NIS2 gilt seit Oktober 2024 — ohne Übergangsfrist, ohne Schonfrist. 30.000 Unternehmen in Deutschland sind betroffen. Wissen Sie, ob Ihres dazugehört?
Wenn Sie diese Frage nicht mit einem klaren „Nein" beantworten können, sollten Sie weiterlesen. Denn wer NIS2-pflichtig ist und nichts tut, riskiert Bußgelder bis 10 Millionen Euro — und haftet als Geschäftsführer persönlich.
Dieser Artikel erklärt Ihnen in 10 Minuten, ob Sie NIS2 betroffen sind, was auf dem Spiel steht, und was Sie jetzt konkret tun müssen.
Was ist NIS2 — und warum geht es mich etwas an?
NIS2 ist das neue europäische Cybersicherheitsgesetz. In Deutschland ist es seit dem 1. Oktober 2024 in Kraft — in Form des NIS2-Umsetzungsgesetzes (NIS2UmsuCG). Es verpflichtet Unternehmen in bestimmten Branchen, ihre IT-Sicherheit auf ein definiertes Mindestmaß zu bringen.
Klingt abstrakt? Ist es nicht. Hier die drei Kernaussagen:
- Sie müssen Ihre IT-Infrastruktur schützen — nicht irgendwann, sondern jetzt
- Sie müssen Cyberangriffe melden — innerhalb von 24 Stunden beim BSI (Bundesamt für Sicherheit in der Informationstechnik)
- Sie haften persönlich — als Geschäftsführer, mit Ihrem Privatvermögen
Das Besondere an NIS2: Es gibt keine Übergangsfrist. Kein „Wir schauen mal bis Ende 2026". Das Gesetz gilt. Heute.
Wer ist NIS2 betroffen? Die Schwellenwerte im Überblick
Nicht jedes Unternehmen fällt unter NIS2. Aber deutlich mehr als die meisten Geschäftsführer vermuten.
Grundsätzlich gilt: Sie sind NIS2 pflichtig, wenn Ihr Unternehmen in einer der betroffenen Branchen tätig ist und bestimmte Größenschwellen überschreitet.
Die Größenschwellen
| Unternehmensart | Mitarbeiter | Jahresumsatz oder Bilanzsumme |
|---|---|---|
| Wichtige Einrichtungen | ab 50 | ab 10 Mio. € |
| Besonders wichtige Einrichtungen | ab 250 | ab 50 Mio. € |
Achtung: Beide Schwellen müssen gleichzeitig überschritten sein. Ein Unternehmen mit 200 Mitarbeitern und 8 Millionen Umsatz ist in der Regel nicht betroffen.
Die betroffenen Branchen
NIS2 unterscheidet zwei Kategorien:
Besonders wichtige Einrichtungen (strenger reguliert):
- Energie (Strom, Gas, Öl, Fernwärme)
- Transport und Verkehr (Luft, Schiene, Straße, See)
- Bankwesen und Finanzmarktinfrastruktur
- Gesundheit und Medizin
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Rechenzentren, Cloud-Provider, DNS)
- Raumfahrt
Wichtige Einrichtungen (ebenfalls reguliert, mit etwas weniger scharfen Sanktionen):
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Industrie
- Lebensmittelproduktion und -verarbeitung
- Maschinenbau und Fahrzeugbau
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Wichtig: Auch wenn Ihre Branche nicht auf dieser Liste steht, können Sie NIS2-pflichtig sein — nämlich dann, wenn Sie als wesentlicher Zulieferer für ein NIS2-pflichtiges Unternehmen gelten. Die sogenannte Lieferketten-Haftung ist ein unterschätztes Risiko.
Insgesamt sind in Deutschland rund 30.000 Unternehmen direkt von NIS2 betroffen — und schätzungsweise 83 Prozent davon haben noch Handlungsbedarf.
Der 5-Fragen-Check: Bin ich NIS2 betroffen?
Beantworten Sie die folgenden fünf Fragen. Jedes Ja bringt Sie näher an die NIS2-Pflicht.
Ist mein Unternehmen in einer der genannten Branchen tätig?
Hat Ihr Unternehmen mindestens 50 Mitarbeiter?
Liegt Ihr Jahresumsatz oder Ihre Bilanzsumme bei mindestens 10 Millionen Euro?
Haben Sie sich beim BSI registriert?
(Frist war der 6. März 2026 — für viele Einrichtungen bereits abgelaufen.)
Beliefern Sie Unternehmen, die unter NIS2 fallen?
Ergebnis: Wer Fragen 1 bis 3 mit „Ja" beantwortet, ist NIS2-pflichtig. Wer Frage 4 mit „Nein" beantwortet, hat bereits eine Pflichtverletzung begangen.
Was passiert, wenn Sie nichts tun?
Manche Geschäftsführer warten ab. Sie denken: „Erst wenn die ersten Bußgelder kommen, wird es ernst." Das ist ein teurer Irrtum.
Die Bußgelder
NIS2 sieht empfindliche Strafen vor:
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes
- Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes
Das BSI ist die zuständige Behörde und hat die Befugnis, diese Bußgelder zu verhängen — ohne Vorwarnung.
Die persönliche Haftung der Geschäftsführer
Das ist der Punkt, der die meisten Geschäftsführer aufweckt: Sie haften persönlich.
§28 NIS2UmsuCG ist eindeutig: Geschäftsführer sind verpflichtet, Cybersicherheitsmaßnahmen zu billigen und deren Umsetzung zu überwachen. Kommen sie dieser Pflicht nicht nach, können sie mit ihrem Privatvermögen für entstandene Schäden haftbar gemacht werden.
Das bedeutet: Auch wenn das Unternehmen kein Geld hat, bleibt die Haftung an Ihnen kleben.
Der Reputationsschaden
Neben Bußgeldern und persönlicher Haftung droht bei einem Cyberangriff ein weiterer Schaden, der sich nicht in Zahlen fassen lässt: der Vertrauensverlust bei Kunden, Lieferanten und Partnern. Laut BSI lagen die durchschnittlichen Kosten eines Ransomware-Angriffs auf ein mittelständisches Unternehmen 2024 bei über 500.000 Euro — ohne den Produktionsausfall einzurechnen.
Die 3 wichtigsten Schritte, die Sie jetzt tun müssen
Sie sind NIS2-pflichtig. Was jetzt?
Status bestimmen — Wo stehen Sie heute?
Bevor Sie Maßnahmen ergreifen, brauchen Sie eine ehrliche Bestandsaufnahme. Was schützen Sie schon? Wo sind die Lücken? Welche Anforderungen von NIS2 erfüllen Sie bereits — und welche nicht? Diese sogenannte Gap-Analyse (zu Deutsch: Lückenanalyse) ist der Ausgangspunkt jeder ernsthaften NIS2-Compliance. Ohne sie schießen Sie blind.
BSI-Registrierung nachholen (falls noch nicht erfolgt)
Falls Sie sich noch nicht beim BSI registriert haben: Tun Sie es jetzt. Die Frist war zwar der 6. März 2026 — aber besser eine verspätete Registrierung als gar keine. Die Registrierung erfolgt über das BSI-Portal und dauert je nach Vorbereitung wenige Stunden bis Tage. Halten Sie dafür bereit: Unternehmensdaten, Kontaktperson für Sicherheitsvorfälle, Angaben zu Ihrer IT-Infrastruktur.
Maßnahmen priorisieren und umsetzen
NIS2 schreibt konkrete technische und organisatorische Maßnahmen vor: Risikoanalyse und Sicherheitskonzept, Vorfallmanagement, Business Continuity, Lieferkettensicherheit, Zugangskontrolle, Verschlüsselung und Mitarbeiterschulungen.
NIS2-Checkliste für Geschäftsführer
Nutzen Sie diese Checkliste als ersten Selbst-Check:
Pflicht-Basics (sofort prüfen)
- Ich weiß, ob mein Unternehmen NIS2-pflichtig ist
- Mein Unternehmen ist beim BSI registriert
- Ich habe eine Ansprechperson für Cybersicherheit benannt
- Es gibt einen Prozess, wie wir einen Cyberangriff intern melden
Technische Mindestanforderungen
- Alle Software-Updates werden regelmäßig eingespielt
- Backups werden regelmäßig erstellt und auf Wiederherstellbarkeit geprüft
- Es gibt klare Regeln, wer auf welche Systeme zugreifen darf
- E-Mail-Sicherheit ist konfiguriert (DMARC, SPF, DKIM)
- Mitarbeiter wurden zu Cyberrisiken geschult (Phishing, Passwörter)
Governance (Geschäftsführung)
- Die Geschäftsführung hat ein Sicherheitskonzept formell genehmigt
- Es gibt einen dokumentierten Notfallplan für IT-Ausfälle
- Lieferanten mit IT-Zugang wurden auf Sicherheitsanforderungen geprüft
Wenn mehr als 3 Felder leer sind: Sie haben erheblichen Handlungsbedarf.
Fazit: Abwarten ist keine Option mehr
NIS2 ist kein Thema für die IT-Abteilung. Es ist ein Thema für die Geschäftsführung — weil die Geschäftsführung haftet.
30.000 Unternehmen in Deutschland sind NIS2 betroffen. 83 Prozent davon haben noch Lücken. Bußgelder bis 10 Millionen Euro sind möglich. Und §28 NIS2UmsuCG macht persönliche Haftung zur Realität.
Der erste Schritt ist der schwierigste: herauszufinden, wo Sie stehen. Danach wird es konkreter.
Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für eine individuelle Einschätzung Ihrer NIS2-Pflichten empfehlen wir eine professionelle Prüfung Ihres Einzelfalls.