NIS-2-Umsetzungsgesetz in Deutschland: Betroffenheit, Pflichten, Business Continuity Management

Mit NIS-2 macht die EU Cybersicherheit zur Gemeinschaftsaufgabe. Seit 6. Dezember 2025 ist das deutsche NIS-2-Umsetzungsgesetz in Kraft. Was Unternehmen, Behörden und andere Einrichtungen jetzt über ihre Betroffenheit, ihre Pflichten und die Rolle von Business Continuity Management wissen müssen.

Entscheidungsverkündung mit einem Richterhammer

Was ist NIS-2? Was bringt das NIS-2-Umsetzungsgesetz in Deutschland?

Die NIS-2-Richtlinie ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie verpflichtet deutlich mehr Organisationen als zuvor dazu, ihre IT- und Informationssicherheit systematisch zu verbessern und Cybervorfälle zu melden. Zudem macht sie Cybersicherheit zur Pflichtaufgabe auf Management-Ebene und ergänzt bestehende Anforderungen wie DSGVO, ISO-Standards oder BSI-Vorgaben – mit deutlich schärferen Sanktionen bei Verstößen.

Seit 2023 gilt NIS-2 auf EU-Ebene als verbindlicher Rechtsakt der Europäischen Union. Die Umsetzung in nationales Recht erfolgt in den Mitgliedstaaten – in Deutschland über das NIS-2-Umsetzungsgesetz (NIS-2-UmsuCG). Am 6. Dezember 2025 trat das Gesetz in Kraft. Es gibt keine allgemeine Übergangsfrist, d. h. betroffene Einrichtungen und Unternehmen müssen ihre Pflichten sofort nach Inkrafttreten erfüllen.

NIS-2-Betroffenheit prüfen: Diese Organisationen müssen handeln

In Deutschland sind geschätzt 29.500 neue wichtige Einrichtungen (wE) bzw. besonders wichtige Einrichtungen (bwE) betroffen. Entscheidend über die Betroffenheit sind die Zugehörigkeit zu bestimmten Sektoren sowie Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme.

Unter die betroffenen Organisationen fallen:

KRITIS (automatisch als bwE eingestuft)
natürliche oder
juristische Personen oder
rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft,
die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten und
die einem der betroffenen Sektoren zuzuordnen sind und
die mindestens 50 (wE) bzw. mindestens 250 Mitarbeitende (bwE) beschäftigen oder
einen Jahresumsatz von über 10 (wE) bzw. 50 (bwE) Millionen Euro und
eine Jahresbilanzsumme von über 10 (wE) bzw. 43 (bwE) Millionen Euro aufweisen.

Zu den betroffenen Sektoren gehören Energie, Verkehr, Bank- und Gesundheitswesen, digitale und Finanzmarktinfrastruktur, Trink- und Abwasser, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Weltraum. Betroffen sind auch Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe und Herstellung von Waren, Anbieter digitaler Dienste und Forschung.

NIS-2-Pflichten: Registrierung, Risikomanagement und Meldepflicht

Betroffene Einrichtungen stehen vor umfassenden neuen Anforderungen. Die wichtigsten Pflichten des deutschen NIS-2-Umsetzungsgesetzes im Überblick:

Registrierungspflicht

Wichtige und besonders wichtige Einrichtungen sind dazu verpflichtet, sich nach spätestens drei Monaten bei der Registrierungsstelle zu registrieren, nachdem sie erstmals oder erneut von NIS-2 betroffen sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland die Aufsichtsbehörde der betroffenen Organisationen.

Risikomanagement

Gemäß § 30 BSIG‑neu (BSI-Gesetz) müssen betroffene Organisationen geeignete, wirksame und verhältnismäßige Risikomanagementmaßnahmen implementieren und dokumentieren. Mithilfe des Risikomanagements sollen Störungen vermieden und die Auswirkungen von Sicherheitsvorfällen minimiert werden. Ein zentraler Faktor für von NIS-2-betroffene Organisationen ist die Verbesserung der Cybersicherheit inkl. Incident Management und Business Continuity Managment.

Meldepflicht

Dem BSI gemeldet werden müssen etwa schwerwiegende Betriebsstörungen oder Sicherheitsvorfälle, die zu erheblichen materiellen oder immateriellen Schäden für Dritte führen können. Dafür gibt es einen festgelegten Meldeprozess.

Was droht bei NIS-2-Verstößen?

Bei Verstößen gegen das NIS-2-Umsetzungsgesetz drohen betroffenen Einrichtungen empfindliche Sanktionen, die deutlich über frühere Regelungen hinausgehen. Als Verstöße gelten u. a. fehlendes Risikomanagement, mangelnde Sicherheitsmaßnahmen oder nicht erfüllte Meldepflichten – also nicht nur Sicherheitslücken, sondern auch organisatorische Verfehlungen. Die Höhe der Bußgelder hängt davon ab, ob es sich um wichtige oder besonders wichtige Einrichtungen handelt. Sie können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Daneben drohen Anordnungen, Zwangsmaßnahmen und Reputationsschäden.

Im § 38 BSIG‑neu werden Geschäftsleitungen ausdrücklich zur Umsetzung und Überwachung der Risikomanagementmaßnahmen verpflichtet, zudem unterliegen sie einer regelmäßigen Schulungspflicht. Geschäftsleitungen haften persönlich, wenn sie ihre Umsetzungs- und Überwachungspflichten verletzen.

Business Continuity Management: Pflicht und Erfolgsfaktor für NIS-2-Compliance

NIS-2 zielt auf Resilienz von Organisationen ab: Sie müssen auch bei Cyberangriffen, IT-Ausfällen oder Krisen handlungsfähig bleiben. Da NIS-2 die Aufrechterhaltung kritischer Geschäftsprozesse erfordert, spielt Business Continuity Management (BCM) eine zentrale Rolle bei der Erfüllung des NIS-2-Umsetzungsgesetzes.

Für den Notfall sind konkrete Maßnahmen festzulegen und zu dokumentieren, um in Krisensituationen sofort reagieren zu können. Vor dem Hintergrund zunehmender Cyberangriffe ist für eine kontinuierliche Handlungsfähigkeit eines zentral: in Teams weiterhin kommunizieren und zusammenarbeiten zu können. EVAC von mailbox bietet eine verlässliche sekundäre Kommunikations-Infrastruktur, wenn primäre Systeme ausfallen.