In einem Satz. Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) wurde in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt — das Gesetzgebungsverfahren wurde im Oktober 2024 abgeschlossen, das Inkrafttreten erfolgte gestaffelt 2024-2026. Es betrifft schätzungsweise 30.000 bis 40.000 deutsche Unternehmen als “wichtige” oder “besonders wichtige” Einrichtungen, mit Bußgeldern bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen.
Das NIS2UmsuCG bringt deutlich mehr Unternehmen in den Geltungsbereich der EU-Cybersicherheitsregulierung als die ursprüngliche NIS-Richtlinie. Für viele Mittelständler ist dies die erste verbindliche Cybersicherheitspflicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zuständige nationale Behörde — mit Untersuchungs-, Anordnungs- und Sanktionsbefugnissen.
Für verwandte Themen siehe DSGVO Artikel 32 — Sicherheit, DSGVO Bußgelder.
Wichtige Punkte
- NIS2 unterscheidet zwischen besonders wichtigen Einrichtungen (KRITIS, Telekom, Gesundheit, Energie, etc.) und wichtigen Einrichtungen (Post, Lebensmittel, Maschinenbau, Forschung, etc.).
- Schwellenwerte: mittlere/große Unternehmen (≥ 50 MA und ≥ 10 Mio. € Umsatz oder Bilanzsumme) in 18 Sektoren.
- Registrierungspflicht beim BSI binnen 3 Monaten nach Inkrafttreten.
- Maßnahmen aus Artikel 21 NIS2: Risikomanagement, Incident Response, Business Continuity, Lieferkettensicherheit, etc.
- Meldepflichten: 24h Frühwarnung, 72h Erstmeldung, 1 Monat Endbericht.
1. Wer ist betroffen?
NIS2 (umgesetzt durch NIS2UmsuCG) gilt für mittlere und große Unternehmen in 18 Sektoren:
Besonders wichtige Einrichtungen
- Energie (Elektrizität, Gas, Öl, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Finanzen (Banken, Finanzmarktinfrastruktur)
- Gesundheit (Krankenhäuser, EU-anerkannte Pharma)
- Trinkwasser
- Abwasser
- Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
- IKT-Dienstleistungen (B2B-Management)
- Öffentliche Verwaltung
- Raumfahrt
Wichtige Einrichtungen
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie
- Lebensmittelproduktion und -vertrieb
- Maschinenbau (B2B)
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung
Schwellenwerte
Generell: mittlere Unternehmen (≥ 50 MA und ≥ 10 Mio. € Umsatz) und große Unternehmen (≥ 250 MA und ≥ 50 Mio. € Umsatz). Bestimmte kritische Anbieter unabhängig von Größe.
2. Hauptpflichten (NIS2UmsuCG)
Risikomanagement (Artikel 21 NIS2)
Mindestens 10 technische, betriebliche und organisatorische Maßnahmen:
- Risikoanalyse und Sicherheit der Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs (Backup, Disaster Recovery, Krisenmanagement)
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung
- Konzepte zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen
- Grundlegende Cyberhygiene und Schulungen
- Konzepte zur Verwendung von Kryptografie
- Personalsicherheit, Zugangskontrollen, Anlagenmanagement
- Multi-Faktor-Authentifizierung, kontinuierliche Authentifizierung, gesicherte Sprach-/Video-/Textkommunikation
Meldepflichten
| Ereignis | Frist |
|---|---|
| Frühwarnung (erste Erkenntnisse) | 24 Stunden |
| Erstmeldung (mit ersten Bewertungen) | 72 Stunden |
| Endbericht | 1 Monat |
Registrierungspflicht
Betroffene Einrichtungen müssen sich beim BSI registrieren — binnen 3 Monaten nach Inkrafttreten / nach Eintreten in den Geltungsbereich.
Lieferkettensicherheit
Risikomanagement muss Lieferanten- und Dienstleisterbeziehungen abdecken — Cloud-Anbieter, IKT-Dienstleister, kritische Hardware.
3. Wesentliche Fristen 2024-2026
| Datum | Ereignis |
|---|---|
| Oktober 2024 | EU-Frist für nationale Umsetzung |
| 2024 | NIS2UmsuCG-Gesetzgebung in Deutschland abgeschlossen |
| Anfang 2025 | Inkrafttreten zentraler Bestimmungen |
| Mitte 2025 | Registrierungsfrist für die meisten Einrichtungen |
| 2026 | Erste BSI-Prüfungen und Vollzugsmaßnahmen |
| 2027 | EU-weite Überprüfung der Umsetzung |
4. BSI als zuständige Behörde
Das Bundesamt für Sicherheit in der Informationstechnik:
- Empfängt Registrierungen und Meldungen
- Führt Prüfungen und Audits durch
- Erlässt Anordnungen
- Verhängt Bußgelder
- Veröffentlicht Mindeststandards und Leitlinien (z. B. IT-Grundschutz, KRITIS-Anforderungen)
5. Sanktionen
| Einrichtung | Maximales Bußgeld |
|---|---|
| Besonders wichtige Einrichtungen | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
Zusätzlich:
- Anordnungen zur Mangelbehebung
- Verbot von Verarbeitungstätigkeiten
- Veröffentlichung der Verstöße
- Persönliche Verantwortlichkeit der Geschäftsleitung (NIS2 Absatz 41)
6. Schnittstelle DSGVO ↔ NIS2
NIS2 und DSGVO überlappen sich bei der Cybersicherheit:
| Pflicht | DSGVO | NIS2 |
|---|---|---|
| Sicherheit der Verarbeitung | Artikel 32 | Artikel 21 |
| Vorfallsmeldung | Artikel 33 (72h zum BfDI/Landesbehörde) | 24h Frühwarnung + 72h + Monatsbericht zum BSI |
| Risikobewertung | Artikel 35 (DSFA) | Artikel 21 (Risikomanagement) |
| Lieferkette | Artikel 28 (AVV) | Artikel 21 (Lieferkettensicherheit) |
Ein einziger Sicherheitsvorfall, der personenbezogene Daten betrifft, löst beide Meldepflichten aus — DSGVO (72h zum DSB/BfDI) UND NIS2 (24h Frühwarnung zum BSI). Erforderlich: integrierter Vorfallsreaktions-Workflow.
7. Implementierungs-Checkliste
- ☐ Geltungsbereich überprüfen (Sektor + Schwellenwerte)
- ☐ Registrierung beim BSI binnen 3 Monaten
- ☐ Risikoanalyse durchgeführt und dokumentiert
- ☐ Risikomanagement-Maßnahmen aus 10-Punkte-Katalog implementiert
- ☐ Vorfallsreaktions-Playbook integriert mit 24h/72h/Monat-Fristen
- ☐ Multi-Faktor-Authentifizierung verpflichtend
- ☐ Lieferanten-Cybersicherheit dokumentiert
- ☐ Mitarbeiter-Schulungsprogramm
- ☐ Verantwortlichkeit der Geschäftsleitung dokumentiert
- ☐ Verbindung mit DSGVO Artikel 32 + 33 (integrierter Workflow)
8. Werkzeuge
Legiscope integriert NIS2- und DSGVO-Compliance: gemeinsames Risikomanagement, einheitlicher Vorfallsreaktions-Workflow mit 24h/72h-Fristen für beide Regime, integrierte Lieferanten-Audits.
Für verwandte Themen: DSGVO Artikel 32 Sicherheit, Datenpanne melden DSGVO, Auftragsverarbeitung DSGVO.
Fazit
NIS2 ist die größte regulatorische Verschiebung im Cyberbereich für deutsche Unternehmen seit Einführung der DSGVO. Tausende mittelständische Unternehmen müssen erstmals ein dokumentiertes Cybersicherheits-Programm aufbauen. Die Integration mit DSGVO-Workflows ist nicht optional — sie ist die einzige skalierbare Art, beide Regime parallel zu erfüllen.
FAQ
Was ist das NIS2UmsuCG?
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz — die deutsche Umsetzung der EU NIS2-Richtlinie (2022/2555). Die Gesetzgebung wurde 2024 abgeschlossen und tritt gestaffelt 2024-2026 in Kraft.
Welche Unternehmen sind von NIS2 in Deutschland betroffen?
Schätzungsweise 30.000-40.000. Mittlere/große Unternehmen (≥ 50 MA und ≥ 10 Mio. € Umsatz) in 18 Sektoren — Energie, Verkehr, Gesundheit, Finanzen, IKT-Dienstleistungen, digitale Infrastruktur, Forschung, Lebensmittel, Maschinenbau, etc.
Welche Fristen gelten für Vorfallsmeldungen unter NIS2?
24 Stunden Frühwarnung, 72 Stunden Erstmeldung, 1 Monat Endbericht — an das BSI. Bei personenbezogenen Daten zusätzlich 72h Meldung an die DSGVO-Aufsichtsbehörde (BfDI/Landesbehörde).
Wie hoch sind die NIS2-Bußgelder?
Für besonders wichtige Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. Für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % des Umsatzes. Plus persönliche Verantwortlichkeit der Geschäftsleitung.
Was ist die Verbindung zwischen NIS2 und DSGVO?
Beide regulieren Sicherheit (NIS2 Artikel 21 und DSGVO Artikel 32) und Vorfallsmeldung. Ein Sicherheitsvorfall, der personenbezogene Daten betrifft, löst beide Meldepflichten aus — integrierter Workflow ist essenziell.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial