Zum Inhalt springen

Update NIS2-Gesetz 2026: Neue Cybersecurity-Pflichten für Unternehmen

Wer ist betroffen, welche Pflichten gelten, was droht bei Verstößen? Das NIS2-Umsetzungsgesetz im Überblick – mit Checkliste für KMU.
21. Mai 2026 durch
Update NIS2-Gesetz 2026: Neue Cybersecurity-Pflichten für Unternehmen
Jonas Dallmann

Lange wurde es erwartet, jetzt ist es da: Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Deutschland in Kraft. Es überführt die europäische NIS2-Richtlinie in deutsches Recht und hebt die Anforderungen an die Cybersicherheit für knapp 30.000 Unternehmen deutlich an – darunter viele kleine und mittlere Betriebe, die bisher gar nicht mit einer solchen Regulierung gerechnet haben.

Was ist NIS2?

NIS2 steht für „Network and Information Security Directive 2“ – eine EU-Richtlinie, die einheitliche Mindeststandards für IT-Sicherheit festlegt. Ziel ist es, wichtige Dienste und Infrastrukturen besser gegen Cyberangriffe zu schützen. Jedes EU-Land musste diese Vorgaben in ein eigenes Gesetz übersetzen. In Deutschland ist das das NIS2-Umsetzungsgesetz (kurz: NIS2UmsuCG).

NIS2 ist in Kraft – seit Dezember 2025

Nach jahrelangem Hin und Her ist das Gesetz nun beschlossen: Der Bundestag hat es am 13. November 2025 verabschiedet, der Bundesrat stimmte am 20. November 2025 zu. Verkündet wurde es am 5. Dezember 2025 – und einen Tag später, am 6. Dezember 2025, ist es in Kraft getreten.

Wichtig für Sie: Es gibt keine Übergangsfrist. Die Pflichten gelten seit dem Tag des Inkrafttretens. Wer betroffen ist, muss die Anforderungen also bereits jetzt erfüllen.

Wer ist betroffen?

Hier liegt die größte Überraschung für viele Betriebe: NIS2 betrifft längst nicht mehr nur Großkonzerne und klassische „kritische Infrastrukturen“. Das Gesetz unterscheidet zwei Hauptgruppen:

  • Besonders wichtige Einrichtungen – Unternehmen ab 250 Beschäftigten oder mit mehr als 50 Mio. Euro Jahresumsatz (und mehr als 43 Mio. Euro Bilanzsumme).
  • Wichtige Einrichtungen – Unternehmen bereits ab 50 Beschäftigten oder mit mehr als 10 Mio. Euro Jahresumsatz (und mehr als 10 Mio. Euro Bilanzsumme).

Das heißt konkret: Schon ein mittelständischer Betrieb mit 50 Mitarbeitenden kann unter NIS2 fallen – vorausgesetzt, er ist in einem der erfassten Sektoren tätig.

Dazu zählen unter anderem Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser und Abwasser, digitale Infrastruktur und IT-Dienstleistungen, Lebensmittelproduktion und -handel, Abfallwirtschaft, Chemie, Forschung sowie große Teile des verarbeitenden Gewerbes (z. B. Maschinenbau, Elektrotechnik, Fahrzeugbau, Medizintechnik). Hinzu kommen Betreiber kritischer Anlagen und Bundesbehörden.

Insgesamt fallen knapp 30.000 Unternehmen in Deutschland unter die neuen Regeln. Ein wichtiger Hinweis: Bei der Frage, ob die Größenschwellen erreicht werden, zählen grundsätzlich alle Geschäftsaktivitäten eines Unternehmens – nicht nur der Teil, der in einem regulierten Sektor liegt.

Welche Pflichten gelten jetzt?

Betroffene Unternehmen müssen eine Reihe konkreter Maßnahmen umsetzen:

  • Risikomanagement. Im Zentrum steht ein Bündel aus zehn technischen und organisatorischen Mindestmaßnahmen – darunter Risikoanalysen, Backup- und Notfallmanagement, Schwachstellenmanagement, Zugangskontrolle, Mehr-Faktor-Authentifizierung, Verschlüsselung, sichere Lieferketten und regelmäßige Mitarbeiterschulungen.
  • Registrierung beim BSI. Betroffene Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren – über das eigens eingerichtete Online-Portal.
  • Meldepflicht bei Sicherheitsvorfällen. Erhebliche Vorfälle müssen in einem festen Zeitraster gemeldet werden: eine Erstmeldung innerhalb von 24 Stunden, eine genauere Folgemeldung nach 72 Stunden und eine Abschlussmeldung innerhalb eines Monats.
  • Verantwortung der Geschäftsleitung. Die Geschäftsführung muss die Maßnahmen nicht nur freigeben, sondern aktiv überwachen – und haftet bei Versäumnissen persönlich. Außerdem ist sie verpflichtet, sich regelmäßig schulen zu lassen.
  • Nachweise. Betreiber kritischer Anlagen müssen ihre Sicherheitsvorkehrungen regelmäßig (alle drei Jahre) durch Audits nachweisen. Andere Einrichtungen müssen ihre Umsetzung dokumentieren und auf Verlangen des BSI vorlegen.

Aufsicht und Bußgelder

Die Aufsicht wird spürbar strenger. Das BSI erhält erweiterte Befugnisse – von der Registrierung über Stichprobenprüfungen bis hin zu Vor-Ort-Kontrollen. Bei Verstößen drohen empfindliche Bußgelder:

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
  • Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

Hinzu kommt die persönliche Haftung der Geschäftsleitung. Cybersicherheit ist damit endgültig Chefsache.

Gibt es Ausnahmen?

Ja. Für einige Branchen gelten eigene, vorrangige Regelwerke: Der Finanzsektor wird über die EU-Verordnung DORA reguliert, Telekommunikationsanbieter über das Telekommunikationsgesetz (TKG). Auch der Energiesektor hat ergänzende Spezialregeln. Länder und Kommunen fallen nicht direkt unter das Bundesgesetz – für sie sind die jeweiligen Landesgesetze maßgeblich.

Übrigens: Eine ISO-27001-Zertifizierung ist ein guter Ausgangspunkt, deckt aber nicht automatisch alle NIS2-Anforderungen ab. Der Geltungsbereich von NIS2 geht in der Regel darüber hinaus.

NIS2-Fristen im Überblick

  • 6. Dezember 2025 – Gesetz in Kraft, Pflichten gelten sofort (keine Übergangsfrist).
  • 6. Januar 2026 – BSI-Portal für Registrierung und Meldungen freigeschaltet.
  • 6. März 2026 – Ende der dreimonatigen Registrierungsfrist. Wer betroffen ist und sich bis dahin nicht registriert hat, ist bereits in Verzug – und sollte das umgehend nachholen.
  • Laufend – Meldepflicht bei Sicherheitsvorfällen (24 h / 72 h / 1 Monat).
  • Ab 2027 – erste turnusmäßige Nachweisprüfungen für Betreiber kritischer Anlagen, danach alle drei Jahre.

NIS2-Checkliste für KMU

Betroffenheit prüfen: Liegt Ihr Unternehmen in einem erfassten Sektor und erreichen Sie die Größenschwellen (ab 50 Beschäftigte bzw. 10 Mio. Euro Umsatz)?

Beim BSI registrieren – falls noch nicht geschehen, ohne weiteren Verzug.

Verantwortlichkeiten klären: Wer im Unternehmen steuert die Umsetzung? Die Geschäftsleitung bleibt in der Pflicht.

Risikomanagement aufsetzen: die zehn Mindestmaßnahmen prüfen und Lücken schließen.

Meldeprozess einrichten: Wer erkennt einen Vorfall, wer meldet ihn – und schaffen Sie die 24-Stunden-Frist?

Lieferkette und Dienstleister einbeziehen: Auch IT-Partner und Zulieferer gehören zum Sicherheitskonzept.

Mitarbeitende und Geschäftsleitung schulen – regelmäßig, nicht einmalig.

Alles dokumentieren: Maßnahmen und Nachweise schriftlich festhalten.

Fazit

NIS2 ist kein Zukunftsthema mehr – das Gesetz gilt, und zwar ohne Schonfrist. Für viele kleine und mittlere Unternehmen bedeutet das: zum ersten Mal überhaupt eine gesetzliche Pflicht zur IT-Sicherheit. Das klingt nach Aufwand, ist aber vor allem eine Chance: Wer die Anforderungen sauber umsetzt, ist besser gegen Angriffe geschützt, rechtlich auf der sicheren Seite und stärkt das Vertrauen seiner Kunden.

Sie sind unsicher, ob Ihr Unternehmen betroffen ist, oder wissen nicht, wo Sie anfangen sollen? ITnavigator unterstützt Sie und Ihr Unternehmen gerne – von der ersten Betroffenheitsprüfung bis zur vollständigen Umsetzung. Sprechen Sie uns einfach an.

(Quelle: NIS2-Umsetzungsgesetz – OpenKRITIS; Bundesgesetzblatt 2025 Nr. 301)

Unsere Blogs
Nächsten Beitrag lesen
Neue Cybersecurity-Pflichten für Unternehmen: Was das NIS2-Gesetz bedeutet
In diesem Jahr kommt auf viele Unternehmen in Deutschland eine große Veränderung zu: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) tritt in Kraft. Es setzt die europäische NIS2-Richtlinie in deutsches Recht um und soll die Cybersicherheit in Wirtschaft und Verwaltung deutlich verbessern.