NIS2 in Deutschland: Was Unternehmen jetzt tun müssen

NIS2 ist seit Dezember 2025 in Deutschland in Kraft. Wer betroffen ist, welche Pflichten gelten und welche Sofort-Schritte jetzt anstehen — der Praxis-Leitfaden für den Mittelstand.

Cybersecurity
31. März 2026
13 Min. Lesezeit

Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist die europäische NIS2-Richtlinie seit Dezember 2025 in Deutschland in Kraft. Damit endet eine lange Phase der Unsicherheit — und beginnt für rund 29.500 Unternehmen die Pflicht, ihre Cybersicherheit auf ein gesetzlich definiertes Mindestniveau zu heben. Anders als bei der alten KRITIS-Regulierung trifft NIS2 erstmals breite Teile des Mittelstands: Maschinenbauer, Lebensmittelhersteller, Logistiker, IT-Dienstleister und viele andere, die bisher von Sicherheitsauflagen weitgehend verschont blieben.

Die zentrale Frage lautet für die meisten Unternehmen nicht mehr „Kommt NIS2?", sondern „Sind wir betroffen — und wenn ja, was müssen wir konkret tun?". Dieser Leitfaden beantwortet beides. Er zeigt, wer als wesentliche oder wichtige Einrichtung gilt, welche zehn Mindestmaßnahmen das Gesetz fordert, welche Melde- und Registrierungspflichten greifen, wie die persönliche Haftung der Geschäftsleitung aussieht — und mit welchen Sofort-Schritten Sie jetzt anfangen sollten.

NIS2 Deutschland im Überblick: Was sich geändert hat

NIS2 (Network and Information Security Directive 2) ersetzt die erste NIS-Richtlinie von 2016 und verfolgt ein klares Ziel: ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU. Die deutsche Umsetzung erfolgt durch das NIS2UmsuCG, das im Kern das BSI-Gesetz (BSIG) umfassend novelliert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zuständige Aufsichtsbehörde.

Drei Dinge unterscheiden NIS2 grundlegend von der alten Rechtslage:

  • Deutlich größerer Adressatenkreis. Statt einiger Hundert KRITIS-Betreiber fallen nun rund 29.500 Unternehmen unter die Regelung — quer durch 18 Sektoren.
  • Selbstidentifikation statt Behörden-Bescheid. Unternehmen müssen selbst prüfen, ob sie betroffen sind, und sich aktiv registrieren. Es gibt keine individuelle Benachrichtigung durch die Behörde.
  • Persönliche Verantwortung der Geschäftsleitung. Die Leitungsebene muss Risikomanagementmaßnahmen billigen, überwachen und haftet bei Verstößen persönlich.

Kernbotschaft
NIS2 ist keine reine IT-Angelegenheit mehr. Das Gesetz macht Cybersicherheit zur Chefsache — mit messbaren Pflichten, Fristen und persönlicher Haftung der Geschäftsleitung.

Wer ist betroffen? Wesentliche und wichtige Einrichtungen

NIS2 teilt betroffene Unternehmen in zwei Kategorien ein: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities). Die Einstufung hängt von zwei Faktoren ab — dem Sektor und der Unternehmensgröße.

Die Sektoren (Anhang I und II)

Das Gesetz unterscheidet zwischen Sektoren mit hoher Kritikalität (Anhang I der Richtlinie) und sonstigen kritischen Sektoren (Anhang II).

Sektoren mit hoher Kritikalität (Anhang I):

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Rechenzentren, DNS, TLD-Registries, Cloud, Content Delivery)
  • Verwaltung von IKT-Diensten (Managed Service Provider, Managed Security Service Provider)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren (Anhang II):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Herstellung, Handel)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe / Herstellung (u.a. Medizinprodukte, Datenverarbeitungsgeräte, Maschinenbau, Kraftfahrzeuge)
  • Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Gerade der Sektor „verarbeitendes Gewerbe" zieht viele klassische Mittelständler in den Anwendungsbereich, die sich bislang nicht als reguliert verstanden haben — vom Maschinenbauer bis zum Automobilzulieferer.

Die Größenkriterien

Innerhalb der genannten Sektoren entscheidet die Unternehmensgröße über die Einstufung. Maßgeblich sind Mitarbeiterzahl, Jahresumsatz und Bilanzsumme:

  • Wesentliche Einrichtung: ab 250 Mitarbeitenden ODER mehr als 50 Mio. EUR Jahresumsatz UND mehr als 43 Mio. EUR Bilanzsumme (in Sektoren mit hoher Kritikalität).
  • Wichtige Einrichtung: ab 50 Mitarbeitenden ODER mehr als 10 Mio. EUR Jahresumsatz UND mehr als 10 Mio. EUR Bilanzsumme.

Konkret bedeutet das: Ein mittelständisches Unternehmen mit 60 Beschäftigten und 12 Mio. EUR Umsatz in einem der genannten Sektoren ist in aller Regel als wichtige Einrichtung betroffen. Die Schwelle liegt also deutlich niedriger, als viele annehmen.

Sonderfälle: Betroffen unabhängig von der Größe

Einige Einrichtungstypen fallen unabhängig von ihrer Größe unter NIS2 — die Größenschwellen gelten für sie nicht. Dazu zählen unter anderem qualifizierte Vertrauensdiensteanbieter, TLD-Name-Registries, DNS-Diensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze sowie bestimmte Teile der öffentlichen Verwaltung. Auch wenn eine Einrichtung der einzige Anbieter eines kritischen Dienstes in Deutschland ist, kann sie unabhängig von der Größe erfasst sein.

Praxis-Tipp
Verlassen Sie sich nicht auf den Bauchgefühl-Eindruck „Wir sind zu klein". Prüfen Sie Sektor und Größenkriterien systematisch. Eine strukturierte Selbsteinschätzung finden Sie in unserer NIS2-Checkliste: Ist Ihr Unternehmen betroffen? — oder machen Sie direkt den interaktiven NIS2-Betroffenheits-Check.

Die 10 Mindestmaßnahmen nach Art. 21

Das Herzstück von NIS2 sind die Risikomanagementmaßnahmen aus Artikel 21 der Richtlinie, die das BSIG für Deutschland verbindlich macht. Betroffene Unternehmen müssen geeignete, verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu beherrschen. Das Gesetz nennt dafür einen Mindestkatalog von zehn Bereichen:

  1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme — die Basis jedes Sicherheitsmanagements.
  2. Bewältigung von Sicherheitsvorfällen (Incident Handling) — Erkennung, Reaktion, Wiederherstellung.
  3. Aufrechterhaltung des Betriebs, etwa durch Backup-Management, Notfallwiederherstellung (Disaster Recovery) und Krisenmanagement.
  4. Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zu Lieferanten und Dienstleistern.
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenmanagement.
  6. Bewertung der Wirksamkeit der Risikomanagementmaßnahmen — also Konzepte und Verfahren, um zu messen, ob die Maßnahmen tatsächlich greifen.
  7. Grundlegende Cyberhygiene und Schulungen im Bereich der Cybersicherheit.
  8. Kryptografie und Verschlüsselung — Konzepte für den Einsatz angemessener kryptografischer Verfahren.
  9. Sicherheit des Personals, Zugriffskontrolle und Asset-Management — wer hat Zugriff worauf, und welche Werte sind zu schützen.
  10. Multi-Faktor-Authentifizierung, gesicherte Kommunikation (Sprache, Video, Text) und gesicherte Notfallkommunikationssysteme.

Diese zehn Punkte sind bewusst als Mindeststandard formuliert. Die konkrete Ausgestaltung muss verhältnismäßig zur Größe, Risikoexposition und Bedeutung des Unternehmens erfolgen. Ein 60-Personen-Betrieb wird hier andere Maßnahmen umsetzen als ein Energieversorger — das Prinzip bleibt aber dasselbe.

Wichtig
Wer bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 betreibt, hat den Großteil dieser zehn Maßnahmen bereits abgedeckt. ISO 27001 ist kein Selbstzweck, sondern der pragmatischste Weg zur NIS2-Konformität. Mehr dazu in unserem Leitfaden ISMS aufbauen: Schritt für Schritt.

Melde- und Registrierungspflichten

Neben den technisch-organisatorischen Maßnahmen führt NIS2 strenge Verfahrenspflichten ein. Sie gliedern sich in zwei Blöcke: die Registrierung beim BSI und die Meldung von Sicherheitsvorfällen.

Registrierungspflicht

Betroffene Unternehmen müssen sich aktiv beim BSI registrieren und dabei unter anderem Name, Anschrift, Sektor, Kontaktdaten und die IP-Adressbereiche angeben. Die Registrierung erfolgt über ein Portal des BSI. Wichtig: Es gibt keinen Bescheid, der Ihnen Ihre Betroffenheit mitteilt — die Pflicht zur Selbstidentifikation und Registrierung liegt vollständig beim Unternehmen.

Meldepflichten bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen in einem dreistufigen Verfahren an das BSI gemeldet werden:

  • Innerhalb von 24 Stunden: eine erste Frühwarnung (early warning). Sie gibt an, ob der Vorfall mutmaßlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob grenzüberschreitende Auswirkungen möglich sind.
  • Innerhalb von 72 Stunden: eine vollständige Meldung des Vorfalls (incident notification) mit einer ersten Bewertung von Schweregrad, Auswirkungen und — soweit bekannt — Kompromittierungsindikatoren.
  • Innerhalb eines Monats: ein Abschlussbericht mit detaillierter Beschreibung, Ursachenanalyse, ergriffenen Abhilfemaßnahmen und Auswirkungen.

Als „erheblich" gilt ein Vorfall insbesondere dann, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht oder andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigen kann. Diese 24/72-Stunden-Logik setzt einen funktionierenden Incident-Response-Prozess voraus — inklusive klarer Verantwortlichkeiten und Eskalationswege. Wer im Ernstfall erst überlegt, wer die Meldung absetzt, verliert wertvolle Stunden.

Geschäftsleitungshaftung: Cybersicherheit wird Chefsache

Eine der schärfsten Neuerungen betrifft die Geschäftsleitung persönlich. Das BSIG verpflichtet die Leitungsorgane betroffener Unternehmen ausdrücklich, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Diese Pflicht lässt sich nicht delegieren — sie bleibt bei der Geschäftsführung beziehungsweise dem Vorstand.

Das hat konkrete Folgen:

  • Persönliche Haftung. Die Leitungsorgane können für Pflichtverletzungen im Zusammenhang mit den Cybersicherheitsmaßnahmen persönlich in die Verantwortung genommen werden.
  • Schulungspflicht. Mitglieder der Geschäftsleitung müssen an Schulungen teilnehmen, um Cybersicherheitsrisiken bewerten zu können.
  • Erhebliche Bußgelder. Bei Verstößen drohen Bußgelder, die sich bei wesentlichen Einrichtungen an einem Prozentsatz des weltweiten Jahresumsatzes orientieren können — vergleichbar mit der Bußgeldsystematik der DSGVO.

Für Geschäftsführer
NIS2 verlagert das Thema endgültig von der IT-Abteilung in die Vorstandsetage. Die Geschäftsleitung kann sich nicht mehr darauf berufen, „das sei Sache der IT". Wer Cybersicherheit nicht aktiv steuert und dokumentiert, riskiert die eigene Haftung.

Konkrete Sofort-Schritte: Was Sie jetzt tun sollten

NIS2 ist in Kraft — Abwarten ist keine Option mehr. Die folgenden Schritte bringen Sie strukturiert in die Konformität, ohne sich zu verzetteln.

1. Betroffenheit feststellen

Prüfen Sie systematisch, ob und in welcher Kategorie Sie betroffen sind: Fällt Ihr Geschäft in einen der Sektoren aus Anhang I oder II? Überschreiten Sie die Größenkriterien? Gibt es Sonderfälle? Halten Sie das Ergebnis schriftlich fest — auch eine begründete Nicht-Betroffenheit sollte dokumentiert sein.

2. Gap-Analyse durchführen

Vergleichen Sie Ihren Ist-Zustand mit den zehn Mindestmaßnahmen. Wo stehen Sie bereits gut da, wo klaffen Lücken? Eine ehrliche Standortbestimmung ist die Grundlage jeder weiteren Planung und verhindert, dass Budget in die falschen Stellen fließt.

3. Registrierung vorbereiten

Stellen Sie die für die BSI-Registrierung erforderlichen Angaben zusammen und benennen Sie eine verantwortliche Kontaktstelle im Unternehmen.

4. Incident-Response-Prozess etablieren

Definieren Sie, wer im Ernstfall welche Rolle hat, wie ein Vorfall als „erheblich" bewertet wird und wer die 24/72-Stunden-Meldungen absetzt. Üben Sie diesen Prozess mindestens einmal durch — etwa in einem Tabletop-Übungsszenario.

5. Geschäftsleitung einbinden und schulen

Bringen Sie die Mindestmaßnahmen zur formellen Billigung in die Geschäftsleitung. Planen Sie eine Schulung für die Leitungsebene und etablieren Sie ein regelmäßiges Management-Reporting zur Cybersicherheit.

6. ISMS als Rahmen aufbauen

Statt die zehn Maßnahmen isoliert abzuarbeiten, empfiehlt sich ein systematischer Rahmen. Ein ISMS — idealerweise an ISO/IEC 27001 angelehnt — deckt die NIS2-Anforderungen strukturiert ab und schafft die Dokumentation, die Sie für den Haftungsnachweis ohnehin brauchen.

Wie welabs Sie bei NIS2 unterstützt

NIS2-Konformität ist für den Mittelstand machbar — vorausgesetzt, sie wird pragmatisch und risikobasiert angegangen statt als bürokratisches Mammutprojekt. welabs übersetzt Konzern-Erfahrung in praxistaugliche Lösungen für mittelständische Unternehmen und begleitet Sie auf dem gesamten Weg:

  • Betroffenheitsanalyse: Wir klären rechtssicher, ob und in welcher Kategorie Sie unter NIS2 fallen, und dokumentieren das Ergebnis prüffest.
  • Gap-Analyse & Roadmap: Wir vergleichen Ihren Ist-Stand mit den zehn Mindestmaßnahmen und leiten einen priorisierten, budgetgerechten Fahrplan ab.
  • Umsetzungsbegleitung: Von Risikomanagement über Incident Response bis Lieferkettensicherheit — wir unterstützen bei der konkreten Implementierung.
  • Strategic Security Advisor (SSA): Als externe Sparringspartner auf Leitungsebene helfen wir der Geschäftsführung, ihre NIS2-Verantwortung aktiv und nachweisbar wahrzunehmen.
  • ISMS-Aufbau: Wir etablieren einen schlanken, auditfähigen Rahmen nach ISO 27001, der NIS2 mit abdeckt.

Eine fundierte Einordnung Ihrer Situation finden Sie auf unserer Seite zu Compliance & ISMS. Für eine erste Standortbestimmung vereinbaren Sie ein unverbindliches Erstgespräch — wir sagen Ihnen ehrlich, wo Sie stehen und was die nächsten Schritte sind.

Fazit

NIS2 ist seit Dezember 2025 in Deutschland geltendes Recht und betrifft mit rund 29.500 Unternehmen erstmals breite Teile des Mittelstands. Wer in einem der erfassten Sektoren tätig ist und die Größenkriterien überschreitet, muss handeln: zehn Mindestmaßnahmen umsetzen, sich beim BSI registrieren, einen funktionierenden Meldeprozess etablieren und die Geschäftsleitung aktiv einbinden — bei persönlicher Haftung der Leitungsebene.

Die gute Nachricht: Keine dieser Anforderungen ist für den Mittelstand unerreichbar. Entscheidend ist, jetzt zu starten und strukturiert vorzugehen, statt in Aktionismus zu verfallen oder das Thema weiter aufzuschieben. Ein risikobasierter, an ISO 27001 angelehnter Ansatz erfüllt die NIS2-Pflichten und macht Ihr Unternehmen tatsächlich sicherer — nicht nur auf dem Papier.

Übersicht Alle Beiträge

Ihr Projekt könnte
das nächste sein

Erzählen Sie uns von Ihrer Idee — wir machen daraus Realität.

Projekt besprechen