[Gastbeitrag] NIS2 in der Praxis ⏱ 9 Min.

[Gastbeitrag] NIS2 in der Praxis

NIS2UmsuCG | Registrierung, Pflichten und Haftung

Gastbeitrag der Pierro & Mai IT for Business GmbH aus Ettlingen. Das Beratungshaus begleitet mittelständische Unternehmen bei IT-Sicherheit und Compliance und ordnet die aktuelle Rechtslage zu NIS2 aus Projektsicht ein.

Am 31. Juli 2026 endet die Nachfrist, die das BSI säumigen Unternehmen für die NIS-2-Registrierung eingeräumt hat. Die gesetzliche Frist lief bereits am 6. März 2026 ab, trotzdem hatten sich bis Ende Mai erst rund 18.500 von geschätzt 29.500 betroffenen Einrichtungen im BSI-Portal gemeldet.

Mehr als ein Drittel der regulierten Unternehmen bewegt sich also seit Monaten in einem bußgeldbewehrten Zustand, viele davon unwissentlich, weil sie ihre eigene Betroffenheit nie geprüft haben. Das NIS2UmsuCG kennt keine Übergangsfristen, deshalb gelten alle Pflichten seit dem Inkrafttreten am 6. Dezember 2025 in vollem Umfang.

Vom EU-Recht ins BSIG: regulatorische Rahmen

Die NIS-2-Richtlinie (EU) 2022/2555 hätte bis zum 17. Oktober 2024 in nationales Recht überführt sein müssen. Deutschland brauchte über ein Jahr länger: Der Bundestag beschloss das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) am 13. November 2025, die Verkündung im Bundesgesetzblatt folgte am 5. Dezember 2025 (BGBl. 2025 I Nr. 301), das Inkrafttreten einen Tag später. Kern der Umsetzung ist ein neu gefasstes BSI-Gesetz (BSIG).

Es löst den KRITIS-Ordnungsrahmen aus IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 ab und zieht den Kreis der Verpflichteten erheblich weiter: Statt rund 4.500 KRITIS-Betreibern erfasst das BSIG jetzt mehr als das Sechsfache an Einrichtungen, verteilt auf 18 Sektoren. Das Gesetz unterscheidet dabei drei Gruppen: Betreiber kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen. An dieser Zuordnung hängen Aufsichtsintensität und Bußgeldhöhe.

Betroffenheit: warum plötzlich auch der Maschinenbau prüfen muss

Neu im Anwendungsbereich sind Branchen ohne jede KRITIS-Vergangenheit. Das verarbeitende Gewerbe steht jetzt geschlossen drin, vom Maschinenbau über Fahrzeugbau und Elektronik bis zu den Medizinprodukten. Dazu kommen die Chemie, Lebensmittelproduktion und Lebensmittelhandel, Post- und Kurierdienste, die Abfallwirtschaft, Anbieter digitaler Dienste und Managed Service Provider.

Damit trifft NIS2 viele Unternehmen, die sich selbst nie als kritische Infrastruktur gesehen haben: Der Maschinenbauer mit 80 Beschäftigten ist genauso Adressat wie der IT-Dienstleister, der Systeme für Stadtwerke betreibt.

Die Einstufung folgt einer simplen Mechanik: Sektor plus Unternehmensgröße genügen. Eine Einzelfallprüfung findet nicht statt, das BSI verschickt keine Bescheide, denn das Gesetz setzt auf Selbstidentifikation. Wer wartet, bis sich eine Behörde meldet, wartet vergeblich und trägt das Haftungsrisiko trotzdem. Für deine erste Einordnung reicht deshalb diese Matrix:

EinstufungTypische KriterienAufsicht durch das BSIMaximales Bußgeld
Betreiber kritischer AnlagenAnlage überschreitet die anlagenbezogenen Schwellenwerte der KRITIS-Verordnung, unabhängig von der UnternehmensgrößeProaktiv, dazu regelmäßige Nachweispflichten (erstmals 2028)10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes
Besonders wichtige EinrichtungGroßunternehmen ab 250 Mitarbeitenden oder über 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanzsumme in Sektoren hoher Kritikalität (Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Managed IT-Services im B2B)Proaktiv: Prüfungen ohne konkreten Anlass10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes
Wichtige EinrichtungMittlere Unternehmen ab 50 Mitarbeitenden oder über 10 Mio. Euro Umsatz und Bilanzsumme in Sektoren hoher Kritikalität; dazu alle Unternehmen ab denselben Schwellen in den sonstigen kritischen Sektoren, darunter das komplette verarbeitende GewerbeReaktiv: erst nach Vorfall oder Hinweis7 Mio. Euro oder 1,4 Prozent des weltweiten Jahresumsatzes
Größenunabhängige SonderfälleUnter anderem qualifizierte Vertrauensdiensteanbieter, TLD-Registrierungsstellen und DNS-Diensteanbieter, jeweils ohne SchwellenwerteJe nach Zuordnung proaktiv oder reaktivJe nach Zuordnung 10 oder 7 Mio. Euro
Nicht erfasstUnterhalb aller Schwellenwerte und kein SonderfallKeine direkte BSI-AufsichtKeine Bußgelder nach dem BSIG, aber NIS2-Anforderungen der Kunden über die Lieferkette

Auffällig an der Systematik: Die sonstigen kritischen Sektoren kennen keine Stufe der besonders wichtigen Einrichtung, auch ein Hersteller mit 5.000 Beschäftigten bleibt dort wichtige Einrichtung. Den dokumentierten Nachweis liefert dir anschließend die NIS-2-Betroffenheitsprüfung des BSI. Das Online-Tool fragt dieselben Kriterien samt Sonderfällen ab, das Ergebnis gehört als erster Beleg in deine Compliance-Dokumentation.

§ 30 BSIG: zehn Maßnahmenbereiche, die zusammen ein ISMS ergeben

Der Pflichtenkatalog in § 30 BSIG verlangt geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen nach dem Stand der Technik. Wer die zehn Bereiche durchliest, erkennt das Inhaltsverzeichnis eines Informationssicherheitsmanagementsystems, weshalb sich ein ISMS-basiertes Vorgehen als Umsetzungsweg praktisch aufdrängt:

  • Risikoanalyse und Sicherheitskonzepte für die Informationssysteme
  • Bewältigung von Sicherheitsvorfällen mit definierten Rollen und Abläufen (Incident Response)
  • Betriebskontinuität mit Backup-Management, Wiederherstellung und Krisenmanagement
  • Sicherheit der Lieferkette einschließlich Anforderungen an Dienstleister und Zulieferer
  • Sicherheit in Entwicklung, Beschaffung und Wartung inklusive Schwachstellenmanagement
  • Konzepte zur Bewertung der Wirksamkeit der eigenen Maßnahmen
  • Grundlagen der Cyberhygiene und Schulungen für die Belegschaft
  • Konzepte für Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Management der Anlagen
  • Multi-Faktor-Authentifizierung, kontinuierliche Authentifizierung und gesicherte Kommunikationssysteme

Entscheidend ist die Kombination aus Umsetzung und Nachweisbarkeit. Eine konfigurierte MFA-Policy ohne dokumentierte Risikoanalyse und ohne Wirksamkeitskontrolle besteht kein Audit, weil das Gesetz die Angemessenheit am individuellen Risiko misst und genau diese Bewertung belegt sehen will.

Meldepflichten: drei Stufen, enge Takte

Die bisher einstufige KRITIS-Meldung wurde durch ein dreistufiges Melderegime ersetzt (§ 32 BSIG). Alle Fristen starten, sobald dein Unternehmen von einem erheblichen Sicherheitsvorfall Kenntnis erlangt:

StufeFristWas das BSI erwartet
FrühwarnungInnerhalb von 24 StundenErste Einschätzung, ob mutmaßlich eine rechtswidrige oder böswillige Handlung vorliegt und ob grenzüberschreitende Auswirkungen möglich sind
VorfallsmeldungInnerhalb von 72 StundenBestätigung oder Aktualisierung der Frühwarnung plus Erstbewertung mit Schweregrad, Auswirkungen und vorhandenen Kompromittierungsindikatoren
AbschlussmeldungSpätestens einen Monat nach der VorfallsmeldungAusführliche Beschreibung des Vorfalls mit Ursache, Art der Bedrohung sowie getroffenen und laufenden Abhilfemaßnahmen; dauert der Vorfall noch an, zunächst als Fortschrittsmeldung

Die engen Takte funktionieren nur, wenn Erkennung, Bewertung und Meldeweg vorab geregelt sind, denn 24 Stunden reichen nicht aus, um im Ernstfall erst Zuständigkeiten zu klären. Sind personenbezogene Daten betroffen, läuft parallel die 72-Stunden-Meldung an die Datenschutzaufsicht nach Artikel 33 DSGVO, sodass dein Incident-Response-Playbook beide Meldestränge abbilden sollte.

Registrierung im BSI-Portal: Nachfrist läuft ab

Die Registrierungspflicht aus § 33 BSIG ist der formale Einstieg in die Regulierung. Betroffene Einrichtungen mussten sich innerhalb von drei Monaten nach Inkrafttreten registrieren, also bis zum 6. März 2026. Technisch läuft die Anmeldung über das BSI-Portal, das seit dem 6. Januar 2026 online ist. Voraussetzung ist ein ELSTER-Organisationszertifikat aus dem Dienst Mein Unternehmenskonto (MUK), dessen Postversand mehrere Werktage dauert. Plane den Zertifikatsantrag deshalb als ersten Schritt ein. Nach der Erstregistrierung sind Änderungen der Stammdaten binnen zwei Wochen nachzupflegen.

Weil bis zum Stichtag deutlich weniger als die Hälfte der erwarteten Einrichtungen registriert war, hat das BSI gegenüber Wirtschaftsverbänden eine Duldung bis zum 31. Juli 2026 kommuniziert. Diese Nachfrist ist kein neuer gesetzlicher Termin: Der Verstoß besteht seit dem 6. März, das BSI verzichtet lediglich vorerst auf Sanktionen. Allein die unterlassene Registrierung kann nach § 65 BSIG mit bis zu 500.000 Euro geahndet werden, ohne dass ein Sicherheitsvorfall eingetreten sein muss.

Am 31. Juli 2026 endet die Nachfrist, die das BSI säumigen Unternehmen für die NIS-2-Registrierung eingeräumt hat. Die gesetzliche Frist lief bereits am 6. März 2026 ab, trotzdem hatten sich bis Ende Mai erst rund 18.500 von geschätzt 29.500 betroffenen Einrichtungen im BSI-Portal gemeldet.

Mehr als ein Drittel der regulierten Unternehmen bewegt sich also seit Monaten in einem bußgeldbewehrten Zustand, viele davon unwissentlich, weil sie ihre eigene Betroffenheit nie geprüft haben. Das NIS2UmsuCG kennt keine Übergangsfristen, deshalb gelten alle Pflichten seit dem Inkrafttreten am 6. Dezember 2025 in vollem Umfang.

Geschäftsleitung in der Pflicht: § 38 BSIG und die Bußgelder

NIS2 verlagert die Verantwortung ausdrücklich auf die Leitungsebene. Nach § 38 BSIG muss die Geschäftsleitung die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und regelmäßig an Schulungen zur Bewertung von Cyberrisiken teilnehmen. Diese Pflichten sind nicht delegierbar, wodurch die pauschale Übergabe des Themas an die IT-Abteilung rechtlich nicht mehr trägt.

Verletzt die Geschäftsleitung ihre Überwachungspflicht, haftet sie nach den allgemeinen gesellschaftsrechtlichen Regeln persönlich. Das BSI hat im April 2026 eine kostenlose Geschäftsleitungsschulung als Foliensatz veröffentlicht, die sich als Grundlage für den Schulungsnachweis eignet.

Bei Verstößen gegen Risikomanagement- und Meldepflichten schöpft § 65 BSIG die Rahmen aus der Einstufungsmatrix voll aus, maßgeblich ist jeweils der höhere Wert aus Festbetrag und Umsatzanteil. Die Größenordnung entspricht der DSGVO-Logik, weil der EU-Gesetzgeber Cybersicherheit auf dieselbe Sanktionsstufe heben wollte.

Verzahnung mit ISO 27001 und typische Stolperfallen

Wer bereits ein ISMS nach ISO 27001 betreibt, hat den größten Teil der Anforderungen aus § 30 BSIG strukturell abgedeckt und sollte mit einer Gap-Analyse gezielt die Deltas suchen: Die dreistufigen Meldefristen, die Registrierungs- und Aktualisierungspflichten und die Lieferkettenanforderungen gehen über den Zertifizierungsumfang hinaus. Passendes Arbeitsmaterial legt das BSI gleich bei: einen Onepager zum Verhältnis von NIS-2 und ISO 27001, die #nis2know-Roadmap mit sechs Phasen und eine NIS-2-Checkliste für den Projektstart.

Drei Stolperfallen sehen wir in Projekten immer wieder. Erstens wird die Lieferkette unterschätzt: Verträge mit IT-Dienstleistern brauchen Sicherheitsanforderungen und Auditrechte, weil die eigene Compliance sonst an der schwächsten Auslagerung scheitert. Zweitens fehlt die Nachweiskette, denn zwischen umgesetzt und auditfest dokumentiert liegt der Unterschied zwischen bestandener und gescheiterter Prüfung. Drittens wird NIS2 isoliert betrachtet, obwohl mit dem am 29. Januar 2026 beschlossenen KRITIS-Dachgesetz für Betreiber kritischer Anlagen parallel die physische Resilienz reguliert wird und sich Bausteine wie Risikoanalysen und Meldewege doppelt verwenden lassen.

Der Gesetzgeber selbst beziffert den Erfüllungsaufwand der Wirtschaft für NIS2 auf einmalig 2,2 Milliarden Euro plus 2,3 Milliarden Euro pro Jahr. Realistisch geplant lässt sich ein guter Teil davon in Modernisierung lenken, die ohnehin ansteht.

Fazit

NIS2 ist in Deutschland kein Entwurfsthema mehr, sondern geltendes Recht ohne Schonfrist. Die lange Hängepartie bis zur Verabschiedung hat vielen Unternehmen ein trügerisches Gefühl von Aufschub vermittelt, das sich mit dem Inkrafttreten im Dezember 2025 schlagartig erledigt hat. Die Registrierungszahlen zeigen, dass ein großer Teil der Betroffenen diese Zäsur noch nicht vollzogen hat.

Genau darin liegt das akute Risiko: Die Registrierung ist der mit Abstand einfachste Teil der Umsetzung, sie kostet mit vorhandenem ELSTER-Organisationszertifikat weniger als einen Arbeitstag. Wer sie bis zum Ablauf der Nachfrist nicht nachholt, signalisiert dem BSI Untätigkeit bei einer Pflicht, die sich trivial erfüllen lässt, und macht sich damit zum naheliegenden Kandidaten für die ersten Bußgeldverfahren.

Die unbequeme Wahrheit zum Schluss: Die Bußgelder sind real, die Aufsicht ist arbeitsfähig, und die Zeit der Ausreden endet mit der Nachfrist. Wer NIS2 als Anlass nimmt, Sicherheitslücken zu schließen, die das Geschäft ohnehin bedrohen, holt aus der Pflicht den maximalen Nutzen.

Über den Gastautor

Die Schwerpunkte liegen auf IT-Sicherheit und Compliance (NIS2, ISO 27001, DSGVO), Microsoft 365 und Azure, Netzwerk- und Firewall-Infrastruktur, Virtualisierung inklusive VMware-Ablöse und datenschutzkonformer KI-Beratung. Zu NIS2 veröffentlicht das Unternehmen im firmeneigenen Blog und im IT for Business Podcast regelmäßig vertiefende Beiträge, unter anderem zu Bußgeldern, Meldepflichten und betroffenen Sektoren.

QuelleThemaURL
BundesgesetzblattVerkündung NIS2UmsuCG, BGBl. 2025 I Nr. 301https://www.recht.bund.de/bgbl/1/2025/301/VO.html
Deutscher BundestagBeschluss vom 13.11.2025, Melderegime, Erfüllungsaufwandhttps://www.bundestag.de/dokumente/textarchiv/2025/kw46-de-nis-2-1123138
BSINIS-2-regulierte Unternehmen: Registrierung, Betroffenheitsprüfung, Publikationenhttps://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
dhpgBSI-Portal-Start am 06.01.2026, Registrierungsfrist, Aktualisierungspflichthttps://www.dhpg.de/de/newsroom/blog/registrierungspflicht-nach-nis-2-bsi-portal-freigeschaltet-frist-maerz-2026
Teilen:
Noch keine Kommentare

Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.

Kommentar hinterlassen

Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.

E-Mail Adresse wird nicht veröffentlicht.