Compliance 12 min Lesezeit 4. April 2026 IT Compliance Jobs

NIS2-Richtlinie in Deutschland: Pflichten, Bußgelder und Umsetzung 2026

Die NIS2-Richtlinie ist die weitreichendste Cybersicherheitsregulierung, die die Europäische Union je verabschiedet hat. Für tausende deutsche Unternehmen bedeutet sie neue Pflichten, strenge Meldefristen und empfindliche Bußgelder. Wer bislang dachte, IT-Sicherheit sei nur ein Thema für Kritische Infrastrukturen, muss umdenken.

Dieser Artikel erklärt, was NIS2 konkret bedeutet, welche Einrichtungen betroffen sind und wie Sie Ihr Unternehmen rechtzeitig vorbereiten. Auf der Suche nach Fachpersonal? Sehen Sie sich unsere Security-Stellenangebote an.

Was ist die NIS2-Richtlinie?

NIS2 steht für die zweite Fassung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive). Sie wurde im Dezember 2022 von der EU verabschiedet und löst die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 ab. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der gesamten Europäischen Union.

Der Grund für die Verschärfung liegt auf der Hand: Die Zahl und Schwere von Cyberangriffen ist in den letzten Jahren dramatisch gestiegen. Ransomware-Attacken auf Krankenhäuser, Lieferketten und kommunale Verwaltungen haben gezeigt, dass die bisherigen Regelungen nicht ausreichten. NIS2 erweitert den Geltungsbereich erheblich, vereinheitlicht die Anforderungen und verankert eine persönliche Verantwortung der Geschäftsleitung.

NIS2UmsuCG: Die Umsetzung in Deutschland

Als EU-Richtlinie ist NIS2 nicht unmittelbar anwendbar, sondern muss von den Mitgliedstaaten in nationales Recht überführt werden. In Deutschland geschieht dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG. Es ändert insbesondere das BSI-Gesetz und weitet die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus.

Das deutsche Gesetzgebungsverfahren hat sich verzögert, doch betroffene Unternehmen sollten nicht auf das Inkrafttreten warten. Die inhaltlichen Anforderungen stehen fest, und der Aufbau eines angemessenen Sicherheitsniveaus dauert Monate. Wer früh beginnt, vermeidet Hektik und Compliance-Lücken.

Betroffene Einrichtungen: wesentlich vs. wichtig

NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen, die unterschiedlich streng beaufsichtigt werden.

KategorieKriterienBeispiele
Wesentliche EinrichtungenGroßunternehmen (ab 250 Mitarbeiter oder 50 Mio. Euro Umsatz) in besonders kritischen SektorenEnergie, Gesundheit, Trinkwasser, digitale Infrastruktur, Finanzwesen
Wichtige EinrichtungenMittlere Unternehmen (ab 50 Mitarbeiter oder 10 Mio. Euro Umsatz) in kritischen SektorenPost- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau

Insgesamt erfasst NIS2 18 Sektoren. Schätzungen zufolge sind in Deutschland bis zu 30.000 Unternehmen betroffen, ein Vielfaches der bisher unter der KRITIS-Regulierung erfassten Einrichtungen. Wichtig: Auch Unternehmen, die selbst nicht direkt betroffen sind, geraten oft über die Lieferkette in den Geltungsbereich, weil ihre Kunden entsprechende Nachweise verlangen.

Die zehn Sicherheitsmaßnahmen nach NIS2

NIS2 verlangt von betroffenen Einrichtungen ein Risikomanagement, das mindestens zehn Bereiche abdeckt. Diese Mindestmaßnahmen sind verpflichtend:

  1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen (Incident Management)
  3. Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement
  4. Sicherheit der Lieferkette, einschließlich Beziehungen zu Dienstleistern
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
  6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  7. Cyberhygiene und Schulungen für Mitarbeiter
  8. Kryptografie und Verschlüsselung
  9. Personalsicherheit, Zugriffskontrolle und Asset-Management
  10. Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Diese Anforderungen lehnen sich stark an etablierte Standards wie ISO 27001 und den BSI-Grundschutz an. Unternehmen, die bereits ein Informationssicherheits-Managementsystem (ISMS) betreiben, haben einen klaren Startvorteil.

Meldepflichten: Das 24-72-Stunden-Modell

Eine der größten Neuerungen sind die strengen Meldefristen für erhebliche Sicherheitsvorfälle. Betroffene Einrichtungen müssen ein dreistufiges Meldeverfahren beim BSI durchlaufen:

FristMeldungInhalt
24 StundenFrühwarnungErste Information über den Vorfall, Verdacht auf rechtswidrige Handlung
72 StundenVorfallsmeldungBewertung von Schwere, Auswirkungen und Indikatoren
1 MonatAbschlussberichtDetaillierte Beschreibung, Ursachen und ergriffene Maßnahmen

Diese kurzen Fristen erfordern vorbereitete Prozesse. Ein Unternehmen, das erst im Ernstfall überlegt, wer was meldet, wird die 24-Stunden-Frist kaum einhalten können. Ein durchdachter Incident-Response-Plan ist daher unverzichtbar.

Haftung der Geschäftsleitung

NIS2 rückt die Verantwortung erstmals direkt an die Spitze des Unternehmens. Die Geschäftsleitung — also Geschäftsführer und Vorstände — muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und kann bei Verstößen persönlich haftbar gemacht werden.

Zusätzlich besteht eine Schulungspflicht: Führungskräfte müssen regelmäßig an Cybersicherheitsschulungen teilnehmen, um Risiken bewerten zu können. Diese persönliche Verantwortung sorgt dafür, dass IT-Sicherheit zur Chefsache wird und nicht länger an die IT-Abteilung delegiert werden kann. Das erhöht den Bedarf an erfahrenen Sicherheitsführungskräften — mehr dazu in unserem Artikel zum CISO-Gehalt in Deutschland.

Bußgelder bei Verstößen

NIS2 sieht abschreckende Sanktionen vor, die sich an der Logik der DSGVO orientieren. Die Höhe richtet sich nach der Kategorie der Einrichtung:

KategorieMaximales Bußgeld
Wesentliche Einrichtungenbis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungenbis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes

Maßgeblich ist jeweils der höhere Betrag. Neben Geldbußen kann das BSI weitere Maßnahmen anordnen, etwa die Bestellung eines Überwachungsbeauftragten oder — in extremen Fällen — ein vorübergehendes Tätigkeitsverbot für Leitungspersonen.

Das BSI als Aufsichtsbehörde

Das Bundesamt für Sicherheit in der Informationstechnik ist die zentrale Aufsichts- und Meldebehörde für NIS2 in Deutschland. Das BSI nimmt Vorfallsmeldungen entgegen, kann Audits und Sicherheitsprüfungen anordnen, gibt Warnungen heraus und verhängt Bußgelder. Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht, während wichtige Einrichtungen reaktiv, also anlassbezogen, geprüft werden.

So bereiten Sie Ihr Unternehmen vor

Der Weg zur NIS2-Compliance lässt sich in klare Schritte gliedern:

  • Betroffenheit prüfen: Stellen Sie fest, ob und als welche Kategorie Ihr Unternehmen erfasst wird.
  • Gap-Analyse: Vergleichen Sie den Ist-Zustand mit den zehn Mindestmaßnahmen.
  • ISMS aufbauen: Etablieren Sie ein Managementsystem, idealerweise nach ISO 27001 oder BSI-Grundschutz.
  • Incident-Response-Plan erstellen: Definieren Sie Prozesse, um die Meldefristen einzuhalten.
  • Lieferkette absichern: Bewerten Sie die Sicherheit Ihrer Dienstleister und Zulieferer.
  • Geschäftsleitung einbinden: Schulen Sie die Führungsebene und dokumentieren Sie Freigaben.

Viele Unternehmen stocken dafür ihr Sicherheitsteam auf. Die Nachfrage nach Fachkräften ist hoch — einen Überblick über den Arbeitsmarkt gibt unser Beitrag zu Cybersecurity-Stellenangeboten in Deutschland.

Verstärken Sie Ihr Team für NIS2-Compliance

NIS2 treibt die Nachfrage nach Security- und Compliance-Fachkräften in die Höhe. Finden Sie qualifizierte Kandidaten oder Ihre nächste Position in unserem Stellenangebot.

Security-Stellenangebote ansehen

Häufig gestellte Fragen zur NIS2-Richtlinie

Was ist die NIS2-Richtlinie?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit. Sie löst die ursprüngliche NIS-Richtlinie ab und erweitert den Kreis der betroffenen Unternehmen erheblich. In Deutschland wird sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Welche Unternehmen sind von NIS2 in Deutschland betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in 18 kritischen Sektoren, darunter Energie, Gesundheit, Transport, Banken, digitale Infrastruktur und Verwaltung. Schätzungen gehen von bis zu 30.000 betroffenen Einrichtungen in Deutschland aus.

Wie hoch sind die Bußgelder bei NIS2-Verstoß?

Bei wesentlichen Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Bei wichtigen Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes.

Haftet die Geschäftsleitung persönlich unter NIS2?

Ja. NIS2 sieht eine persönliche Verantwortung der Geschäftsleitung vor. Geschäftsführer und Vorstände müssen Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und an Schulungen teilnehmen. Bei Verstößen können sie persönlich haftbar gemacht werden.

Welche Meldepflichten gelten unter NIS2?

Betroffene Einrichtungen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung an das BSI melden. Eine ausführlichere Meldung folgt innerhalb von 72 Stunden, ein Abschlussbericht innerhalb eines Monats.

Wer ist die Aufsichtsbehörde für NIS2 in Deutschland?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichtsbehörde. Es nimmt Meldungen entgegen, führt Prüfungen durch und kann bei Verstößen Bußgelder verhängen.

Verwandte Artikel

Karriere

CISO Gehalt in Deutschland: Was verdient ein Chief Information Security Officer 2026?

9 min Lesezeit

 Cybersecurity

Cybersecurity Stellenangebote in Deutschland: Der Arbeitsmarkt 2026

9 min Lesezeit

 IT Security

Was macht ein CISO? Aufgaben und Verantwortlichkeiten des Chief Information Security Officer

10 min Lesezeit