← Zurück zur Übersicht 21. Dezember 2025 Cybersicherheit

NIS2 ist da – Was deutsche Unternehmen jetzt wissen müssen

Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten – ohne Übergangsfrist. Rund 29.500 Unternehmen in Deutschland sind betroffen und müssen sofort handeln.

Was ist NIS2?

Die NIS2-Richtlinie ist eine EU-weite Regelung zur Stärkung der Cybersicherheit. Sie ersetzt die bisherige NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich deutlich: von ca. 4.500 auf rund 29.500 Unternehmen allein in Deutschland.

Wer ist betroffen?

Zwei Kriterien müssen erfüllt sein:

1. Sektor

Unternehmen aus einem der 18 festgelegten Sektoren: Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienste, Öffentliche Verwaltung, Weltraum, Post, Abfall, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung.

2. Größe

Ab 50 Mitarbeiter ODER über 10 Mio. EUR Jahresumsatz.

Wichtig: Unternehmen müssen selbst prüfen, ob sie betroffen sind – es gibt keine Benachrichtigung durch Behörden!

Was müssen betroffene Unternehmen tun?

Sofort

  • Selbstprüfung: Bin ich betroffen? (BSI-Betroffenheitsprüfung nutzen)
  • Registrierung bei "Mein Unternehmenskonto" (MUK) – empfohlen bis 31.12.2025

Innerhalb von 3 Monaten (bis März 2026)

  • Registrierung beim BSI-Portal (geht ab 6. Januar 2026 online)

Laufende Pflichten

  • Risikomanagementmaßnahmen implementieren und dokumentieren
  • Meldepflicht bei Cybervorfällen: Frühwarnung innerhalb 24h, detaillierte Meldung innerhalb 72h, Abschlussbericht innerhalb 1 Monat
  • Lieferketten-Sicherheit: Dienstleister vertraglich zu Sicherheitsstandards verpflichten
  • Regelmäßige Schulungen für Geschäftsleitung

Geschäftsführer-Haftung

Neu und wichtig: Die Geschäftsleitung haftet persönlich! Pflicht zur Genehmigung UND Überwachung der Cybersicherheitsmaßnahmen. Pflicht zur eigenen Schulung in Cybersicherheit.

Bußgelder

Besonders wichtige Einrichtungen: Bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes

Wichtige Einrichtungen: Bis 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes

Zusammenhang mit KI

NIS2 betrifft auch Unternehmen, die KI-Systeme einsetzen oder entwickeln:

  • KI-Infrastruktur muss ins Risikomanagement einbezogen werden
  • Cloud-basierte KI-Dienste (ChatGPT, Copilot etc.) sind Teil der Lieferkette
  • Datenschutz und Cybersicherheit greifen ineinander
  • Der EU AI Act ergänzt NIS2 mit spezifischen KI-Anforderungen

Checkliste: Nächste Schritte

Weiterführende Links