Setzen Sie jetzt die Anforderungen von NIS2 um
Über 30.000 Unternehmen sind in Deutschland von dem NIS2 Umsetzungsgesetz betroffen. Anhand mehrerer repräsentativen Umfragen wird davon ausgegangen, dass schätzungsweise die Hälfte davon nicht ausreichend vorbereitet ist. Gehören Sie dazu? Dann kontaktieren Sie uns gern für ein erstes kostenloses Beratungsgespräch.
Was ist NIS2?
Bereits im Jahr 2016 wurde das NIS-Gesetz im europäischen Rat verabschiedet. NIS2 ist die umfassende Erweiterung und wird das ursprüngliche NIS-Gesetz vollständig ablösen. Hinzugekommen sind weitere Sektoren und Firmengrößen. Ziel des Gesetzes ist es, ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystem in der gesamten europäischen Union zu gewährleisten. Mit diesem Ziel wurde die neue Richtlinie am 27. Dezember 2022 im EU-Amtsblatt eröffentlicht. Kurze Zeit später, am 16. Januar 2023, ist sie dann in Kraft getreten.
Nun liegt es an den einzelnen europäischen Staaten die Richtlinie in ein nationales Gesetz zu gießen. Das deutsche NIS-2 Umsetzungsgesetz (NIS2UmsuCG) ging einen relativ langen Bearbeitungsweg . Seit Dezember 2025 ist das NIS2UmsuCG nun in ein nationales Gesetz überführt worden. Betroffene Unternehmen mussten sich bis Ende März 2026 beim BSI registrieren und müssen die Umsetzung der Maßnahmen zeitnah nachweisen.
Was sind die NIS2 Compliance Anforderungen?
Für eine NIS2 Compliance gilt es verschiedene Mindestmaßnahmen zu erfüllen, die durch das NIS2UmsucCG vorgegeben werden. Darunter zählt in erster Linie eine Risikoanalyse und ein daraus entstehendes Sicherheitskonzept. Weitere Punkte sind beispielsweise Kryptografie und auch Awareness-Trainings sowie Schulungen für Mitarbeitende und Geschäftsführer:innen.
Das NIS2UmsucCG gibt wenig konkrete Maßnahmen vor, sondern koppelt vieles an eine vorangehende Risikoanalyse. Aus diesem Grund raten wir prinzipiell dazu eine Dokumentation der aktuellen IT-Sicherheitssituation im eigenen Unternehmen anzufertigen und darauf aufbauend weitere Maßnahmen zu implementieren um die Compliance zu erreichen.
Wichtig hierbei: Zertifizierungen wie ISO/IEC 27001 sind zwar wegbegleitend und durchaus sinnvoll für die Cybersicherheit, jedoch reicht eine solche Zertifizierung nicht für eine NIS2 Compliance aus. Vor allem die Meldepflichten und die Registrierung beim BSI müssen unabhängig von einer solchen Zertifizierung erreicht werden.
Unsere gemeinsame Roadmap zu Ihrer NIS2 Compliance
Workshop
Für NIS2 sind viele Schritte und eine Zusammenarbeit aus verschiedenen Abteilungen notwendig. Wir bringen Struktur in die Umsetzung des neuen Gesetzes. Gemeinsam mit Ihnen erstellen wir einen Zeit- und Organisationsplan und benennen Verantwortliche für die unterschiedlichen Aufgaben.
Gap-Analyse
Um sicherzugehen, dass wirklich alle durch NIS2 geforderten Maßnahmen implementiert werden, ist es notwendig, zuerst den IST-Zustand Ihres Unternehmens zu kennen. Wir machen die Gap-Analyse in Form eines Security-Audits. Dabei geht ein erfahrener Berater Ihre Dokumentation durch und prüft, welche Maßnahmen noch fehlen. Wenn ihr Unternehmen noch ganz am Anfang ist und gerade erst eine verlässliche IT-Security aufbaut, kann alternativ dazu der CyberRisikoCheck durchgeführt werden.
Umsetzungsphase
Bei der Umsetzungsphase unterstützen wir Sie gern dabei, die gefundenen Lücken zu schließen. Dafür nutzen wir die Gap-Analyse und setzen zuverlässig alle Punkte für die NIS2 Compliance um. Alles geschieht in enger Absprache mit Ihnen und mit dem Ziel den laufenden Betrieb zu wenig wie möglich zu beeinträchtigen.
Prüfung
Am Ende prüfen wir noch einmal alle gemeinsam getroffenen Maßnahmen. Dabei betrachten wir jedoch nicht nur die technische Umsetzung, sondern auch die Punkte, die im ersten NIS2 Workshop angesprochen wurden. Sind alle Aufgaben erfolgreich beendet, steht Ihrer NIS2 Compliance nichts im Wege. Sollten nun noch Themen offen sein, besprechen wir mit Ihnen das weitere Vorgehen.
Fortlaufender Support
IT-Sicherheit ist kein abschließbarer Prozess, sondern geschieht kontinuierlich. Das BSI schreibt in den FAQs zu den NIS2 Maßnahmen, diese „sollen den Stand der Technik einhalten und europäische und internationale Normen berücksichtigen.“ Damit wird deutlich, dass auch die NIS2 Compliance regelmäßig angepasst werden muss und nicht, einmal erreicht, für immer gültig ist.
Wer ist von NIS2 betroffen?
Schätzungsweise sind in Deutschland 30.000 von dem neuen NIS2UmsuCG betroffen. Darunter fallen natürlich sämtliche KRITIS-Unternehmen, aber auch wichtige und besonders wichtige Einrichtungen. Je nach Größe des Unternehmens fällt es in die eine oder die andere Kategorie. Man geht hierbei von folgender Verteilung aus:
Besonders wichtige Unternehmen (ca. 21.600 Unternehmen) Betroffenheit bei: Mehr als 250 Mitarbeitenden ODER mehr als 50 Millionen Umsatz und eine Bilanz über 43 Millionen.
Zusätzlich muss das Unternehmen in einen der folgenden mit „1“ gekennzeichneten Sektoren fallen.
Wichtige Unternehmen (ca. 21.000 Unternehmen) Betroffenheit bei: Mehr als 50 Mitarbeitenden ODER mehr als 10 Millionen Umsatz und eine Bilanz über 10 Millionen.
Zusätzlich muss das Unternehmen in einen der folgenden mit „2“ gekennzeichneten Sektoren fallen.

Energie
- Stromversorgung
- Heizöl und Fernwärme
- Gas
- Kraftstoff

Wasser
- Industrielle Wasserraufbereitung
- Bewässerungsunternehmen Landwirtschaft
- Wasserpumpenhersteller

Transport/Verkehr
- Straßenverkehr
- Schienenverkehr
- Schifffahrt
- Luftverkehr

Digitale Infrastruktur
- Cloud Anbieter
- Rechenzentren
- Managed Service Provider
- Zertifierungsstellen

Finanzwesen
- Bankwesen
- Kapitalmarkt und Vermögensverwaltung
- Unternehmensfinanzierung

Weltraum
- Satelliten-Kontrollzentren
- Forschungs- Entwicklungsunternehmen
- Komponentenhersteller

Gesundheit
- Pharmaindustrie
- Medizinprodukte

Post/Kurier
- Brief und Paketdienste
- Größere Express- und Kurierdienste

Verarbeitendes Gewerbe
- Maschinen- und Anlagenbau
- Holz-, Papier- und Druckgewerbe
- Textil- und Bekleidungsindustrie

Abfallbewirtschaftung
- Entsorgungsunfernehmen
- Betreiber Sortieranlagen und Deponien

Digitale Dienste
- Suchmaschienenanbieter
- Online Marktplätze
- Social Media Plattformen

Chemie
- Herstellung von Grundchemikalien
- Düngmittel und Pesitiziden
- Spezialchemie (Klebstoffe etc.)

Forschung
- Forschung in allen Bereichen der anderen Sektoren

Lebensmittel
- Lebensmittelproduktion
- Lebensmittelverarbeitung
- Großhandel
Zusammenfassend kann man sagen, dass bei den Sektoren Energie, Transport/Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur und Weltraum ein Unterschied gemacht wird, ob ein Unternehmen als wichtiges oder als besonderes Wichtiges Unternehmen gilt. Dieser Unterschied wird anhand der Unternehmensgröße festgelegt.
Bei den Sektoren Post/Kurier, Abfallwirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste und Forschung gibt es diese Unterscheidung nicht. Hier fallen alle Unternehmen rein, die über 50 Mitarbeiter oder einen entsprechenden Umsatz haben.
Welche Strafen drohen, wenn NIS2 nicht umgesetzt wird?
Die Strafen oder Sanktionen hängen im Wesentlichen von der Größe des Unternehmens, der Bilanz und dem Verstoß ab. Gut zu wissen ist auch, dass Geschäftsführer:innen mit ihrem Privatvermögen haften können.
Je nach Vergehen gibt es verschiedene Staffelungen an Sanktionen. Diese reichen von 100.000 Euro bis hin zu 7 Millionen bei wichtigen und 10 Millionen bei besonders wichtigen Unternehmen. Eine besondere Klausel regelt, dass sich die Strafe am Umsatz orientieren kann. Wenn der Gesamtumsatz eines Unternehmens mehr als 500 Millionen beträgt, kann eine Geldbuße bei besonders wichtigen Unternehmen bis zu 2% des Gesamtumsatzes und bei wichtigen Unternehmen bis zu 1,4 Prozent des Gesamtumsatzes betragen. Die kompletten Bußgeldvorschriften finden sich in §65 im Gesetztestext zu NIS2. Sie können diesen auf der Seite des Bundes einsehen.
Wie ist die Lieferkette von NIS2 betroffen?
Im Bereich Risikomanagement unter § 30 Absatz 4 steht im NIS2UmsuCG folgendes „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern“ – Damit sind Unternehmen verpflichtet auch Ihre Lieferanten mit in die NIS2-Pflicht zu nehmen. Auf diese Weise ist davon auszugehen, dass deutlich mehr Unternehmen durch das neue Gesetz betroffen sind, als die Liste der Sektoren und Angaben zur Unternehmensgröße vermuten lassen. Welche Anforderungen genau weiterzugeben sind, ist im Gesetz nicht explizit definiert. Für die Belieferer und Dienstleister für KRITIS-Unternehmen gibt es bereits Best-practice-Empfehlungen vom zum Download. Diese werden auch empfohlen für Unternehmen, die zukünftig mit von NIS2 betroffenen Unternehmen zusammenarbeiten.
Unsere Unterstützung für die Umsetzung von NIS2
Individuelle Sicherheitsanalysen
Mit unserem IT-Security Audit können Sie herausfinden, wie es um Ihre aktuelle IT-Sicherheit bestellt ist. Sind Sie vorbereitet für NIS-2? Besteht noch Nachholbedarf?
Umfassendes Security Coaching
Unsere Experten unterstützen Sie bei der Umsetzung aller relevanten NIS-2-Vorgaben. Sie wissen, dass Sie jetzt mit der Umsetzung starten müssen, aber wissen nicht wie?
Effektive Sicherheitslösungen
Gesamtheitliche Sicherheitslösungen für Ihr Unternehmen. Benötigen Sie eine durchdachte Endpoint Protection oder Unterstützung bei der Implemtierung einer Firewall?
Jetzt kostenloses Whitepaper anfordern:
Wie finde ich raus, ob mein Unternehmen von NIS2 betroffen ist?
Um unter das das NIS2UmsuccG zu fallen, müssen zwei Anforderungen erfüllt sein.
1. Das Unternehmen ist in einem der folgenden Sektoren angesiedelt:
• Energie
• Transport und Verkehr
• Finanzwesen
• Gesundheit
• Wasser
• Digitale Infrastruktur
• Weltraum
• Post- und Kurierdienste
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe / Herstellung von Waren
• Anbieter digitaler Dienste
• Forschung
oder ist ein KRITIS-Unternehmen
2. Das Unternehmen hat mehr als 50 Mitarbeiter oder einen Jahresumsatz mit mehr als 10 Millionen Euro und eine Jahresbilanzsumme von mehr als 10 Millionen Euro.
Auf der Seite des BSIs finden Sie auch eine NIS2-Betroffenheitsprüfung
Ab wann gilt NIS2 in Deutschland?
Die NIS2 Richtlinie wurde am 5. Dezemeber 2025 in nationales Recht überführt und muss nun umgesetzt werden.
Was müssen Unternehmen für NIS2 umsetzen?
Unternehmen müssen für NIS2 angemessene Sicherheitsmaßnahmen implementieren. Dazu zählt:
- Risikoanalyse
-
Backup-Strategie
-
Zugriffskontrollen (MFA etc.)
-
Security Policies
-
Schulungen für Mitarbeiter und Geschäftsführer
Zusätzlich sind Unternehmen dazu verpflichtet, sich selbstständig beim BSI zu registrieren und zukünftig Meldung zu erstatten bei Sicherheitsvorfällen.
Wo muss das Unternehmen registriert werden?
Alle Unternehmen, die vom NIS2UmsuccG betroffen sind, müssen sich über das BSI registrieren.
Was ist die Anmeldefrist für die NIS2 Registrierung?
Die Anmeldefrist für die Registrierung als Unternehmen, das unter NIS2 fällt endet am 6. März 2026.
Mit welchen Maßnahmen sollte man für die Umsetzung von NIS2 starten?
Das BSI rät zunächst den aktuellen Stand der IT-Sicherheit festzustellen. Hierzu bietet sich beispielsweise der CyberRisikoCheck an. Diesen können Sie auch mit uns durchführen. Wir freuen uns über eine Nachricht über unser Kontaktformular.
