NIS2-Richtlinie in Deutschland: Alles, was Sie wissen müssen

Seit Inkrafttreten des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) ist Cybersicherheit in Deutschland eine unmittelbare Führungsaufgabe und nicht länger nur eine Angelegenheit der IT-Abteilung. Angesichts zunehmender Cyberangriffe hat die EU mit der NIS2-Richtlinie den Rechtsrahmen verschärft und die Sicherheitspflichten für Zehntausende deutsche Unternehmen erweitert. Die Geschäftsführung haftet nun direkt für die Umsetzung der geforderten Risikomanagementmaßnahmen.

Inhaltsverzeichnis

1. Wichtige Fakten
2. Was ist die NIS2-Richtlinie?
3. Was sind die zentralen Ziele der NIS2‑Richtlinie?
4. Wie ist der aktuelle Umsetzungsstand der NIS2‑Richtlinie in Deutschland?
5. Welche Unternehmen sind zur Einhaltung der NIS2‑Pflichten verpflichtet?
6. Sanktionen bei Nichteinhaltung der NIS2-Richtlinie
7. Wie bereitet man sich auf die Einhaltung von NIS2 vor?
8. Wie Factorial bei der NIS2-Compliance unterstützt
9. FAQ

Wichtige Fakten

• Was ist die NIS2-Richtlinie in Deutschland? Die NIS2-Richtlinie ist eine EU-Verordnung, die durch das NIS2UmsuCG in deutsches Recht umgesetzt wurde und strenge Cybersicherheits- und Meldepflichten für „besonders wichtige“ und „wichtige“ Einrichtungen vorschreibt.
• Wie viele Unternehmen sind betroffen? Laut Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) fallen in Deutschland rund 30.000 Unternehmen unter die NIS2-Regulierung.
• Was droht bei Verstößen? Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, wie das BSI klarstellt.
• Wer haftet? Die Leitungsorgane haften persönlich für die Umsetzung der Cybersicherheitsmaßnahmen und müssen deren Einhaltung aktiv überwachen (§ 38 BSIG-neu).

IT Asset Management mit Factorial

Die ITAM-Software von Factorial löst Ihr Lizenzchaos und ermöglicht Ihnen eine zentrale Kontrolle und Verwaltung aller Ihrer Tools.

Mehr erfahren

In Deutschland wird ihre Umsetzung neue Anforderungen an das Risikomanagement, die Meldung von Vorfällen und die direkte Verantwortung der Geschäftsführung mit sich bringen. In diesem Artikel erklären wir Ihnen alles, was Sie über die NIS2-Richtlinie in Deutschland wissen müssen.

Was ist die NIS2-Richtlinie?

Seit dem 6. Dezember 2025 ist das NIS2UmsuCG in Kraft, das die EU‑Richtlinie (EU 2026/2555) in deutsches Recht überführt, wie NIS2-Service darlegt (§ 28 BSIG‑neu).

Die NIS2-Richtlinie (Richtlinie (EU) 2026/2555) ist die neue europäische Cybersicherheitsverordnung, die den Anwendungsbereich der vorangegangenen NIS-Richtlinie (verabschiedet 2026) ersetzt und erweitert. Ihr Ziel ist es, das gemeinsame Sicherheitsniveau von Netz- und Informationssystemen in der gesamten Europäischen Union zu stärken.

Die Richtlinie zielt darauf ab, die Cyber-Resilienz kritischer Infrastrukturen und wichtiger digitaler Dienste in der gesamten EU zu vereinheitlichen und zu erhöhen. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Behörde für die Registrierung, Überwachung und Durchsetzung der NIS2-Anforderungen.

Die 2026 verabschiedete NIS2 reagiert auf einen Kontext, der durch die Zunahme von Cyberangriffen, hybriden Bedrohungen und einer wachsenden digitalen Abhängigkeit von Unternehmen und öffentlichen Verwaltungen geprägt ist. Zu diesem Zweck legt sie strengere Anforderungen in den folgenden Bereichen fest:

• Risikomanagement im Bereich der Cybersicherheit.
• Meldepflicht für schwerwiegende Vorfälle.
• Überwachung und Kontrolle durch die nationalen deutschen Behörden, vor allem das BSI – Bundesamt für Sicherheit in der Informationstechnik, sowie sektorale Regulierungsbehörden wie die BNetzA (Telekommunikation) oder die BaFin (Finanzen).
• Direkte Verantwortung der Leitungsorgane.

Eine der wichtigsten Neuerungen der NIS2 ist die erhebliche Ausweitung der Zahl der Sektoren und Einrichtungen, die zur Einhaltung der Richtlinie verpflichtet sind. Dazu gehören nicht nur die klassischen wesentlichen Betreiber (Energie, Verkehr, Gesundheit), sondern auch Sektoren wie digitale Dienste, Abfallwirtschaft, verarbeitendes Gewerbe, ITK-Anbieter u. a., die auf deutsche Unternehmen anwendbar sind.

Mehr als nur eine einfache regulatorische Aktualisierung führt die NIS2 einen homogenen und anspruchsvolleren Rahmen in der gesamten EU ein. Organisationen sind verpflichtet, eine präventive und strukturierte Kultur der Cybersicherheit zu etablieren, die an den deutschen Kontext angepasst ist.

Unterschied zwischen NIS2 und NIS1

Die wesentlichen Unterschiede zwischen der NIS2-Richtlinie und der NIS-Richtlinie lassen sich wie folgt zusammenfassen:

• Größerer Anwendungsbereich: Die NIS2 erweitert die Anzahl der Sektoren und Unternehmen, die zur Einhaltung der Vorschriften verpflichtet sind, anwendbar auf deutsche Organisationen in kritischen und strategischen Sektoren.
• Höhere Anforderungen an die Cybersicherheit: Sie legt detailliertere Anforderungen an das Risikomanagement, interne Richtlinien und die Sicherheit der Lieferkette fest.
• Strengere Meldung von Vorfällen: Sie legt konkretere Fristen und klarere Verfahren für die Meldung schwerwiegender Vorfälle fest.
• Mehr Überwachung und Sanktionen: Sie verstärkt die Kontrolle durch die Behörden und verschärft das Sanktionssystem.
• Verantwortung der Geschäftsführung: Sie bindet die Leitungsorgane direkt in die Einhaltung der Vorschriften ein.

Welche Ziele verfolgt die NIS2-Richtlinie?

Die NIS2-Richtlinie entstand mit dem Ziel, die Cybersicherheit im gesamten Gebiet der Europäischen Union zu stärken und mit einer immer komplexeren digitalen Welt Schritt zu halten, die anfällig für Risiken und Bedrohungen ist. Es geht nicht nur darum, Regeln und Verpflichtungen festzulegen, sondern einen Rahmen zu schaffen, um das Sicherheitsniveau von Organisationen, einschließlich deutscher Unternehmen und Behörden, nach europäischen Standards zu erhöhen.

Zu den Hauptzielen der NIS2-Verordnung gehören:

• Die Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus innerhalb der EU, die Harmonisierung der Anforderungen zwischen den Mitgliedstaaten und die Sicherstellung ihrer Anwendung in Deutschland.
• Die Verbesserung der Resilienz wesentlicher und wichtiger Einrichtungen, um signifikante Unterbrechungsrisiken kritischer Dienste zu minimieren.
• Die Implementierung von Mindestmaßnahmen für das Risikomanagement, einschließlich Sicherheitsmaßnahmen, Bedrohungsanalysen, Kontinuitätsplänen usw.
• Die Verbesserung der Prozesse zur Meldung von Vorfällen, um eine schnelle Reaktion zu gewährleisten.
• Die Verbesserung der Zusammenarbeit und des Informationsaustauschs zwischen nationalen Behörden (wie dem BSI) und europäischen Institutionen.
• Die Verbesserung von Überwachung und Compliance durch ein klareres und abschreckenderes Sanktionssystem, das auf deutsche Organisationen anwendbar ist.

Wie wurde NIS2 in Deutschland umgesetzt?

Die NIS2-Richtlinie legt einen europäischen Cybersicherheitsrahmen fest, der die Mitgliedstaaten verpflichtet, ihre nationale Gesetzgebung zu aktualisieren, um wesentliche und wichtige Einrichtungen besser zu schützen. Obwohl die Richtlinie 2026 auf europäischer Ebene verabschiedet wurde, musste jedes Land sie in sein internes Rechtssystem umsetzen.

In Deutschland erfolgte diese Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), ein Gesetz, das die deutsche Cybersicherheitsgesetzgebung grundlegend reformiert und den Anwendungsbereich des BSI-Gesetzes (das Gesetz zur Regelung der Sicherheit in der Informationstechnik) erweitert.

Zu den relevantesten Aspekten der Situation in Deutschland gehören:

• Inkrafttreten des Gesetzes: Das NIS2UmsuCG wurde im Dezember 2026 im Bundesgesetzblatt (BGBl. 2026 I Nr. 555) veröffentlicht und trat am Folgetag in Kraft. Diese Umsetzung erfolgte, um die EU-Vorgaben fristgerecht in nationales Recht zu überführen.
• Keine Übergangsfrist: Deutschland hat sich für eine sofortige Anwendung der Norm entschieden. Das bedeutet, dass betroffene Unternehmen verpflichtet sind, alle Sicherheitsanforderungen seit dem Inkrafttreten des Gesetzes am 6. Dezember 2025 zu erfüllen.
  • Registrierungsfrist abgelaufen: Das BSI‑Registrierungsportal wurde am 6. Januar 2026 freigeschaltet. Die Frist endete am 6. März 2026 – laut NIS2-Service und Cloudmagazin registrierten sich rund 11.500 von etwa 29.850 Unternehmen fristgerecht (ca. 38,5 %).
• Pflichtregistrierung beim BSI: Das BSI‑Registrierungsportal wurde am 6. Januar 2026 aktiviert. Betroffene Organisationen mussten sich bis zum 6. März 2026 registrieren.
• Erhebliche Ausweitung des Anwendungsbereichs: Die neue Verordnung erweitert die Zahl der vom BSI überwachten Organisationen erheblich. Nach offiziellen Angaben des BSI sind nun statt zuvor rund 4.500 Organisationen etwa 30.000 Unternehmen in Deutschland betroffen.
• Stärkung der Sicherheitsverpflichtungen: Die betroffenen Organisationen müssen Risikomanagementmaßnahmen implementieren, Cybersicherheitsvorfälle melden und die direkte Überwachung dieser Maßnahmen durch die Unternehmensführung sicherstellen.

Welche Unternehmen sind zur Einhaltung der NIS2‑Pflichten verpflichtet?

Die NIS2-Richtlinie erweitert den Anwendungsbereich im Vergleich zu NIS1 erheblich und bezieht nicht nur Betreiber wesentlicher Dienste ein, sondern auch wichtige Einrichtungen aus verschiedenen strategischen Sektoren. Dies bedeutet, dass sich viel mehr Unternehmen an die Anforderungen für Cybersicherheit und Risikomanagement anpassen müssen.

In Deutschland unterscheidet die Verordnung hauptsächlich zwischen zwei Kategorien von Organisationen: besonders wichtige Einrichtungen und wichtige Einrichtungen. Beide unterliegen Cybersicherheitsverpflichtungen und der Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zu den am stärksten betroffenen Organisationen gehören:

• Energie- und Wassersektor: Unternehmen für Strom, Gas, Wasser und Kraftstoffverteilung.
• Verkehr: Luft-, Schienen-, See- und Straßenverkehrsunternehmen.
• Gesundheit: Krankenhäuser, Labore und Anbieter kritischer Gesundheitsdienstleistungen.
• Digitale Dienste: Cloud-Anbieter, Rechenzentren, digitale Infrastrukturen, Suchmaschinen und digitale Plattformen.
• Öffentliche Verwaltung: Behörden und Einrichtungen, die wesentliche Dienste für die Gesellschaft verwalten.
• Kritische Industrien: Herstellung wesentlicher Produkte, Lebensmittelproduktion, Chemikalien und kritische Technologien.
• Andere strategische Anbieter: Abfallentsorgungsunternehmen, Telekommunikation und ITK-Anbieter, die Teil kritischer Lieferketten sind.

Gemäß § 28 Abs. 3 und 4 BSIG-neu werden betroffene Organisationen nach Größe und Sektorzugehörigkeit klassifiziert:

• Besonders wichtige Einrichtungen: In der Regel Organisationen mit mindestens 250 Beschäftigten oder einem Jahresumsatz von über 50 Mio. Euro.
• Wichtige Einrichtungen: In der Regel Organisationen mit 50 bis 249 Beschäftigten oder einem Jahresumsatz von 10 bis 50 Mio. Euro.

Als allgemeine Regel führt die NIS2 das Kriterium des Ausschlusses kleiner Unternehmen ein. Dies bedeutet, dass die Verordnung hauptsächlich für Einrichtungen gilt, die die Schwellenwerte für mittlere Unternehmen überschreiten.

Es gibt jedoch bestimmte Ausnahmen, bei denen die Unternehmensgröße nicht über die Compliance-Pflicht entscheidet. Dies kann beispielsweise Anbieter öffentlicher elektronischer Kommunikationsnetze, Vertrauensdiensteanbieter oder Einrichtungen betreffen, die eine kritische Rolle innerhalb einer wesentlichen Lieferkette spielen.

Darüber hinaus enthält die deutsche Gesetzgebung eine De-minimis-Regel, die es erlaubt, bestimmte Tätigkeiten auszuschließen, wenn ihr Gewicht innerhalb des Unternehmens marginal ist. Diese Besonderheit zwingt Organisationen dazu, sowohl ihre Tätigkeit als auch ihren Umsatz im Detail zu analysieren, um zu bestätigen, ob sie der Verordnung unterliegen.

Sanktionen bei Nichteinhaltung der NIS2-Richtlinie

Das NIS2UmsuCG sieht empfindliche Sanktionen vor, die vom BSI verhängt werden können. Die Höhe der Bußgelder ist gestaffelt und hängt von der Einstufung der Einrichtung sowie der Art des Verstoßes ab. Ziel ist eine abschreckende Wirkung, um die Einhaltung der Sicherheitspflichten zu gewährleisten.

Höhe der Bußgelder

Hinzu kommen laut NIS2-Service Bußgelder bis zu 500.000 € für Verletzungen administrativer Pflichten sowie persönliche Haftung der leitenden Organe (§ 38 BSIG‑neu).

Verantwortung der Geschäftsführung

• Verantwortung der Geschäftsführung: Die Leitungsorgane müssen die Cybersicherheits-Risikomanagementmaßnahmen genehmigen und überwachen. Die Nichteinhaltung dieser Verpflichtungen kann zu direkten Verantwortlichkeiten für die Führungskräfte führen. Persönliche Haftung der Geschäftsführung ist möglich.
• Überwachung durch die Behörden: Das BSI kann von Unternehmen den Nachweis verlangen, dass sie angemessene Risikomanagement- und Sicherheitsmaßnahmen implementiert haben.
• Fortbildungspflicht für die Geschäftsführung: § 38 BSIG-neu verpflichtet die Leitungsorgane explizit, sich regelmäßig zu Cybersicherheitsrisiken und deren Management fortzubilden. Diese Schulungen müssen den eigenen Mitarbeitenden ebenfalls angeboten werden, um eine unternehmensweite Sicherheitskultur zu fördern.

Wie bereitet man sich auf die Einhaltung von NIS2 vor?

Im Gegensatz zu früheren Verordnungen ist die NIS2 verpflichtend und erfordert von Unternehmen einen kontinuierlichen Ansatz für das Risikomanagement, nicht nur punktuelle Maßnahmen.

In Deutschland müssen die betroffenen Organisationen nach dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) sicherstellen, dass sie die von der Verordnung und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegten Anforderungen erfüllen.

Um sich auf die Richtlinie vorzubereiten und anzupassen, können Unternehmen fünf grundlegende strategische Säulen verfolgen.

1. Identifizieren, ob das Unternehmen NIS2-pflichtig ist

• Identifizieren, ob es sich um eine besonders wichtige oder eine wichtige Einrichtung handelt, auf Grundlage von Sektor und Größe.
• Registrierung der Organisation im BSI-Portal. hierfür sind das ELSTER-Unternehmenszertifikat und ein MUK-Konto zwingend erforderlich. Die offizielle Registrierungsfrist endete am 6. März 2026. Daher muss dieser Vorgang sofort nachgeholt werden, falls er noch nicht erfolgt ist.
• Bewertung der Lücke (Gap-Analyse) zwischen der aktuellen Sicherheit und den neuen Anforderungen des NIS2UmsuCG.
• Führen eines aktuellen Verzeichnisses aller IT- und OT-Assets, die mit wesentlichen Diensten verbunden sind.

2. Governance und Engagement der Geschäftsführung

• Sicherstellen, dass die Geschäftsführung die Cybersicherheitsrichtlinien aktiv überwacht und unterstützt.
• Benennung einer beauftragten Person für Informationssicherheit (CISO) mit ausreichenden Befugnissen und Ressourcen.
• Etablierung interner Prozesse zur Überwachung und Berichterstattung von Risiken.

3. Technische Mindestmaßnahmen

• Festlegung von Sicherheitsrichtlinien, Zugriffskontrollen und Schwachstellenmanagement.
• Implementierung von Mehr-Faktor-Authentifizierung (MFA) und kontinuierlichen Schulungsprogrammen für Mitarbeitende.
• Bereitstellung von Backups, Business-Continuity-Plänen und Notfallwiederherstellungsplänen (DRP), die regelmäßig getestet werden.

4. Management der Lieferkette

• Bewertung der Risiken im Zusammenhang mit kritischen Liefernden und Dritten.
• Aufnahme von Cybersicherheitsklauseln in Verträge und Beschaffungsprozesse.
• Forderung nach anerkannten Sicherheitsstandards wie ISO 27001 oder anderen etablierten Rahmenwerken.

Organisationen sollten dabei insbesondere SaaS‑Dienste als Lieferkettenrisiko erfassen, da diese unter NIS2‑Pflichten fallen und bei Verstößen persönliche Haftung auslösen können, wie Cloudmagazin betont (§ 38 BSIG‑neu).

5. Meldewesen für Vorfälle

• Vorbereitung von Protokollen für eine Frühwarnung innerhalb von 24 Stunden nach Entdeckung eines signifikanten Vorfalls. Meldepflicht Sicherheitsvorfall beachten.
• Übermittlung einer detaillierten Meldung innerhalb von 72 Stunden.
• Einreichung eines Abschlussberichts innerhalb eines Monats mit den Ursachen und den ergriffenen Maßnahmen.

Damit etablieren Sie eine prüfbare Compliance-Struktur. Beispielsweise unterstützt Factorial IT bei der automatisierten Dokumentation von Vorfallprozessen, MFA-Protokollen und Nachweisen für Berichterstattungen.

Wie Factorial bei der NIS2-Compliance unterstützt

Die NIS2-Richtlinie erfordert ein systematisches, nachweisbares Risikomanagement. Dies umfasst ein aktuelles Asset-Inventar, die Verwaltung von Zugriffen, die Umsetzung technischer Mindestmaßnahmen und strukturierte Meldeprozesse.

Die Erfüllung dieser Anforderungen bedeutet für viele Organisationen, interne Prozesse zu überprüfen und Werkzeuge einzuführen, die ein kontinuierliches und prüfbares Cybersicherheitsmanagement ermöglichen.

Bei Factorial IT verwandeln wir diese Anforderungen in einen „operativen Motor“: Wir automatisieren Prozesse, definieren Richtlinien und erstellen Protokolle, die als Nachweise in Audits und Compliance-Überprüfungen verwendet werden können.

• Inventar und Risikoanalyse: Wir führen ein dynamisches Inventar von Geräten und deren Sicherheitsstatus und zeigen in einem zentralen Dashboard an, wer welches Gerät hat und ob es aktualisiert, verschlüsselt ist oder den Standards entspricht. Zudem wird jedes Asset mit der nutzenden Person und seinem Lebenszyklus verknüpft, was Überprüfungen und Audits erleichtert.

• Technische Maßnahmen und Zugriffskontrolle: Wir verwalten Verschlüsselung und Patches automatisch, identifizieren Schwachstellen und verstärken die Authentifizierung durch Einmalanmeldung und Mehr-Faktor-Authentifizierung (SSO und MFA) mit Anbietern wie Google Workspace, Microsoft Entra ID oder Okta, um sicherzustellen, dass die Systeme vom ersten Tag an konform sind.
• Onboarding und Offboarding: Wir verknüpfen Personalzu- und -abgänge mit der Personalabteilung, um Zugriffe automatisch bereitzustellen oder zu entziehen. So werden inaktive Konten vermieden und sichergestellt wird, dass Geräte gemäß den Sicherheitsrichtlinien konfiguriert übergeben werden.

• Reaktion auf Vorfälle: Wir bieten Werkzeuge zur Sperrung und Fernlöschung, detaillierte Protokolle administrativer Aktionen und die Verfolgung von Vorfällen, was es ermöglicht, schnell zu reagieren und jeden Schritt des Prozesses zu dokumentieren.
• Lieferkette und Audit: Wir helfen dabei, nicht autorisierte Software und Dienste zu identifizieren, Nachweise in Compliance-Plattformen wie Vanta oder Drata zu integrieren und auditbereite Protokolle ohne manuellen Aufwand zu generieren.

FAQ

Wann tritt NIS2 in Deutschland in Kraft?

Die NIS2-Richtlinie wurde in Deutschland durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt. Dieses trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft, wodurch die Anforderungen für betroffene Unternehmen sofort verbindlich wurden.

Für wen gilt NIS2 in Deutschland?

NIS2 gilt für mittlere und große Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. € Umsatz) in kritischen Sektoren wie Energie, Verkehr, Gesundheit und digitale Dienste. Auch kleinere Unternehmen können betroffen sein, wenn sie eine wesentliche Rolle in einer Lieferkette spielen.

Wann bin ich NIS2 pflichtig?

Sie sind NIS2-pflichtig, wenn Ihr Unternehmen als mittlere Einrichtung (ab 50 Mitarbeitenden oder 10 Mio. € Umsatz) oder große Einrichtung (ab 250 Mitarbeitenden oder 50 Mio. € Umsatz) in einem der definierten kritischen Sektoren tätig ist.

Was sind die NIS2-Richtlinien?

Die NIS2-Richtlinie ist eine EU-Verordnung zur Stärkung der Cybersicherheit. Sie legt strengere Anforderungen an das Risikomanagement, die Meldung von Vorfällen und die Verantwortung der Geschäftsführung für eine erweiterte Anzahl von Sektoren fest, um das Sicherheitsniveau in der gesamten EU zu erhöhen.