IT-Sicherheit

NIS2 ist in Kraft: Wer betroffen ist – und was jetzt zu tun ist

6 Min. Lesezeit2. Juni 2026Simplic8 Redaktion
NIS2CybersecurityBSICompliance

Jahrelang verschoben, jetzt Realität: Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft. Der Bundestag hat es am 13. November 2025 beschlossen, in Kraft getreten ist es Anfang Dezember 2025 – und zwar ohne Übergangsfrist. Die Pflichten gelten sofort.

Von 4.500 auf rund 30.000 Unternehmen

NIS2 weitet die Aufsicht des BSI massiv aus: von bisher rund 4.500 auf geschätzt 29.500 bis 30.000 Einrichtungen in 18 Sektoren. Viele Unternehmen, die mit „kritischer Infrastruktur" bislang nichts zu tun hatten, fallen nun in den Anwendungsbereich – etwa aus Industrie, Logistik, Lebensmitteln, Maschinenbau, IT-Diensten oder dem Gesundheitswesen.

Bin ich betroffen? Die Größenkriterien

Maßgeblich sind Sektor und Unternehmensgröße. Vereinfacht gilt:

  • Besonders wichtige Einrichtungen: ab 250 Mitarbeitenden oder über 50 Mio. € Umsatz (und über 43 Mio. € Bilanzsumme).
  • Wichtige Einrichtungen: ab 50 Mitarbeitenden oder über 10 Mio. € Umsatz (und über 10 Mio. € Bilanzsumme).

Wer über diesen Schwellen liegt und in einem erfassten Sektor tätig ist, muss handeln. Die Einstufung ist eine Selbsteinschätzung – das BSI verschickt keine Einladungen.

Die wichtigsten Pflichten

  • Risikomanagement (§ 30 BSIG): technische und organisatorische Maßnahmen – Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, Verschlüsselung, Zugriffskontrolle.
  • Meldepflichten (§ 32 BSIG): erhebliche Sicherheitsvorfälle in drei Stufen melden – Erstmeldung binnen 24 Stunden, detaillierte Meldung nach 72 Stunden, Abschlussbericht nach einem Monat.
  • Registrierung beim BSI: Die anfängliche Registrierungsfrist lief mit Inkrafttreten und ist Anfang März 2026 ausgelaufen – wer noch nicht registriert ist, sollte das umgehend nachholen.
  • Geschäftsleitungshaftung (§ 38 BSIG): Die Leitung muss die Maßnahmen billigen und überwachen – und haftet persönlich. Bußgelder reichen bis 10 Mio. €.

Was jetzt zu tun ist

  • Betroffenheit klären: Sektor und Größenklasse sauber prüfen und dokumentieren.
  • Registrierung nachholen, falls noch nicht erfolgt – die Frist ist bereits verstrichen.
  • Maßnahmen und Melde-Playbook aufsetzen: ein klarer 24/72-Stunden-Prozess für den Ernstfall.
  • Geschäftsleitung einbinden und schulen – wegen der persönlichen Haftung kein „delegieren und vergessen".

NIS2 wirkt auf den ersten Blick wie Bürokratie. Im Kern geht es aber um etwas sehr Praktisches: dass ein Unternehmen einen Cyberangriff übersteht, ohne tagelang stillzustehen. Die meisten geforderten Maßnahmen sind ohnehin gute IT-Hygiene – NIS2 macht sie nur verbindlich.

Stand: 2. Juni 2026. Dieser Beitrag ersetzt keine Rechtsberatung; einzelne Daten zum Gesetzgebungsverlauf werden in Quellen leicht unterschiedlich angegeben.

Alle Artikel

Klingt nach einem Thema für Ihr Unternehmen?

In einer kostenlosen Potenzialanalyse schauen wir konkret, wo KI, Automatisierung oder eine stabilere IT bei Ihnen am schnellsten Wirkung zeigt – ehrlich und ohne Verkaufsdruck.