• Start
V-Hub by Vodafone BusinessSecuritySicherheitNIS2 erklärt: Anforderungen und praktische Tipps zur Umsetzung
Security

NIS2 erklärt

Anforderungen und praktische Tipps zur Umsetzung

Hier erfahren Sie mehr
Portrait von Freca DumreseFreca Dumrese
19.12.2025
8 Min.

    NIS2 ist da! Ab sofort gelten in Deutschland strengere Cybersicherheitsregeln für rund 30.000 Organisationen aus Wirtschaft und Staat. NIS2 soll die kritische Infrastruktur besser schützen. Auf welche Unternehmen welche Pflichten zukommen und welche Sanktionen und Haftungsrisiken bei Nichtbeachtung drohen, lesen Sie hier.

    Inhaltsverzeichnis

    Das Wichtigste zu NIS2 in KürzeGilt NIS2 für Ihr Unternehmen oder Ihre Organisation?Was müssen betroffene Unternehmen nun tun?Checkliste: So gehen Sie vor, wenn NIS2 für Ihr Unternehmen gilt

    Das Wichtigste zu NIS2 in Kürze

    • Mit der NIS2-Richtlinie (kurz: NIS2 oder NIS II) will die EU kritische Infrastrukturen (KRITIS) besser schützen – als Reaktion auf die seit der Corona-Pandemie stark gestiegene Zahl von Cyberangriffen. In Deutschland ist das NIS2-Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten.
      Neu ist, dass auch kleinere Einrichtungen, Teile der Lieferketten und bestimmte Bundeseinrichtungen einbezogen werden.
    • Zur kritischen Infrastruktur zählen in Deutschland zwischen 29.500 und 30.000 Organisationen aus Wirtschaft und Staat aus wichtigen und besonders wichtigen Bereichen wie der Energie- und Wasserwirtschaft, dem Verkehrs-, Finanz- und Gesundheitswesen bis hin zu Verwaltung und Raumfahrt.
    • NIS2 soll sicherstellen, dass Geschäftsprozesse und die dafür notwendigen IT-Systeme in Einrichtungen der kritischen Infrastruktur sowie in verbundenen Organisationen in Europa unterbrechungsfrei und sicher laufen.
    • Unternehmen und Organisationen müssen sich im Rahmen von NIS2 neben organisatorischen und rechtlichen Maßnahmen mit technischen Anforderungen auseinandersetzen. Die Umsetzungsfrist läuft bis März 2026.
    • Unternehmen, die in den Geltungsbereich des Gesetzes fallen, müssen sich selbstständig als „wichtige“ oder „besonders wichtige“ Einrichtung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
    • Das Umsetzungsgesetz räumt Behörden umfassende Kontrollrechte ein. Für betroffene Unternehmen heißt das: jetzt handeln, passende Strukturen schaffen und Cybersicherheit als strategische Priorität etablieren.
    Ein Mann mit einem weißen Bauhelm auf dem Kopf steht in einer Güteranlage, telefoniert und hält eine rote Mappe unter seinem linken Arm.

    NIS2 - Die neue Ära der Cyber-Sicherheit

    Die EU-Richtlinie NIS2 regelt die Sicherheit von Netzen und Informationstechnologien in der EU. Ist Ihr Unternehmen davon auch betroffen? Hier lesen Sie alle wichtigen Fakten zur novellierten Vorgabe.

    Hier erfahren Sie mehr

    Gilt NIS2 für Ihr Unternehmen oder Ihre Organisation?

    Die NIS2-Richtlinie unterscheidet in ihrem Geltungsbereich zum einen nach Sektoren und damit zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Außerdem ist der Jahresumsatz und die Zahl der Mitarbeitenden hierfür relevant.
    Während „besonders wichtige“ Einrichtungen unter eine aktive Aufsicht fallen, gilt für die „wichtigen“ Einrichtungen lediglich eine reaktive Aufsicht. Das bedeutet, dass die Aufsichtsbehörden die betroffenen Unternehmen nicht benachrichtigen. Betroffene Unternehmen müssen daher anhand der gesetzlichen Kriterien eigenständig prüfen und dokumentieren, ob sie in den Geltungsbereich von NIS2 fallen.
    Für Ihr Unternehmen gelten die neuen NIS2-Vorschriften, wenn Sie in den folgenden Bereichen tätig sind oder eine der folgenden Kriterien auf Ihr Unternehmen zutreffen:
    Was ist KRITIS?

    Kritische Infrastrukturen (KRITIS) sind Einrichtungen und Organisationen, die besonders wichtig für das Gemeinwesen sind oder bei deren Beeinträchtigung erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen eintreten können. Dazu gehören die Sektoren Energie, Informationstechnik/Telekommunikation, Transport/Verkehr, Gesundheit, Medien/Kultur, Wasser, Ernährung, Staat/Verwaltung, Finanzwesen und Abfallentsorgung. Weitere Informationen dazu sowie zur KRITIS-Verordnung finden Sie auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI).

    „Besonders wichtige“ Einrichtungen

    • Energiewirtschaft: Herstellung, Vertrieb und Verkauf von Energie (zum Beispiel Strom, Gas, Öl) sowie Betreiber von E-Ladestationen
    • Wasserwirtschaft: Herstellung und Bereitstellung von Trinkwasser, Entsorgung von Abwasser
    • Verkehrswesen: Straßen-, Schienen-, Schiffs- und Luftverkehr
    • Bank-, Finanz- und Versicherungswesen: Bereitstellung von Krediten, Handel, Märkten und der dazugehörigen Infrastruktur
    • Digitale Infrastruktur: sämtliche Großunternehmen im digitalen Sektor; mittlere Unternehmen im Telekommunikationssektor; größenunabhängig daneben Betreiber kritischer Anlagen wie Zugangsnetze, Rechenzentren, Seekabel sowie DNS-Dienstanbieter, Top-Level-Domain-Name-Register (TLD) und Vertrauensdiensteanbieter
    • Gesundheitswesen: Gesundheitsdienstleistungen (einschließlich Pharmazeutika), Forschungseinrichtungen, Hersteller medizinischer Geräte
    • Öffentliche Verwaltung: alle Einrichtungen der Bundesverwaltung, Einrichtungen des öffentlichen Rechts und dazugehörige Vereinigungen, öffentliche IT-Unternehmen, die mehrheitlich im Eigentum des Bundes stehen
    • Raumfahrt: Hersteller von Bauteilen, Betreiber bodengestützter Infrastrukturen
    • Unternehmensgröße: Unternehmen mit mehr als 250 Mitarbeiter:innen oder einem Jahresumsatz > 50 Mio. Euro oder einer Jahresbilanzsumme > 43 Mio. (seit Dezember 2025)

    „Wichtige“ Einrichtungen

    • Postwesen: Post- und Kurierdienste
    • Abfallwirtschaft: Sammlung, Transport, Recycling, Entsorgung
    • Forschungseinrichtungen: Produktion und Vertrieb zu Forschungszwecken
    • Lebensmittel: Produktion, Verarbeitung, Vertrieb
    • Chemische Erzeugnisse: Produktion und Handel
    • Hersteller von: Elektronik/Computern, Medizin-/Diagnosegeräten, Optik, Maschinen, Kraftfahrzeugen, sonstigen Transportmitteln
    • Unternehmensgröße: Unternehmen mit mehr als 50 Mitarbeiter:innen oder einem Jahresumsatz > 10 Mio. Euro oder einer Jahresbilanzsumme > 10 Mio. (seit Dezember 2025)
    -> mehr als 50 Mitarbeiter:innen oder mehr als 10. Mio. Euro Jahresumsatz und mehr als 10 Mio. Euro Jahresbilanzsumme
    -> mehr als 250 Mitarbeiter:innen oder mehr als 50 Mio. Euro Jahresumsatz und mehr als 43 Mio. Euro Jahresbilanzsumme
    Abfallwirtschaft
    Energiewirtschaft
    Postwesen
    Verkehrswesen
    Forschungseinrichtungen
    Wasserwirtschaft
    Lebensmittel
    Bank- und Versicherungswesen
    Chemische Erzeugnisse
    Digitale Infrastruktur
    Verarbeitendes Gewerbe
    Gesundheitswesen
    Öffentliche Verwaltung
    Raumfahrt
    Wichtige Einrichtungen
    Besonders wichtige Einrichtungen
    Aufgepasst: Unternehmen müssen selbstständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit zu den etwa 29.500 bis 30.000 vom BSI beaufsichtigten Einrichtungen gehören.

    Was müssen betroffene Unternehmen nun tun?

    Von der NIS2-Richtlinie betroffene Unternehmen sind verpflichtet, angemessene technisch-organisatorische Maßnahmen umzusetzen und diese verbindlich in ihre Betriebsprozesse zu integrieren. Dazu zählen unter anderem:
    • Cyber-Risikomanagement: Systematische Identifikation, Bewertung und Priorisierung von Cyberrisiken, etwa durch regelmäßige Risikoanalysen, Schwachstellenbewertungen und definierte Verantwortlichkeiten.
    • Technische Sicherheitsmaßnahmen: Einsatz geeigneter Schutzmechanismen wie Firewalls, Intrusion-Detection-Systemen, Endpoint-Security, regelmäßigen Updates und Patch-Management.
    • Lieferkettensicherheit: Bewertung und Absicherung von IT-Risiken bei Dienstleistern und Zulieferern, z.B. durch vertragliche Sicherheitsanforderungen, Audits oder Mindeststandards für externe IT-Zugriffe.
    • Business-Continuity-Management: Entwicklung und regelmäßige Überprüfung von Notfall- und Wiederanlaufplänen, um den Geschäftsbetrieb auch bei IT-Störungen oder Cyberangriffen aufrechterhalten zu können.
    • Datenverschlüsselung: Schutz sensibler Daten durch geeignete Verschlüsselungsverfahren – sowohl bei der Speicherung als auch bei der Übertragung.
    • Zutritts- und Zugriffsbeschränkungen: Klare Regelungen, wer auf welche Systeme und Daten zugreifen darf, inklusive Mehr-Faktor-Authentifizierung und rollenbasierter Zugriffskonzepte.
    • Berichterstattung an Behörden: Einrichtung klarer Meldeprozesse, um Sicherheitsvorfälle fristgerecht und vollständig an die zuständigen Behörden zu melden.
    • Abhilfemaßnahmen: Definition von Prozessen, um Sicherheitsvorfälle zu analysieren, Schäden zu begrenzen und Wiederholungen durch gezielte Verbesserungsmaßnahmen zu verhindern.
    Eine Neuerung der NIS2-Richtlinie ist zudem die verpflichtende Schulung der Geschäftsleitung besonders wichtiger Einrichtungen. Sie soll sicherstellen, dass Verantwortliche die gesetzlichen Anforderungen verstehen und die notwendigen technisch-organisatorischen Maßnahmen wirksam steuern und überwachen können (§ 38 Abs. 1 BSIG-E).

    Chancen der Digitalisierung nutzen – jetzt beraten lassen

    Sie haben Ideen für Ihre Digitalisierung, die im Business-Alltag zu kurz kommen? Unsere Expert:innen entwickeln mit Ihnen einen Plan. Und unterstützen Sie bei der Umsetzung.

    Montag bis Freitag, 9 bis 17 Uhr

    Jetzt Online-Termin vereinbaren

    Checkliste: So gehen Sie vor, wenn NIS2 für Ihr Unternehmen gilt

    Unterliegt Ihr Unternehmen den erweiterten Anwendungsbereichen der NIS2-Richtlinie, sollten Sie zeitnah die folgenden Maßnahmen ergreifen. Denken Sie an die Umsetzungsfrist bis März 2026. Sind Sie sich unsicher oder verfügen Sie nicht über eine entsprechende IT-Sicherheitsexpertise in Ihrem Unternehmen, sollten Sie einen externen Dienstleister wie Vodafone hinzuziehen. Vereinbaren Sie gleich jetzt einen kostenlosen Beratungstermin.
    • Betroffenheitsanalyse vornehmen: Ermitteln Sie zunächst, ob Ihr Unternehmen betroffen ist. Gehören Sie zu den „besonders wichtigen“ Einrichtungen im Sinne der KRITIS, wendet sich die Behörde an Sie. Zählt Ihr Unternehmen zu den „wichtigen“ Einrichtungen, sind Sie verpflichtet, sich Ihrerseits bei den Behörden zu registrieren.
    • Verantwortlichkeiten klären: Bestimmen Sie innerhalb Ihres Unternehmens, wer für welche Teilbereiche verantwortlich ist, um die Kriterien von NIS2 einzuhalten.
    • Zuständigkeitsbereiche definieren: Definieren Sie die Zuständigkeiten für die konkreten Maßnahmen der Cybersecurity, für das Reporting gegenüber der Geschäftsführung, hinsichtlich des Risikomanagements sowie gegenüber den Behörden.
    • Überwachung etablieren: Implementieren Sie Überwachungsmechanismen innerhalb der Firma, um die Einhaltung der NIS2-Richtlinie zu gewährleisten.
    • Geschäftskontinuität sichern: Sorgen Sie dafür, dass Ihre Geschäftsprozesse auch im Falle eines Cyberangriffs weiterlaufen können. Unterbrechungen oder komplette Ausfälle können schwere Sanktionen der Behörden nach sich ziehen.
    • Meldeverfahren einrichten: Entwickeln Sie ein standardisiertes Meldeverfahren bei Vorfällen, die unter die NIS2-Bestimmungen fallen. Unterschiedliche Personen in Ihrem Betrieb müssen das Meldeverfahren durchführen können.

    NIS2-Meldung für Sicherheitsfälle ab 2026 nur online

    Von NIS2 betroffene Unternehmen müssen sich offiziell registrieren und über „signifikante Störungen, Vorfälle und Cyber Threats ihrer Dienstleistungen“ Meldung machen.
    Um Abläufe zu beschleunigen, soll die Berichterstattung in Deutschland ab 2026 nur noch online über ein neu geschaffenes Portal erfolgen. Das funktioniert so:
    1. Im ersten Schritt melden Sie Ihr Unternehmen bei dem digitalen Dienst „Mein Unternehmenskonto“ (MUK) an und erstellen dort einen Account – nach Empfehlung des BSI am besten bereits bis Ende 2025. Anmeldung über: https://info.mein-unternehmenskonto.de/
    • Halten Sie Ihre betriebliche Steuernummer bereit.
    • Sie erhalten die Aktivierungsdaten per E-Mail und einen Aktivierungsbrief per Post (ca. 5 Werktage).
    • Nun ist Ihr persönliches Zertifikat, über das Sie die Meldungen machen können, gültig. Beantragen Sie am besten für jeden Verantwortlichen im Unternehmen ein separates Organisationszertifikat.
    2. Im zweiten Schritt melden Sie sich mit Ihren Daten bei dem hierfür neu geschaffenen BSI-Portal (https://portal.bsi.bund.de/) an, um NIS2-relevante Ereignisse zu melden. Das Portal ist die offizielle Meldestelle für gravierende Sicherheitsvorfälle.
    Wichtig: Wer die Registrierung und Umsetzung der Sicherheitsmaßnahmen verzögert, riskiert hohe Bußgelder und persönliche Haftung der Geschäftsleitung.
    NIS2: Hier mehr erfahren

    Sanktionen bei Verstößen gegen die NIS2-Richtlinie

    Nicht nur der Anwendungsbereich von NIS2 geht über die bisher definierten kritischen Infrastrukturen hinaus. Gleichzeitig steigen die Anforderungen an die Umsetzung sowie das Haftungsrisiko für Unternehmen und geschäftsführende Personen.

    Bußgelder für Unternehmen

    Unternehmen unterliegen einem Stufenkonzept für Bußgelder. Generell fällt unter den Bußgeldtatbestand ein „vorsätzliches oder fahrlässiges Verschulden“ hinsichtlich der NIS2-Bestimmungen.
    Die Bußgelder betragen für „besonders wichtige“ Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Bei „wichtigen“ Einrichtungen kann es Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes geben – in beiden Fällen ist der höhere Betrag maßgeblich.

    Haftungsrisiko für die Geschäftsleitung

    Das Haftungsrisiko umfasst nach dem Entwurf des Bundesinnenministeriums auch die Geschäftsleitung. Bei einem Schaden durch unzureichendes Risikomanagement haften Mitglieder mit ihrem Privatvermögen – bis zu 2 Prozent des Jahresumsatzes des Unternehmens gelten dafür als Obergrenze.
    Ein Beispiel dafür wäre ein erfolgreicher Cyberangriff mit Auswirkungen auf den Geschäftsprozess. Grund kann zum Beispiel ein mangelhaftes Security-Konzept oder ein unzureichend überwachter Risikomanagementprozess sein. Kommt es aufgrund dessen etwa zu finanziellen Auswirkungen durch Erpressungen, Kosten für externe Dienstleistungen und Bußgeldern, haften Geschäftsführer:innen persönlich.

    Unser Fazit: Jetzt handeln – NIS2 erfordert sofortige Umsetzung

    NIS2 ist kein „Nice-to-have“, sondern eine verbindliche gesetzliche Vorgabe mit klaren Fristen, Pflichten und spürbaren Sanktionen. Unternehmen, die jetzt handeln, sichern nicht nur ihre Compliance, sondern reduzieren aktiv Cyberrisiken, Haftungsgefahren und Betriebsunterbrechungen. Wer die Umsetzung aufschiebt, riskiert dagegen empfindliche Bußgelder, Reputationsschäden und persönliche Haftung der Geschäftsleitung. Jetzt ist der richtige Zeitpunkt, NIS2 strukturiert und nachweisbar umzusetzen.
    Ein Mann mit einem weißen Bauhelm auf dem Kopf steht in einer Güteranlage, telefoniert und hält eine rote Mappe unter seinem linken Arm.

    NIS2 - Die neue Ära der Cyber-Sicherheit

    Die EU-Richtlinie NIS2 regelt die Sicherheit von Netzen und Informationstechnologien in der EU. Ist Ihr Unternehmen davon auch betroffen? Hier lesen Sie alle wichtigen Fakten zur novellierten Vorgabe.

    Hier erfahren Sie mehr

    NIS2: Häufig gestellte Fragen (FAQ)

    Portrait von Freca DumreseFreca Dumrese
    19.12.2025
      # Tags:SicherheitBusiness BasicsServiceCybersecurityTipps
      Das könnte Sie auch interessieren:
      Security

      Datensicherheit für Unternehmen

      Cyberangriffe, Naturkatastrophen und Anwendungsfehler machen Datensicherheit zur Herausforderung – zusätzlich zu gesetzlichen Datenschutzvorgaben. Der beste Schutz: ein durchdachtes Datensicherheitskonzept. Was bedeutet das konkret und wie lässt es sich effektiv umsetzen?

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren