Jahrelang verschoben, jetzt Realität: Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft. Der Bundestag hat es am 13. November 2025 beschlossen, in Kraft getreten ist es Anfang Dezember 2025 – und zwar ohne Übergangsfrist. Die Pflichten gelten sofort.
Von 4.500 auf rund 30.000 Unternehmen
NIS2 weitet die Aufsicht des BSI massiv aus: von bisher rund 4.500 auf geschätzt 29.500 bis 30.000 Einrichtungen in 18 Sektoren. Viele Unternehmen, die mit „kritischer Infrastruktur" bislang nichts zu tun hatten, fallen nun in den Anwendungsbereich – etwa aus Industrie, Logistik, Lebensmitteln, Maschinenbau, IT-Diensten oder dem Gesundheitswesen.
Bin ich betroffen? Die Größenkriterien
Maßgeblich sind Sektor und Unternehmensgröße. Vereinfacht gilt:
- Besonders wichtige Einrichtungen: ab 250 Mitarbeitenden oder über 50 Mio. € Umsatz (und über 43 Mio. € Bilanzsumme).
- Wichtige Einrichtungen: ab 50 Mitarbeitenden oder über 10 Mio. € Umsatz (und über 10 Mio. € Bilanzsumme).
Wer über diesen Schwellen liegt und in einem erfassten Sektor tätig ist, muss handeln. Die Einstufung ist eine Selbsteinschätzung – das BSI verschickt keine Einladungen.
Die wichtigsten Pflichten
- Risikomanagement (§ 30 BSIG): technische und organisatorische Maßnahmen – Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, Verschlüsselung, Zugriffskontrolle.
- Meldepflichten (§ 32 BSIG): erhebliche Sicherheitsvorfälle in drei Stufen melden – Erstmeldung binnen 24 Stunden, detaillierte Meldung nach 72 Stunden, Abschlussbericht nach einem Monat.
- Registrierung beim BSI: Die anfängliche Registrierungsfrist lief mit Inkrafttreten und ist Anfang März 2026 ausgelaufen – wer noch nicht registriert ist, sollte das umgehend nachholen.
- Geschäftsleitungshaftung (§ 38 BSIG): Die Leitung muss die Maßnahmen billigen und überwachen – und haftet persönlich. Bußgelder reichen bis 10 Mio. €.
Was jetzt zu tun ist
- Betroffenheit klären: Sektor und Größenklasse sauber prüfen und dokumentieren.
- Registrierung nachholen, falls noch nicht erfolgt – die Frist ist bereits verstrichen.
- Maßnahmen und Melde-Playbook aufsetzen: ein klarer 24/72-Stunden-Prozess für den Ernstfall.
- Geschäftsleitung einbinden und schulen – wegen der persönlichen Haftung kein „delegieren und vergessen".
NIS2 wirkt auf den ersten Blick wie Bürokratie. Im Kern geht es aber um etwas sehr Praktisches: dass ein Unternehmen einen Cyberangriff übersteht, ohne tagelang stillzustehen. Die meisten geforderten Maßnahmen sind ohnehin gute IT-Hygiene – NIS2 macht sie nur verbindlich.
Quellen
Stand: 2. Juni 2026. Dieser Beitrag ersetzt keine Rechtsberatung; einzelne Daten zum Gesetzgebungsverlauf werden in Quellen leicht unterschiedlich angegeben.
