Skip to content
Neue europäische Sicherheitsstandards

NIS2: Was Unternehmen jetzt wissen müssen

Neue Cybersicherheitsregeln werden verbindlich

Neue europäische Sicherheitsstandards treten in Deutschland Anfang 2026 in Kraft.
Viele Unternehmen müssen handeln – oft schneller als gedacht. NIS2 verlangt sowohl technische Maßnahmen als auch organisatorische Vorbereitung.

Mit NIS2 wird Cybersicherheit zur gesetzlichen Pflicht. Meldefristen, technische Mindeststandards, Sicherheitsmaßnahmen und klare Verantwortlichkeiten werden deutlich verschärft. Gleichzeitig wächst der Druck durch steigende Cyberangriffe und politische Spannungen.

Wir zeigen Ihnen, was NIS2 konkret bedeutet – und wie Sie Ihr Unternehmen Schritt für Schritt vorbereiten.

NIS2 Gesetz in Deutschland was muss ich tun-1
Firmen von NIS2 betroffen Deutschland

Wen betrifft NIS2?

Kurz gesagt: mehr Unternehmen als viele glauben.

Sie gehören wahrscheinlich dazu, wenn Sie:

  • mindestens 50 Mitarbeitende beschäftigen oder 10 Mio. € Umsatz haben

  • Teil einer kritischen oder wichtigen Branche sind (z. B. Energie, Verkehr, Gesundheit, IT-Dienstleistungen, Produktion, Entsorgung, Lebensmittel, Chemie, Logistik …) oder digitale Dienste bereitstellen

  • eine Rolle in der Lieferkette kritischer Unternehmen spielen

Tipp: Wir prüfen kostenlos Ihre Situation, erklären Ihre Pflichten und zeigen, wie Ihr Unternehmen 2026 rechtzeitig NIS-2-konform aufgestellt wird.

 

Was regelt das NIS-2-Umsetzungsgesetz?

Mit dem NIS-2-Umsetzungsgesetz wird das deutsche IT-Sicherheitsrecht umfassend modernisiert. Kernstück ist die Überarbeitung des BSI-Gesetzes (BSIG n.F.), ergänzt durch Anpassungen weiterer Fachgesetze wie EnWG und TKG. Ziel: mehr Cybersicherheit, klare Verantwortlichkeiten und einheitliche Standards – auch für Unternehmen außerhalb klassischer Kritischer Infrastrukturen.

1. Erweiterter Geltungsbereich: deutlich mehr Unternehmen betroffen

NIS2 richtet sich nicht mehr nur an Betreiber kritischer Infrastrukturen, sondern auch an große Teile des Mittelstands. Ein Unternehmen fällt in der Regel in den Anwendungsbereich, wenn:

  • es in einem der im Gesetz genannten Sektoren tätig ist (z. B. Energie, Verkehr, digitale Infrastruktur, verarbeitendes Gewerbe, Datenverarbeitung, Managed Services)

  • und mindestens ein mittleres Unternehmen ist:
    >50 Mitarbeitende oder >10 Mio. € Umsatz/Bilanzsumme

Zusätzlich gibt es Unternehmen, die unabhängig von ihrer Größe automatisch unter NIS2 fallen (z. B. bestimmte digitale Dienste und TK-Anbieter). Unterschieden wird zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“ – je höher die Relevanz, desto strenger die Pflichten.

2. Registrierungspflicht bei BSI/BBK

Sobald ein Unternehmen unter die NIS-2-Vorgaben fällt, muss es sich innerhalb von drei Monaten offiziell beim BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Diese Registrierung dient als zentraler Nachweis, dass das Unternehmen die Anforderungen anerkennt und künftig den NIS2-Pflichten unterliegt.

Mit der Registrierung bestätigt das Unternehmen, dass es den Anwendungsbereich geprüft hat und sich selbst als NIS-2 pflichtig einstuft. Diese Entscheidung ist nicht nur formal: Sie schafft gegenüber dem Staat Transparenz und bildet die Grundlage für spätere Prüfungen und Meldeprozesse.

Wichtig: Die Registrierung erfolgt, bevor das Unternehmen nachweisen muss, dass seine Sicherheitsmaßnahmen bereits vollständig NIS-2-konform sind. Sie ist also der erste verpflichtende Schritt im gesamten Umsetzungsprozess.

3. Pflicht zum Risikomanagement (Mindestkatalog)

Alle verpflichteten Unternehmen müssen einen klar definierten Maßnahmenkatalog erfüllen. Dazu gehören unter anderem:

  • Risikoanalysen

  • Incident-Response-Verfahren

  • Notfall- und Backup-Konzepte inkl. Wiederherstellungsprozesse

  • Schwachstellenmanagement & sichere Softwareentwicklung

  • starke Authentifizierung

  • Verschlüsselung und kryptografische Absicherung

  • Maßnahmen zur Lieferkettensicherheit

  • regelmäßige Wirksamkeitsprüfungen

Wie umfangreich diese Maßnahmen ausfallen müssen, hängt vom individuellen Risiko des Unternehmens ab. Eine vorherige Bestandsaufnahme ist daher zwingend.

4. Pflichten für die Geschäftsleitung

Die Geschäftsführung trägt künftig persönliche Verantwortung für die Umsetzung und Überwachung der Maßnahmen.
Sie muss: Risikomanagement-Maßnahmen freigeben und kontrollieren, regelmäßig an Cybersicherheits-Schulungen teilnehmen und bei Verstößen mit persönlicher Haftung rechnen.

5. Neue Meldepflichten

Mit NIS2 wird das bisherige einstufige Meldesystem vollständig durch ein dreistufiges Verfahren ersetzt. Für jeden „erheblichen Sicherheitsvorfall“ müssen Unternehmen künftig sehr schnell reagieren: Innerhalb von 24 Stunden ist eine erste Kurzmeldung abzugeben, gefolgt von einem vertieften Bericht innerhalb der nächsten 72 Stunden. Spätestens nach einem Monat muss ein ausführlicher Abschlussbericht vorliegen, der den Vorfall, die Auswirkungen und die ergriffenen Maßnahmen dokumentiert. Dieses gestufte Verfahren soll sicherstellen, dass Behörden frühzeitig informiert werden und Unternehmen gleichzeitig ausreichend Zeit haben, die Details strukturiert aufzuarbeiten.

6. Mehr Befugnisse für das BSI

Mit dem NIS-2-Umsetzungsgesetz erhält das BSI deutlich mehr Möglichkeiten, die Einhaltung der Sicherheitsanforderungen zu überprüfen. Dazu gehören unter anderem behördliche Anordnungen, stichprobenartige oder anlassbezogene Prüfungen sowie die Verpflichtung, konkrete Nachweise zur Umsetzung der Maßnahmen vorzulegen. Bei Verstößen kann das BSI zudem Bußgeldverfahren einleiten. Ziel dieser erweiterten Befugnisse ist es, die Cybersicherheit in Unternehmen verlässlich durchzusetzen und ein einheitliches Schutzniveau zu gewährleisten.

7. Verschärfte Bußgelder

Die Höhe der Bußgelder orientiert sich am weltweiten Konzernumsatz:

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des Umsatzes

  • Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des Umsatzes

Auch verspätete Meldungen und unzureichende Sicherheitsmaßnahmen können sanktioniert werden.

 

IT-Checkliste: So werden Sie NIS-2-konform

  • Prozesse & Verantwortlichkeiten definieren: Wer ist verantwortlich? Wie wird gemeldet? Wie reagiert Ihr Unternehmen im Ernstfall? Wie werden Entscheidungen dokumentiert?

  • Sicherheitsstatus analysieren (Pflicht: Risikoanalyse): Welche Systeme sind kritisch? Wie ist der aktuelle Schutz?  Wo gibt es Schwachstellen?

  • IT-Sicherheitsmaßnahmen auf Mindestniveau bringen: Patch-Management, Netzwerksegmentierung, Notfallkonzepte, Backup-Strategien, Multi-Faktor-Authentifizierung, Zugriffskontrollen Monitoring & Logging, Verschlüsselung.

  • Mitarbeitende schulen: Phishing, Passwortsicherheit, Umgang mit Systemen, Rollenverständnis.

  • Notfallplan erstellen und testen: Die Reaktionszeit auf einen Cyberangriff entscheidet. NIS2 fordert klare Abläufe, Zuständigkeiten und Testverfahren.

  • Meldepflichten vorbereiten: Erstmeldung innerhalb von 24 Stunden – Folgebericht nach 72 Stunden – Abschlussbericht innerhalb eines Monats. Unternehmen brauchen dafür klare Abläufe und technische Nachweise.

vectano NIS 2 Checkliste fuer Unternehmen
 

Unsere NIS-2-Lösungen: Bausteine für sichere IT

Technische Services & Produkte für Ihre NIS-2-Kompatibilität

Managed Services



Umfassende Pflege Ihrer IT-Belange.
Von der Aktualisierung Ihrer Betriebssysteme über die Abwehr von Cyberangriffen bis hin zur Überwachung des Systembetriebs.

Zu unseren Services

Disaster Recovery Test (SDRT)

Ausführliche Prüfung Ihrer IT-Systeme, um sicherzustellen, dass Ihre Geschäftsabläufe im Falle eines Stromausfalls oder anderen Katastrophenfällen nahtlos fortgesetzt werden können.

SDRT buchen

E-Mail-Sicherheitstraining

Sensibilisierung Ihres Teams für Phishing-Mails durch maßgeschneiderte KI-gesteuerte Simulationen und Sicherheits-Trainings, um Betrugsversuche sofort zu erkennen.

Mehr erfahren

Passwortmanager für Unternehmen

Passwörter werden sicher und zentral online gespeichert, geteilt und verwaltet – ohne Excel, ohne Post-its, ohne Risiko. Mit einem Master-Passwort können Sie auf alle Logins zugreifen.

Zum Passwortmanager

IT-Notfallplan als Managed Service

Wir erstellen klare Abläufe, Zuständigkeiten, Kommunikationswege und Reaktionspläne – und vermeiden so Ausfallzeiten und Reputationsverlust.

Notfallpläne buchen

CyberRisikoCheck (nach BSI-Standard)

Analyse Ihrer IT-Sicherheit und Aufzeigen von Maßnahmen für höheren Schutz. So erstellen wir einen Plan für Ihre Bedürfnisse und Prioritäten.

Mehr erfahren

Microsoft 365 Best Practice Training

Das Mitarbeiter-Training bietet Ihnen einen Überblick über Microsoft 365 und fördert die Zusammenarbeit sowie die Digitalisierung Ihrer Geschäftsprozesse.

Training buchen

Sind Sie von NIS2 betroffen?

Wir prüfen kostenlos Ihre Situation, erklären Ihre Pflichten und zeigen, wie Ihr Unternehmen für die Umsetzung 2026 rechtzeitig konform wird. 

Beratung vereinbaren

NIS2 stärkt Unternehmen dort, wo sie am verwundbarsten sind. Die neuen Standards schaffen mehr Sicherheit, klare Abläufe und eine widerstandsfähige IT – und sind damit vor allem eines: eine Investition in die Zukunft.“

NIS2 Vorschlag 1

Was ändert sich für Unternehmen konkret?

  • mehr Unternehmen und Branchen fallen künftig unter die Mindeststandards für Cybersicherheit
  • die Sicherheitsanforderungen für IT, Prozesse und Lieferketten werden klarer und verbindlicher
  • Meldepflichten sorgen für mehr Transparenz und ermöglichen schnellere Reaktionen im Ernstfall
  • bei Verstößen greifen strengere Sanktionen, um die Einhaltung der Vorgaben zu sichern
  • die Zusammenarbeit zwischen den EU-Mitgliedstaaten wird gestärkt
  • kritische und wichtige Einrichtungen unterliegen stärkerer Kontrolle, um Ausfälle besser zu verhindern
  • das BSI erhält mehr Befugnisse, um Risiken frühzeitig zu identifizieren und gezielt gegenzusteuern
  • Die meisten Unternehmen starten nicht bei null. Oft reichen überschaubare Anpassungen, um die neuen Anforderungen zuverlässig zu erfüllen.

Häufig gestellte Fragen

Nicht die passende Antwort dabei? Dann kontaktieren Sie uns einfach über dieses Formular.

Bis wann muss ich NIS-2 im Unternehmen umsetzen?

Der Deutsche Bundestag hat das NIS-2-Umsetzungsgesetz am 13. November 2025 beschlossen. Als Nächstes befasst sich der Bundesrat damit, größere Änderungen werden aktuell nicht erwartet. Das Gesetz tritt unmittelbar mit Veröffentlichung im Bundesgesetzblatt in Kraft – Übergangsfristen sind nicht vorgesehen.
Mit dem Inkrafttreten ist spätestens Anfang 2026 zu rechnen.
Das bedeutet: Unternehmen sollten spätestens jetzt mit der Vorbereitung starten – wer wartet, bis alles „final“ ist, verliert wertvolle Zeit und kommt schnell unter Druck.

 

Wie finde ich heraus, ob mein Unternehmen von NIS-2 betroffen ist?

NIS2 betrifft deutlich mehr Unternehmen als bisher – nicht nur klassische Kritische Infrastrukturen. Grob gesagt sind Sie wahrscheinlich betroffen, wenn:

  • Ihr Unternehmen zu einem der im Gesetz genannten Sektoren gehört (z. B. Energie, Verkehr, Gesundheit, Produktion, IT-Dienstleistungen, digitale Infrastruktur, Entsorgung, Lebensmittel, Logistik, Datenverarbeitung, Managed Services)

  • und Sie mindestens ein „mittleres Unternehmen“ sind: mehr als 50 Mitarbeitende oder mehr als 10 Mio. € Umsatz/Bilanzsumme

Zusätzlich gibt es Bereiche, die unabhängig von der Größe erfasst sind (z. B. bestimmte digitale Dienste und Telekommunikationsanbieter).
Im Zweifel gilt: lieber einmal sauber von uns prüfen lassen, als das Risiko einzugehen, „unbewusst“ in den Anwendungsbereich zu fallen.

Was muss ich als Unternehmen konkret tun, um NIS-2-konform zu sein?

NIS2 verlangt sowohl technische als auch organisatorische Maßnahmen. In der Praxis umfasst das vor allem:

  • Rollen und Verantwortlichkeiten definieren

  • eine Risikobewertung der IT und kritischen Prozesse

  • ein kontinuierliches Risikomanagement mit klaren Maßnahmen

  • definierte Notfall- und Wiederanlaufpläne (inkl. Backup-Strategie & Disaster Recovery Tests)

  • Zugriffskonzepte und starke Authentifizierung (z. B. MFA)

  • Prozesse zur Behandlung von Sicherheitsvorfällen

  • Schulungen der Geschäftsleitung und Mitarbeitenden

  • klare Meldewege und -prozesse bei Sicherheitsvorfällen

  • regelmäßige Wirksamkeitsprüfungen der Maßnahmen

Kurz gesagt: Es geht nicht um ein einzelnes Produkt, sondern um ein strukturiertes Sicherheitsniveau.

Wie gehe ich als Unternehmen Schritt für Schritt bei der Umsetzung von NIS-2 vor?

Schritt 1: Betroffenheit klären & registrieren
Analysieren Sie, ob Sie nach Branche und Unternehmensgröße unter das neue BSIG n. F. fallen. Wenn ja, bereiten Sie die Registrierung bei der gemeinsamen Meldestelle von BSI und BBK vor und legen Sie eine interne Kontaktstelle fest. Dieser Schritt ist verpflichtend und muss innerhalb von drei Monaten erfolgen.

Schritt 2: Gap-Analyse durchführen
Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den neuen gesetzlichen Vorgaben. Wichtige Bereiche sind u. a.: Risikomanagement, Incident Response, Business Continuity, Patch- und Schwachstellenmanagement, Berechtigungsmanagement, sichere Softwareentwicklung, Kryptografie, Lieferkettensicherheit sowie Schulungen und Kontrollmechanismen.

Schritt 3: Fehlende Maßnahmen priorisieren & implementieren
Starten Sie mit der Umsetzung der Maßnahmen, die für Ihr Risikoprofil relevant sind. Dazu gehören typischerweise:

  • Aufbau oder Weiterentwicklung eines formalen Informationssicherheitsmanagementsystems (z. B. ISO/IEC 27001 oder BSI-Grundschutz)

  • Etablierung klarer Meldewege, inkl. 24/7-Erreichbarkeit, Meldevorlagen und Zuständigkeiten

  • Aktualisierung und Test von Notfall- und Krisenplänen, inklusive regelmäßiger Übungen und Penetrationstests

  • Einführung oder Ausbau eines Drittrisikomanagements und vertraglicher Sicherheitsanforderungen an Lieferanten

  • Schulung der Geschäftsleitung sowie regelmäßiges Reporting und Wirksamkeitskontrollen

Da NIS2 die Geschäftsleitung ausdrücklich in die Verantwortung nimmt, müssen Management-Schulungen, klare Verantwortlichkeiten und Nachweispflichten ebenfalls frühzeitig umgesetzt werden – insbesondere für „besonders wichtige Einrichtungen“.

Was passiert, wenn ich NIS-2 nicht umsetze?

Bei Verstößen gegen NIS2 drohen:

  • Bußgelder, die sich am weltweiten Konzernumsatz orientieren (bis zu 10 Mio. € oder 2 % des Umsatzes bei besonders wichtigen Einrichtungen, bis zu 7 Mio. € oder 1,4 % bei wichtigen Einrichtungen)

  • Anordnungen, zusätzliche Prüfungen und Aufsichtsmaßnahmen durch das BSI

  • persönliche Haftungsrisiken für die Geschäftsleitung, wenn Pflichten nicht erfüllt oder überwacht werden

  • Reputationsschäden nach Sicherheitsvorfällen, insbesondere bei verspäteten oder unvollständigen Meldungen

Wichtig ist aber: NIS2 soll nicht nur „bestrafen“, sondern Unternehmen dazu bringen, sich besser zu schützen – vor Schäden, die in vielen Fällen weit teurer sind als jede Maßnahme.

Kontakt aufnehmen