NIS-2 — Sind Sie betroffen? Und was bedeutet das für Sie als Geschäftsführer?
29.500 betroffene Unternehmen. Nur 39 % registriert. Keine Übergangsfristen.
Was Sie wissen müssen — bevor wir über Maßnahmen sprechen
Das NIS2UmsuCG gilt seit dem 6. Dezember 2025 — ohne Übergangsfristen. Wer seit diesem Datum betroffen ist und noch nicht gehandelt hat, ist bereits in der Haftung.
„Sie können die Verantwortung nicht delegieren."
Das Gesetz verpflichtet die Geschäftsleitung persönlich — nicht die IT-Abteilung, nicht den Dienstleister. Sie müssen die Maßnahmen billigen, überwachen und sich schulen lassen. (§38 BSIG)
„Die Bußgelder sind nicht theoretisch."
Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — für jeden einzelnen Verstoß. Fehlende Dokumentation, versäumte Meldung, nicht umgesetzte Maßnahmen sind jeweils eigene Tatbestände.
„Wenn etwas passiert, haben Sie 24 Stunden."
Bei einem erheblichen Sicherheitsvorfall muss Ihre Einrichtung innerhalb von 24 Stunden eine Erstmeldung an das BSI senden. Wer das nicht vorbereitet hat, wird im Ernstfall scheitern.
„Ihre Versicherung zahlt nicht unbedingt."
Wenn Sie Ihre Pflichten nach §38 BSIG schuldhaft verletzt haben, kann das Unternehmen gesellschaftsrechtlich Regress gegen Sie persönlich nehmen. D&O-Versicherungen haben häufig Ausschlussklauseln für grobe Pflichtverletzungen.
Ca. 29.500 Unternehmen in Deutschland sind betroffen — aber nur rund 39 % hatten sich bis zur Registrierungsfrist (06.03.2026) beim BSI registriert.
Schritt 1 — Branche
| Sektor | Typ |
|---|---|
| Energie (Strom, Gas, Fernwärme) | Besonders wichtig |
| Transport / Verkehr | Besonders wichtig |
| Gesundheit / Pharma | Besonders wichtig |
| Trinkwasser / Abwasser | Besonders wichtig |
| Digitale Infrastruktur / Cloud / RZ | Besonders wichtig |
| Finanzwesen / Banken | Besonders wichtig |
| Post / Kurier | Wichtig |
| Chemie / Lebensmittel / Maschinenbau | Wichtig |
| Digitale Dienste (Marktplätze etc.) | Wichtig |
Schritt 2 — Größe
Wichtige Einrichtung
≥ 50 Mitarbeitende oder > 10 Mio. € Umsatz
Besonders wichtige Einrichtung
≥ 250 Mitarbeitende oder > 50 Mio. € Umsatz
⚠️ Achtung Konzernverbund
Töchter, Muttergesellschaften, Beteiligungen ab 25 % müssen mitgezählt werden — auch ausländische. Ein 30-Personen-Tochterunternehmen kann durch eine große Muttergesellschaft NIS-2-pflichtig werden.
Wenn beides zutrifft:
Sie sind wahrscheinlich betroffen. Das BSI bietet keinen Einzelfall-Check — die Prüfung liegt bei Ihnen.
Betroffenheitsanalyse anfragen| # | Maßnahme | Frist | Bußgeld bei Versäumnis |
|---|---|---|---|
| 1 | Registrierung im BSI-Portal (meine.bsi.de) | 3 Monate nach Betroffenheitsfeststellung | bis 500.000 € |
| 2 | Kontaktstelle benennen (24/7 erreichbar) | Mit Registrierung | 100.000 € |
| 3 | Risikoanalyse dokumentieren | So schnell wie möglich | Basis für alles Weitere |
| 4 | §30-Maßnahmen umsetzen (alle 13 TOMs) | Sofort — keine Übergangsfrist | bis 10 Mio. € / 2 % Umsatz |
Wenn Sie bereits nach ISO 27001 zertifiziert sind: Das ist eine sehr gute Basis — aber nicht ausreichend für vollständige NIS-2-Compliance. ISO 27001 deckt ca. 70–80 % der NIS-2-TOMs ab.
Was noch fehlt:
- ✕BSI-Registrierung (meine.bsi.de) — kein ISO-Äquivalent, muss separat erledigt werden
- ✕24h/72h-Meldepflicht — ISO 27001 schreibt keine Fristen vor; NIS-2 ist strenger
- ✕GF-Schulungspflicht (§38 Abs. 3 BSIG) — ISO kennt Management-Commitment, aber keine persönliche Schulungspflicht
- ✕Nachweisregime — Ein ISO-Zertifikat allein ist kein NIS-2-Nachweis
- 1Betroffenheitsanalyse
Sind Sie betroffen? Welcher Einrichtungstyp? Welche Anforderungen konkret?
- 2Sofortmaßnahmen
BSI-Registrierung, Kontaktstelle, erste Dokumentation
- 3Maßnahmenplan
Alle 13 TOMs priorisiert und auf Ihr Unternehmen zugeschnitten
- 4Umsetzungsbegleitung
Aufbau der notwendigen Strukturen und Dokumentation
- 5Management-Briefing
Ihre Leitungsebene kennt ihre Pflichten nach §38 BSIG
- 6Nachweisführung
Vorbereitung auf behördliche Überprüfungen
29.500 betroffene Unternehmen.
39 % registriert.
Keine Schonfrist.
Erstgespräch zur NIS-2-Betroffenheitsanalyse vereinbaren