Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) setzt die EU-Richtlinie 2022/2555 (NIS-2) in deutsches Recht um und erweitert das Bundesgesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Es betrifft rund 30.000 deutsche Unternehmen in 18 Sektoren — verpflichtet sie zu konkreten Sicherheitsmaßnahmen, einer dreistufigen Incident-Meldung (24 Std. / 72 Std. / 1 Monat) und persönlicher Haftung der Geschäftsleitung. Geldbußen erreichen 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes — wobei der höhere Betrag gilt.
Kerntatsachen
- Das NIS2UmsuCG erweitert den Anwendungsbereich des bisherigen BSI-Gesetzes von ca. 4.500 KRITIS-Betreibern auf rund 30.000 Unternehmen in 18 Sektoren.
- Anlage 1 (wesentliche Einrichtungen) und Anlage 2 (wichtige Einrichtungen) lösen die alten KRITIS-Schwellen ab.
- Meldepflichten: Frühwarnung in 24 Std., vollständige Meldung in 72 Std., Abschlussbericht in 1 Monat — an das BSI über das einheitliche Melde- und Lageportal.
- Persönliche Haftung der Geschäftsleitung: bis zu zeitweise Untersagung der Leitungsfunktion bei Verstößen.
- Geldbußen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen — der höhere Betrag gilt.
- Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) — sektorspezifisch ergänzt durch BaFin (Finanzsektor) und BNetzA (Telekommunikation, Energie).
Inhalt
- Was ist NIS-2 und wozu das NIS2UmsuCG?
- Vom BSIG-2.0 zum NIS-2-Umsetzungsgesetz
- Wer ist betroffen — Anlage 1 vs. Anlage 2
- Pflichten nach § 30 BSIG-neu
- Meldepflichten — die 24/72/30-Regel
- Geschäftsleitungspflichten und persönliche Haftung
- Bußgelder und Sanktionen
- Umsetzung in 6 Schritten
- NIS-2 vs. DSGVO — Abgrenzung und Synergien
- NIS-2 vs. KRITIS-Dachgesetz
- Zeitplan der Umsetzung
Was ist NIS-2 und wozu das NIS2UmsuCG?
NIS-2 (Network and Information Security Directive 2 — Richtlinie (EU) 2022/2555) ist der EU-weite Rahmen für Cyber Security, der am 14. Dezember 2022 verabschiedet und am 16. Januar 2023 in Kraft getreten ist. Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) setzt diese Richtlinie in deutsches Recht um — durch eine umfassende Novellierung des BSI-Gesetzes (BSIG) und Folgeänderungen in mehreren Fachgesetzen (TKG, EnWG, BSIG, IT-SiG).
NIS-2 bringt gegenüber der ursprünglichen NIS-Richtlinie aus 2016 (in Deutschland im IT-Sicherheitsgesetz 2.0 umgesetzt) erhebliche Verschärfungen:
- Erweiterter Anwendungsbereich — 18 Sektoren statt bisher rund 7
- Strengere Pflichten — konkrete Mindestmaßnahmen in zehn Risikomanagement-Bereichen
- Höhere Bußgelder — orientiert am DSGVO-Modell (bis 2 % des weltweiten Umsatzes)
- Lieferkette — erstmals explizite Pflichten zum Lieferanten- und Drittanbieter-Risikomanagement
- Kürzere Meldefristen — 24 Std. Frühwarnung (vorher 72 Std.)
- Persönliche Verantwortung der Leitung — Mitglieder der Geschäftsleitung können persönlich haftbar gemacht werden
Kennzahl
Das BSI rechnet mit einer Erweiterung des Adressatenkreises von rund 4.500 KRITIS-Betreibern auf etwa 29.500 Unternehmen — eine Versechsfachung. Schätzungen aus dem Bundestags-Drucksachenverfahren liegen je nach Branchenstruktur in einer Bandbreite von 27.000 bis 32.000 Einrichtungen.
Vom BSIG zum NIS-2-Umsetzungsgesetz
Die NIS-Richtlinie aus 2016 war Deutschlands erstes Cyber-Security-Bundesgesetz, umgesetzt durch das IT-Sicherheitsgesetz 2.0 (2021) und das BSIG. Sie hatte jedoch wesentliche Schwächen — uneinheitliche Anwendung in den EU-Mitgliedstaaten, zu enger Adressatenkreis und unzureichende Sanktionen.
Parallel verschärfte sich die Bedrohungslage dramatisch:
Ransomware-Welle. Angriffe auf das Universitätsklinikum Düsseldorf (2020), die Funke-Mediengruppe (2020) und den Anhalt-Bitterfeld-Landkreis (2021) demonstrierten Verletzlichkeit auch im Mittelstand und der öffentlichen Verwaltung.
Lieferketten-Angriffe. Der SolarWinds-Vorfall (2020) machte deutlich, dass die Kompromittierung eines einzigen Lieferanten Tausende von Unternehmen gefährden kann.
Geopolitischer Kontext. Der Krieg in der Ukraine und die hybriden Bedrohungen gegen die NATO-Infrastruktur erhöhten den Druck auf Energieversorger, Telekommunikation und Wassersektor.
Uneinheitliche Umsetzung. Die unterschiedlichen Umsetzungsstandards in den EU-Mitgliedstaaten schufen Sicherheitslücken — Angreifer wählten gezielt das schwächste Glied.
Schlüsselindikatoren der Bedrohungslage
152 % — Anstieg der Ransomware-Angriffe in den vergangenen fünf Jahren (BSI Lagebericht 2024)
18 — Anzahl der von NIS-2 erfassten Sektoren (mehr als doppelt so viele wie unter NIS-1)
24 Std. — Neue Frist für Frühwarnung bei Sicherheitsvorfällen
10 Mio. EUR — Maximalbußgeld für wesentliche Einrichtungen
Wer ist betroffen — Anlage 1 vs. Anlage 2
Das NIS2UmsuCG ersetzt die bisherige KRITIS-Logik durch zwei neue Kategorien:
Wesentliche Einrichtungen (Anlage 1)
Sektoren mit hoher Kritikalität — wesentliche Einrichtungen unterliegen proaktiver (ex-ante) Aufsicht durch das BSI, also regelmäßigen Prüfungen ohne konkreten Anlass.
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Erdöl, Gas, Wasserstoff, Fernwärme |
| Verkehr | Luft-, Schienen-, Schiffs-, Straßenverkehr |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, EU-Referenzlabore, Pharma-F&E, Hersteller von Arzneimitteln |
| Trinkwasser | Wasserversorger, -verteiler |
Wichtige Einrichtungen (Anlage 2)
Weitere kritische Sektoren — wichtige Einrichtungen unterliegen reaktiver (ex-post) Aufsicht, also Prüfungen anlässlich konkreter Hinweise oder Vorfälle.
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Post-, Paket- und Kurierdienstleister |
| Abfallwirtschaft | Entsorgungsunternehmen |
| Chemische Industrie | Herstellung, Produktion, Vertrieb von Chemikalien |
| Lebensmittel | Großhandel, industrielle Produktion, Verarbeitung |
| Verarbeitendes Gewerbe | Medizinprodukte, IVDs, Computer/Elektronik/Optik, Elektrische Ausrüstungen, Maschinen, Kraftwagen, sonstige Fahrzeuge |
| Digitale Anbieter | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
Größenkriterien — die "Size-Cap-Rule"
Grundsätzlich gilt: Eine Einrichtung fällt unter NIS-2, wenn sie in einem der Sektoren tätig ist und mindestens mittlere Unternehmensgröße erreicht:
- Wesentliche Einrichtung (Anlage 1): Großunternehmen — ab 250 Mitarbeitenden oder Jahresumsatz über 50 Mio. EUR und Jahresbilanzsumme über 43 Mio. EUR
- Wichtige Einrichtung (Anlage 2): Mittlere Unternehmen — ab 50 Mitarbeitenden oder Jahresumsatz über 10 Mio. EUR und Jahresbilanzsumme über 10 Mio. EUR
Ausnahmen — automatisch wesentliche Einrichtungen unabhängig von der Größe
Bestimmte Anbieter sind unabhängig von ihrer Größe wesentliche Einrichtungen:
- Qualifizierte Vertrauensdiensteanbieter (eIDAS)
- TLD-Registries und DNS-Diensteanbieter
- Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste (sofern mittlere Unternehmensgröße erreicht)
- Einrichtungen der Bundesverwaltung
Hinweis zur Selbstklassifizierung
Das NIS2UmsuCG verlangt eine Selbstklassifizierung durch die betroffenen Einrichtungen — es gibt keine behördliche Bestimmung. Unternehmen müssen eigenständig prüfen, ob sie unter Anlage 1 oder 2 fallen, und sich beim BSI registrieren. Eine fehlende oder fehlerhafte Selbstregistrierung ist bußgeldbewehrt.
Nutzen Sie unseren kostenlosen NIS-2 Anwendbarkeits-Prüfer zur Erstklassifizierung Ihres Unternehmens.
Pflichten nach § 30 BSIG-neu
Wesentliche und wichtige Einrichtungen müssen technische, organisatorische und personelle Maßnahmen ergreifen, um Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen. Die zehn Mindestbereiche entsprechen Art. 21 NIS-2 und sind in § 30 BSIG-neu für Deutschland normiert:
- Konzepte für die Risikoanalyse und für Sicherheit von Informationssystemen
- Bewältigung von Sicherheitsvorfällen — Erkennung, Reaktion, Wiederherstellung
- Aufrechterhaltung des Geschäftsbetriebs — Backup, Disaster Recovery, Krisenmanagement
- Sicherheit der Lieferkette — einschließlich sicherheitsbezogener Aspekte der Beziehungen zu Lieferanten und Diensteanbietern
- Sicherheit bei Beschaffung, Entwicklung und Wartung der Netz- und Informationssysteme
- Verfahren zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen
- Cyber-Hygiene und Schulungen für Mitarbeitende
- Kryptographie und Verschlüsselung soweit angemessen
- Personalsicherheit, Zugriffskontrolle, Asset Management
- Multi-Faktor-Authentifizierung (MFA) und gesicherte Sprach-, Video- und Textkommunikation
Konkretisierung durch BSI-Standards
Der BSI-Grundschutz und die ISO/IEC 27001 sind die anerkannten Frameworks, mit denen sich die zehn Bereiche operativ umsetzen lassen. Das BSI plant eine konkretisierende Verwaltungsvorschrift, in der die Anforderungen pro Sektor und Größenklasse näher beschrieben werden.
ISO 27001 vorhanden?
Ein bestehendes ISMS nach ISO/IEC 27001 deckt etwa 70–80 % der NIS-2-Pflichten zum Risikomanagement ab. Lücken bestehen typischerweise bei: Lieferketten-Sicherheit, Geschäftsleitungspflichten, Meldepflichten an das BSI und Cyber-Hygiene-Schulungen. Eine Gap-Analyse zeigt, welche Module ergänzt werden müssen.
Meldepflichten — die 24/72/30-Regel
NIS-2 führt ein dreistufiges Meldesystem ein, das deutlich strenger ist als unter NIS-1:
| Stufe | Frist | Inhalt | Empfänger |
|---|---|---|---|
| Frühwarnung | 24 Std. | Erste Information — wahrscheinliche Ursache, mögliche grenzüberschreitende Auswirkungen | BSI (Melde- und Lageportal) |
| Vorfallmeldung | 72 Std. | Aktualisierte Bewertung — Schweregrad, Auswirkungen, Indicators of Compromise (IOCs) | BSI |
| Abschlussbericht | 1 Monat | Detaillierte Ursachenanalyse, ergriffene Maßnahmen, grenzüberschreitende Auswirkungen |
Die Frist beginnt mit Kenntnis von einem erheblichen Sicherheitsvorfall — nicht mit Abschluss der internen Untersuchung.
Was ist ein "erheblicher Sicherheitsvorfall"?
Ein Vorfall ist erheblich, wenn er
- eine schwerwiegende Betriebsstörung der Dienste oder einen finanziellen Schaden verursachen kann oder
- andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigen kann.
Die Konkretisierung erfolgt über sektorale Schwellen, die das BSI in einer Verwaltungsvorschrift festlegen wird.
Goldene Regel
Im Zweifel melden. Eine unterlassene Meldung eines erheblichen Vorfalls ist bußgeldbewehrt — eine Meldung, die sich nachträglich als nicht meldepflichtig erweist, hat hingegen keine negativen Konsequenzen. Lieber eine zu viele als eine zu wenige.
Parallelmeldung bei Datenpannen
Wenn ein Sicherheitsvorfall gleichzeitig eine Datenschutzverletzung im Sinne der DSGVO darstellt (z. B. Ransomware mit Datenexfiltration), muss er doppelt gemeldet werden:
- An das BSI — innerhalb von 24/72 Std. nach NIS-2
- An die zuständige Datenschutzaufsichtsbehörde (BfDI bei Bundesangelegenheiten oder LfDI für die Privatwirtschaft) — innerhalb von 72 Std. nach Art. 33 DSGVO
- Gegebenenfalls an die Betroffenen — bei hohem Risiko nach Art. 34 DSGVO
Die Meldungen sind inhaltlich nicht identisch — die DSGVO-Meldung fokussiert auf Auswirkungen für betroffene Personen, die NIS-2-Meldung auf operative Auswirkungen und Cyber-Lage.
Geschäftsleitungspflichten und persönliche Haftung
Das NIS2UmsuCG verlagert die Cyber-Security-Verantwortung explizit auf die oberste Leitungsebene. § 38 BSIG-neu verpflichtet die Geschäftsleitung dazu,
- die Risikomanagement-Maßnahmen zu billigen und ihre Umsetzung zu überwachen,
- regelmäßige Schulungen zu Cyber-Risiken zu absolvieren,
- eine den Risiken angemessene Mittelausstattung sicherzustellen und
- persönlich für Verstöße der Einrichtung haftbar gemacht zu werden.
Was bedeutet "persönliche Haftung"?
- Bußgelder gegen die Geschäftsleitung persönlich sind nach dem NIS2UmsuCG zwar nicht direkt vorgesehen — die Bußgelder treffen die Einrichtung. Doch:
- Innenhaftung — die Geschäftsleitung haftet gegenüber der Gesellschaft nach §§ 43 GmbHG bzw. 93 AktG bei Verletzung der Sorgfaltspflichten. Cyber-Security ist eine Compliance-Pflicht der Leitung.
- Zeitweise Untersagung der Leitungsfunktion — § 65 BSIG-neu ermöglicht dem BSI, auf Antrag bei wiederholten und schwerwiegenden Verstößen die Untersagung der Leitungsfunktion bei der jeweiligen Einrichtung anzuordnen.
Konsequenz für Vorstände und Geschäftsführer
Cyber-Security ist nun ausdrücklich Chefsache. Die Befassung der Geschäftsleitung — Schulung, Beschluss über Risikoakzeptanz, Freigabe der Maßnahmen — ist dokumentationspflichtig. Ohne Nachweise droht die persönliche Sorgfaltspflicht-Haftung. D&O-Versicherungen sollten geprüft und ggf. angepasst werden.
Bußgelder und Sanktionen
Das NIS2UmsuCG sieht ein zweistufiges Bußgeldsystem vor:
| Verstoß | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Maximalbußgeld | 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (höherer Wert) | 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes (höherer Wert) |
| Beispiele | Verletzung der Risikomanagement-Pflichten, fehlende Meldung eines erheblichen Vorfalls | Geringere Pflichtverletzungen, fehlende Registrierung |
Weitere Sanktionen neben Bußgeldern
- Anordnungen zur Behebung von Mängeln (§ 64 BSIG-neu)
- Veröffentlichung der Verstöße — Reputationsschaden
- Zeitweise Untersagung der Leitungsfunktion — bei wiederholten schwerwiegenden Verstößen
- Verbindliche Verwaltungsanweisungen zur Umsetzung konkreter Maßnahmen
Ein realistischer Bußgeld-Korridor für mittelgroße deutsche Unternehmen liegt zwischen 50.000 EUR und 5 Mio. EUR je nach Schwere und Vorgeschichte. Die DSGVO-Bußgeldspruchpraxis der BfDI und der Landesdatenschutzbehörden gibt einen Anhaltspunkt für die zu erwartende Aufsichtspraxis.
Umsetzung in 6 Schritten
Schritt 1: Anwendbarkeitsprüfung (Gap Assessment)
- Klären, ob die Einrichtung in den Anwendungsbereich von Anlage 1 oder 2 fällt
- Größenklassifizierung (Mitarbeitende, Umsatz, Bilanzsumme) prüfen
- Selbstregistrierung beim BSI vorbereiten
- Aktuelles Cyber-Security-Niveau analysieren (Soll-Ist-Abgleich gegen die zehn Pflichtbereiche)
Schritt 2: Governance-Rahmen aufbauen
- Rollen und Verantwortlichkeiten definieren (CISO, ISO 27001-Beauftragter, Geschäftsleitung)
- Geschäftsleitung formal einbinden — Beschlussfassung über Risikoakzeptanz, regelmäßige Berichterstattung
- Schulungsprogramm für die Leitung etablieren (Pflicht nach § 38 BSIG-neu)
- Cyber-Security-Komitee oder -Steuerungskreis aufsetzen
Schritt 3: Risikomanagement etablieren
- Schutzbedarfsfeststellung der relevanten Geschäftsprozesse
- Identifikation kritischer Assets und Datenflüsse
- Maßnahmen zur Risikominderung definieren — orientiert an BSI-Grundschutz-Bausteinen oder ISO 27002
- Restrisiko durch die Geschäftsleitung dokumentiert akzeptieren
Schritt 4: Technische Maßnahmen
- Multi-Faktor-Authentifizierung (MFA) für privilegierte Zugriffe und kritische Systeme
- Verschlüsselung für Daten in Übertragung und Speicherung
- Detection and Response (SIEM, EDR, ggf. SOC) — eigen- oder fremdbetrieben
- Backup-Strategie mit getesteter Wiederherstellung (3-2-1-Regel)
- Patch- und Schwachstellenmanagement als kontinuierlicher Prozess
Schritt 5: Vorfallmanagement und Meldekette
- Incident-Response-Plan dokumentieren
- Kommunikationskette zum BSI definieren — wer meldet wann, in welchem Format
- Meldevorlagen für die drei Stufen (24h, 72h, 1 Monat) vorbereiten
- Regelmäßige Tabletop-Übungen mit der Geschäftsleitung
- Parallel-Meldekette zur Datenschutzaufsicht (Art. 33 DSGVO) abstimmen
Schritt 6: Lieferketten-Risikomanagement
- Kritische Lieferanten und IKT-Drittanbieter identifizieren
- Sicherheitsanforderungen vertraglich verankern (z. B. AVV, Cyber-Anlagen, Auditrechte)
- Laufendes Monitoring der Lieferanten-Compliance
- Notfallpläne für Ausfall kritischer Lieferanten
NIS-2 vs. DSGVO — Abgrenzung und Synergien
| Aspekt | DSGVO | NIS-2 / NIS2UmsuCG |
|---|---|---|
| Schutzgut | Personenbezogene Daten | Netz- und Informationssysteme |
| Anwendungsbereich | Jede Verarbeitung personenbezogener Daten | Definierte Sektoren ab mittlerer Unternehmensgröße |
| Maximalbußgeld | 20 Mio. EUR oder 4 % | 10 Mio. EUR oder 2 % |
| Meldefrist | 72 Std. (Art. 33 DSGVO) | 24 Std. + 72 Std. + 1 Monat |
Schnittpunkte in der Praxis
- Datenpannen mit Cyber-Ursache (Ransomware, Hacks) — Doppelmeldepflicht an Datenschutzaufsicht und BSI
- Sicherheit der Verarbeitung (Art. 32 DSGVO) — viele technische Maßnahmen sind identisch (MFA, Verschlüsselung, Zugriffskontrolle)
- Auftragsverarbeitung (Art. 28 DSGVO) und Lieferketten-Sicherheit (NIS-2) — vertragliche Anforderungen lassen sich integriert formulieren
- Schulungspflichten — DSGVO-Awareness und NIS-2-Cyber-Hygiene können in einem Programm gebündelt werden
NIS-2 vs. KRITIS-Dachgesetz
Parallel zur Umsetzung von NIS-2 entsteht in Deutschland das KRITIS-Dachgesetz (KRITIS-DachG), das die EU-Richtlinie 2022/2557 (CER-Richtlinie) umsetzt. Es regelt die physische Resilienz kritischer Einrichtungen (Schutz vor Naturkatastrophen, Sabotage, Terror).
Während NIS-2 die digitale Sicherheit adressiert, fokussiert das KRITIS-Dachgesetz auf physische Robustheit. Beide Gesetze betreffen weitgehend dieselben Sektoren — Energie, Verkehr, Gesundheitswesen, Trinkwasser, Digital, Finanz, Lebensmittel, öffentliche Verwaltung. Für Betreiber kritischer Anlagen bestehen daher kombinierte Pflichten zur digitalen und physischen Resilienz.
Eine integrierte Resilienzstrategie verbindet NIS-2-Maßnahmen mit den KRITIS-DachG-Anforderungen — Doppelarbeit lässt sich vermeiden, wenn Risikoanalyse, Notfallplanung und Lieferketten-Management gemeinsam aufgesetzt werden.
Zeitplan der Umsetzung
| Datum | Ereignis |
|---|---|
| 14. Dezember 2022 | Verabschiedung der NIS-2-Richtlinie (EU 2022/2555) |
| 16. Januar 2023 | Inkrafttreten der NIS-2-Richtlinie auf EU-Ebene |
| 17. Oktober 2024 | Frist zur nationalen Umsetzung in den EU-Mitgliedstaaten |
| Voraussichtlich 2025 | Inkrafttreten des deutschen NIS2UmsuCG (Ratifizierung im laufenden Gesetzgebungsverfahren) |
| +3 Monate ab Inkrafttreten | Frist zur Selbstregistrierung beim BSI |
| +18 Monate ab Inkrafttreten | Operative Erfüllung der Risikomanagement-Pflichten |
Hinweis zum Stand der nationalen Umsetzung
Deutschland hat die EU-Frist zur Umsetzung (17. Oktober 2024) verfehlt. Das NIS2UmsuCG befindet sich im parlamentarischen Verfahren — der genaue Inkrafttretenszeitpunkt wird laufend aktualisiert. Unabhängig vom nationalen Inkrafttreten haben NIS-2-Pflichten unmittelbare Geltungswirkung für Einrichtungen, sobald sie unter den Anwendungsbereich fallen — Vorbereitungen sollten nicht aufgeschoben werden.
Häufig gestellte Fragen
Ist mein Unternehmen vom NIS-2-Umsetzungsgesetz betroffen?
Wenn Sie in einem der 18 Sektoren tätig sind und mindestens 50 Mitarbeitende oder einen Jahresumsatz über 10 Mio. EUR haben, wahrscheinlich ja. Bestimmte Anbieter (DNS, TLD, qualifizierte Vertrauensdienste) sind unabhängig von der Größe wesentliche Einrichtungen. Eine Erstklassifizierung leistet unser NIS-2 Anwendbarkeits-Prüfer.
Was ist die Frist für die Umsetzung in Deutschland?
Die EU-Frist zur nationalen Umsetzung war der 17. Oktober 2024. Das deutsche NIS2UmsuCG befindet sich im parlamentarischen Verfahren. Unternehmen sollten die Vorbereitungen jedoch nicht aufschieben — der Aufbau eines konformen ISMS dauert typischerweise 6–12 Monate.
Kann ich mein bestehendes ISO 27001-ISMS nutzen?
Ein bestehendes ISMS nach ISO/IEC 27001 deckt rund 70–80 % der NIS-2-Anforderungen zum Risikomanagement ab. Lücken bestehen meist bei Lieferketten-Sicherheit, Meldepflichten, Geschäftsleitungspflichten und Cyber-Hygiene-Schulungen. Eine Gap-Analyse identifiziert die zu ergänzenden Bereiche.
Wie wirkt sich NIS-2 auf meine Lieferanten aus?
Wesentliche und wichtige Einrichtungen müssen die Sicherheit ihrer Lieferkette aktiv steuern — Risikobewertung der Lieferanten, vertragliche Sicherheitsklauseln, laufendes Monitoring. Lieferanten von NIS-2-pflichtigen Unternehmen werden typischerweise mit erweiterten Sicherheitsanforderungen konfrontiert sein, auch wenn sie selbst nicht direkt unter den Anwendungsbereich fallen.
Wer überwacht die Einhaltung in Deutschland?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichtsbehörde. In bestimmten Sektoren ergänzen sektorspezifische Aufsichten — die BaFin im Finanzsektor (parallel zu DORA), die Bundesnetzagentur (BNetzA) bei Telekommunikation und Energie. Die Datenschutzaufsicht (BfDI / Landesdatenschutzbehörden) bleibt für Datenpannen zuständig.
Welche Kosten muss ich einplanen?
Die Umsetzung des NIS-2-Pflichtenkanons in einem mittleren Unternehmen (250–500 Mitarbeitende) liegt typischerweise bei 80.000–250.000 EUR im ersten Jahr — abhängig von der Ausgangslage und vorhandenen Sicherheitsmaßnahmen. Laufende Kosten (Audit, Schulung, Detection and Response) ab 30.000 EUR jährlich.
Was, wenn ich die Pflichten nicht rechtzeitig erfülle?
Verstöße werden mit Bußgeldern bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes (wesentliche Einrichtungen) geahndet. Daneben drohen Anordnungen, Veröffentlichung der Verstöße und im Extremfall die zeitweise Untersagung der Leitungsfunktion.
Fazit
Das NIS-2-Umsetzungsgesetz markiert einen Paradigmenwechsel im deutschen Cyber-Security-Recht. Für rund 30.000 Unternehmen in 18 Sektoren wird die Cyber-Security zur regulatorischen Pflicht — verbunden mit konkreten Mindeststandards, Meldepflichten und persönlicher Haftung der Geschäftsleitung.
Strategische Empfehlungen für 2026
- Anwendbarkeit jetzt klären. Die Selbstklassifizierung ist Pflicht — Aufschub erhöht das Bußgeldrisiko.
- Geschäftsleitung einbinden. Cyber-Security ist nun Chefsache und persönlich haftungsrelevant.
- Mit Gap-Analyse beginnen. Aufbau eines konformen ISMS dauert 6–12 Monate — beginnen Sie sofort.
- Lieferanten einbeziehen. Lieferkettensicherheit ist erstmals explizit reguliert — auditieren und vertraglich absichern.
- Dokumentation aufbauen. Nachweise sind das A und O — ohne Dokumentation gilt eine Maßnahme als nicht umgesetzt.
Verwandte Artikel
- ISO 27001 vs. TISAX: Welcher Standard passt für Ihr Unternehmen? — Vergleich und Mapping zur NIS-2-Compliance
- Externer vs. interner Datenschutzbeauftragter: Wann lohnt sich was? — Entscheidungsgrundlagen für die DSB-Bestellung
Brauchen Sie Unterstützung bei der NIS-2-Umsetzung?
Vision Compliance bietet umfassende Leistungen zur Bewertung und Umsetzung der NIS-2-Anforderungen:
- NIS-2-Gap-Analyse — Bewertung der Ausgangslage und Identifikation der Lücken
- Aufbau des Governance-Rahmens — Richtlinien, Verfahrensanweisungen, Geschäftsleitungs-Schulung
- Cyber Security & ISO 27001 — Aufbau eines konformen ISMS
- Vorfallmanagement — Incident-Response-Pläne und 24/72/30-Meldevorlagen
- Lieferantenmanagement — Bewertung und vertragliche Absicherung kritischer Lieferanten
Kostenloses Erstgespräch vereinbaren →
Quellen:
Robert berät Organisationen zu DSGVO, NIS2, EU AI Act und Finanzregulierung — mit auditfähiger Dokumentation und Compliance-Programmen für regulierte Branchen.