NIS-2 – Sind Sie betroffen? Und was bedeutet das für Sie als Geschäftsführer?
Das Gesetz gilt seit dem 6. Dezember 2025 – ohne Übergangsfristen. Und die Leitungsebene haftet persönlich.
🚨 §38 BSIG – Was viele Geschäftsführer noch nicht kennen
NIS-2 macht den Geschäftsführer direkt verantwortlich – für die Umsetzung und für die Konsequenzen.
Nicht die IT. Nicht der externe Dienstleister. Sie.
Bußgelder bis 10 Mio. € oder 2 % Jahresumsatz – und das Gesetz gilt seit dem 6. Dezember 2025, ohne Schonfrist.
Ca. 29.500 Unternehmen in Deutschland sind betroffen – aber nur rund 39 % hatten sich bis zur Registrierungsfrist (06.03.2026) beim BSI registriert.
🏢 Schritt 1 – Branche
| Sektor | Typ |
|---|---|
| Energie (Strom, Gas, Fernwärme) | Besonders wichtig |
| Transport / Verkehr | Besonders wichtig |
| Gesundheit / Pharma | Besonders wichtig |
| Trinkwasser / Abwasser | Besonders wichtig |
| Digitale Infrastruktur / Cloud / RZ | Besonders wichtig |
| Finanzwesen / Banken | Besonders wichtig |
| Post / Kurier | Wichtig |
| Chemie / Lebensmittel / Maschinenbau | Wichtig |
| Digitale Dienste (Marktplätze etc.) | Wichtig |
📏 Schritt 2 – Größe
Wichtige Einrichtung
≥ 50 Mitarbeitende oder > 10 Mio. € Umsatz
Besonders wichtige Einrichtung
≥ 250 Mitarbeitende oder > 50 Mio. € Umsatz
⚠️ Achtung Konzernverbund
Töchter, Muttergesellschaften, Beteiligungen ab 25 % müssen mitgezählt werden – auch ausländische.
| # | Maßnahme | Frist | Bußgeld bei Versäumnis |
|---|---|---|---|
| 1 | Registrierung im BSI-Portal (bsi.bund.de) | 3 Monate nach Betroffenheitsfeststellung | bis 500.000 € |
| 2 | Kontaktstelle benennen (24/7 erreichbar) | Mit Registrierung | 100.000 € |
| 3 | Risikoanalyse dokumentieren | So schnell wie möglich | Basis für alles Weitere |
| 4 | §30-Maßnahmen umsetzen (alle 13 TOMs) | Sofort – keine Übergangsfrist | bis 10 Mio. € / 2 % Umsatz |
📄 ISO 27001 – reicht das?
Wenn Sie bereits nach ISO 27001 zertifiziert sind: Das ist eine sehr gute Basis – aber nicht ausreichend für vollständige NIS-2-Compliance. ISO 27001 deckt ca. 70–80 % der NIS-2-TOMs ab.
- ✕
BSI-Registrierung (bsi.bund.de) – kein ISO-Äquivalent, muss separat erledigt werden
- ✕
24h/72h-Meldepflicht – ISO 27001 kennt keine Fristen; NIS-2 ist strenger
- ✕
GF-Schulungspflicht (§38 Abs. 3 BSIG) – persönliche Pflicht der Geschäftsleitung
- ✕
Nachweisregime – ISO-Zertifikat allein ist kein NIS-2-Nachweis
🚀 Wie ich helfe – in 6 Schritten
- 1
Betroffenheitsanalyse
Sind Sie betroffen? Welcher Einrichtungstyp? Welche Anforderungen konkret?
- 2
Sofortmaßnahmen
BSI-Registrierung, Kontaktstelle, erste Dokumentation
- 3
Maßnahmenplan
Alle 13 TOMs priorisiert und auf Ihr Unternehmen zugeschnitten
- 4
Umsetzungsbegleitung
Aufbau der notwendigen Strukturen und Dokumentation
- 5
Management-Briefing
Ihre Leitungsebene kennt ihre Pflichten nach §38 BSIG
- 6
Nachweisführung
Vorbereitung auf behördliche Überprüfungen
29.500 betroffene Unternehmen.
39 % registriert.
Keine Schonfrist.