Seit dem 6. Dezember 2025 ist es offiziell: Mit der Veröffentlichung im Bundesgesetzblatt ist das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) in Kraft getreten – ohne nennenswerte Übergangsfrist. Die Bundesregierung hat damit die europäische NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) in deutsches Recht überführt und das bestehende BSI-Gesetz grundlegend überarbeitet. Einen Überblick über die Hintergründe gibt die Bundesregierung auf ihrer NIS-2-Informationsseite, den Gesetzgebungsprozess dokumentiert das Bundesinnenministerium auf der Seite zum NIS-2-Umsetzungsgesetz.
Damit ist das, worüber in den letzten Jahren viel gesprochen wurde, jetzt gelebte Realität: Das IT-Sicherheitsrecht in Deutschland wird umfassend modernisiert, der Kreis der regulierten Unternehmen steigt sprunghaft an und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird zur zentralen Aufsichtsbehörde für einen großen Teil der deutschen Wirtschaft.
Für viele mittelständische Unternehmen – gerade im produzierenden Gewerbe, in Logistik, Gesundheits- und Sozialwirtschaft, in IT-Services und der digitalen Infrastruktur – bedeutet das einen Paradigmenwechsel. Cybersicherheit ist nicht mehr „Best Practice“, sondern gesetzliche Pflicht mit Bußgeld- und Haftungsrisiko.
In diesem Beitrag fassen wir für Sie zusammen, was jetzt gilt, wer betroffen ist, welche Pflichten auf Sie zukommen – und wie wir Sie als IT-Dienstleister konkret unterstützen können.
1. Was ist NIS-2 – und was wurde genau beschlossen?
Die NIS-2-Richtlinie ist eine EU-Vorgabe, die ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der gesamten Europäischen Union gewährleisten soll. Sie ersetzt die ursprüngliche NIS-Richtlinie und verschärft insbesondere die Anforderungen an Risikomanagement, Meldepflichten und Aufsicht.
Deutschland setzt diese Vorgaben mit dem „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ um. Die wichtigsten Eckpunkte und Materialien finden sich auf den Seiten der Bundesregierung und des BMI:
- Überblicksartikel der Bundesregierung: „Umsetzung der NIS-2-Richtlinie beschlossen“
- Gesetzgebungsdossier des BMI: NIS-2-Umsetzungsgesetz (NIS2UmsuCG)
Im Kern verfolgt das Gesetz drei Ziele: Erstens soll der Anwendungsbereich deutlich erweitert werden, um mehr Unternehmen zu erfassen. Zweitens werden die technischen und organisatorischen Anforderungen an die Informationssicherheit konkretisiert und angehoben. Drittens werden Aufsichtsbefugnisse und Sanktionen verschärft, um die Einhaltung dieser Anforderungen durchzusetzen.
2. Wer ist betroffen? – Mehr Mittelstand als vielen bewusst ist
Die zentrale Frage vieler Geschäftsleitungen lautet aktuell: „Gilt NIS-2 überhaupt für uns?“
Die NIS-2-Regeln richten sich an sogenannte „wichtige“ und „besonders wichtige Einrichtungen“. Diese Kategorien orientieren sich grundsätzlich an zwei Faktoren: an der Unternehmensgröße und an der Zugehörigkeit zu bestimmten Sektoren.
Als Faustregel gilt: Unternehmen geraten in den Fokus, wenn sie mindestens 50 Mitarbeitende haben oder mindestens 10 Mio. Euro Jahresumsatz und entsprechende Bilanzsummen erreichen. Entscheidend ist außerdem, ob das Unternehmen in einem der im Gesetz benannten Sektoren tätig ist. Dazu gehören unter anderem Energie, Transport und Verkehr, Gesundheitswesen, Trinkwasser und Abwasser, Finanz- und Versicherungswesen, öffentliche Verwaltung, Abfallwirtschaft, Hersteller bestimmter kritischer Produkte sowie digitale Infrastruktur und zahlreiche IT-Dienstleistungen einschließlich Managed Services. Einen guten Überblick zu den erfassten Sektoren bietet die BSI-Themenseite zu NIS-2-regulierten Unternehmen.
Hinzu kommt: In einigen Sektoren gelten Unternehmen größenunabhängig als erfasst, insbesondere bestimmte digitale Dienste und Teile der Telekommunikation, weil sie als besonders systemrelevant eingeschätzt werden.
Für viele mittelständische Unternehmen, die bislang nicht unter die KRITIS-Regelungen fielen, ergibt sich damit zum ersten Mal eine direkte Regulierung durch das BSI – inklusive Registrierungspflichten, Meldepflichten und konkreter Anforderungen an ihr Informationssicherheitsmanagement.
Wenn Sie prüfen möchten, ob Ihr Unternehmen möglicherweise unter NIS-2 fällt, lohnt sich ein Blick auf die offizielle NIS-2-Betroffenheitsprüfung des BSI. Das BSI stellt hierfür ein Online-Tool bereit, das eine erste Orientierung bietet:
➡️ NIS-2-Betroffenheitsprüfung des BSI
3. Die drei zentralen Pflichten: Registrierung, Risikomanagement, Meldung
Mit dem Inkrafttreten des Gesetzes kommen auf betroffene Unternehmen im Kern drei große gesetzliche Pflichtenpakete zu, die unmittelbar relevant sind: die Registrierung als NIS-2-Unternehmen, der Aufbau bzw. die Weiterentwicklung eines systematischen Risikomanagements für Informationssicherheit und die Einhaltung von Meldepflichten bei Sicherheitsvorfällen.
3.1 Registrierung als NIS-2-Unternehmen
Alle wichtigen und besonders wichtigen Einrichtungen müssen sich bei einer zentralen Registrierungsstelle von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Ohne Registrierung gilt die Compliance als unvollständig.
Das BSI beschreibt diesen Prozess auf seinen NIS-2-Seiten ausführlich. Dort finden sich auch Hinweise zu Fristen und Abläufen rund um das Registrierungsverfahren:
➡️ BSI – NIS-2 regulierte Unternehmen
Die gesetzliche Frist für die Registrierung beträgt drei Monate, nachdem ein Unternehmen in den Anwendungsbereich fällt. Praktisch bedeutet das: Die Betroffenheitsanalyse, die Entscheidung und die Vorbereitung der Registrierung sollten zeitnah erfolgen, um nicht gleich zu Beginn in Verzug zu geraten.
3.2 Risikomanagement und ISMS nach § 30 BSIG-neu
Herzstück von NIS-2 ist ein verbindliches Risikomanagement für Informationssicherheit. § 30 BSIG-neu definiert einen Mindestkatalog an technischen und organisatorischen Maßnahmen, den alle betroffenen Unternehmen umzusetzen haben. Einen strukturierten Überblick hierzu gibt das BSI auf seiner Seite zu den NIS-2-Pflichten.
Zu diesem Pflichtenkatalog gehören unter anderem regelmäßige Risikoanalysen und ein dokumentiertes Informationssicherheitskonzept, etablierte Prozesse zur Behandlung von Sicherheitsvorfällen, Vorkehrungen zur Aufrechterhaltung des Betriebs (inklusive Backup- und Wiederherstellungskonzepten sowie Notfall- und Krisenplänen), Anforderungen an sichere Beschaffung, Entwicklung und Wartung von IT-Systemen und Software, ein systematisches Schwachstellen- und Patch-Management, klare Regelungen für Berechtigungs- und Identitätsmanagement, der konsequente Einsatz starker Authentifizierungs- und Verschlüsselungsverfahren, ein strukturiertes Lieferketten- und Drittrisikomanagement sowie kontinuierliche Schulungen und Sensibilisierung der Mitarbeitenden. Das BSI erläutert diese Punkte praxisnah in seiner Rubrik zu Risikomanagement und technischen Maßnahmen unter NIS-2.
Das Gesetz schreibt keine bestimmten Produkte vor, sondern verlangt, dass die Maßnahmen geeignet, verhältnismäßig und wirksam sind. In der Praxis führt an einem Informationssicherheitsmanagementsystem (ISMS) – häufig orientiert an ISO/IEC 27001 oder dem BSI-Grundschutz – kaum ein Weg vorbei. NIS-2 greift diese etablierten Standards auf, hebt aber das Schutzniveau auf eine neue, EU-weit harmonisierte Stufe.
3.3 Meldepflichten bei erheblichen Sicherheitsvorfällen
Unternehmen müssen künftig erhebliche Sicherheitsvorfälle an das BSI melden. Das Gesetz sieht ein dreistufiges System vor: Zunächst eine Erstmeldung innerhalb von 24 Stunden, danach eine vertiefte Meldung innerhalb von 72 Stunden und schließlich einen Abschlussbericht spätestens nach einem Monat. Die Details dazu erläutert das BSI ebenfalls in der Rubrik NIS-2-Pflichten und in den NIS-2-FAQ.
Ein Vorfall gilt insbesondere dann als erheblich, wenn es zu schwerwiegenden Betriebsstörungen, relevanten finanziellen Verlusten oder bedeutenden Beeinträchtigungen Dritter kommt, etwa bei Produktionsstillständen durch Ransomware oder Datenabflüssen mit Auswirkungen auf Kunden, Patienten oder Geschäftspartner. Ohne klar definierte interne Meldewege, vorbereitete Vorlagen und eine geübte Incident-Response-Organisation sind diese Fristen kaum einzuhalten. Hinzu kommt, dass Sicherheitsvorfälle häufig auch meldepflichtig nach DSGVO sind, sodass eine abgestimmte Gesamtstrategie erforderlich ist.
4. Governance: Cybersicherheit wird ausdrücklich Chefsache
Eine der deutlichsten Neuerungen ist die explizite Verantwortung der Unternehmensleitung im neuen BSI-Gesetz. Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und regelmäßig an Schulungen zur Cybersicherheit teilnehmen. Diese Managementverantwortung ist in den NIS-2-Unterlagen des BSI ausführlich erklärt, insbesondere in den NIS-2-FAQ.
Für die Praxis bedeutet das: Informationssicherheit wird ein fester Bestandteil der Unternehmensführung. Rollen und Zuständigkeiten müssen klar definiert werden, Reporting-Strukturen in Richtung Geschäftsführung sind aufzubauen und Schulungskonzepte für Management und Schlüsselrollen werden zur Pflicht. Verstöße können nicht nur Bußgelder für das Unternehmen nach sich ziehen, sondern auch persönliche Haftungsrisiken für die Mitglieder der Geschäftsleitung.
5. Aufsicht und Bußgelder: NIS-2 hat „Zähne“
Mit der Umsetzung von NIS-2 erhält das BSI deutlich erweiterte Aufsichts- und Durchsetzungsbefugnisse. Es kann Informationen und Nachweise anfordern, Prüfungen und Vor-Ort-Kontrollen durchführen, Anordnungen erlassen und im Extremfall die Öffentlichkeit über gravierende Sicherheitsmängel informieren. Das BSI beschreibt diese Befugnisse und die Aufsichtslogik in seinen Informationsseiten zu NIS-2.
Die Bußgelder sind bewusst so gestaltet, dass sie spürbar sind. Sie orientieren sich am weltweiten Jahresumsatz der Unternehmensgruppe – ähnlich wie bei der DSGVO. Für besonders wichtige Einrichtungen können bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Konkrete Beispiele und Erläuterungen finden sich dazu ebenfalls in den BSI-FAQ zu NIS-2.
Typische Auslöser können etwa fehlende oder unzureichende Sicherheitsmaßnahmen, nicht befolgte Anordnungen des BSI, verspätete oder unvollständige Meldungen von Sicherheitsvorfällen oder eine unterlassene Registrierung sein.
6. Indirekte Betroffenheit: Druck über die Lieferkette
Selbst wenn Ihr Unternehmen formal nicht direkt in den Anwendungsbereich von NIS-2 fällt, können Sie dennoch stark betroffen sein – nämlich als Dienstleister oder Zulieferer NIS-2-regulierter Unternehmen.
NIS-2 verpflichtet Unternehmen dazu, Sicherheitsrisiken in der Lieferkette aktiv zu managen. In den BSI-Informationen zu Lieferketten und NIS-2-Pflichten wird deutlich, dass die Sicherheit von Dienstleistern und Zulieferern ein zentraler Bestandteil des Risikomanagements ist. Entsprechend werden viele größere Kunden künftig von ihren Dienstleistern und Lieferanten verlangen, dass sie bestimmte Sicherheitsstandards nachweisen, Audit-Rechte akzeptieren und Notfall- sowie Meldeprozesse dokumentieren.
Für IT-Dienstleister, Housing- und Hosting-Anbieter, Betreiber von Rechenzentren oder Hersteller industrieller Komponenten wird es damit zu einem klaren Wettbewerbsfaktor, ob sie NIS-2-konform agieren und dies gegenüber Kunden belegen können.
7. Was sollten Unternehmen jetzt konkret tun?
Angesichts der sehr kurzen Zeitspanne zwischen Verkündung und Inkrafttreten empfiehlt es sich, das Thema NIS-2 sofort strukturiert anzugehen. Ein typischer Fahrplan kann wie folgt aussehen:
Zunächst sollte eine Betroffenheitsanalyse erfolgen. Hierbei werden Mitarbeiterzahl, Umsatz, Bilanzsumme und Sektorzugehörigkeit geprüft. Das vom BSI bereitgestellte Tool zur NIS-2-Betroffenheitsprüfung liefert hierfür eine erste Einschätzung und verweist auf die relevanten Kategorien und Sektoren.
Auf Basis dieser Analyse lässt sich die Registrierung vorbereiten. Das umfasst insbesondere die Einrichtung bzw. Prüfung des „Mein Unternehmenskonto“ (MUK) als digitaler Zugang zur Verwaltung, die Festlegung einer internen NIS-2-Kontaktstelle und die Zusammenstellung der Unternehmensdaten, die für die Meldung an BSI und BBK erforderlich sind. Hinweise dazu finden sich auf den BSI-Seiten zu NIS-2 regulierten Unternehmen.
Parallel sollte eine Gap-Analyse zwischen der bestehenden Sicherheitsorganisation und den NIS-2-Anforderungen durchgeführt werden. Hierzu werden bestehende Maßnahmen in den Bereichen Risikomanagement, ISMS, Incident-Response, Business Continuity, Schwachstellen- und Patch-Management, Berechtigungsmanagement, sichere Softwareentwicklung, Verschlüsselung, Lieferkettensicherheit, Schulungen und Governance systematisch gegen den gesetzlichen Mindestkatalog gelegt. Die Themenfelder, die das BSI in den NIS-2-Pflichten skizziert, eignen sich sehr gut als Struktur für diese Analyse.
Aus den Ergebnissen wird eine Roadmap abgeleitet, die kurzfristige Lücken schließt und mittelfristig eine robuste Sicherheitsarchitektur etabliert. Wichtig ist dabei ein pragmatischer Ansatz: nicht alles gleichzeitig, sondern klar priorisiert, passend zum Geschäftsmodell, zur vorhandenen IT-Landschaft und zu den verfügbaren Ressourcen.
8. Wie wir Sie als IT-Dienstleister konkret unterstützen
Als anyWARE AG mit Sitz in Mainz-Weisenau und starkem Fokus auf KMU in Mainz und der Rhein-Main-Region begleiten wir Unternehmen seit vielen Jahren als IT-Full-Service-Dienstleister – von der Infrastruktur über Managed Services bis hin zu Sicherheitslösungen.
Im Kontext von NIS-2 unterstützen wir Sie unter anderem in folgenden Bereichen:
Zunächst sorgen wir für eine klare Einordnung Ihrer Ausgangslage. Gemeinsam mit Ihnen klären wir, ob Ihr Unternehmen mit hoher Wahrscheinlichkeit als wichtige oder besonders wichtige Einrichtung einzustufen ist, wie Ihre Rolle in kritischen Lieferketten aussieht und welche Pflichten daraus konkret entstehen. Wo es sinnvoll ist, beziehen wir Ihre Rechtsberatung ein, denn wir ersetzen keine juristische Beratung, sondern übersetzen die rechtlichen Vorgaben in umsetzbare technische und organisatorische Maßnahmen.
Im nächsten Schritt führen wir mit Ihnen eine strukturierte Gap-Analyse durch. Wir betrachten Ihre aktuelle IT- und Sicherheitslandschaft – Netzwerke, Server- und Storage-Systeme, Cloud-Dienste, Backup-Strategien, Zugriffs- und Berechtigungsstrukturen, Monitoring, Logging, Schwachstellenmanagement, Notfallkonzepte – und stellen sie dem Mindestkatalog aus dem BSIG-neu sowie den BSI-Leitlinien zu NIS-2 gegenüber. Das Ergebnis ist ein transparentes Bild: Wo sind Sie gut aufgestellt, wo bestehen kritische Lücken, was ist mittelfristig zu verbessern?
Darauf aufbauend entwickeln wir mit Ihnen eine NIS-2-Roadmap, die zu Ihren Ressourcen passt. Diese kann den Aufbau oder die Weiterentwicklung eines Informationssicherheitsmanagementsystems (z. B. angelehnt an ISO/IEC 27001), die Härtung Ihrer IT-Infrastruktur, die Einführung oder Optimierung von Monitoring- und Logging-Lösungen, den Aufbau klarer Incident-Response-Prozesse, die Verzahnung von NIS-2- und DSGVO-Meldewegen, die Umsetzung eines effektiven Identity- und Access-Managements sowie Maßnahmen zur Absicherung Ihrer Lieferkette umfassen.
Wir unterstützen Sie außerdem bei der technischen und organisatorischen Vorbereitung der Registrierung, etwa bei der Gestaltung der internen NIS-2-Kontaktstelle, bei der Dokumentation der geforderten Angaben und bei der Ausarbeitung von Vorlagen für Melde- und Notfallprozesse. So sind Sie in der Lage, im Ernstfall schnell und strukturiert zu reagieren.
Ein weiterer Schwerpunkt ist der Faktor Mensch. Gemeinsam mit Ihnen entwickeln wir Awareness- und Schulungskonzepte, die auf Ihre Belegschaft zugeschnitten sind – von Basis-Awareness für alle Mitarbeitenden bis hin zu spezialisierte Schulungen für IT-Teams und Geschäftsleitung, damit die im Gesetz verankerte Schulungspflicht der Geschäftsführung nicht nur formal erfüllt wird, sondern tatsächlich zu einem besseren Sicherheitsverständnis im Unternehmen führt.
9. Fazit: Wer jetzt handelt, gewinnt Sicherheit und Vertrauen
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes ist klar: Abwarten ist keine Option mehr. Das Gesetz ist kein theoretisches Zukunftsthema, sondern seit dieser Woche gelebte Realität. Für viele Unternehmen bedeutet das zunächst zusätzlichen Aufwand. Wer NIS-2 jedoch klug angeht, kann daraus einen echten Mehrwert ziehen: weniger Ausfallrisiken, mehr Transparenz über die eigene IT-Landschaft, gestärktes Vertrauen von Kunden und Partnern und eine bessere Positionierung im Wettbewerb – insbesondere dann, wenn Ihre Kunden selbst NIS-2-pflichtig sind.
Wenn Sie wissen möchten,
ob Ihr Unternehmen unter NIS-2 fällt,
wie groß Ihre Lücken im Vergleich zum neuen BSIG-neu sind
und welche nächsten Schritte für Sie konkret sinnvoll sind,
sprechen Sie uns gerne an. Gemeinsam machen wir aus einem komplexen Gesetz ein verständlich strukturiertes Projekt – mit klaren Prioritäten, messbaren Ergebnissen und dem Ziel, Ihre IT-Sicherheit nachhaltig zu stärken.