Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
NIS2-Richtlinie komplett erklärt - Anforderungen, Sektoren und Umsetzung für Unternehmen in Deutschland
Informationssicherheit

NIS2-Richtlinie: Der komplette Guide für Unternehmen in Deutschland

NIS2 gilt seit Oktober 2024 und betrifft bis zu 30.000 deutsche Unternehmen. Dieser Guide erklärt Betroffenheit, alle 10 Sicherheitsanforderungen nach Art. 21, Meldepflichten, Bußgelder und wie Sie NIS2 Schritt für Schritt umsetzen.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
Aktualisiert: 11. März 2026 20 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Die NIS2-Richtlinie (EU 2022/2555) ist seit Oktober 2024 durch das NIS2UmsuCG deutsches Recht und betrifft bis zu 30.000 Unternehmen - eine 15-fache Ausweitung gegenüber der früheren KRITIS-Regulierung. Betroffene Einrichtungen müssen sich beim BSI registrieren, zehn Sicherheitsmaßnahmen nach Art. 21 umsetzen und bei erheblichen Vorfällen innerhalb von 24 Stunden eine Frühwarnung an das BSI übermitteln. Bußgelder erreichen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Die Geschäftsleitung trägt persönliche Haftung.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (10 Abschnitte)

Die NIS2-Richtlinie ist in Kraft, die Umsetzungsfrist ist abgelaufen - und viele Unternehmen wissen noch nicht genau, ob und wie sie betroffen sind. Dieser Artikel schafft vollständige Klarheit: Wer muss was tun, welche Sektoren und Schwellenwerte gelten, was fordern die zehn Sicherheitsmaßnahmen nach Art. 21, wie laufen Meldepflichten ab, welche Strafen drohen, und wie verhält sich NIS2 zu BSI IT-Grundschutz und ISO 27001.

Interne Links zu den passenden AWARE7-Leistungen: NIS2-Beratung und Gap-Analyse, ISMS und ISO 27001-Beratung.

Was ist NIS2?

NIS2 (Network and Information Security Directive 2, EU 2022/2555) ist die umfangreichste EU-Cybersicherheitsgesetzgebung seit Jahren. Sie löste die ursprüngliche NIS-Richtlinie von 2016 ab und trat im Oktober 2022 in Kraft. Die Mitgliedstaaten hatten bis Oktober 2024 Zeit, NIS2 in nationales Recht umzusetzen. In Deutschland erfolgte die Umsetzung durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Die zuständige Behörde in Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik).

Der Kern der Richtlinie: verpflichtende Cybersicherheitsmaßnahmen und Meldepflichten für Betreiber wesentlicher und wichtiger Einrichtungen. Die Dimension: Statt der rund 4.500 Unternehmen, die unter die frühere NIS1-Richtlinie fielen, schätzt das BSI für NIS2 rund 29.000 bis 30.000 betroffene Unternehmen - eine Ausweitung um den Faktor 15. Viele davon sind mittelständische Unternehmen, die bisher kaum mit regulierten Sicherheitsstandards in Berührung gekommen sind.

Ein zentrales Kennzeichen von NIS2 gegenüber früheren Vorgaben ist die persönliche Haftung der Leitungsorgane. Geschäftsführer und Vorstände müssen Sicherheitsmaßnahmen aktiv genehmigen und überwachen, selbst an Schulungen zur Informationssicherheit teilnehmen und können bei grober Fahrlässigkeit persönlich haftbar gemacht werden. Cybersicherheit ist damit im Rechtssinne Chefsache geworden.

Wer ist betroffen? Sektoren und Schwellenwerte

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities). Die Einstufung hängt vom Sektor und von der Unternehmensgröße ab. Beide Kategorien müssen angemessene Sicherheitsmaßnahmen umsetzen, unterscheiden sich jedoch in der Intensität der Aufsicht und im Umfang möglicher Sanktionen.

Die Größenregel

KategorieKriterienNIS2-Status
Großunternehmen≥ 250 Mitarbeitende ODER Umsatz ≥ 50 Mio. EUR ODER Bilanzsumme ≥ 43 Mio. EURWesentliche Einrichtung (wenn in kritischem Sektor Anlage I)
Mittlere Unternehmen50-249 Mitarbeitende ODER Umsatz 10-50 Mio. EUR ODER Bilanzsumme 10-43 Mio. EURWesentliche oder wichtige Einrichtung je nach Sektor
Kleinunternehmen10-49 Mitarbeitende ODER Umsatz/Bilanzsumme 2-10 Mio. EURAnnex I: wichtige Einrichtung; Annex II: nur bei Ausnahmen
Kleinstunternehmen< 10 Mitarbeitende UND Umsatz/Bilanzsumme < 2 Mio. EURGrundsätzlich ausgenommen

Sektoren hoher Kritikalität (Anlage I / Annex I)

Unternehmen in diesen Sektoren fallen als wesentliche Einrichtung unter NIS2, wenn sie die Größenschwellen erreichen:

Energie: Elektrizität (Erzeuger, Übertragung, Verteilung), Öl (Pipelines, Transport, Lagerung), Gas (Lieferanten, Übertragung, Verteilung), Fernwärme, Wasserstoff.

Verkehr: Luft (Flughäfen, Airlines, Flugsicherung), Schiene (Infrastrukturbetreiber, Bahnunternehmen), Wasser (See- und Binnenschifffahrt), Straße (Straßenbehörden, ITS-Betreiber).

Bankwesen: Kreditinstitute nach CRR.

Finanzmarktinfrastrukturen: Handelsplätze, zentrale Gegenparteien (CCPs).

Gesundheit: Krankenhäuser und Gesundheitsdienstleister, Labore, Forschungseinrichtungen (Pharma-Forschung), Hersteller von Medizinprodukten kritischer Klassen.

Trinkwasser: Wasserversorgungsunternehmen.

Abwasser: Abwasserunternehmen.

Digitale Infrastruktur: Internet Exchange Points (IXP), öffentliche DNS-Resolver, TLD-Registrare, Cloud-Computing-Dienste, Rechenzentrumsdienste, CDN-Dienste, Trust Service Provider, Anbieter öffentlicher elektronischer Kommunikationsnetze.

ICT-Service-Management (B2B): Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Security Operations Center (SOC).

Öffentliche Verwaltung: Zentral- und Regionalbehörden.

Weltraum: Betreiber von Bodeninfrastruktur.

Sonstige kritische Sektoren (Anlage II / Annex II)

Unternehmen in diesen Sektoren gelten als wichtige Einrichtungen, wenn sie mindestens 50 Mitarbeitende oder mehr als 10 Mio. EUR Umsatz aufweisen:

Post und Kurierdienste, Abfallwirtschaft, Chemie (Hersteller und Händler gefährlicher Chemikalien), Lebensmittel (Großhandel und industrielle Produktion), Verarbeitendes Gewerbe (Medizinprodukte, Computer und Elektronik, Elektrische Ausrüstung, Maschinenbau, Kraftfahrzeuge, Sonstiger Fahrzeugbau), Digitale Dienste (Onlinemarktplätze, Online-Suchmaschinen, Social-Network-Plattformen), Forschungseinrichtungen.

Sonderregeln: Auch kleinere Unternehmen können betroffen sein

Unabhängig von der Größe sind immer betroffen: qualifizierte Vertrauensdiensteanbieter, TLD-Registrare und öffentliche DNS-Resolver, Anbieter öffentlicher Kommunikationsnetze sowie staatlich gesondert festgelegte kritische Einrichtungen - etwa wenn ein Unternehmen der einzige Anbieter eines wesentlichen Dienstes in einem Mitgliedsstaat ist.

Wesentlich vs. Wichtig: Die Auswirkungen der Einstufung

AspektWesentliche EinrichtungenWichtige Einrichtungen
AufsichtProaktiv: BSI kann anlasslos prüfenReaktiv: nur bei Verdacht oder nach Meldung
BußgelderBis 10 Mio. EUR oder 2 % des weltweiten JahresumsatzesBis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes

Der Selbst-Check: 3 Fragen

1. Bin ich groß genug? Mehr als 50 Mitarbeitende oder mehr als 10 Mio. EUR Umsatz?

2. Bin ich im richtigen Sektor? Einer der Sektoren aus Anlage I oder Anlage II?

3. Bin ich Lieferant? Auch wenn Sie selbst nicht direkt betroffen sind: Ihre Kunden müssen NIS2-compliant sein und werden Sicherheitsanforderungen an ihre Lieferkette weitergeben.

Registrierungspflicht beim BSI

Sowohl wesentliche als auch wichtige Einrichtungen müssen sich spätestens drei Monate nach Feststellung der Betroffenheit beim BSI registrieren. Die Registrierung erfolgt über das Portal bsi.bund.de.

Anzugeben sind: Name und Anschrift der Einrichtung, Sektor und Art der Einrichtung (wesentlich oder wichtig), Kontaktdaten inklusive 24/7-Erreichbarkeit, IP-Adressbereiche öffentlicher Systeme sowie die EU-Mitgliedstaaten, in denen Dienste erbracht werden.

Die 10 Sicherheitsmaßnahmen nach Art. 21 NIS2

Art. 21 Abs. 2 der NIS2-Richtlinie definiert zehn Mindestmaßnahmen. Die Formulierungen sind bewusst technologieneutral gehalten - entscheidend ist das Ergebnis, nicht die konkrete Technologie. Anerkannte Standards wie ISO 27001 oder BSI IT-Grundschutz können als Nachweis der Compliance dienen.

1. Risikoanalyse und Sicherheitskonzept

Unternehmen müssen eine systematische Risikoanalyse für alle Netz- und Informationssysteme durchführen, ein darauf basierendes Sicherheitskonzept erstellen und dieses regelmäßig überprüfen und aktualisieren. Die bewährte Methode orientiert sich an ISO 31000 bzw. ISO 27005: Asset-Inventar erstellen, Bedrohungen identifizieren (Threat Modeling), Schwachstellen bewerten (CVSS-Scoring), Risiken nach Eintrittswahrscheinlichkeit und Auswirkung bewerten und einen dokumentierten Risikobehandlungsplan erstellen.

Erforderliche Dokumentation: Risikoregister, Risikobehandlungsplan mit Verantwortlichen und Terminen, jährlicher Management-Review.

2. Bewältigung von Sicherheitsvorfällen (Incident Response)

Jedes betroffene Unternehmen benötigt einen Incident Response Plan mit einem Klassifizierungsschema (was gilt als erheblicher Vorfall?), einer Eskalationsmatrix (wer informiert wen?), einem Kommunikationsplan (intern, extern, Behörden), Forensik-Verfahren und dem definierten Meldeprozess an das BSI. Für die technische Erkennung empfehlen sich SIEM-Lösungen (z. B. Microsoft Sentinel, Splunk) und EDR-Systeme (z. B. Microsoft Defender, CrowdStrike) auf allen Endpoints.

Der Plan muss dokumentiert und regelmäßig getestet werden. Ein benannter Incident Commander und die Kontakte zu BSI, CERT-Bund und Strafverfolgungsbehörden müssen vorab hinterlegt sein.

3. Business Continuity und Krisenmanagement (BCM)

Unternehmen müssen RTO (Recovery Time Objective) und RPO (Recovery Point Objective) für kritische Systeme definieren, eine robuste Backup-Strategie (empfohlen: 3-2-1-1-0-Regel) implementieren und jährliche Disaster-Recovery-Tests durchführen. Ein dokumentierter Business Continuity Plan (BCP) und Krisenmanagementprozesse sind Pflicht.

4. Sicherheit der Lieferkette (Supply Chain Security)

NIS2 verlangt Sicherheit in der gesamten Lieferkette einschließlich der Beziehungen zu Direktlieferanten. Unternehmen müssen Lieferanten nach Kritikalität einstufen:

TierBeschreibungAssessment-Pflicht
TIER 1 (Kritisch)Lieferant hat Zugang zu ProduktionssystemenVollständiges Assessment vor Vertragsschluss
TIER 2 (Wichtig)Lieferant verarbeitet sensitive DatenAssessment vor Vertragsschluss
TIER 3 (Standard)Normaler Lieferant ohne IT-ZugangBasischeck

Alle relevanten Lieferantenverträge müssen einen Sicherheitsanforderungs-Anhang enthalten, der Auditrecht, Meldepflicht (Lieferant muss Vorfälle innerhalb von 24 Stunden melden), NDA und Datenschutz (AVV, sofern personenbezogene Daten verarbeitet werden) regelt. Die Verantwortung verbleibt immer beim Unternehmen selbst - externe Partner entlasten nicht von den Pflichten.

5. Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen

Vor IT-Beschaffungen müssen Sicherheitsanforderungen definiert werden. Für eigene Softwareentwicklung ist ein Secure Development Lifecycle (SDLC) umzusetzen. Ein systematisches Schwachstellenmanagement mit definierten Patch-SLAs (kritische Patches unter 48 Stunden) und regelmäßige automatisierte Schwachstellenscans sind Pflicht.

6. Wirksamkeit der Sicherheitsmaßnahmen messen

Unternehmen müssen ihre Sicherheitsmaßnahmen regelmäßig überprüfen und nachweisen, dass sie wirksam sind. Dazu gehören jährliche interne Security-Audits, externe Penetrationstests alle ein bis zwei Jahre, regelmäßige automatisierte Schwachstellenscans und ein Management-Review der Sicherheitskennzahlen (KPIs). Das BSI kann bei einem Audit alle entsprechenden Nachweise einfordern.

7. Schulungen und Cybersicherheits-Grundhygiene (Security Awareness)

Security Awareness für alle Mitarbeitenden sowie spezielle Schulungen für IT-Abteilung und Management sind Pflicht. Konkret: jährliches Security Awareness Training für alle Mitarbeitenden, regelmäßige Phishing-Simulationen, Einweisung neuer Mitarbeitender sowie Weiterbildung von CISO und IT-Leitung in den NIS2-Anforderungen. Die Teilnahme muss nachweisbar dokumentiert werden.

Für die Geschäftsleitung schreibt § 38 BSIG ausdrücklich vor, dass sie nachweislich an einer Schulung zur Informationssicherheit teilzunehmen hat.

8. Kryptographie und Verschlüsselung

Sensible Daten müssen sowohl at rest als auch in transit verschlüsselt werden. Mindeststandards: TLS 1.2, empfohlen TLS 1.3 für alle Webkommunikation; AES-256 für Festplatten (BitLocker/LUKS/FileVault), Datenbanken (TDE) und Backups; VPN-Verbindungen mit AES-256-GCM und IKEv2/IPsec. Veraltete Protokolle (TLS 1.0, TLS 1.1, SSL 3.0) und unsichere Cipher Suites (RC4, 3DES) müssen deaktiviert sein. Eine dokumentierte Kryptographie-Richtlinie mit Key-Management-Prozessen (Schlüsselrotation, HSM oder KMS) ist erforderlich.

9. Sicherheit des Personals, Zugangskontrolle und Asset-Management

Identity & Access Management mit Least-Privilege-Prinzip, Privileged Access Management (PAM) für privilegierte Konten sowie regelmäßige Access Reviews (mindestens quartalsweise) sind Pflicht. Ein vollständiges IT-Asset-Inventar (Hardware, Software, Cloud-Ressourcen) mit definiertem Asset-Owner ist zu führen. Der Offboarding-Prozess muss sicherstellen, dass alle Zugänge am letzten Arbeitstag gesperrt werden. Für Mitarbeitende mit privilegiertem Zugang sind Background Checks durchzuführen (soweit rechtlich möglich).

10. Multi-Faktor-Authentifizierung (MFA) und Kommunikationssicherheit

Art. 21 Abs. 2 j ist eine ausdrückliche Pflicht: MFA muss mindestens für alle Remote-Zugänge (VPN, RDP, Web-Portal), Cloud-Dienste (Microsoft 365, AWS, Azure), privilegierte Konten (Admins, Root-Zugang), kritische Anwendungen (ERP, SCADA, Produktionssysteme) und Fernwartungszugänge aktiviert sein.

NIS2 empfiehlt phishing-resistente MFA, insbesondere FIDO2/Passkeys für privilegierte Konten. Die Sicherheitshierarchie der MFA-Methoden reicht von SMS-OTP (schwach, aber besser als kein MFA) über TOTP-Apps (guter Standard) und Push Notifications mit Number Matching bis zu Hardware-Tokens (Yubikey) und FIDO2/Passkeys (beste Option, phishing-resistent und domaingebunden).

Zusätzlich sind sichere Notfall-Kommunikationskanäle bereitzustellen - bei einem Ransomware-Angriff kann das E-Mail-System verschlüsselt sein, weshalb Out-of-band-Kommunikation (Signal-Gruppe, persönliche E-Mails) vorab eingerichtet sein muss.

Meldepflichten: Fristen und Prozess (Art. 23 NIS2)

NIS2 enthält eine der härtesten Fristen im europäischen IT-Recht. Bei erheblichen Sicherheitsvorfällen sind betroffene Unternehmen zu folgendem Dreistufenplan verpflichtet:

Was gilt als “erheblicher Vorfall”?

Ein Vorfall gilt als erheblich, wenn er mindestens eines dieser Kriterien erfüllt: erhebliche Betriebsunterbrechung (tatsächlich oder drohend), erhebliche finanzielle Verluste zu erwarten (inkl. Wiederherstellungskosten, Datenverlust, Vertragsstrafen) oder Schäden bei Dritten (besonders wenn Kundendaten betroffen oder Partnersysteme kompromittiert sind).

Beispiele die wahrscheinlich gemeldet werden müssen: Ransomware-Angriff der Produktionssysteme, Datenleak von Kundendaten (ab ca. 1.000 Datensätzen), DDoS-Angriff der kritische Dienste für mehr als zwei Stunden stoppt, Kompromittierung einer Produktionsumgebung, Lieferanten-Kompromittierung die eigene Systeme betrifft.

Beispiele die wahrscheinlich nicht gemeldet werden müssen: einzelner Phishing-Versuch ohne Erfolg, Portscans von außen, Malware auf einer einzelnen Workstation ohne Ausbreitung.

Im Zweifel gilt: melden. Das BSI gibt keine Strafe für unnötige Frühwarnungen.

Die Melde-Timeline

FristInhaltEmpfänger
24 StundenFrühwarnung: Art des Vorfalls, betroffene Systeme, Ersteinschätzung, ob Vorfall noch aktivBSI (meldungen@bsi.bund.de oder BSI-Portal)
72 StundenFolgemeldung: vollständige Beschreibung, Schwere und Auswirkungen, wahrscheinliche Ursache, angewandte AbhilfemaßnahmenBSI
1 MonatAbschlussbericht: vollständige Root-Cause-Analyse, ergriffene Maßnahmen, VerhinderungsmaßnahmenBSI

Parallele Meldepflichten

Falls personenbezogene Daten betroffen sind, greift zusätzlich die DSGVO-Meldepflicht: die zuständige Datenschutzbehörde muss ebenfalls binnen 72 Stunden benachrichtigt werden. Cyber-Versicherungen müssen sofort informiert werden - verspätete Meldung kann zur Verweigerung der Versicherungsleistung führen. Banken und Finanzdienstleister haben zusätzlich die BaFin zu informieren (BAIT/VAIT/DORA), teils mit kürzeren Fristen.

Den Meldeprozess vorbereiten

Folgende Vorbereitungsmaßnahmen müssen vor einem Incident abgeschlossen sein:

  • BSI-Meldeportal-Account eingerichtet (portal.bsi.bund.de - Registrierung dauert mehrere Tage, also jetzt einrichten)
  • CISO oder Verantwortlicher für Meldungen benannt (inkl. Stellvertreter für Urlaub/Krankheit)
  • Kontaktliste für Krisenkommunikation erstellt: BSI, Datenschutzbehörde, Cyber-Versicherung, IT-Rechtsanwalt, Pressesprecher, CEO
  • Meldevorlagen erstellt: Template für 24h-Frühwarnung, 72h-Folgemeldung und DSGVO-Meldung
  • Incident-Log-Prozess etabliert: alles mit Zeitstempel UTC dokumentieren
  • Out-of-band Kommunikationskanal bereitgestellt

Umsetzungsfahrplan: Von der Gap-Analyse zur NIS2-Compliance

Schritt 1: Betroffenheit feststellen und klassifizieren

Prüfen Sie anhand der Sektortabellen und Schwellenwerte, ob Ihr Unternehmen betroffen ist, und klassifizieren Sie sich als wesentliche oder wichtige Einrichtung. Dieser Schritt bestimmt den Umfang der Aufsicht und die möglichen Bußgelder.

Schritt 2: Gap-Analyse durchführen

Eine sorgfältige Gap-Analyse zeigt, welche der zehn Art.-21-Maßnahmen bereits umgesetzt sind und wo Nachbesserungsbedarf besteht. Typische Lücken bei erstmals betroffenen Unternehmen: fehlende Rollendefinition für Informationssicherheit, undokumentierte Prozesse, unklare Meldewege, kein strukturiertes Lieferantenmanagement, fehlende MFA für Remote-Zugänge.

Schritt 3: Verantwortlichkeiten und Rollenmodell festlegen

NIS2 verlangt eindeutige Rollen für technische, organisatorische und strategische Aufgaben. Häufig fehlt eine zentrale Stelle, die die Umsetzung koordiniert. Unternehmen sollten Funktionen wie Informationssicherheitsbeauftragte, Incident Manager und Verantwortliche für Risikomanagement klar beschreiben und mit ausreichenden Befugnissen ausstatten.

Schritt 4: ISMS aufbauen oder anpassen

Ein Informationssicherheitsmanagementsystem (ISMS) schafft die strukturierte Grundlage. NIS2 orientiert sich stark an ISO 27001 - Unternehmen mit bestehender Zertifizierung haben einen klaren Vorteil, müssen aber zusätzliche Pflichten zu Meldewegen, Lieferantenbewertungen und Managementverantwortung ergänzen. Unternehmen ohne bestehende Struktur sollten mit ISO 27001 oder BSI IT-Grundschutz starten.

Schritt 5: Technische und organisatorische Maßnahmen implementieren

MFA für alle Remote-Zugänge und privilegierte Konten, Netzwerksegmentierung (VLANs, DMZ), SIEM/EDR-Monitoring, Verschlüsselung at rest und in transit, Patch-Management-Prozess mit SLAs, Schwachstellenscans und der Incident Response Plan sind die prioritären technischen Maßnahmen. Parallel müssen Sicherheitsrichtlinien verabschiedet, Schulungen durchgeführt und Lieferantenverträge angepasst werden.

Schritt 6: BSI-Registrierung abschließen

Die Registrierung beim BSI erfolgt über das Online-Portal. Sie muss spätestens drei Monate nach Feststellung der Betroffenheit abgeschlossen sein.

Schritt 7: Kontinuierlichen Verbesserungsprozess etablieren

NIS2 versteht Cybersicherheit als fortlaufende Aufgabe. Regelmäßige Audits, Penetrationstests, Schulungen und Management-Reviews stellen sicher, dass das Sicherheitsniveau dauerhaft gehalten und verbessert wird.

Konsequenzen bei Nichteinhaltung

Bußgelder

  • Wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
  • Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes

Bereits unzureichende Dokumentation der Sicherheitsmaßnahmen kann ein Bußgeld auslösen, selbst wenn noch kein Sicherheitsvorfall eingetreten ist.

Behördliche Maßnahmen

Aufsichtsbehörden erhalten weitreichende Kontrollbefugnisse: anlasslose Prüfungen (bei wesentlichen Einrichtungen), Anordnung von Sicherheitsmaßnahmen, Prüfberichte durch externe Auditoren, Untersagung von Tätigkeiten im Extremfall sowie öffentliche Bekanntmachung von Verstößen.

Persönliche Haftung der Geschäftsleitung

Führungskräfte können zur persönlichen Haftung herangezogen werden, wenn Cybersicherheit nicht aktiv überwacht und dokumentiert wird. Im Extremfall ist ein zeitweiliges Verbot der Leitungsfunktion möglich.

Zivilrechtliche Haftung

Geschädigte Dritte können bei nachgewiesener NIS2-Pflichtverletzung Schadensersatz fordern. Neben rechtlichen Konsequenzen entstehen erhebliche Reputationsschäden, operative Ausfälle und Datenverluste - die finanziellen Folgen eines unzureichend behandelten Vorfalls übersteigen in der Regel die Kosten einer ordnungsgemäßen Umsetzung deutlich.

NIS2 und BSI IT-Grundschutz - wie verhält sich beides zueinander?

NIS2 schreibt nicht vor, wie die zehn Maßnahmen nach Art. 21 konkret umzusetzen sind. Anerkannte Sicherheitsstandards wie ISO 27001 und BSI IT-Grundschutz werden als geeignete Frameworks akzeptiert.

ISO 27001: Ein gut umgesetztes ISMS nach ISO 27001 deckt die meisten NIS2-Anforderungen bereits ab. Lücken entstehen typischerweise bei den NIS2-spezifischen Meldeprozessen, der Supply-Chain-Sicherheit und der expliziten MFA-Pflicht. Eine Lückenanalyse (Gap-Analyse) identifiziert den zusätzlichen Anpassungsbedarf.

BSI IT-Grundschutz: Direkt mit NIS2 kompatibel - Unternehmen, die IT-Grundschutz umgesetzt haben, sind weitgehend NIS2-ready. Ergänzungen sind ebenfalls bei Meldeprozessen, Lieferkettensicherheit und Managementhaftung erforderlich.

Frühere KRITIS-Betreiber (IT-SiG 2.0): Bereits weitgehend konform. NIS2 bringt zusätzlich: Lieferkettensicherheit, MFA-Pflicht, persönliche Managementhaftung.

Keine vorherige Zertifizierung: ISO 27001 ist der international anerkannte Ausgangspunkt für NIS2-Compliance. Wer kein ISMS hat, sollte frühzeitig starten, da der Aufbau grundlegender Strukturen Zeit benötigt.

Wie AWARE7 bei NIS2 unterstützt

AWARE7 begleitet Unternehmen auf dem gesamten Weg zur NIS2-Compliance:

NIS2-Gap-Analyse: In einem strukturierten Workshop analysieren wir Ihren IST-Zustand gegen alle zehn Art.-21-Anforderungen und erstellen einen priorisierten Maßnahmenplan mit realistischen Umsetzungsfristen. Sie sehen auf einen Blick, was bereits erfüllt ist und wo dringender Handlungsbedarf besteht.

ISMS-Aufbau und ISO 27001-Begleitung: Wir begleiten den Aufbau Ihres Informationssicherheitsmanagementsystems - von der ersten Risikoanalyse bis zur Zertifizierungsreife. Ein ISO-27001-konformes ISMS ist der effizienteste Weg zur NIS2-Compliance.

Technische Umsetzung: Von der Netzwerksegmentierung über MFA-Einführung bis zu SIEM-Implementierung begleiten wir die technischen Maßnahmen nach Art. 21 mit Praxiserfahrung aus hunderten Kundenprojekten.

NIS2-Schulung für Geschäftsführer: NIS2 schreibt die nachweisliche Schulung der Leitungsebene vor (§ 38 BSIG). Unser kompaktes Tagesseminar deckt alle gesetzlichen Anforderungen ab und schützt vor persönlicher Haftung.

Incident Response Vorbereitung: Wir erstellen Incident Response Pläne, definieren Meldeprozesse für die 24h-Frühwarnung an das BSI und üben den Ernstfall durch Tabletop-Exercises.

Mehr zu unseren Leistungen: NIS2-Beratung und Gap-Analyse und ISMS und ISO 27001-Beratung.

Häufige Fragen zu NIS2 (FAQ)

Gilt NIS2 auch für mein Unternehmen, wenn wir unter 50 Mitarbeiter haben? Grundsätzlich sind Unternehmen unter 50 Mitarbeitenden und mit weniger als 10 Mio. EUR Umsatz von NIS2 ausgenommen. Ausnahmen gelten für qualifizierte Vertrauensdiensteanbieter, TLD-Registrare, DNS-Betreiber und Unternehmen, die als einziger Anbieter eines wesentlichen Dienstes in einem EU-Mitgliedsstaat gelten. Außerdem kann Ihr Unternehmen indirekt betroffen sein, wenn Ihre Kunden NIS2-pflichtig sind und Sicherheitsanforderungen an ihre Lieferkette stellen.

Was passiert, wenn ich die 24-Stunden-Frist für die Frühwarnung verpasse? Das Verpassen der 24h-Meldepflicht ist eine eigenständige Pflichtverletzung und kann ein Bußgeld auslösen - unabhängig davon, wie schwerwiegend der eigentliche Vorfall war. Es empfiehlt sich daher, den Meldeprozess und alle Kontaktdaten (BSI-Meldeportal-Account, CISO, Stellvertreter) vorab einzurichten und Meldevorlagen bereitzuhalten.

Reicht eine ISO-27001-Zertifizierung für NIS2-Compliance? Ein ISO-27001-zertifiziertes ISMS deckt den größten Teil der NIS2-Anforderungen ab. Ergänzend sind NIS2-spezifische Pflichten zu adressieren: die Meldeprozesse an das BSI (24h/72h/30 Tage), explizite Supply-Chain-Sicherheitsnachweise für Lieferanten und die MFA-Pflicht nach Art. 21 j. Eine Gap-Analyse zeigt den konkreten Zusatzaufwand.

Müssen wir uns beim BSI registrieren? Ja. Sowohl wesentliche als auch wichtige Einrichtungen müssen sich beim BSI registrieren, spätestens drei Monate nach Feststellung der Betroffenheit. Die Registrierung erfolgt über bsi.bund.de.

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen in der Praxis? Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht - das BSI kann anlasslos prüfen und Audits anordnen. Wichtige Einrichtungen werden reaktiv beaufsichtigt, d. h. nur bei konkretem Verdacht oder nach einer Meldung. Die Bußgeldrahmen sind ebenfalls unterschiedlich: bis zu 10 Mio. EUR (oder 2 % Umsatz) für wesentliche Einrichtungen, bis zu 7 Mio. EUR (oder 1,4 % Umsatz) für wichtige Einrichtungen.

Gilt NIS2, wenn wir selbst nichts “Kritisches” betreiben, aber an kritische Unternehmen liefern? NIS2 verpflichtet Unternehmen, die Sicherheit ihrer eigenen Lieferkette zu prüfen und vertragliche Anforderungen an ihre Lieferanten zu stellen. Wenn Sie als Lieferant Zugang zu Produktionssystemen oder sensiblen Daten eines NIS2-pflichtigen Unternehmens haben, werden Ihre Kunden Sicherheitsnachweise (z. B. ISO-27001-Zertifizierung, Sicherheitsfragebögen, Audit-Rechte) von Ihnen einfordern - auch wenn Ihr eigenes Unternehmen nicht direkt unter NIS2 fällt.

Unsicher, ob und wie Sie von NIS2 betroffen sind? In einer strukturierten NIS2-Gap-Analyse analysieren wir Ihren IST-Zustand gegen alle Anforderungen und entwickeln gemeinsam einen priorisierten Maßnahmenplan.

NIS2-Beratung anfragen | ISMS und ISO 27001-Beratung

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung