NIS2 Compliance FAQ – Was deutsche Unternehmen jetzt wissen müssen
Was ist NIS2? (Kurzdefinition)
NIS2 steht für "Network and Information Security Directive 2" – die zweite Generation der EU-Richtlinie für Cybersicherheit. Sie ersetzte 2023 die NIS1-Richtlinie von 2016 und gilt seit dem 6. Dezember 2025 als deutsches Gesetz (NIS2UmsuCG), eingebettet in das reformierte BSI-Gesetz (BSIG).
Der Kern: Cybersicherheit wird Chefsache. Technische und organisatorische Schutzmaßnahmen, verbindliche Meldepflichten und Lieferkettensicherheit sind keine Empfehlungen mehr, sondern Gesetz.
Bin ich betroffen?
Betroffen sind Unternehmen, die kumulativ folgende Voraussetzungen erfüllen:
-
Mitarbeiterzahl: Mindestens 50 Vollzeitäquivalente
-
Jahresumsatz ODER Jahresbilanzsumme: Mindestens 10 Millionen Euro
-
Sektor: Tätig in einem der 18 regulierten Sektoren (siehe unten)
Die 18 regulierten Sektoren im Überblick:
Tipp:
Das BSI stellt einen kostenlosen Online-Betroffenheitscheck unter bsi.bund.de bereit. Nutzen Sie diesen als ersten Orientierungspunkt – eine verbindliche Einordnung ersetzt er nicht.
Auch wenn Ihr Unternehmen selbst unter den Schwellenwerten liegt, kann NIS2 Sie indirekt betreffen: Als Zulieferer oder IT-Dienstleister eines betroffenen Unternehmens werden Sie über Lieferkettenpflichten in die Pflicht genommen.
Was sind die fünf Kernpflichten?
01
Governance & Risikomanagement
GF muss Cybersicherheit aktiv steuern, genehmigen und dokumentieren. Nicht delegierbar.
03
Vorfallmeldung (3-Stufen)
24h: Fruehwarnung ans BSI
72h: Detailbericht
30 Tage: Abschlussbericht
05
Schulungen & Awareness
GF und Mitarbeiter müssen regelmäßig zu Cyberrisiken geschult werden
02
Technische Schutzmassnahmen
Zugangskontrolle, Verschluesselung, Patch-Management, Schwachstellenmanagement, MFA
04
Lieferkettensicherheit
Sicherheitsanforderungen an Lieferanten und IT-Dienstleister vertraglich verankern
Was passiert bei Verstoss? (Sanktionen & Haftung)
Wichtiger Hinweis zur Haftung
Unkenntnis schützt nicht. Gemäß §38 BSIG ist die Geschäftsführung persönlich verpflichtet, NIS2-Massnahmen zu kennen, zu genehmigen und zu überwachen. Das ist vergleichbar mit der Arbeitssicherheitspflicht – keine technische Aufgabe, die man vollständig delegieren kann.