Aktuell: NIS-2 ist beschlossen

Pflichten, Fristen und To-dos für Unternehmen in Deutschland

Nach Jahren steigender Bedrohungslage im Cyberraum und einer langen politischen Hängepartie ist es nun offiziell: NIS-2 ist beschlossen.

Am 13. November 2025 hat der Bundestag das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet, am 21. November 2025 hat der Bundesrat zugestimmt. Das Gesetz tritt am Tag nach der Veröffentlichung im Bundesgesetzblatt in Kraft – erwartet wird Ende 2025 oder Anfang 2026.

Für Unternehmen bedeutet das: Aus „NIS-2 kommt irgendwann“ wird ein sehr konkreter Umsetzungsdruck – mit klaren Pflichten, Fristen und Haftungsrisiken.

Wo wir stehen: NIS-2 kommt ohne großen Zeitpuffer

Die EU-Richtlinie NIS-2 gibt seit Längerem den Rahmen für ein höheres Cybersicherheitsniveau in Europa vor. Deutschland war mit der nationalen Umsetzung deutlich im Verzug, die Frist der EU (Oktober 2024) wurde klar verfehlt.

Mit dem Beschluss von Bundestag und Bundesrat ist nun klar:

• Die NIS-2-Pflichten kommen ohne großen Puffer.
• Die Zahl der regulierten Einrichtungen steigt von rund 4.500 auf etwa 29.000–30.000 Unternehmen in Deutschland.
• Viele mittelständische Unternehmen, die sich bislang nicht als „kritische Infrastruktur“ verstanden haben, werden künftig reguliert.

Kurz gesagt: NIS-2 ist kein Spezialthema für wenige KRITIS-Betreiber mehr, sondern ein zentrales Compliance-Thema für einen großen Teil der Wirtschaft.

NIS-2 beschlossen: Wer ist betroffen?

Das NIS2UmsuCG setzt die EU-Richtlinie in deutsches Recht um und unterscheidet zwei Kategorien von Einrichtungen bzw. Unternehmen:

• Besonders wichtige Einrichtungen
• Wichtige Einrichtungen

Betroffen sind Unternehmen aus 18 Sektoren, u.a.:

• Energie, Transport, Verkehr
• Finanzwesen, Banken, Versicherungen
• Gesundheit, Arzneimittel, Medizintechnik
• Trinkwasser, Abwasser, Abfallwirtschaft
• Digitale Infrastruktur und Telekommunikation
• Post- und Kurierdienste, Lebensmittelproduktion und -verarbeitung
• Informations- und Kommunikationstechnologie, Cloud- und Rechenzentrumsanbieter
• bestimmte Bereiche der öffentlichen Verwaltung

Ein weiterer Faktor, der bei der Betroffenheitsprüfung zu berücksichtigen ist, ist die Unternehmensgröße:

• Mittelgroße Unternehmen: 50 bis 250 Mitarbeiter // 10 bis 50 Millionen Euro Umsatz // Bilanzsumme größer als 10 Millionen Euro
• Große Unternehmen: Mehr als 250 Mitarbeiter // mehr als 50 Millionen Euro Umsatz // Bilanzsumme größer als 43 Millionen Euro

Zusätzlich gibt es Sektoren, in denen Unternehmen unabhängig von der Größe als Einrichtung gelten (z.B. bestimmte Telekommunikationsanbieter oder DNS-Dienstleister).

Ein entscheidender Punkt, seit NIS-2 beschlossen ist: Es gibt keinen automatischen Behördenbrief, der Ihnen mitteilt, dass Sie betroffen sind. Unternehmen müssen ihre Betroffenheit selbst prüfen und dokumentieren – inklusive Sektorzuordnung, Größenkriterien und ggf. Rolle in der Wertschöpfungskette (z.B. als kritischer Zulieferer).

Die wichtigsten Pflichten im Überblick 

Mit dem NIS2UmsuCG kommen vor allem fünf große Pflichtblöcke auf Unternehmen zu:

1. Registrierung beim BSI
2. Risikomanagement und Sicherheitsmaßnahmen
3. Meldepflichten bei Sicherheitsvorfällen
4. Governance & Haftung der Geschäftsleitung
5. Aufsicht und Nachweispflichten

Diese Pflichten gelten unmittlebar nachdem NIS-2 in Kraft getreten ist (voraussichtlich Ende 2025/Anfang 2026) – es gibt keine mehrjährige generelle Schonfrist.

1. Registrierung beim BSI

Betroffene Einrichtungen müssen sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren – gerechnet ab Inkrafttreten des Gesetzes bzw. ab Einstufung als betroffene Einrichtung.

Zu melden sind u.a.:

• Name, Rechtsform und Sitz des Unternehmens
• Branche / Sektor
• Einstufung als wichtige oder besonders wichtige Einrichtung
• zentrale Kontaktstelle für Sicherheitsvorfälle

Die Registrierung ist der formale Einstieg in die aufsichtsrechtliche Sichtbarkeit gegenüber dem BSI – insbesondere für besonders wichtige Einrichtungen mit erhöhter Prüfintensität.

2. Risikomanagement & Sicherheitsmaßnahmen 

NIS-2 fordert ein strukturiertes Cyber-Risikomanagement, das sich an den in der Richtlinie definierten Mindestanforderungen orientiert und in Deutschland u.a. im BSIG konkretisiert wird. Wesentliche Bausteine sind:

• eine übergreifende Sicherheitsstrategie und verbindliche Richtlinien
• definierte Prozesse zum Erkennen, Analysieren und Behandeln von Sicherheitsvorfällen
• Business Continuity und Desaster Recovery (Backups, Notfallpläne, Krisenorganisation)
• Sicherheit in der Lieferkette: Anforderungen an Dienstleister, Provider, Cloud- und Outsourcing-Partner
• Schwachstellenmanagement und regelmäßige Patch-Prozesse
• angemessene Netzwerksegmentierung, Protokollierung und Monitoring
• Multi-Faktor-Authentifizierung und sichere Kommunikationswege
• regelmäßige Schulungen und Awareness-Maßnahmen für Mitarbeitende

Wer bereits ein ISMS nach ISO 27001 oder BSI-Grundschutz einsetzt, hat eine gute Basis. Häufig zeigen sich aber Lücken bei der Einbindung von Dienstleistern, beim formalen Risikomanagement, bei Krisenübungen und beim konsequenten Monitoring.

3. Meldepflichten bei Sicherheitsvorfällen

Ein Kernstück der Richtlinie sind die verschärften Meldepflichten. Der Standard-Prozess sieht vor:

1. Frühwarnung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls
2. Detailmeldung innerhalb von 72 Stunden mit ersten Erkenntnissen zu Ursache, Auswirkungen und Gegenmaßnahmen
3. Abschlussbericht spätestens nach einem Monat mit Lessons Learned und nachhaltig implementierten Maßnahmen

Erfasst werden nicht nur komplette Ausfälle oder spektakuläre Attacken, sondern auch Vorfälle mit hohem Schadenspotenzial.

Unternehmen benötigen daher klare Erkennungs- und Bewertungskriterien, definierte Zuständigkeiten sowie geübte Abläufe, um diese Fristen realistisch einhalten zu können.

4. Governance & Haftung der Geschäftsleitung

NIS-2 adressiert explizit die Geschäftsleitung – und verschiebt das Thema Cybersicherheit endgültig auf Vorstand-/Geschäftsführungsebene:

• Die Geschäftsleitung muss das Risikomanagement genehmigen.
• Sie hat die Überwachung der Umsetzung sicherzustellen.
• Sie ist verpflichtet, sich regelmäßig zu Cybersicherheit fortzubilden.

Verletzt die Geschäftsleitung ihre Pflichten grob, können sich persönliche Haftungsrisiken gegenüber der eigenen Organisation ergeben. Ein „Wegdelegieren“ des Themas an IT oder externe Dienstleister reicht damit nicht mehr aus.

5. Aufsicht und Nachweispflichten

Das BSI erhält mit dem NIS2UmsuCG erweiterte Aufsichts- und Eingriffsbefugnisse, u.a.:

• Durchführung von Prüfungen und Audits
• Anforderung von Nachweisen und Dokumentationen
• Anordnung zusätzlicher Sicherheitsmaßnahmen im Einzelfall

Für bestimmte Betreiber sind regelmäßige Nachweise im mehrjährigen Turnus vorgesehen (z.B. alle drei Jahre). Andere Einrichtungen müssen mit stichprobenartigen oder anlassbezogenen Prüfungen rechnen.

Entscheidend ist daher nicht nur die Umsetzung von Maßnahmen, sondern auch deren Dokumentation und Nachweisbarkeit.

Fristen: Wie viel Zeit bleibt wirklich?

Formal lässt sich der Zeitplan nach dem Motto „NIS-2 beschlossen – was heißt das zeitlich?“ so skizzieren:

• Inkrafttreten: am Tag nach der Veröffentlichung im Bundesgesetzblatt, erwartet Ende 2025 oder Anfang 2026
• Registrierungspflicht beim BSI: innerhalb von 3 Monaten nach Inkrafttreten bzw. nach Einstufung als betroffene Einrichtung
• Nachweise und Audits: in der Regel innerhalb von bis zu 3 Jahren, anschließend wiederkehrende Prüfungen

Auf den ersten Blick mögen drei Jahre nach viel Zeit klingen. Erfahrungsgemäß dauert es jedoch:

• mehrere Monate, um Betroffenheit, Rollen und Governance-Strukturen sauber aufzusetzen
• 12–18 Monate, um ein wirksames Sicherheitsmanagement mit Prozessen, technischen Maßnahmen, Schulungen und Nachweisen zu etablieren
• zusätzliche Zeit, um Dienstleisterverträge anzupassen und infrastrukturelle Schwachstellen zu beseitigen

Unternehmen, die erst kurz vor der ersten Nachweisfrist mit der Umsetzung beginnen, geraten schnell unter Zeit- und Handlungsdruck.

Konkrete To-dos für Unternehmen

Was sollten Sie jetzt tun, um strukturiert in die Umsetzung zu kommen? Die folgenden Schritte können als praktische Agenda dienen – gerade mit Blick darauf, dass NIS-2 beschlossen ist und nun zeitnah wirksam wird.

1. Betroffenheit klären und dokumentieren 

• Prüfen Sie Ihre Sektorzugehörigkeit (einer der 18 NIS-2-Sektoren?).
• Überprüfen Sie Mitarbeitendenzahl, Umsatz und Bilanzsumme gegen die Schwellenwerte.
• Berücksichtigen Sie verbundene Unternehmen und Tochtergesellschaften.
• Dokumentieren Sie Ihr Ergebnis – auch dann, wenn Sie (noch) nicht betroffen sind.

Diese Dokumentation ist wichtig, um gegenüber Aufsichtsbehörden später nachvollziehbar darlegen zu können, wie Sie zu Ihrer Einschätzung gekommen sind.

2. Rollen und Verantwortlichkeiten festlegen

• Benennen Sie eine NIS-2-Projektleitung (z.B. CISO, IT-Leitung, Compliance-Verantwortlicher).
• Etablieren Sie eine klare Berichtslinie zur Geschäftsführung.
• Binden Sie frühzeitig alle relevanten Bereiche ein: IT, OT, Datenschutz, Einkauf, Fachbereiche, Recht/Compliance.

Damit wird sichergestellt, dass NIS-2 nicht in der IT „stecken bleibt“, sondern als unternehmensweites Thema verstanden und behandelt wird.

3. Gap-Analyse: Wo stehen Sie heute? 

• Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen und Prozesse mit den Anforderungen aus NIS-2 und den konkretisierten Vorgaben im nationalen Recht.
• Identifizieren Sie Lücken bei:
  • Incident-Handling und Meldeprozessen
  • Business Continuity / Notfallmanagement
  • Lieferketten- und Dienstleistersteuerung
  • Schulungs- und Awareness-Konzepten
  • technischen Basismaßnahmen (MFA, Segmentierung, Logging, Monitoring)
• Priorisieren Sie Maßnahmen nach Risiko, Aufwand und Umsetzbarkeit.

Eine solche Gap-Analyse schafft Transparenz – und liefert die Grundlage für eine belastbare Roadmap.

4. Roadmap aufsetzen (12–18 Monate)

Ein praxisnaher Ansatz könnte so aussehen:

• 0–6 Monate
  • Mindestmaßnahmen technisch absichern (MFA, Backup-Strategie, Basishärtung, zentrales Logging)
  • erste Richtlinien und Policies aktualisieren oder neu aufsetzen
  • Management-Briefing und Zielbild definieren
• 6–12 Monate
  • Meldeprozesse und Incident-Response etablieren und testen (z.B. Krisenübungen, Table-Top-Übungen)
  • Lieferanten- und Providermanagement ausbauen, Verträge prüfen und anpassen
  • Notfall- und Krisenpläne entwickeln, dokumentieren und prüfen
• 12–18 Monate
  • ISMS-Strukturen fest verankern
  • regelmäßige Tests, Audits und Reviews einführen
  • Kennzahlen und Prozesse zur kontinuierlichen Verbesserung etablieren

NIS-2 und Ihre ITK-Infrastruktur: Leitungen, Telefonie & Co. im Fokus

Besonders greifbar wird NIS-2 dort, wo sich der Geschäftsbetrieb unmittelbar abspielt: in der ITK-Infrastruktur.

Relevante Fragen können u.a. sein:

• Sind unsere Standorte ausreichend redundant miteinander vernetzt?
• Was passiert, wenn unser primärer Internet- oder Netzbetreiber ausfällt oder angegriffen wird?
• Wie sind Cloud-Anbindungen, Rechenzentrumsverbindungen und VPN-Strukturen abgesichert?
• In welchem Sicherheitsrahmen laufen VoIP– und UC-Lösungen (z.B. SIP-Trunks, Cloud-PBX, Collaboration-Plattformen)?
• Haben wir Transparenz, welche Provider wo kritisch sind, und wie sehen unsere SLAs hinsichtlich Verfügbarkeit, Reaktionszeit und Sicherheitsanforderungen aus?

NIS-2 verlangt, dass Sie kritische Dienstleister und Provider in Ihr Risikomanagement einbeziehen. Praktisch bedeutet das:

• Verträge sollten Sicherheitsanforderungen, Reporting-Pflichten und Audit-Rechte klar beschreiben.
• Sie brauchen einen aktuellen Überblick über Ihre Leitungen, Zugänge, Standortverbindungen und Providerlandschaft.
• Projekte wie Netzwerkmodernisierung, SD-WAN-Einführung, Zero-Trust-Konzepte oder zusätzliche Backup-Zugänge lassen sich sehr gut mit NIS-2-Anforderungen verknüpfen – statt sie isoliert als „IT-Projekte“ zu betrachten.

Gerade in komplexen, historisch gewachsenen ITK-Umgebungen ist ein strukturierter Blick von außen hilfreich, um Single Points of Failure zu identifizieren und realistische, wirtschaftlich sinnvolle Maßnahmen abzuleiten.

Fazit: NIS-2 beschlossen – jetzt vom Abwarten ins Handeln kommen

Mit der Verabschiedung des NIS2UmsuCG durch Bundestag und Bundesrat ist klar:

• NIS-2 beschlossen bedeutet: Die Frage ist nicht mehr „ob“, sondern nur noch wie schnell Sie umsetzen.
• Viele Mittelständler rücken neu in den Geltungsbereich und müssen sich erstmals mit aufsichtsrechtlichen Sicherheitsvorgaben auseinandersetzen.
• Es gibt keine lange Schonfrist: Pflichten greifen ab Inkrafttreten, Registrierung binnen drei Monaten, Nachweise im mehrjährigen Turnus.

Unternehmen, die NIS-2 frühzeitig als strategisches Thema begreifen, können ihre Cyber-Resilienz gezielt stärken – und gleichzeitig längst überfällige Modernisierungen in ITK-Infrastruktur und Security sauber legitimieren.

Der Schlüssel liegt in drei Schritten:

1. Betroffenheit klären und dokumentieren
2. Gap-Analyse und Roadmap aufsetzen
3. ITK-Infrastruktur, Security und Compliance konsequent zusammendenken

Gerne unterstützen wir Sie dabei, aus dem nun beschlossenen NIS-2-Regelwerk ein tragfähiges Sicherheits- und Infrastrukturkonzept zu machen, das zu Ihrem Unternehmen, Ihrer Branche und Ihrer gewachsenen ITK-Landschaft passt. Nehmen Sie hier Kontakt mit uns auf.

 

Rechtlicher Hinweis
Der vorstehende  Beitrag  dient als unverbindliche Information zu den angesprochenen Themen. Der Beitrag enthält ausschließlich allgemeine Informationen ohne Anspruch auf Vollständigkeit und Richtigkeit, die nicht geeignet sind, den besonderen Umständen eines individuellen Einzelfalls gerecht zu werden. Die Präsentation stellt insbesondere keine rechtliche Beratung oder Auskunft dar und hat nicht den Sinn, Grundlage für wirtschaftliche oder sonstige Entscheidungen jedweder Art zu sein. Aus dem Beitrag erwächst keinerlei Zusage im Hinblick auf eine Haftung, Gewährleistung oder Garantie. Sollte eine Entscheidung auf Inhalte dieser Präsentation gestützt werden, so geschieht dies auf eigenes Risiko.