Verantwortung ist nicht delegierbar. Bei Versäumnissen drohen neben Bußgeldern auch Innenhaftungsansprüche und – im Extremfall – der Entzug von Leitungsfunktionen. Für viele Geschäftsführer im Mittelstand ist das ein fundamentaler Wandel: Cybersicherheit wird von einem IT-Thema zu einer Pflichtaufgabe auf Vorstandsebene.

Darüber hinaus verlangt NIS2 auch Maßnahmen zur Lieferkettensicherheit. Unternehmen müssen die Cybersicherheit ihrer Dienstleister und Zulieferer bewerten – ein Punkt, der besonders für IT-Outsourcing-Konstellationen relevant ist. Wer kritische Dienste an externe Anbieter auslagert, bleibt selbst für die Einhaltung der Sicherheitsstandards verantwortlich.

Was hat sich 2025/2026 bei NIS2 geändert?

Die Dynamik rund um NIS2 hat sich seit Ende 2025 beschleunigt. Für IT-Verantwortliche in Deutschland sind drei Entwicklungen besonders relevant.

Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten – nach über zwei Jahren politischer Verzögerung. Deutschland hatte die EU-Frist vom Oktober 2024 deutlich überschritten, ein Vertragsverletzungsverfahren lief bereits. Das Gesetz wurde ohne Schonfrist wirksam: Alle Pflichten gelten ab dem ersten Tag.

Die EU-Kommission hat am 20. Januar 2026 im Rahmen eines neuen Cybersicherheitspakets gezielte Änderungen an der NIS2-Richtlinie vorgeschlagen, die mehr Rechtsklarheit bei den Compliance-Anforderungen schaffen sollen. Parallel hat die EU-Agentur für Cybersicherheit (ENISA) einen knapp 200-seitigen Leitfaden veröffentlicht, der die technischen Maßnahmen auf internationale Standards wie ISO 27001 mappt.

In Deutschland hat das BSI seit Januar 2026 das Melde- und Informationsportal (MUK) freigeschaltet. Die dreimonatige Registrierungsfrist für besonders wichtige und wichtige Einrichtungen lief am 6. März 2026 ab. Wer noch nicht registriert ist, sollte das unverzüglich nachholen – die verspätete Registrierung ist zwar möglich, aber das Versäumnis selbst ist bußgeldbewehrt.

Wie prüfen Sie Ihren Compliance-Stand?

Bevor Sie Maßnahmen ableiten, brauchen Sie eine ehrliche Bestandsaufnahme. Die folgenden fünf Fragen decken die häufigsten Lücken auf – und genau dort scheitern viele Unternehmen im Audit:

1. IT-Infrastruktur-Überblick: Können Sie jederzeit eine aktuelle, vollständige Übersicht Ihrer IT-Infrastruktur vorlegen – einschließlich aller Server, Clients, Anwendungen und Netzwerkkomponenten? Die meisten Unternehmen können das nicht. Ohne diese Basis fehlt die Grundlage für jede Risikoanalyse.
2. Berechtigungsmanagement: Wissen Sie, wer aktuell Zugriff auf welche Systeme und Daten hat – und können Sie belegen, dass veraltete Berechtigungen regelmäßig bereinigt werden? Gerade bei Mitarbeiterwechseln entstehen Altlasten, die im Audit sofort auffallen.
3. Incident Response: Existiert ein dokumentierter Prozess, der die 24-Stunden-Frühwarnung an das BSI sicherstellt? Nicht als Konzeptpapier, sondern als getesteter Ablauf mit klaren Verantwortlichkeiten und Eskalationswegen.
4. Notfallplanung: Gibt es einen Notfall- und Wiederanlaufplan, der auf aktuellen Inventardaten basiert – nicht auf dem Stand von vor zwei Jahren? Veraltete Notfallpläne sind im Ernstfall wertlos und im Audit ein klarer Mangelbefund.
5. Geschäftsführungs-Pflichten: Hat Ihre Geschäftsführung die Sicherheitskonzepte formal genehmigt und an einer Cybersicherheitsschulung teilgenommen? Seit dem NIS2UmsuCG ist beides Pflicht – nicht optional.

Wenn Sie mehr als zwei dieser Fragen nicht mit Ja beantworten können, besteht eine Compliance-Lücke. Ein kostenloser Einstieg in die strukturierte Analyse ist das NIS2 Framework mit Gap-Analyse und Kontrollkatalog – damit identifizieren und priorisieren Sie Ihre Lücken systematisch.

Warum ist IT-Dokumentation der Schlüssel zur NIS2 Compliance?

NIS2 verlangt nicht nur, dass Sicherheitsmaßnahmen existieren – sie müssen nachweisbar und jederzeit prüfbar sein. Genau hier scheitern viele Unternehmen. Die Maßnahmen sind implementiert, aber die Dokumentation fehlt, ist veraltet oder verstreut über verschiedene Systeme.

§ 30 BSIG verpflichtet betroffene Einrichtungen explizit dazu, die Umsetzung ihrer Maßnahmen zu dokumentieren und im Zweifel dem BSI sowie Prüfern nachzuweisen. Konkret betrifft das:

• Risikoanalysen und deren regelmäßige Aktualisierung
• Berechtigungsstrukturen (wer hat Zugriff auf welche Systeme und Daten?)
• Netzwerktopologien und IT-Infrastruktur-Inventare
• Sicherheitskonfigurationen und Patch-Management-Nachweise
• Notfall- und Wiederanlaufpläne mit aktueller Datenbasis

Laut dem Cyber Security Report 2026 von Schwarz Digits unterschätzen 48 Prozent der befragten Unternehmen ihre NIS2-Pflichten – bei umsatzstarken Kleinunternehmen mit 10 bis 49 Mitarbeitenden schließen sogar 92 Prozent eine Betroffenheit fälschlicherweise aus.

In der Praxis bedeutet das: Wenn ein Auditor fragt, wie viele aktive Benutzerkonten Zugriff auf Ihr ERP-System haben und ob darunter ehemalige Mitarbeiter sind, brauchen Sie diese Antwort in Minuten – nicht in Tagen. Manuell ist das bei Netzwerken mit hunderten oder tausenden Endpunkten nicht leistbar. Genau deshalb setzen immer mehr IT-Abteilungen auf eine NIS 2 Compliance Software, die Inventarisierung, Berechtigungsanalyse und Dokumentation automatisiert. Agentenlose Tools wie Docusnap machen diesen Schritt möglich: eine aktuelle, automatisierte Erfassung aller IT-Assets, Berechtigungen und Abhängigkeiten als Basis für die Compliance-Dokumentation.

Besonders kritisch ist die Berechtigungsanalyse. Über die Jahre sammeln sich inaktive Benutzerkonten an – jedes einzelne ist ein potenzielles Einfallstor und ein Compliance-Risiko. Erst wenn Sie schwarz auf weiß nachweisen können, dass verwaiste Konten regelmäßig identifiziert und bereinigt werden, erfüllen Sie die Anforderungen an das Zugriffs- und Berechtigungsmanagement.

Wie gehen Sie die NIS2-Umsetzung strukturiert an?

Die Umsetzung von NIS2 Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Trotzdem gibt es eine sinnvolle Reihenfolge, die den Aufwand beherrschbar macht.

Schritt 1: Registrierung und Betroffenheitsanalyse. Falls noch nicht geschehen: Registrieren Sie sich über das BSI-Portal MUK. Klären Sie parallel Ihre Einstufung als besonders wichtige oder wichtige Einrichtung – das bestimmt die Aufsichtsintensität und die Höhe möglicher Bußgelder.

Schritt 2: Gap-Analyse durchführen. Prüfen Sie Ihre bestehenden Sicherheitsmaßnahmen gegen die zehn Bereiche aus § 30 BSIG. Wo stehen Sie, wo gibt es Lücken? Eine strukturierte Gap-Analyse – etwa mit dem NIS2 Framework – macht den IST-SOLL-Vergleich greifbar.

Schritt 3: IT-Infrastruktur vollständig erfassen. Ohne eine aktuelle Inventarisierung aller Systeme, Netzwerke und Anwendungen fehlt die Datenbasis für Risikoanalysen, Berechtigungsprüfungen und Notfallpläne. Automatisierte Tools verkürzen diesen Schritt von Wochen auf Stunden.

Schritt 4: Meldeprozesse und Notfallpläne etablieren. Die 24-Stunden-Meldepflicht erfordert einen getesteten Prozess – nicht nur ein Dokument. Definieren Sie Eskalationswege, benennen Sie Verantwortliche und üben Sie den Ablauf regelmäßig.

Schritt 5: Geschäftsführung einbinden. Die Leitungsebene muss Sicherheitskonzepte formal genehmigen und nachweislich an einer Cybersicherheitsschulung teilgenommen haben. Dieser Punkt ist nicht optional – er ist eine der am häufigsten übersehenen Pflichten.

Ein mittelständisches Unternehmen, das erst nach dem Inkrafttreten mit der Umsetzung beginnt, kann trotzdem in wenigen Wochen eine belastbare Grundlage schaffen. Der Schlüssel liegt darin, mit der Inventarisierung und der Dokumentation zu beginnen – denn ohne diese Basis lassen sich weder Risiken bewerten noch Maßnahmen nachweisen.

Mit Docusnap lassen sich IT-Dokumentation und Berechtigungsanalysen automatisiert erstellen – inklusive Netzwerkpläne, Bestandsberichte und prüfungsrelevante Nachweise, die bei einem NIS2-Audit direkt verwendbar sind.

Welche Strafen drohen bei Nichteinhaltung?

Die Sanktionen unter NIS2 sind so gestaltet, dass sie abschreckend wirken – und das tun sie. Besonders wichtige Einrichtungen riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des Umsatzes.

Doch die finanziellen Strafen sind nur ein Teil des Risikos. Das BSI hat mit dem novellierten BSIG erweiterte Aufsichtsbefugnisse erhalten: Vor-Ort-Kontrollen, verbindliche Anordnungen, technische Weisungen. Im Extremfall kann die Behörde die Ausübung von Leitungsfunktionen untersagen – ein Szenario, das für Geschäftsführer sehr real geworden ist.

Hinzu kommt: Wenn ein Sicherheitsvorfall gleichzeitig eine DSGVO-Verletzung darstellt, greifen beide Sanktionsregime parallel – allerdings wird für denselben Vorfall keine doppelte Geldstrafe verhängt. Für Unternehmen, die bislang keine Regulierungserfahrung mit dem BSI haben, ist das eine neue Realität: Die Aufsicht wird aktiv, nicht reaktiv.

Der erste formale NIS2-Compliance-Audit für viele besonders wichtige Einrichtungen ist für Juni 2026 vorgesehen. Wer bis dahin keine belastbare Dokumentation vorweisen kann, riskiert nicht nur Bußgelder, sondern auch Vertrauensverlust bei Kunden und Geschäftspartnern – denn NIS2 wirkt über die Lieferkettenpflicht auch indirekt auf Unternehmen, die formal nicht betroffen sind.

Weiterführende Artikel:

• NIS-2-Richtlinie: Anforderungen, Strafen & Umsetzung
• NIS 2 Richtlinie: Umsetzung Deutschland
• NIS2 Audit: So werden Sie fit für die Prüfung

FAQ: Häufig gestellte Fragen zur NIS2 Compliance

Bis wann müssen Unternehmen NIS2 Compliance nachweisen?

Seit dem 6. Dezember 2025 gelten die Pflichten aus dem novellierten BSI-Gesetz – ohne Übergangsfrist. Die Registrierung beim BSI musste bis zum 6. März 2026 erfolgen, verspätete Registrierungen sind weiterhin möglich. Unternehmen sollten die Umsetzung der technischen und organisatorischen Maßnahmen nach § 30 BSIG nicht aufschieben, da das BSI jederzeit Nachweise einfordern kann.

Welche Rolle spielt die Geschäftsführung bei NIS2?

Die Geschäftsführung ist gesetzlich verpflichtet, die Risikomanagement-Maßnahmen zu genehmigen, deren Umsetzung zu überwachen und an Cybersicherheitsschulungen teilzunehmen. Diese Pflichten sind nicht delegierbar. Bei Versäumnissen drohen persönliche Haftung, Innenhaftungsansprüche und im Extremfall der Entzug der Leitungsfunktion.

Was ist der Unterschied zwischen NIS2 und ISO 27001?

NIS2 ist eine gesetzliche Pflicht mit konkreten Sanktionen, ISO 27001 ein freiwilliger Standard für Informationssicherheitsmanagement. Die Anforderungen überlappen sich in vielen Bereichen – die ENISA-Guidance mappt die NIS2-Maßnahmen explizit auf ISO 27001. Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, haben einen deutlichen Vorsprung bei der NIS2-Umsetzung.

Welche IT-Dokumentation verlangt NIS2 konkret?

§ 30 BSIG fordert eine dokumentierte Umsetzung aller Sicherheitsmaßnahmen. Das umfasst unter anderem: aktuelle IT-Inventare, Netzwerktopologien, Berechtigungsstrukturen, Risikoanalysen, Notfallpläne und Nachweise über durchgeführte Schulungen. All diese Dokumente müssen dem BSI und externen Prüfern auf Anfrage vorgelegt werden können.