Am 6. März 2026 ist eine der ersten konkreten Fristen abgelaufen, die das neue deutsche NIS2-Umsetzungsgesetz gesetzt hat: die Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Rund 30.000 Unternehmen und Einrichtungen in Deutschland waren davon betroffen, doch längst nicht alle haben sich fristgerecht registriert. Wer die Frist versäumt hat, sollte jetzt schnell handeln. Und wer sich noch nicht sicher ist, ob sein Unternehmen überhaupt unter das Gesetz fällt, sollte dies dringend prüfen. Denn der Anwendungsbereich des NIS2-Rechts ist erheblich weiter gefasst, als viele vermuten.
1. Was ist NIS2, und wie wurde es in Deutschland umgesetzt?
Die NIS2-Richtlinie („Network and Information Security Directive 2“) ist eine EU-Richtlinie zur Verbesserung der Cybersicherheit in Europa. Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und setzt deutlich strengere Maßstäbe – sowohl inhaltlich als auch beim Kreis der verpflichteten Unternehmen.
In Deutschland wurde die Richtlinie durch das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft getreten ist. Es novelliert im Wesentlichen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und führt unmittelbar und ohne Übergangsfrist zu verbindlichen Pflichten für betroffene Einrichtungen.
2. Erweiterter Anwendungsbereich: Wer ist betroffen?
Der vielleicht wichtigste – und von vielen Unternehmen unterschätzte – Aspekt von NIS2 ist die drastische Ausweitung des Anwendungsbereichs. Während sich frühere Regulierung im Wesentlichen auf klassische Betreiber kritischer Infrastrukturen (KRITIS) beschränkte, erfasst das neue Recht nun zahlreiche „normale“ Unternehmen, die in bestimmten Sektoren tätig sind.
Die maßgeblichen Schwellenwerte für Unternehmen, die nicht ohnehin schon aufgrund ihrer ausdrücklichen Nennung in § 28 BSIG in den Anwendungsbereich des Gesetzes fallen, lauten wie folgt:
- Besonders wichtige Einrichtungen: 1.) mindestens 250 Mitarbeiter oder 2.) Jahresumsatz über 50 Mio. Euro und Jahresbilanzsumme über 43 Mio. Euro, tätig in einem Sektor der Anlage 1 BSIG
- Wichtige Einrichtungen: 1.) mindestens 50 Mitarbeiter oder 2.) Jahresumsatz und Bilanzsumme über 10 Mio. Euro, jeweils tätig in einem Sektor der Anlage 2 BSIG
Entscheidend ist: Weder der Gesetzgeber noch das BSI benachrichtigt betroffene Unternehmen aktiv. Die Prüfung der eigenen Betroffenheit ist eine Holschuld des Unternehmens – wer nicht handelt, bleibt trotzdem verpflichtet und riskiert Sanktionen.
3. Betroffene Sektoren – auch „gewöhnliche“ Unternehmen im Fokus
Das BSIG unterscheidet in seinen Anlagen zwischen Sektoren mit hoher Kritikalität (Anlage 1) und weiteren kritischen Sektoren (Anlage 2). Die folgende Übersicht zeigt typische Fallgruppen, bei denen ein NIS2-Bezug häufig übersehen wird:
- Energie und Versorgung
Energieversorger, Netzbetreiber, aber auch mittelständische Stadtwerke und Unternehmen der Wärmeversorgung können erfasst sein. Die Digitalisierung der Energieinfrastruktur macht viele Unternehmen, die früher als reine Versorgungsbetriebe galten, zu regulierten Einrichtungen. - Produzierende Industrie und verarbeitendes Gewerbe
Neu in den Anwendungsbereich aufgenommen wurden unter anderem Hersteller bestimmter Produkte, beispielsweise Medizinprodukte, Maschinen, Fahrzeuge und elektronische Geräte. - IT- und Digitaldienstleister
Cloud-Anbieter, Rechenzentrumsbetreiber, Managed-Service-Provider und Anbieter öffentlicher elektronischer Kommunikationsnetze fallen unter das Gesetz, häufig bereits bei deutlich niedrigeren Schwellenwerten. Wer IT-Dienstleistungen für andere Unternehmen erbringt, sollte die eigene Betroffenheit besonders sorgfältig prüfen. - Post-, Kurier- und Logistikdienste
Auch Logistik- und Postdienstleister gehören zu den neu erfassten Sektoren. Gerade mittelständische Speditionen und Paketdienstleister, die stark digitalisiert operieren, können in den Anwendungsbereich fallen. - Lebensmittelproduktion und -handel
Überraschend für viele Unternehmen: Auch Produzenten und Großhändler im Lebensmittelbereich können betroffen sein, sofern die Größenschwellen überschritten werden. Die Lebensmittelversorgung gilt als systemrelevant und wird entsprechend reguliert. - Forschung und öffentliche Verwaltung
Forschungseinrichtungen sowie Behörden der Bundes- und Landesverwaltung sind ebenfalls einbezogen. Universitäten und außereuniversitäre Forschungsinstitute sollten ihre Betroffenheit individuell prüfen.
4. Die wesentlichen Pflichten nach dem NIS2UmsuCG
a) Registrierungspflicht (§ 33 BSIG)
Alle betroffenen Einrichtungen mussten sich bis zum 6. März 2026 im BSI-Portal registrieren. Die Registrierung erfolgt über das Melde- und Informationsportal (MIP) des BSI unter Nutzung eines ELSTER-Organisationszertifikats und eines „Mein Unternehmenskonto“ (MUK)-Accounts. Anzugeben sind unter anderem Unternehmensgröße, Sektor, Einrichtungsart und eine rund um die Uhr erreichbare NIS2-Kontaktstelle. Änderungen der Unternehmensdaten sind unverzüglich, spätestens innerhalb von zwei Wochen, zu aktualisieren.
b) Risikomanagementmaßnahmen (§ 30 BSIG)
Betroffene Unternehmen müssen geeignete technische und organisatorische Maßnahmen (TOM) ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. § 30 Abs. 2 BSIG zählt zehn Anforderungsbereiche auf, darunter: Risikoanalyse und Sicherheitskonzepte, Incident-Management, Business-Continuity-Management, Sicherheit der Lieferkette, Zugangskontrolle sowie Kryptografie und Verschlüsselung.
c) Meldepflicht bei Sicherheitsvorfällen (§ 32 BSIG)
Erhebliche Sicherheitsvorfälle müssen in einem abgestuften Meldeverfahren an das BSI berichtet werden: Innerhalb von 24 Stunden ist eine Erstmeldung (Frühwarnung) zu erstatten, innerhalb von 72 Stunden eine detaillierte Folgemeldung und innerhalb von einem Monat ein Abschlussbericht. Diese Meldepflichten gelten bereits seit dem 6. Dezember 2025 unabhängig von der Registrierung.
d) Persönliche Haftung der Geschäftsleitung (§ 38 BSIG)
Eine besonders weitreichende Neuerung: NIS2 weist die Gesamtverantwortung für Cybersicherheit der Unternehmensleitung zu. Geschäftsführer und Vorstände können bei Pflichtverletzungen persönlich – auch mit dem Privatvermögen – haftbar gemacht werden. Eine reine Delegation an die IT-Abteilung oder externe Dienstleister reicht zur Enthaftung nicht aus. Die Leitungsebene muss zudem regelmäßig an Schulungsmaßnahmen zur Cybersicherheit teilnehmen.
5. Sanktionen: Empfindliche Bußgelder und aufsichtsrechtliche Maßnahmen
Das BSI kann bei Verstößen gegen das BSIG empfindliche Bußgelder verhängen. Allein die verspätete Registrierung kann gemäß § 65 Abs. 2 Nr. 6 BSIG mit bis zu 500.000 Euro geahndet werden. Für schwerwiegendere Verstöße gelten deutlich höhere Obergrenzen:
- Besonders wichtige Einrichtungen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
Daneben kann das BSI öffentliche Bekanntmachungen zu Verstößen erlassen („naming and shaming“), Zertifizierungen aussetzen und verbindliche Anordnungen treffen. Bei besonders wichtigen Einrichtungen sind anlasslose Kontrollen möglich.
Praxistipp:
Wer sich noch nicht registriert hat und unter das NIS2UmsuCG fällt, sollte die Registrierung unverzüglich nachholen. Noch ist offen, wie konsequent das BSI die Nichteinhaltung ahndet – das rechtliche Risiko existiert jedoch bereits. Zudem gilt die Meldepflicht für Sicherheitsvorfälle unabhängig von der Registrierung seit dem 6. Dezember 2025.
Empfohlene Sofortmaßnahmen:
- Betroffenheitsprüfung: Klären Sie anhand von Sektor, Mitarbeiterzahl und Umsatz, ob Ihr Unternehmen unter Anlage 1 oder 2 BSIG fällt.
- Nachholung der Registrierung: Beantragen Sie ggf. das ELSTER-Organisationszertifikat und richten Sie das „Mein Unternehmenskonto“ (MUK)-Konto ein. Die Beantragung kann mehrere Werktage dauern.
- Einrichtung der Meldeprozesse: Stellen Sie sicher, dass eine 24/7-erreichbare NIS2-Kontaktstelle benannt und interne Eskalationsprozesse für Sicherheitsvorfälle etabliert sind.
- Aufbau eines Risikomanagements: Führen Sie eine strukturierte Risikoanalyse durch und dokumentieren Sie Maßnahmen. Bestehende ISO-27001-Zertifizierungen oder BSI-Grundschutz-Implementierungen erleichtern die Compliance erheblich.
- Einbindung der Geschäftsleitung: Informieren Sie Geschäftsführung und Vorstand über die persönliche Haftungsgefahr und die Schulungspflicht. NIS2 ist Chefsache!
- Prüfung der Lieferketten: NIS2 verpflichtet zur Absicherung der eigenen Lieferketten. Prüfen Sie, welche Dienstleister und Zulieferer Zugang zu Ihren IT-Systemen haben und ob die Sicherheitsanforderungen vertraglich abgebildet sind.
NIS2 ist kein einmaliges Compliance-Projekt, sondern ein dauerhafter regulatorischer Rahmen. Die Anforderungen an Risikomanagement, Meldewesen und Lieferkettensicherheit erfordern nachhaltige organisatorische Strukturen.
Kontakt:
Jens Borchardt