Ende November 2025 hat der Bundesrat das NIS-2 Umsetzungsgesetz verabschiedet – voraussichtlich tritt es noch Ende 2025 oder Anfang 2026 in Kraft. Damit wird aus einer EU-Richtlinie deutsches Recht, und die Zahl der regulierten Unternehmen steigt schlagartig von rund 4.500 auf über 30.000.
Viele mittelständische Unternehmen, die sich bisher nicht als „kritische Infrastruktur“ sahen, fallen nun unter verschärfte Cybersecurity-Pflichten – mit empfindlichen Bußgeldern und persönlicher Haftung der Geschäftsführung.
Wer ist betroffen?
Die NIS-2-Richtlinie erfasst Unternehmen aus 18 Sektoren, darunter Gesundheit, Energie, Transport, Banken, Wasser, IT/Telekommunikation, öffentliche Verwaltung, Chemie, Lebensmittel und Maschinenbau.
Entscheidend sind zwei Schwellenwerte:
- Mindestens 50 Mitarbeitende ODER
- Mindestens 10 Millionen Euro Jahresumsatz
Unternehmen werden in zwei Kategorien eingeteilt:
- Besonders wichtige Einrichtungen (ab 250 Mitarbeitende oder 50 Mio. EUR Umsatz): strengere Aufsicht, Bußgelder bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes.
- Wichtige Einrichtungen (ab 50 Mitarbeitende oder 10 Mio. EUR Umsatz): reaktive Aufsicht, Bußgelder bis 7 Mio. EUR oder 1,4% des Jahresumsatzes.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Online-Betroffenheitsprüfung an, mit der Unternehmen ihre Einstufung klären können.
Die fünf Kernpflichten im Überblick
Das NIS-2 Umsetzungsgesetz bringt fünf zentrale Pflichtenblöcke mit sich:
1. Registrierung beim BSI
Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren. Diese Registrierung ist nicht optional – wer sie versäumt, riskiert bereits erste Sanktionen.
2. Risikomanagement und technische Sicherheitsmaßnahmen
NIS-2 fordert ein strukturiertes Cyber-Risikomanagement mit zehn verbindlichen Mindestmaßnahmen:
1. Risikoanalyse und Sicherheitskonzepte: Regelmäßige Bewertung der IT-Risiken
2. Bewältigung von Sicherheitsvorfällen: Klarer Incident-Response-Prozess
3. Business Continuity Management: Backup-Strategien, Notfallpläne, Krisenorganisation
4. Sicherheit der Lieferkette: Anforderungen an Zulieferer, Cloud-Provider, Outsourcing-Partner
5. Schwachstellenmanagement und Patch-Management: Strukturierte Update-Prozesse
6. Kryptografie und Verschlüsselung: Einsatz moderner Verschlüsselungstechnologien
7. Personalsicherheit und Zugriffskontrolle: Strikte Regeln für sensible Daten und Systeme
8. Multi-Faktor-Authentifizierung (MFA): Absicherung aller kritischen Zugänge
9. Cyber-Hygiene und Schulungen: Regelmäßige Sensibilisierung der Mitarbeitenden
10. Bewertung der Wirksamkeit: Audits, Penetrationstests, kontinuierliche Verbesserung
Wer bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder BSI-Grundschutz betreibt, hat eine solide Basis – häufig zeigen sich aber Lücken bei Lieferantenmanagement, Krisenübungen und Monitoring.
3. Meldepflichten bei Sicherheitsvorfällen
Ein zentrales Element der Richtlinie sind die verschärften Meldepflichten in drei Stufen:
* Frühwarnung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls
* Detailmeldung innerhalb von 72 Stunden mit ersten Erkenntnissen zu Ursache, Auswirkungen und Gegenmaßnahmen
* Abschlussbericht spätestens nach einem Monat mit Lessons Learned und nachhaltig implementierten Maßnahmen
Die Meldungen gehen an die gemeinsame Meldestelle von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
4. Governance und persönliche Haftung der Geschäftsführung
Hier wird es ernst: Die Geschäftsleitung trägt die persönliche Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen. Artikel 20 der NIS-2-Richtlinie verpflichtet Geschäftsführer und Vorstände dazu:
* Sicherheitsmaßnahmen zu billigen und zu überwachen
* Sich regelmäßig schulen zu lassen (mindestens alle drei Jahre)
* Cybersicherheit als Chefsache zu verankern
Bei Verstößen haftet die Geschäftsführung nach § 43 GmbHG bzw. § 93 AktG – mit dem Privatvermögen. Delegation an einen CISO oder IT-Leiter ist möglich, entbindet die Geschäftsleitung aber nicht von ihrer Aufsichtspflicht.
5. Nachweispflichten und Audits
Betroffene Einrichtungen müssen ihre Sicherheitsmaßnahmen dokumentieren und nachweisen. Besonders wichtige Einrichtungen unterliegen regelmäßigen behördlichen Prüfungen – wichtige Einrichtungen werden bei konkreten Verdachtsmomenten kontrolliert.
Sanktionen: Was droht bei Nichteinhaltung?
Die Bußgelder orientieren sich am DSGVO-Modell und sind empfindlich:
- Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, was höher ist)
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes
Zusätzlich sind möglich:
- Behördliche Anordnungen zur Umsetzung bestimmter Maßnahmen
- Untersagung von Leitungsfunktionen (Managementverbote)
- Öffentliche Warnungen mit massiven Reputationsschäden
Die persönliche Haftung der Geschäftsführung kommt hinzu, wenn nachgewiesen werden kann, dass Sicherheitsvorfälle auf Vernachlässigung der Überwachungs- und Organisationspflichten zurückzuführen sind.
Zeitplan: Wie viel Zeit bleibt wirklich?
Der Zeitdruck ist real:
- November 2025: Bundestag und Bundesrat haben zugestimmt
- Ende 2025 / Anfang 2026: Inkrafttreten nach Veröffentlichung im Bundesgesetzblatt
- Keine generelle Schonfrist: Die Pflichten gelten sofort nach Inkrafttreten
- 3 Monate nach Inkrafttreten: Registrierung beim BSI erforderlich
Das bedeutet: Unternehmen sollten jetzt handeln – nicht erst, wenn das Gesetz offiziell in Kraft ist.
NIS-2 Compliance-Checkliste: Erste Schritte
Hier eine praxisnahe Roadmap zur Umsetzung:
Sofort (0-3 Monate)
✅ Betroffenheit prüfen: Bin ich als Unternehmen erfasst? In welcher Kategorie?
✅ Gap-Analyse durchführen: Wo stehe ich heute, wo sind die größten Lücken?
✅ Verantwortlichkeiten klären: Wer übernimmt intern oder extern die Koordination?
✅ Geschäftsleitung informieren: Persönliche Haftung und strategische Bedeutung verdeutlichen
Kurzfristig (3-6 Monate)
✅ Risikomanagement etablieren: Risikoanalyse durchführen und dokumentieren
✅ ISMS aufsetzen oder erweitern: ISO 27001 / BSI-Grundschutz als Basis nutzen
✅ Meldeprozesse einrichten: Klare Prozesse für 24h/72h/1-Monat-Meldungen
✅ Registrierung beim BSI: Fristgerecht innerhalb von 3 Monaten
Mittelfristig (6-12 Monate)
✅ Incident Response etablieren: Krisenübungen, Table-Top-Übungen durchführen
✅ Lieferantenmanagement ausbauen: Verträge prüfen, Anforderungen an Dienstleister definieren
✅ Notfall- und Krisenpläne entwickeln: Backup-Strategien, Business Continuity Management
✅ Schulungen durchführen: Geschäftsleitung, IT-Team, alle Mitarbeitenden
Langfristig (12-18 Monate)
✅ ISMS-Strukturen fest verankern: Regelmäßige Tests, Audits, Reviews
✅ Kennzahlen und Prozesse etablieren: Kontinuierliche Verbesserung sicherstellen
✅ Dokumentation lückenlos führen: Nachweispflichten erfüllen
Warum externe Unterstützung sinnvoll ist
Viele Unternehmen – gerade im Mittelstand – haben weder die Zeit noch die internen Ressourcen, um NIS-2-Compliance von Null aufzubauen. Genau hier setzt Interim Legal & Compliance an: temporär, fokussiert, pragmatisch.
Als Interim Manager unterstütze ich Unternehmen bei:
- Betroffenheitsprüfung und Gap-Analyse: Wo stehen Sie, was fehlt?
- Aufbau eines pragmatischen ISMS: ISO 27001, BSI-Grundschutz, NIS-2-konform
- Risikomanagement und Dokumentation: Strukturiert, nachweisbar, praxistauglich
- Meldeprozessen und Incident Response: Klare Prozesse, getestet und trainiert
- Lieferantenmanagement und Vertragsanpassung: Compliance in der gesamten Lieferkette
- Schulungen für Geschäftsführung und Teams: Persönliche Haftung minimieren, Awareness schaffen
Wenn Sie Ihr Unternehmen rechtssicher und geschäftsorientiert auf NIS-2 vorbereiten möchten, sprechen Sie mich gerne an – von der ersten Analyse bis zur vollständigen Umsetzung.