V-Hub by Vodafone Business Security SicherheitNIS2 erklärt: Anforderungen und praktische Tipps zur Umsetzung

Die NIS-2-Richtlinie stellt Unternehmen vor Herausforderungen

Security

NIS2 erklärt

Anforderungen und praktische Tipps zur Umsetzung

Hier erfahren Sie mehr

Freca Dumrese

19.12.2025

8 Min.

NIS2 ist da! Ab sofort gelten in Deutschland strengere Cybersicherheitsregeln für rund 30.000 Organisationen aus Wirtschaft und Staat. NIS2 soll die kritische Infrastruktur besser schützen. Auf welche Unternehmen welche Pflichten zukommen und welche Sanktionen und Haftungsrisiken bei Nichtbeachtung drohen, lesen Sie hier.

Inhaltsverzeichnis

Das Wichtigste zu NIS2 in Kürze Gilt NIS2 für Ihr Unternehmen oder Ihre Organisation?Was müssen betroffene Unternehmen nun tun?Checkliste: So gehen Sie vor, wenn NIS2 für Ihr Unternehmen gilt

Das Wichtigste zu NIS2 in Kürze

Mit der NIS2-Richtlinie (kurz: NIS2 oder NIS II) will die EU kritische Infrastrukturen (KRITIS) besser schützen – als Reaktion auf die seit der Corona-Pandemie stark gestiegene Zahl von Cyberangriffen. In Deutschland ist das NIS2-Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten.
Neu ist, dass auch kleinere Einrichtungen, Teile der Lieferketten und bestimmte Bundeseinrichtungen einbezogen werden.
Zur kritischen Infrastruktur zählen in Deutschland zwischen 29.500 und 30.000 Organisationen aus Wirtschaft und Staat aus wichtigen und besonders wichtigen Bereichen wie der Energie- und Wasserwirtschaft, dem Verkehrs-, Finanz- und Gesundheitswesen bis hin zu Verwaltung und Raumfahrt.
NIS2 soll sicherstellen, dass Geschäftsprozesse und die dafür notwendigen IT-Systeme in Einrichtungen der kritischen Infrastruktur sowie in verbundenen Organisationen in Europa unterbrechungsfrei und sicher laufen.
Unternehmen und Organisationen müssen sich im Rahmen von NIS2 neben organisatorischen und rechtlichen Maßnahmen mit technischen Anforderungen auseinandersetzen. Die Umsetzungsfrist läuft bis März 2026.
Unternehmen, die in den Geltungsbereich des Gesetzes fallen, müssen sich selbstständig als „wichtige“ oder „besonders wichtige“ Einrichtung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Das Umsetzungsgesetz räumt Behörden umfassende Kontrollrechte ein. Für betroffene Unternehmen heißt das: frühzeitig handeln, passende Strukturen schaffen und Cybersicherheit als strategische Priorität etablieren.

Ein Mann mit einem weißen Bauhelm auf dem Kopf steht in einer Güteranlage, telefoniert und hält eine rote Mappe unter seinem linken Arm.

NIS2 - Die neue Ära der Cyber-Sicherheit

Die EU-Richtlinie NIS2 regelt die Sicherheit von Netzen und Informationstechnologien in der EU. Ist Ihr Unternehmen davon auch betroffen? Hier lesen Sie alle wichtigen Fakten zur novellierten Vorgabe.

Hier erfahren Sie mehr

Gilt NIS2 für Ihr Unternehmen oder Ihre Organisation?

Die NIS2-Richtlinie unterscheidet in ihrem Geltungsbereich zum einen nach Sektoren und damit zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Außerdem ist der Jahresumsatz und die Zahl der Mitarbeitenden hierfür relevant.

Während „besonders wichtige“ Einrichtungen unter eine aktive Aufsicht fallen, gilt für die „wichtigen“ Einrichtungen lediglich die eine reaktive Aufsicht. Das bedeutet, dass die Aufsichtsbehörden die betroffenen Unternehmen nicht benachrichtigen. Sie müssen selbst entscheiden, ob sie in den Geltungsbereich von NIS2 fallen.

Für Ihr Unternehmen gelten die neuen NIS2-Vorschriften, wenn Sie in den folgenden Bereichen tätig sind oder eine der folgenden Kriterien auf Ihr Unternehmen zutreffen:

Was ist KRITIS?

Kritische Infrastrukturen (KRITIS) sind Einrichtungen und Organisationen, die besonders wichtig für das Gemeinwesen sind oder bei deren Beeinträchtigung erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen eintreten können. Dazu gehören die Sektoren Energie, Informationstechnik/Telekommunikation, Transport/Verkehr, Gesundheit, Medien/Kultur, Wasser, Ernährung, Staat/Verwaltung, Finanzwesen und Abfallentsorgung. Weitere Informationen dazu sowie zur KRITIS-Verordnung finden Sie auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI).

„Besonders wichtige“ Einrichtungen

Energiewirtschaft: Herstellung, Vertrieb und Verkauf von Energie (zum Beispiel Strom, Gas, Öl) sowie Betreiber von E-Ladestationen
Wasserwirtschaft: Herstellung und Bereitstellung von Trinkwasser, Entsorgung von Abwasser
Verkehrswesen: Straßen-, Schienen-, Schiffs- und Luftverkehr
Bank-, Finanz- und Versicherungswesen: Bereitstellung von Krediten, Handel, Märkten und der dazugehörigen Infrastruktur
Digitale Infrastruktur: sämtliche Großunternehmen im digitalen Sektor; mittlere Unternehmen im Telekommunikationssektor; größenunabhängig daneben Betreiber kritischer Anlagen wie Zugangsnetze, Rechenzentren, Seekabel sowie DNS-Dienstanbieter, Top-Level-Domain-Name-Register (TLD) und Vertrauensdiensteanbieter
Gesundheitswesen: Gesundheitsdienstleistungen (einschließlich Pharmazeutika), Forschungseinrichtungen, Hersteller medizinischer Geräte
Öffentliche Verwaltung: alle Einrichtungen der Bundesverwaltung, Einrichtungen des öffentlichen Rechts und dazugehörige Vereinigungen, öffentliche IT-Unternehmen, die mehrheitlich im Eigentum des Bundes stehen
Raumfahrt: Hersteller von Bauteilen, Betreiber bodengestützter Infrastrukturen
Unternehmensgröße: Unternehmen mit mehr als 250 Mitarbeiter:innen oder einem Jahresumsatz > 50 Mio. Euro oder einer Jahresbilanzsumme > 43 Mio. (seit Dezember 2025)

„Wichtige“ Einrichtungen

Postwesen: Post- und Kurierdienste
Abfallwirtschaft: Sammlung, Transport, Recycling, Entsorgung
Forschungseinrichtungen: Produktion und Vertrieb zu Forschungszwecken
Lebensmittel: Produktion, Verarbeitung, Vertrieb
Chemische Erzeugnisse: Produktion und Handel
Hersteller von: Elektronik/Computern, Medizin-/Diagnosegeräten, Optik, Maschinen, Kraftfahrzeugen, sonstigen Transportmitteln
Unternehmensgröße: Unternehmen mit mehr als 50 Mitarbeiter:innen oder einem Jahresumsatz > 10 Mio. Euro oder einer Jahresbilanzsumme > 10 Mio. (seit Dezember 2025)

-> mehr als 50 Mitarbeiter:innen oder mehr als 10. Mio. Euro Jahresumsatz und mehr als 10 Mio. Euro Jahresbilanzsumme

-> mehr als 250 Mitarbeiter:innen oder mehr als 50 Mi. Euro Jahresumsatz und mehr als 43 Mio. Euro Jahresbilanzsumme

Abfallwirtschaft

Energiewirtschaft

Postwesen

Verkehrswesen

Forschungseinrichtungen

Wasserwirtschaft

Lebensmittel

Bank- und Versicherungswesen

Chemische Erzeugnisse

Digitale Infrastruktur

Verarbeitendes Gewerbe

Gesundheitswesen

Öffentliche Verwaltung

Raumfahrt

Aufgepasst: Unternehmen müssen selbstständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit zu den etwa 29.500 bis 30.000 vom BSI beaufsichtigten Einrichtungen gehören.

Was müssen betroffene Unternehmen nun tun?

Von der NIS2-Richtlinie betroffene Unternehmen sind dazu verpflichtet, angemessene Maßnahmen in folgenden Bereichen zu ergreifen und in sämtlichen Betriebsprozessen durchzusetzen:

Cyber-Risikomanagement
Technische Sicherheitsmaßnahmen
Lieferkettensicherheit
Business-Continuity-Management
Datenverschlüsselung
Zutrittsbeschränkungen
Berichterstattung an Behörden
Abhilfemaßnamen

Eine Neuerung ist die Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen. Sie sollen erlernen, wie sie die gesetzlich vorgeschriebenen technisch-organisatorischen Maßnahmen für die von ihnen geleitete Einrichtung implementieren können (§ 38 Abs. 1 BSIG-E).

Wir unterstützen Sie bei der Digitalisierung Ihres Unternehmens

Digital erfolgreicher – jetzt Beratungstermin vereinbaren

Sie möchten in Ihrem Unternehmen effizienter arbeiten? Und sich zukunftssicher aufstellen? Unsere Expert:innen für Digitalisierung unterstützen Sie kostenlos und unverbindlich. Zu Fragen wie Cloud-Lösungen, digitale Sicherheit, Remote-Arbeit und mehr.

Montag bis Freitag, 9 bis 17 Uhr

Jetzt Online-Termin vereinbaren

Checkliste: So gehen Sie vor, wenn NIS2 für Ihr Unternehmen gilt

Unterliegt Ihr Unternehmen den erweiterten Anwendungsbereichen der NIS2-Richtlinie, sollten Sie zeitnah die folgenden Maßnahmen ergreifen. Denken Sie an die Umsetzungsfrist bis März 2026. Sind Sie sich unsicher oder verfügen nicht über eine entsprechende IT-Sicherheitsexpertise in Ihrem Unternehmen, sollten Sie einen externen Dienstleister hinzuziehen.

Betroffenheitsanalyse vornehmen: Ermitteln Sie zunächst, ob Ihr Unternehmen betroffen ist. Gehören Sie zu den „besonders wichtigen“ Einrichtungen im Sinne der KRITIS, wendet sich die Behörde an Sie. Zählt Ihr Unternehmen zu den „wichtigen“ Einrichtungen, sind Sie verpflichtet, sich Ihrerseits bei den Behörden zu registrieren.
Verantwortlichkeiten klären: Bestimmen Sie innerhalb Ihres Unternehmens, wer für welche Teilbereiche verantwortlich ist, um die Kriterien von NIS2 einzuhalten.
Zuständigkeitsbereiche definieren: Definieren Sie die Zuständigkeiten für die konkreten Maßnahmen der Cybersecurity, für das Reporting gegenüber der Geschäftsführung, hinsichtlich des Risikomanagements sowie gegenüber den Behörden.
Überwachung etablieren: Implementieren Sie Überwachungsmechanismen innerhalb der Firma, um die Einhaltung der NIS2-Richtlinie zu gewährleisten.
Geschäftskontinuität sichern: Sorgen Sie dafür, dass Ihre Geschäftsprozesse auch im Falle eines Cyberangriffs weiterlaufen können. Unterbrechungen oder komplette Ausfälle können schwere Sanktionen der Behörden nach sich ziehen.
Meldeverfahren einrichten: Entwickeln Sie ein standardisiertes Meldeverfahren bei Vorfällen, die unter die NIS2-Bestimmungen fallen. Unterschiedliche Personen in Ihrem Betrieb müssen das Meldeverfahren durchführen können.

NIS2-Meldung für Sicherheitsfälle ab 2026 nur online

Von NIS2 betroffene Unternehmen müssen sich offiziell registrieren und über „signifikante Störungen, Vorfälle und Cyber Threats ihrer Dienstleistungen“ Meldung machen.

Um Abläufe zu beschleunigen, soll die Berichterstattung in Deutschland ab 2026 nur noch online über ein neu geschaffenes Portal erfolgen. Das funktioniert so:

1. Im ersten Schritt melden Sie Ihr Unternehmen bei dem digitalen Dienst „Mein Unternehmenskonto“ (MUK) an und erstellen dort einen Account – nach Empfehlung des BSI am besten bereits bis Ende 2025. Anmeldung über: https://info.mein-unternehmenskonto.de/

Halten Sie Ihre betriebliche Steuernummer bereit.
Sie erhalten die Aktivierungsdaten per E-Mail und einen Aktivierungsbrief per Post (ca. 5 Werktage).
Nun ist Ihr persönliches Zertifikat, über das Sie die Meldungen machen können, gültig. Beantragen Sie am besten für jeden Verantwortlichen im Unternehmen ein separates Organisationszertifikat.

2. Im zweiten Schritt melden Sie sich mit Ihren Daten bei dem hierfür neu geschaffenen BSI-Portal an (verfügbar ab dem 6. Januar 2026), um NIS2-relevante Ereignisse zu melden. Das Portal ist die offizielle Meldestelle für gravierende Sicherheitsvorfälle.

Wichtig: Wer die Registrierung und Umsetzung der Sicherheitsmaßnahmen verzögert, riskiert hohe Bußgelder und persönliche Haftung der Geschäftsleitung.

NIS2: Hier mehr erfahren

Sanktionen bei Verstößen gegen die NIS2-Richtlinie

Nicht nur der Anwendungsbereich von NIS2 geht über die bisher definierten kritischen Infrastrukturen hinaus. Gleichzeitig steigen die Anforderungen an die Umsetzung sowie das Haftungsrisiko für Unternehmen und geschäftsführende Personen.

Bußgelder für Unternehmen

Unternehmen unterliegen einem Stufenkonzept für Bußgelder. Generell fällt unter den Bußgeldtatbestand ein „vorsätzliches oder fahrlässiges Verschulden“ hinsichtlich der NIS2-Bestimmungen.

Die Bußgelder betragen für „besonders wichtige“ Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Bei „wichtigen“ Einrichtungen kann es Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes geben – in beiden Fällen ist der höhere Betrag maßgeblich.

Haftungsrisiko für die Geschäftsleitung

Das Haftungsrisiko umfasst nach dem Entwurf des Bundesinnenministeriums auch die Geschäftsleitung. Bei einem Schaden durch unzureichendes Risikomanagement haften Mitglieder mit ihrem Privatvermögen – bis zu 2 Prozent des Jahresumsatzes des Unternehmens gelten dafür als Obergrenze.

Ein Beispiel dafür wäre ein erfolgreicher Cyberangriff mit Auswirkungen auf den Geschäftsprozess. Grund kann zum Beispiel ein mangelhaftes Security-Konzept oder ein unzureichend überwachter Risikomanagementprozess sein. Kommt es aufgrund dessen etwa zu finanziellen Auswirkungen durch Erpressungen, Kosten für externe Dienstleistungen und Bußgeldern, haften Geschäftsführer:innen persönlich.

Unser Fazit: Mit NIS2 stärken Sie die Cyberresilienz Ihres Unternehmens

Im Jahr 2025 hat sich die Cyberbedrohungslage nicht entspannt. Zwar zeigen die Resilienzmaßnahmen in Unternehmen bereits Wirkung, doch immer wieder finden Kriminelle Sicherheitslücken oder entwickeln neue, komplexere Angriffsformen. Daher ist das Umsetzungsgesetz für die NIS2-Richtlinie eine wichtige Maßnahme für die Sicherheit Ihres Unternehmens und der kritischen Infrastruktur in Europa.

Bei Nichtbeachtung drohen nicht nur erhebliche geschäftliche Risiken, sondern auch empfindliche Strafen. Darum: Etablieren Sie ein umfassendes Risikomanagement, halten Sie die strengeren Meldepflichten ein, definieren Sie klare Verantwortlichkeiten in der Unternehmensleitung und führen Sie Schulungen durch – auch auf Geschäftsführungsebene.