In einem Satz. Die deutsche Umsetzung der NIS2-Richtlinie erfolgt über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) als Änderung des BSI-Gesetzes (BSIG) — verspätet, mit Inkrafttreten erst 2025/2026, aber mit klaren Pflichten für wesentliche und wichtige Einrichtungen in 18 Sektoren, Meldepflichten an das BSI, Sanktionen bis €10 Mio. / 2% Weltumsatz und persönlicher Haftung der Geschäftsleitung.
Deutschland verpasste die NIS2-Umsetzungsfrist 17.10.2024 deutlich. Das NIS2UmsuCG wurde 2025 finalisiert und tritt Mitte 2026 in Kraft. Schätzungsweise 30.000+ Unternehmen werden NIS2-pflichtig — vorher unter BSI-Aufsicht nur ~2.000. Das ändert die Cybersicherheits-Landschaft Deutschlands grundlegend. Siehe BSI-Grundschutz.
Wichtige Punkte
- NIS2UmsuCG: deutsche Umsetzung der EU-Richtlinie (EU) 2022/2555.
- Inkrafttreten erwartet Mitte 2026 (Verspätung gegenüber EU-Frist 17.10.2024).
- 18 Sektoren, zwei Kategorien: wesentliche und wichtige Einrichtungen.
- BSI ist nationale Aufsichts- und Meldebehörde.
- Sanktionen bis €10 Mio. oder 2% Weltumsatz, persönliche Geschäftsleiterhaftung.
1. Was ändert NIS2 gegenüber NIS1?
| Aspekt | NIS1 (BSIG alt) | NIS2 (NIS2UmsuCG) |
|---|---|---|
| Betroffene | ~2.000 KRITIS-Betreiber | ~30.000+ Einrichtungen |
| Sektoren | 9 KRITIS-Sektoren | 18 Sektoren |
| Sanktionen | bis €100.000 | bis €10 Mio. / 2% Umsatz |
| Haftung | Unternehmen | + persönliche Geschäftsleiterhaftung |
| Meldewesen | reaktiv | proaktiv + 24h + 72h + 1 Monat |
2. Kategorien nach NIS2UmsuCG
Wesentliche Einrichtungen (essential entities):
- Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit
- Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienste B2B, Öffentliche Verwaltung, Raumfahrt
- ab 250 Mitarbeiter ODER €50 Mio. Umsatz UND €43 Mio. Bilanzsumme
Wichtige Einrichtungen (important entities):
- Post, Abfall, Chemie, Lebensmittel, Verarbeitung, Digitale Anbieter, Forschung
- ab 50 Mitarbeiter ODER €10 Mio. Umsatz
3. Kernpflichten
Nach § 30 BSIG-neu:
- Risikomanagement (Art. 21 NIS2) — Backup, Krypto, Notfallplan, Lieferketten-Sicherheit, MFA, Schwachstellen-Management
- Sicherheitsvorfälle melden an BSI
- Schulung der Leitungsorgane
- Registrierung beim BSI
- Vertragliche Lieferanten-Sicherheit
4. Meldepflichten
Mehrstufig:
| Frist | Inhalt |
|---|---|
| 24 Stunden | Erstmeldung (Frühwarnung) |
| 72 Stunden | Vorfallsmeldung mit Einstufung |
| 1 Monat | Abschlussbericht |
Meldung über BSI-Online-Portal. Bei grenzüberschreitenden Vorfällen Weiterleitung an EU-Stellen.
5. BSI als Aufsicht
Bundesamt für Sicherheit in der Informationstechnik:
- Erlässt Vorgaben (technische Richtlinien)
- Führt Audits durch (proaktive Aufsicht bei wesentlichen Einrichtungen, reaktiv bei wichtigen)
- Empfängt Vorfallsmeldungen
- Verhängt Bußgelder
6. Sanktionen
| Kategorie | Maximalsanktion |
|---|---|
| Wesentliche Einrichtungen | €10 Mio. oder 2% Weltumsatz |
| Wichtige Einrichtungen | €7 Mio. oder 1,4% Weltumsatz |
Persönliche Sanktionen gegen Geschäftsführer möglich (z.B. Untersagung der Geschäftsleitung).
7. Lieferketten-Sicherheit
NIS2 verpflichtet explizit zu Lieferketten-Risikomanagement:
- Sicherheitsbewertung der Lieferanten
- Vertragliche Sicherheitspflichten
- Subdienstleister-Tiefe (mindestens direkter Lieferant)
- Audits durch Eigeneinrichtung oder Zertifizierungen
Cloud: C5 oder ISO 27001 als Mindestnachweis. Siehe BSI C5.
8. Geschäftsleiterhaftung
Neue Verantwortung der Geschäftsleitung:
- Genehmigung von Sicherheitsmaßnahmen
- Überwachung der Umsetzung
- Pflichtschulung zu Cybersicherheit
- Bei Verletzung: Schadensersatz und ggf. Berufsverbot
9. NIS2 und DSGVO
NIS2 und DSGVO Art. 32 verfolgen ähnliche Schutzziele:
- Beide verlangen “Stand der Technik”
- Beide haben 72h-Meldepflicht (DSGVO-Datenpanne, NIS2-Sicherheitsvorfall)
- Parallele Meldungen möglich
Siehe DSGVO Artikel 32 und Datenpanne melden.
10. Implementierungsroadmap
Empfohlene Schritte:
- Selbsteinordnung (wesentlich/wichtig/außerhalb)
- Gap-Analyse gegen BSI 200-2/200-4
- Risikomanagement-Konzept
- Lieferketten-Inventar
- Meldewege etablieren
- Geschäftsleiter-Schulung
- Registrierung beim BSI
Aufwand: 6-18 Monate je nach Reifegrad.
11. Branchenbesonderheiten
| Sektor | Besonderheiten |
|---|---|
| Energie | EnWG + KRITIS-Verordnung parallel |
| Finanzwesen | DORA + NIS2 (DORA hat Vorrang teilweise) |
| Gesundheit | KHZG-Förderung + Patientendaten |
| Digitale Anbieter | Cloud-, RZ-, DNS-Anbieter |
| IKT-Dienste B2B | Managed Service Provider |
12. Tool-Unterstützung
Legiscope bildet NIS2-Pflichten, Risikomanagement-Maßnahmen, Lieferanten-Inventar und Meldeprozesse ab — speziell für deutsche Einrichtungen.
Fazit
NIS2 verfünfzehnfacht den BSI-Aufsichtskreis. Wer bisher “unter dem Radar” der Cybersicherheits-Regulierung war, wird ab 2026 erstmals aufsichtsrelevant. Wer jetzt nicht startet, ist beim ersten Audit unvorbereitet.
FAQ
Wann tritt NIS2UmsuCG in Kraft?
Voraussichtlich Mitte 2026. EU-Frist war 17.10.2024 — Deutschland hat verspätet umgesetzt.
Bin ich NIS2-pflichtig?
Wenn Ihr Unternehmen in einem der 18 Sektoren tätig ist und über den Größenschwellen (50/250 Mitarbeiter oder Umsatz-Schwellen) liegt. Selbsteinordnung nötig.
Was kostet NIS2-Compliance?
Mittelstand 100-500k Euro für Erstaufbau (BSI 200-2/4, Audits, Schulungen). Wesentliche Einrichtungen: deutlich mehr.
Welche Sanktionen drohen?
Bis €10 Mio. oder 2% Weltumsatz für wesentliche Einrichtungen. Plus persönliche Geschäftsleiterhaftung.
Reicht ISO 27001 für NIS2?
Ja als Basis, aber konkrete NIS2-Anforderungen (Lieferketten, Meldung, Schulung) gehen darüber hinaus. Ergänzung nötig.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial