• 27.11.2025
  • Regulierung
  • Management, Awareness und Compliance

Vom Gesetz zur Praxis: Was NIS-2 für Unternehmen bedeutet

NIS-2 für Unternehmen: Schritte zur Compliance, Registrierungspflicht, Meldepflichten und Risikomanagement – kompakt und praxisnah erklärt.

Geschrieben von Markus Zeischke

Das Bild zeigt einen Richterhammer, der auf einem blauen, goldumrandeten Podest mit der Aufschrift „NIS 2 RICHTLINIE BESCHLOSSEN – EU-CYBERSICHERHEIT“ liegt.

Mit dem NIS-2-Umsetzungsgesetz, das Mitte November im Bundestag beschlossen wurde, nimmt die europäische Cybersicherheitsrichtlinie nun auch in Deutschland ganz konkret Gestalt an. Für viele Unternehmen bedeutet das einen tiefgreifenden Wandel, der oft erst auf den zweiten Blick sichtbar wird. 

Was zuvor als europäische Vorgabe noch in weiter Ferne schien, befindet sich nun auf dem Weg in nationales Recht. Die Anforderungen werden mit dem endgültigen Gesetzesbeschluss zeitnah wirksam werden. Die Erwartungen an Sicherheitsniveau und Resilienz steigen spürbar, ebenso wie die Bedrohungslage durch immer professionellere Cyberangriffe. Unternehmen stehen damit an einem Wendepunkt: Es ist an der Zeit, die neuen Vorgaben systematisch umzusetzen und Cybersicherheit als festen Bestandteil ihrer Zukunftsfähigkeit zu begreifen.

 

Wer ist von NIS 2 betroffen?

Das Gesetz richtet sich an „wesentliche“ und „wichtige“ Einrichtungen aus insgesamt 18 kritischen und wichtigen Sektoren – von Energieversorgung, Transport und Gesundheitswesen über kritische Infrastrukturen und öffentliche Verwaltung bis hin zu Abfallwirtschaft, Produktion und weiteren zentralen Wirtschaftsbereichen. Doch die Einordnung erfolgt nicht allein über den Sektor. Entscheidend sind auch wirtschaftliche Kennzahlen: Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz von mindestens 10 Millionen Euro rücken in vielen Fällen auch in den Anwendungsbereich.

Damit erweitert sich der Kreis der verpflichteten Organisationen deutlich. Schätzungen gehen davon aus, dass die Richtlinie in Deutschland über 30.000 Unternehmen betrifft, darunter zahlreiche, die bislang kaum Berührungspunkte mit regulatorischer Cybersicherheit hatten. Genau hier liegt eine der größten Herausforderungen: Viele Unternehmen erkennen ihre eigene Betroffenheit erst spät oder unterschätzen deren Tragweite, obwohl die Anforderungen unmittelbare Auswirkungen auf Prozesse, Strukturen und Verantwortlichkeiten haben.

 

Wie Sie feststellen, ob Ihre Organisation unter NIS-2 fällt

Bevor konkrete Maßnahmen geplant werden können, gilt es zunächst zu verstehen: Bin ich überhaupt von NIS-2 betroffen? Und wenn ja, in welchem Umfang? Der erste Schritt ist daher eine systematische Betroffenheitsprüfung. Unternehmen sollten prüfen, welche Geschäftsbereiche als „wesentlich“ oder „wichtig“ eingestuft werden und welche Tätigkeiten als „vernachlässigbar“ gelten könnten.

Dabei ist Vorsicht geboten: Eine Ausklammerung bestimmter Tätigkeiten bedeutet nicht automatisch, dass dort keine Risiken bestehen. Angreifer orientieren sich nicht an gesetzlichen Definitionen. Sie suchen den leichtesten Einstiegspunkt für Cyberangriffe. Zu großzügige Interpretationen oder oberflächlich definierte Ausnahmen können daher schnell zur unerwarteten Schwachstelle werden.

Umso wichtiger ist eine sorgfältige, nachvollziehbare und dokumentierte Betroffenheitsprüfung. Sie bildet die Grundlage für alle weiteren Entscheidungen – von der Governance über technische Maßnahmen bis hin zu Meldewegen und Verantwortlichkeiten. Das sorgt dafür, dass Organisationen ihre Pflichten realistisch einschätzen und wirksam umsetzen können.

Erste Orientierung: Die NIS-2-Betroffenheitsprüfung des BSI

Die Betroffenheitsprüfung des BSI kann dabei ein wertvoller erster Orientierungspunkt sein. Sie hilft Unternehmen, schnell ein Gefühl dafür zu bekommen, ob sie grundsätzlich unter die NIS-2-Richtlinie fallen könnten. Das Online-Tool schafft einen niedrigschwelligen Einstieg: verständliche Fragen, eine klare Ergebnisdarstellung und volle Anonymität. Allerdings ersetzt diese Einschätzung keine formale Selbstidentifikation oder juristische Prüfung.

Umsetzungspflichten: Was muss konkret umgesetzt werden

Sobald feststeht, dass ein Unternehmen unter NIS-2 fällt, beginnt der eigentliche Umsetzungsprozess. Die Richtlinie fordert ein deutlich höheres Sicherheitsniveau – sowohl organisatorisch als auch technisch. Zu den zentralen Pflichten gehören:

1. Registrierungspflicht: Unternehmen müssen sich offiziell melden

„Besonders wichtige“ und „wichtige“ Einrichtungen sind verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und BBK zu registrieren. Die Registrierung muss innerhalb von drei Monaten erfolgen, nachdem eine Einrichtung erstmals oder erneut als NIS-2-betroffen gilt. Für bestimmte Sektoren, etwa Betreiber kritischer Anlagen, digitale Dienste oder digitale Infrastrukturen, können zusätzliche Meldepflichten gelten.

2. Meldepflicht bei Sicherheitsvorfällen: Klare Fristen und Inhalte

Betroffene Einrichtungen müssen erhebliche Sicherheitsvorfälle an das BSI melden. Dazu zählen Vorfälle, die zu schweren Betriebsstörungen, finanziellen Schäden oder Beeinträchtigungen Dritter führen. Meldefristen nach Kenntniserlangung:

  • 24 Stunden: frühe Erstmeldung
  • 72 Stunden: weiterführende Meldung
  • 30 Tage: Abschluss- bzw. Folgemeldung


Die Meldung muss enthalten:

  • Bewertung des Vorfalls und seines Schweregrads
  • Beschreibung der Auswirkungen
  • Kompromittierungsindikatoren
  • Relevante Kontaktinformationen

3. Risikomanagement: Wirksame, dokumentierte Sicherheitsmaßnahmen

Unternehmen müssen ein geeignetes, verhältnismäßiges und wirksames Risikomanagement implementieren und dokumentieren. Die Verhältnismäßigkeit richtet sich unter anderem nach der Risikoexposition, der Größe der Einrichtung, den Kosten sowie der Eintrittswahrscheinlichkeit und möglichen Folgen von Sicherheitsvorfällen.

Das Risikomanagement muss alle IT-Systeme, Komponenten und Prozesse umfassen, die für die Erbringung der Dienste erforderlich sind. Maßnahmen müssen dem Stand der Technik entsprechen, relevante europäische und internationale Normen berücksichtigen und einem gefahrenübergreifenden Ansatz folgen. Zu den Mindestanforderungen gehören beispielsweise:

  • Durchführung regelmäßiger Risikoanalysen
  • Bewältigung und Management von Sicherheitsvorfällen
  • Sicherstellung des Betriebs (Backup-Management, Wiederherstellung, Krisenmanagement)
  • Sicherheit der Lieferkette
  • Sicherheitsanforderungen bei Erwerb, Entwicklung und Wartung von IT-Systemen
  • Schulungen und Sensibilisierung zur Cybersicherheit
  • Multi-Faktor-Authentifizierung, gesicherte Kommunikation und ggf. Notfallkommunikation

Risiken bei Nichteinhaltung: Warum Untätigkeit teuer und sichtbar werden kann

Die NIS-2-Regulierung setzt erstmals deutlich spürbare Konsequenzen für Organisationen durch, die ihre Pflichten nicht erfüllen. Bei Verstößen drohen unter anderem:

  • hohe Bußgelder, die sich am Jahresumsatz orientieren
  • behördliche Anordnungen, bestimmte technische oder organisatorische Maßnahmen umzusetzen
  • Untersagungen von Leitungsfunktionen für verantwortliche Personen
  • öffentliche Warnungen, die zu erheblichen Reputationsschäden führen können

Darüber hinaus können Versäumnisse im Bereich Cybersicherheit auch direkte operative Folgen haben, etwa durch längere Ausfallzeiten, höhere Schadenskosten oder eine eingeschränkte Versicherungsfähigkeit.

Kurz gesagt: Nichteinhaltung wird nicht nur teuer, sondern auch sichtbar – intern wie extern.

 

Jetzt Orientierung schaffen und aktiv werden

Nutzen Sie die proaktive Compliance als Wettbewerbsvorteil: NIS-2 ist nicht nur Pflicht, sondern auch eine Chance. Unternehmen, die frühzeitig handeln, stärken ihre digitale Resilienz, verbessern Governance-Strukturen und erhöhen ihre Glaubwürdigkeit bei Kunden, Partnern und Aufsichtsbehörden.

Viele Unternehmen stehen bei der Umsetzung von NIS-2 noch am Anfang. Gleichzeitig ist Unterstützung in unterschiedlichen Formaten verfügbar und sollte genutzt werden, um schnell Umsetzungsfähigkeit zu gewinnen:

  • BSI-Infopakete: Enthält Schritt-für-Schritt-Hilfen, Checklisten sowie alle relevanten Informationen zu Registrierung, Meldepflichten und grundlegenden Anforderungen.
  • Webinare und Events des BSI: Bieten einen kompakten Überblick, erläutern zentrale Pflichten und geben praktische Hinweise für die ersten Schritte.

Nutzen Sie außerdem die Gelegenheit, und informieren Sie sich umfassend in den Aufzeichnungen der it-sa Expo&Congress 2025. In den Vorträgen erhalten Sie konkrete Praxisbeispiele, aktuelle Einordnungen und direkt anwendbare Empfehlungen zur NIS-2-Umsetzung. Ideal, um die nächsten Schritte sicher und fundiert zu planen:

Autor

Markus Zeischke

Markus Zeischke

IT-Autor & Senior Content Manager

The Digitale