NIS2-Umsetzung in Deutschland: alle Pflichten ab 06.12.2025

· · Kategorie: NIS2 · Cybersecurity
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • NIS2UmsuCG seit 06.12.2025 in Kraft (BGBl. 2025 I Nr. 301) — keine Übergangsfrist
  • ~29.500 Einrichtungen betroffen — wesentliche und wichtige
  • 10 Pflichtmaßnahmen-Bereiche nach § 30 BSIG
  • Persönliche GF-Haftung nach § 38 Abs. 5 BSIG (Innenhaftung, kein Verzicht für 3 Jahre)
  • Bußgelder bis 10 Mio. EUR / 2 % Umsatz (wesentliche Einrichtungen)

1. Status NIS2UmsuCG 2026

Das deutsche NIS2-Umsetzungsgesetz ist seit dem 06.12.2025 in Kraft (BGBl. 2025 I Nr. 301). Es novelliert das BSIG (Bundesgesetz für Informationssicherheit) und implementiert die NIS2-Richtlinie (EU 2022/2555).

Wichtige Termine 2026:

2. Wer ist betroffen? Scope-Analyse

Drei Kategorien nach § 28 BSIG:

KategorieGrößeSektorenGeschätzte Anzahl DE
Besonders wichtig (KRITIS)unabhängig11 Hochkritikalitäts-Sektoren + KRITIS-Schwellenwerte~4.500
Wesentlich≥250 MA oder ≥50 Mio. EUR Umsatz11 Hochkritikalitäts-Sektoren~7.000
Wichtig50-249 MA, 10-50 Mio. EUR18 Sektoren (alle Anhang I + II)~18.000
Wer die §30-BSIG-Maßnahmen nicht selbst aus 11 Bereichen zusammenstellen will, findet im NIS2-Kit 22 Vorlagen anschlussfähig — inklusive ISO-27001-Mapping und BSI-Grundschutz-Crosswalk.

3. § 30 BSIG: 10 Pflichtmaßnahmen

§ 30 Abs. 2 BSIG nennt 10 Maßnahmenbereiche. Jede betroffene Einrichtung muss in jedem Bereich angemessene Maßnahmen treffen:

  1. Konzepte für Risikoanalyse + Sicherheit von Informationssystemen
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs (Backup, Disaster Recovery, Krise)
  4. Sicherheit der Lieferkette
  5. Sicherheit beim Erwerb, Entwickeln und Warten
  6. Wirksamkeitsbewertung der Maßnahmen
  7. Cyberhygiene + Schulungen
  8. Kryptografie und Verschlüsselung
  9. Personalsicherheit + Zugriffskontrolle
  10. MFA, kontinuierliche Authentifizierung, sichere Kommunikation

4. § 38 BSIG: Geschäftsleitungs-Pflichten

§ 38 BSIG ist die schärfste Norm — sie zieht die GF persönlich in die Pflicht:

AbsatzPflicht
Abs. 1Billigung der § 30-Maßnahmen — nicht delegierbar
Abs. 2Überwachung der Umsetzung
Abs. 3Pflicht zur Schulungsteilnahme
Abs. 5Persönliche Innenhaftung bei schuldhafter Pflichtverletzung; Verzicht/Vergleich erst nach 3 Jahren

5. 24h/72h/30d Meldepflichten

FristInhaltAdresse
24h ab KenntnisFrühwarnung — erste BewertungBSI 'Mein Unternehmenskonto'
72hVorfallsmeldung — Schadensbild, MaßnahmenBSI 'Mein Unternehmenskonto'
1 MonatAbschlussbericht — Ursache, Lessons LearnedBSI 'Mein Unternehmenskonto'

Was zählt als 'signifikanter Vorfall'? Definition in EU-Durchführungs-VO 2024/2690: Anzahl betroffener Nutzer, finanzielle/wirtschaftliche Auswirkungen, geographische Ausbreitung, Dauer.

6. BSI-Registrierung

Über das Portal 'Mein Unternehmenskonto'. Pflichtangaben: Unternehmen, Sektor, Kategorie (wesentlich/wichtig), Kontaktstellen, IT-Infrastruktur-Kurzbeschreibung. Aktualisierungspflicht bei Änderungen.

7. Bußgelder + persönliche Haftung

KategorieMaximum BußgeldAnwendung
Wesentliche Einrichtung10 Mio. EUR oder 2 % Jahresumsatz (höherer Wert)schwere Pflichtverletzung
Wichtige Einrichtung7 Mio. EUR oder 1,4 % Jahresumsatzschwere Pflichtverletzung
Geschäftsleitung persönlichInnenhaftung gegen GF-Privatvermögen§ 38 Abs. 5 BSIG bei Pflichtverletzung

8. 12-Schritte-Roadmap

  1. Scope-Analyse (wesentlich/wichtig?)
  2. BSI-Registrierung nachholen (falls nicht erfolgt)
  3. GF-Briefing § 38 BSIG — Pflichten + Innenhaftung
  4. ISMS-Leitlinie aufsetzen, GF-genehmigen
  5. Risikoanalyse-Methodik (ISO 27005) implementieren
  6. 10 § 30-Maßnahmen-Bereiche systematisch abdecken
  7. Incident Response Playbook + 24/72/30-Meldevorlagen
  8. Lieferanten-Risikobewertung + Vertragsklauseln
  9. Cyberhygiene-Schulung aller Mitarbeitenden
  10. Wirksamkeitsprüfung (KPIs, Pentest, Audit-Vorbereitung)
  11. Dokumentations-Review + Versionsverwaltung
  12. GF-Billigung + quartalsweises Reporting

Häufig gestellte Fragen

Bin ich von NIS2 betroffen, wenn ich 49 Mitarbeiter habe?
In der Regel nein, aber Vorsicht: Sektor-Sonderregeln greifen unabhängig von Größe (öffentl. Verwaltung, einige TK-Anbieter, Vertrauensdiensteanbieter, DNS, TLD .de). Konzernzugehörigkeit (§ 28 Abs. 4 BSIG) kann verbundene Unternehmen einbeziehen.
Was kostet ein NIS2-Compliance-Programm?
Internes Setup: 8.000-25.000 EUR Personalaufwand für 12 Wochen. Externe Beratung: 30.000-150.000 EUR. Compliance-Kit NIS2-Kit: einmalig 490-1.490 EUR mit allen 72 Vorlagen. Laufende Kosten: ISMS-Pflege ca. 0,5 FTE, externes Audit alle 2 Jahre.
Reicht eine ISO 27001-Zertifizierung?
Größtenteils ja, mit Lücken. ISO 27001 deckt 70-80 % der § 30 BSIG-Anforderungen ab. Lücken: NIS2-Meldepflichten 24h/72h/30d (§ 32), Lieferketten-Sorgfalt (§ 30 Abs. 2 Nr. 5), § 38-Geschäftsleitungsbillung. Compliance-Kit NIS2-Kit liefert Mapping-Workbook.
Wer ist Aufsichtsbehörde?
Das BSI ist zentrale Aufsichtsbehörde. Sektorale Sonderaufsichten: BaFin (Finanz), BNetzA (TK, Energie), Bundesbank (KRITIS-Finanz). Praxis: ein Unternehmen kann mehreren Aufsichten unterliegen — Koordination ist Compliance-Aufgabe.
Was passiert, wenn die GF die Risikomaßnahmen nicht billigt?
Nach § 38 Abs. 5 BSIG: persönliche Innenhaftung gegenüber der Einrichtung bei schuldhafter Pflichtverletzung. Verzicht oder Vergleich erst nach 3 Jahren möglich (analog § 93 Abs. 4 AktG). D&O-Versicherung deckt grobe Fahrlässigkeit oft nicht.
BSI-Registrierungsfrist 06.03.2026 verpasst — und nun?
Sofort nachholen über 'Mein Unternehmenskonto'-Portal. Verspätete Registrierung wird nicht eigenständig sanktioniert, fehlende Registrierung sehr wohl. Praxis 04/2026: BSI verfolgt vorrangig systematische Verstöße.
Müssen wir 24h melden — auch nachts und am Wochenende?
Ja, § 32 Abs. 1 BSIG. 'Unverzüglich, spätestens 24h ab Kenntnis'. Praxis: 24h-Erreichbarkeit (CSIRT-On-Call) ist Pflicht für wesentliche Einrichtungen. Externe SOC-Dienstleister können das übernehmen.
DORA und NIS2 — was gilt für Banken?
DORA (VO 2022/2554) ist lex specialis für Finanzentitäten. Wer unter DORA fällt, ist von NIS2 ausgenommen (Art. 4 NIS2-RL). Nicht-Finanz-Töchter eines Bank-Konzerns fallen ggf. unter NIS2.

Quellen

Stand: 02.05.2026

  1. Richtlinie (EU) 2022/2555 — NIS2 (EUR-Lex DE) (Stand: 02.05.2026)
  2. BSIG 2025 (konsolidierte Fassung nach NIS2UmsuCG) (Stand: 02.05.2026)
  3. NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026; in Kraft 06.12.2025)
  4. BSI-Pressemitteilung — NIS2UmsuCG ab 06.12.2025 in Kraft (Stand: 02.05.2026)
  5. BSI — NIS-2 FAQ regulierte Unternehmen

Verwandte Artikel

NIS2 · Glossar

§ 30 BSIG — 10 Pflichtmaßnahmen

Detaillierter Glossar-Eintrag mit Praxisbeispielen.

 NIS2 · Glossar

§ 38 BSIG — GF-Haftung

Innenhaftung im Detail.

 NIS2 · Pillar

NIS2 Österreich (NISG 2026)

AT-Vergleich und Konzern-Strukturen.

Werkzeuge & Selbsttests

NIS2 Readiness-Check Pruefen Sie Ihre NIS2-Reife in 10 Minuten. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. NIS2 Selbsttest Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit. NIS2 Pflichtmassnahmen-Audit 10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.