Das NIS2UmsuCG gilt ohne Übergangsfrist. Rund 29.500 Unternehmen in 18 Sektoren sind unmittelbar betroffen. Geschäftsführer haften persönlich.
29.500
Betroffene Unternehmen
10 Mio.
€ max. Bußgeld
18
Regulierte Sektoren
Bin ich von NIS-2 betroffen?
Schnellcheck in 30 Sekunden — kostenlos & ohne Anmeldung
✓ BSI-Gesetz (NIS2UmsuCG) in Kraft seit Dez. 2025
✓ Auf Basis offizieller BSI-Quellen
✓ Regelmäßig aktualisiert – Stand: Juni 2026
✓ Geprüft von CONSUVATION-Experten
Was ist NIS-2? — Kurzantwort
Die NIS-2-Richtlinie (EU 2022/2555) ist die überarbeitete EU-Cybersicherheitsrichtlinie. In Deutschland trat sie am 6. Dezember 2025 als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft — ohne Übergangsfrist.
Sie verpflichtet Unternehmen in 18 definierten Sektoren zur Einführung eines Risikomanagements, zur Meldung von Cyberangriffen beim BSI sowie zur Registrierung. Geschäftsführer und Vorstände haften persönlich und können die Verantwortung nicht delegieren. Die EU-Richtlinie und das deutsche Umsetzungsgesetz stehen am Seitenende zum Download bereit.
Die 5 Kernparagraphen
Welche Pflichten gelten für Ihr Unternehmen?
§ 28 BSIG
NIS2-Betroffenheit
Legt fest, welche Unternehmen als „wichtige" oder „besonders wichtige" Einrichtung gelten. Maßgeblich sind Sektor, Mitarbeiterzahl und Umsatz.
§ 30 BSIG
Risikomanagement
Technische und organisatorische Maßnahmen zur Cybersicherheit. Mindestens 10 Bereiche sind zu adressieren, u.a. Zugangskontrollen, Verschlüsselung, Backup-Management.
§ 32 BSIG
Meldepflichten
Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden.
§ 38 BSIG
GF-Haftung
Geschäftsleitungen müssen Risikomanagementmaßnahmen billigen und können bei Verstößen persönlich haftbar gemacht werden. Nicht delegierbar.
10 Mio. €
maximales Bußgeld (§ 65 BSIG) oder 2 % des weltweiten Jahresumsatzes
Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % Jahresumsatz
Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % Jahresumsatz
Persönliche Haftung der Geschäftsleitung — auch ohne Delegation möglich
BSI kann vorübergehend Leitungsverantwortliche abberufen lassen
Zeitplan & Fristen
Was gilt wann — der NIS-2 Zeitstrahl
Januar 2023
EU-Richtlinie NIS-2 in Kraft erledigt
Die Richtlinie (EU) 2022/2555 trat offiziell in Kraft. Mitgliedsstaaten hatten bis Oktober 2024 Zeit zur nationalen Umsetzung.
6. Dezember 2025
NIS2UmsuCG gilt in Deutschland erledigt
Das NIS-2-Umsetzungsgesetz trat ohne Übergangsfrist in Kraft. Alle Pflichten gelten ab sofort für rund 29.500 Unternehmen.
6. März 2026
BSI-Registrierungsfrist abgelaufen überfällig
Die Frist zur Registrierung beim BSI ist abgelaufen. Betroffene Unternehmen ohne Registrierung riskieren sofortige Bußgelder — jetzt nachregistrieren.
Ab sofort
Meldepflichten & Risikomanagement aktiv
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. ISMS-Aufbau und Risikomanagement müssen jetzt implementiert sein.
Ab 2028
Erste Nachweisprüfungen durch BSI
Besonders wichtige Einrichtungen können aktiv durch das BSI auf Compliance geprüft werden. Dokumentation sollte ab jetzt aufgebaut werden.
18 Sektoren
Welche Branchen sind betroffen?
Besonders wichtige Einrichtung (Anlage 1) — ab 250 MA oder 50 Mio. € Umsatz
Wichtige Einrichtung (Anlage 2) — ab 50 MA oder 10 Mio. € Umsatz
Energie
Strom, Gas, Öl, Wärme, Wasserstoff
Verkehr
Luft, Bahn, Wasser, Straße
Bankwesen & Finanzmarkt
Kreditinstitute, Handelsplätze
Gesundheit
Krankenhäuser, Labore, Pharmahersteller
Trinkwasser & Abwasser
Versorgung & Entsorgung
Digitale Infrastruktur
Cloud, DNS, IXP, TLD, CDN
IT-Dienstleistungen
Managed Services (MSP, MSSP)
Öffentliche Verwaltung
Behörden auf Bundes- und Landesebene
Weltraum
Betreiber von Bodeninfrastruktur
Post & Kurierdienste
Paket- und Briefzustellung
Abfallwirtschaft
Entsorgung, Recycling
Chemie
Herstellung & Vertrieb gefährl. Stoffe
Lebensmittel
Großhandel, Verarbeitung, Produktion
Herstellung
Medizinprodukte, Elektronik, Maschinen
Digitale Dienste
Online-Marktplätze, Suchmaschinen
Forschung
Forschungseinrichtungen
Zusammengefasst ergibt sich folgendes Bild der beiden Einrichtungskategorien:
Wichtiger Unterschied: Besonders wichtige Einrichtungen unterliegen der proaktiven BSI-Aufsicht (Prüfungen jederzeit ohne konkreten Anlass, Nachweispflicht alle 3 Jahre) — wichtige Einrichtungen nur der reaktiven Aufsicht (BSI wird i. d. R. erst nach einem Vorfall oder Hinweis aktiv).
Blick über Deutschland hinaus
NIS2-Umsetzung in Europa
Die NIS2-Richtlinie gilt EU-weit, doch die nationale Umsetzung verläuft sehr unterschiedlich: Während Deutschland zu den Ländern mit vollständig abgeschlossener Umsetzung zählt, befinden sich andere Mitgliedstaaten noch im Gesetzgebungsverfahren oder am Anfang des Prozesses.
Wichtig für international tätige Unternehmen: NIS2 kann auch Unternehmen betreffen, die nicht in der EU ansässig sind, aber Dienstleistungen oder Produkte in den europäischen Markt liefern. Entscheidend ist nicht der Unternehmenssitz, sondern ob Dienste für EU-Kunden erbracht werden und das Unternehmen in einen der 18 regulierten Sektoren fällt. Betroffene Unternehmen außerhalb der EU müssen einen EU-Vertreter benennen und die NIS2-Anforderungen erfüllen.
Umsetzungs-Checkliste
Was müssen betroffene Unternehmen umsetzen?
Organisatorische Maßnahmen
📋BSI-Registrierung abschließen (Frist: 6. März 2026 — überfällig)
📞Meldeprozess für Sicherheitsvorfälle implementieren
Technische Maßnahmen (§ 30 BSIG)
🔐Zugangskontrolle und Identitätsmanagement einrichten
🔒Verschlüsselung für Daten in Ruhe und in Übertragung
💾Backup-Management und Business Continuity Plan
🔍Schwachstellenmanagement und Patch-Prozesse
🛡️Netzwerksicherheit: Segmentierung und Monitoring
🧪Sicherheitstests und Penetrationstests (regelmäßig)
Häufige Fragen
NIS-2: Häufig gestellte Fragen
In der Regel nein. Die Mindestgröße für „wichtige Einrichtungen" liegt bei 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz. Ausnahmen gelten für Unternehmen mit besonderer kritischer Bedeutung (z.B. bestimmte TK-Anbieter, qualifizierte Vertrauensdiensteanbieter, DNS- und TLD-Anbieter) — diese fallen unabhängig von der Größe unter NIS-2.
Die Registrierungsfrist lief am 6. März 2026 ab. Unregistrierte Unternehmen müssen sofort nachregistrieren und riskieren Bußgelder. Das BSI kann bei Verstößen Sanktionen verhängen. Wenden Sie sich direkt an das BSI-Registrierungsportal und holen Sie die Registrierung unverzüglich nach.
ISO 27001 deckt erfahrungsgemäß 70–80 % der NIS-2-Anforderungen ab. Es verbleiben spezifische NIS-2-Anforderungen, insbesondere die BSI-Registrierung, die konkrete Meldepflicht bei Vorfällen (24h/72h-Frist), die Schulungs- und Haftungsregelungen für die Geschäftsleitung (§ 38 BSIG) sowie die Lieferkettensicherheit.
Bei erheblichen Sicherheitsvorfällen gilt eine zweistufige Meldepflicht: Erstmeldung (Frühwarnung) innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls, Folgemeldung (vollständiger Bericht) innerhalb von 72 Stunden. Ein Abschlussbericht muss spätestens nach einem Monat eingereicht werden.
Ja. § 38 BSIG verpflichtet Geschäftsleitungen, die Risikomanagementmaßnahmen zu billigen und zu überwachen. Diese Pflicht ist nicht delegierbar. Bei Verstößen können Bußgelder persönlich gegen die Geschäftsleitung verhängt werden. Im Extremfall kann das BSI die vorübergehende Abberufung von Leitungsverantwortlichen beantragen.
Ja. Entscheidend ist nicht der Unternehmenssitz, sondern ob Dienstleistungen in der EU erbracht werden. Unternehmen mit Sitz außerhalb der EU, die Dienste für EU-Bürger oder -Unternehmen anbieten und in einen der 18 Sektoren fallen, müssen einen EU-Vertreter benennen und die NIS-2-Anforderungen erfüllen.
CONSUVATION Produkte
Unsere NIS2-Lösungen für Ihr Unternehmen
Von der Analyse bis zur vollständigen Umsetzung — CONSUVATION begleitet Sie auf dem gesamten Weg zur NIS2-Compliance.
Management System
NIS2 ISMS
Schlüsselfertiges Informationssicherheits-Managementsystem, vollständig auf die NIS-2-Anforderungen nach §30 BSIG zugeschnitten. Inklusive aller Dokumente, Prozesse und Nachweise.
Praxishandbuch zur NIS-2-Umsetzung — verständlich aufbereitet für Geschäftsleitung und IT-Verantwortliche. Mit konkreten Handlungsanweisungen, Checklisten und Musterdokumenten.
Maßgeschneiderte Schulungen für Geschäftsleitung (§38 BSIG-Pflicht), IT-Teams und Mitarbeitende. Präsenz oder online — zertifiziert und nachweisfähig für BSI-Audits.
CONSUVATION setzt ausschließlich erfahrene Senior-Berater ein. Mit über 25 Jahren Erfahrung in der Informationssicherheit gehören wir zu den Pionieren der Branche — unsere Experten zählten zu den ersten zertifizierten Auditoren für BS 7799, dem britischen Standard, der als direkter Vorläufer der heutigen ISO 27001 gilt.
Dieses einzigartige Gründungswissen kombinieren unsere Berater mit aktueller Praxiserfahrung in ISO 27001, TISAX und CADIS — als Berater, zertifizierte Auditoren und aktive Arbeitskreismitglieder der ISO für den Standard ISO 27001.
Dieses Insiderwissen aus über zwei Jahrzehnten fließt direkt in Ihre NIS2-Umsetzung ein — für maximale Sicherheit und Normkonformität.
Berater, Auditoren & Arbeitskreismitglieder der ISO — tiefes Normenwissen aus erster Hand
TISAX
Langjährige Erfahrung in der Automobilindustrie — VDA ISA, Assessment & Zertifizierung
CADIS
Spezialisiertes Know-how im Bereich Datensicherheit & Compliance — praxiserprobt
CISA · CISM · CRISC · CGEIT
Unsere Berater tragen die renommiertesten internationalen ISACA-Zertifizierungen — von der IT-Revision (CISA) über das Sicherheitsmanagement (CISM) und Risikomanagement (CRISC) bis hin zur IT-Governance (CGEIT).
