Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
NIS2: Anforderungen, Fristen & Checkliste 2026 | vsca
NIS2Zuletzt aktualisiert: 2026-06-23

NIS2: Anforderungen, Fristen und Pflichten im Überblick

Zuletzt aktualisiert: 23.06.2026

NIS2 ist die EU-Richtlinie zur Cybersicherheit, die in Deutschland seit dem 6. Dezember 2025 über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) geltendes Recht ist – ohne allgemeine Übergangsfrist. Statt rund 4.500 sind nun etwa 29.500 Einrichtungen in 18 Sektoren betroffen. Auf dieser Seite erklären wir verständlich, was NIS2 ist, wer betroffen ist, welche Fristen und Pflichten gelten, welche konkreten NIS2-Anforderungen erfüllt werden müssen – und wie Sie mit einer praktischen NIS2-Checkliste in die Umsetzung kommen.

Zur NIS2-Beratungtabea@vsquadrat.de · +49 151 40701461

Inhaltsverzeichnis

  1. Was ist NIS2? Eine kurze Definition
  2. Wer ist von NIS2 betroffen?
  3. Fristen und rechtlicher Stand 2026
  4. Die zentralen Pflichten unter NIS2
  5. NIS2-Anforderungen an das Risikomanagement
  6. In sieben Schritten zur NIS2-Konformität
  7. NIS2-Checkliste zum Mitnehmen
  8. NIS2 im Zusammenspiel mit anderen Regelwerken
  9. Häufige Fragen zu NIS2

Was ist NIS2? Eine kurze Definition

NIS2 ist die zweite EU-Richtlinie über „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union" (Richtlinie (EU) 2022/2555). Sie löst die erste NIS-Richtlinie aus dem Jahr 2016 ab und weitet sie deutlich aus: mehr betroffene Sektoren, strengere Anforderungen an das Risikomanagement, schärfere Meldepflichten und – für viele die wichtigste Neuerung – eine persönliche Verantwortung der Geschäftsleitung.

Da eine EU-Richtlinie nicht unmittelbar gilt, sondern in nationales Recht umgesetzt werden muss, ist in Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG) maßgeblich. Es ist seit dem 6. Dezember 2025 in Kraft. Was früher unter dem Stichwort „Kritische Infrastruktur" (KRITIS) nur einen kleinen Kreis besonders sensibler Betreiber betraf, erfasst nun einen breiten Teil des deutschen Mittelstands.

Der Kern von NIS2 ist einfach zusammengefasst: Wer in einem der betroffenen Sektoren tätig ist und eine bestimmte Größe erreicht, muss seine Cybersicherheit auf ein nachweisbares, risikobasiertes Niveau heben, Sicherheitsvorfälle melden – und das Ganze auf Leitungsebene verantworten und überwachen. NIS2 ist damit kein reines IT-Thema, sondern eine Frage von Governance, Haftung und Nachweisbarkeit.

Wer ist von NIS2 betroffen?

Die wohl häufigste Frage zu NIS2 lautet: „Betrifft mich das überhaupt?" Drei Kriterien entscheiden gemeinsam darüber: Sektor, Größe und Tätigkeit.

Die 18 Sektoren

Das NIS2UmsuCG erfasst 18 Sektoren – von Energie, Transport und Verkehr, Bankwesen und Finanzmarktinfrastruktur über Gesundheit, Trinkwasser, Abwasser und digitale Infrastruktur bis hin zu öffentlicher Verwaltung, Weltraum, Post- und Kurierdiensten, Abfallwirtschaft, Chemie, Lebensmitteln, verarbeitendem Gewerbe, digitalen Diensten und Forschung. Gerade die letzten Kategorien sorgen dafür, dass viele Unternehmen betroffen sind, die sich bislang nicht als „kritische Infrastruktur" verstanden haben – etwa Maschinen- und Anlagenbauer, IT-Dienstleister, Software-Anbieter oder Logistiker.

Die Größenschwelle

Innerhalb der betroffenen Sektoren greift NIS2 grundsätzlich ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz. Unterhalb dieser Schwelle bleiben Einrichtungen in der Regel außen vor – mit Ausnahmen für besonders kritische Dienste, bei denen es auf die Größe nicht ankommt.

Wesentliche und wichtige Einrichtungen

NIS2 unterscheidet zwei Kategorien, die über die Höhe möglicher Bußgelder und die Intensität der Aufsicht entscheiden:

  • Wesentliche Einrichtungen – größere Unternehmen in den besonders kritischen Sektoren; sie unterliegen der strengeren Aufsicht.
  • Wichtige Einrichtungen – mittelgroße Unternehmen und Einrichtungen in den übrigen erfassten Sektoren.

Welche Kategorie auf Sie zutrifft, ergibt sich aus der Kombination von Sektor und Größe. Die genaue Einordnung ist juristisch nicht trivial, hat aber unmittelbare Konsequenzen – deshalb sollte sie sauber und dokumentiert erfolgen.

Die Selbstprüfungspflicht – das Tückische an NIS2

Es gibt keinen behördlichen Bescheid, der Ihnen mitteilt, dass Sie betroffen sind. NIS2 verpflichtet Sie zur Selbstprüfung: Sie müssen eigenständig feststellen, ob und in welcher Kategorie Sie in den Anwendungsbereich fallen, und sich gegebenenfalls registrieren und die Pflichten erfüllen. Wer abwartet, bis sich „jemand meldet", ist nicht abgesichert, sondern bereits im Verzug.

Eine erste Orientierung gibt Ihnen unser NIS2-Betroffenheitscheck. Die belastbare, dokumentierte Einordnung nehmen wir gemeinsam mit Ihnen in der NIS2-Beratung vor.

Fristen und rechtlicher Stand 2026

NIS2 wird im Jahr 2026 oft noch wie ein Countdown kommuniziert. Das ist falsch. Die entscheidenden Termine liegen bereits in der Vergangenheit:

TerminEreignis
6.12.2025NIS2UmsuCG (Deutschland) in Kraft. ~29.500 Einrichtungen in 18 Sektoren betroffen.
6.3.2026BSI-Registrierungsfrist – bereits abgelaufen.

Wichtig: Es gibt keine allgemeine Übergangsfrist: Die Pflichten gelten seit Inkrafttreten. Die Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) lief am 6. März 2026 ab.

Die Umsetzungslücke ist erheblich: Laut einer Erhebung von BDO waren bis März 2026 erst rund 11.500 der etwa 29.500 betroffenen Einrichtungen registriert. Wenn Sie zu den noch nicht registrierten Unternehmen gehören, lautet die richtige Reaktion nicht Beruhigung, sondern eine zügige, saubere Nachregistrierung und der Nachweis, dass Sie die Pflichten umsetzen.

Die Botschaft 2026 lautet nicht „bald wird es ernst", sondern: Die Frist ist abgelaufen. Jetzt zählt, dass Sie nachweisbar handeln.

Die zentralen Pflichten unter NIS2

NIS2 bündelt mehrere Pflichten, die ineinandergreifen. Vier davon sollten Sie kennen.

1. Risikomanagementmaßnahmen

Betroffene Einrichtungen müssen geeignete, verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu beherrschen. Maßgeblich ist ein risikobasierter Ansatz: Maßnahmen müssen zum tatsächlichen Risiko passen – nicht jede Einrichtung braucht dasselbe Niveau.

2. Melde- und Berichtspflichten

Erhebliche Sicherheitsvorfälle müssen in einem gestuften Verfahren an das BSI gemeldet werden. Im Ernstfall muss klar sein, wer was bis wann meldet – das lässt sich nicht improvisieren, sondern muss vorab als Prozess eingerichtet sein.

3. Registrierungspflicht

Betroffene Einrichtungen müssen sich beim BSI registrieren. Die ursprüngliche Frist (6.3.2026) ist abgelaufen; die Pflicht zur (Nach-)Registrierung besteht fort.

4. Persönliche Verantwortung und Haftung der Geschäftsleitung

Das ist die schärfste Neuerung von NIS2: Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen – und haftet persönlich für Versäumnisse. Zusätzlich besteht eine Schulungspflicht für die Leitungsorgane: Geschäftsführung und Vorstand müssen ein hinreichendes Verständnis von Cybersicherheitsrisiken nachweisen können. NIS2 lässt sich damit nicht vollständig an die IT delegieren.

Was bei Verstößen droht

Die Bußgelder reichen je nach Einrichtungskategorie bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Hinzu kommt die persönliche Haftung der Geschäftsleitung. Gerade die Kombination aus Bußgeld, persönlicher Haftung und Reputationsrisiko macht NIS2 zur Chefsache.

NIS2-Anforderungen an das Risikomanagement

Die NIS2-Anforderungen an die Risikomanagementmaßnahmen sind kein abstrakter Wunschzettel, sondern lassen sich in konkrete Handlungsfelder übersetzen. Dazu gehören insbesondere:

  • Risikoanalyse und Sicherheitskonzepte für die Informationssysteme
  • Bewältigung von Sicherheitsvorfällen (Incident Management), inklusive Erkennung und Reaktion
  • Business Continuity und Krisenmanagement – etwa Backup-Management und Wiederherstellung nach einem Vorfall
  • Sicherheit der Lieferkette, einschließlich der Beziehungen zu Dienstleistern und Anbietern
  • Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, inklusive Schwachstellenmanagement
  • Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  • Kryptografie und Verschlüsselung, wo angemessen
  • Personalsicherheit, Zugriffskontrolle und Asset-Management
  • Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Diese Felder müssen nicht von Grund auf neu erfunden werden. Wer bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2022 betreibt, deckt viele dieser Anforderungen bereits ab und kann den Nachweis erheblich erleichtern. Ein ISMS ist jedoch kein automatischer NIS2-Nachweis – die NIS2-spezifischen Lücken müssen identifiziert und gezielt geschlossen werden. Mehr dazu auf unserer Seite zur ISO 27001.

In sieben Schritten zur NIS2-Konformität

Der Weg zur NIS2-Konformität lässt sich strukturieren. Wir empfehlen dieses Vorgehen:

  1. Betroffenheit klären: Prüfen Sie anhand von Sektor, Größe und Tätigkeit, ob und als welche Kategorie (wesentlich/wichtig) Sie betroffen sind – und dokumentieren Sie das Ergebnis.
  2. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden technischen und organisatorischen Maßnahmen mit den NIS2-Anforderungen und legen Sie die Lücken offen.
  3. Risiken bewerten und priorisieren: Bewerten Sie die Lücken nach realem Risiko – nicht alles auf einmal, sondern dort zuerst, wo es am meisten zählt.
  4. Maßnahmen aufbauen: Schließen Sie die Lücken: Risikomanagement, Vorfallbehandlung, Business Continuity, Lieferketten-Sicherheit, Zugriffskontrolle, Verschlüsselung, Schulungen.
  5. Melde- und Vorfallprozesse einrichten: Definieren Sie, wer im Ernstfall was bis wann an das BSI meldet.
  6. Geschäftsleitung einbinden: Lassen Sie die Maßnahmen durch die Geschäftsleitung billigen, dokumentieren Sie die Überwachung und erfüllen Sie die Schulungspflicht der Leitungsorgane.
  7. Registrieren und dokumentieren: Holen Sie die Registrierung beim BSI nach und sorgen Sie für eine prüffeste Dokumentation, die Ihre NIS2-Konformität belegbar macht.

Wenn Sie diese Schritte nicht allein gehen möchten, begleiten wir Sie in der NIS2-Beratung durch den gesamten Prozess – pragmatisch, risikobasiert und nach dem Baukastenprinzip: Sie kombinieren genau die Bausteine, die Ihr Reifegrad erfordert.

NIS2-Checkliste zum Mitnehmen

Diese kompakte NIS2-Checkliste hilft Ihnen, Ihren aktuellen Stand selbst einzuschätzen. Können Sie jeden Punkt mit „ja" beantworten und belegen, sind Sie auf einem guten Weg.

  • Betroffenheit geprüft und dokumentiert (Sektor, Größe, Kategorie wesentlich/wichtig)
  • Registrierung beim BSI erfolgt oder Nachregistrierung eingeleitet
  • Gap-Analyse zwischen Ist-Zustand und NIS2-Anforderungen durchgeführt
  • Risikoanalyse und Sicherheitskonzepte vorhanden und aktuell
  • Prozess zur Bewältigung von Sicherheitsvorfällen definiert
  • Business Continuity / Backup- und Wiederherstellungskonzept vorhanden
  • Lieferketten-Sicherheit in Verträgen und Prozessen berücksichtigt
  • Zugriffskontrolle, Multi-Faktor-Authentifizierung und Verschlüsselung umgesetzt, wo angemessen
  • Schulungen zur Cyberhygiene für Mitarbeitende etabliert
  • Meldeprozesse an das BSI eingerichtet und Verantwortlichkeiten geklärt
  • Geschäftsleitung hat die Maßnahmen gebilligt, überwacht sie und hat die Schulungspflicht erfüllt
  • Prüffeste Dokumentation als Nachweis der NIS2-Konformität vorhanden

Eine individuelle, auf Ihr Unternehmen zugeschnittene Bewertung dieser Punkte ist Bestandteil unserer Beratung. Den ersten Schritt – die Betroffenheit – können Sie sofort mit unserem NIS2-Betroffenheitscheck angehen.

NIS2 im Zusammenspiel mit anderen Regelwerken

NIS2 steht selten allein. Wer Cybersicherheit ernst nimmt, stößt schnell auf benachbarte Regelwerke, die ineinandergreifen:

  • ISO/IEC 27001:2022 – Ein ISMS nach dieser Norm ist ein anerkanntes Gerüst, das viele NIS2-Anforderungen abdeckt und den Nachweis erleichtert. Mehr dazu unter ISO 27001.
  • DORA – Für Finanzunternehmen gilt mit dem Digital Operational Resilience Act ein eigenes, spezielleres Cybersicherheitsregime. IT- und Cloud-Dienstleister mit Finanzkunden können über vertragliche Anforderungen mittelbar betroffen sein. Details unter DORA.
  • Cyber Resilience Act (CRA) – Wer „Produkte mit digitalen Elementen" herstellt oder vertreibt, muss zusätzlich die Anforderungen des CRA beachten; dessen Meldepflichten greifen ab dem 11. September 2026. Mehr unter Cyber Resilience Act.

Der pragmatische Weg ist, diese Anforderungen nicht in Silos abzuarbeiten, sondern gemeinsam zu denken. Genau dafür verbinden wir juristische Tiefe mit operativer Umsetzung – als Teil unseres Produkts CaaS (Compliance as a Service).

Häufige Fragen zu NIS2

Was ist NIS2 einfach erklärt? NIS2 ist eine EU-Richtlinie zur Cybersicherheit, die in Deutschland über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) seit dem 6. Dezember 2025 gilt. Sie verpflichtet betroffene Unternehmen in 18 Sektoren, ihre IT-Sicherheit risikobasiert abzusichern, Sicherheitsvorfälle zu melden, sich beim BSI zu registrieren – und macht die Geschäftsleitung persönlich verantwortlich.

Wer ist von NIS2 betroffen? Betroffen sind Einrichtungen in einem der 18 Sektoren, die grundsätzlich ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz liegen. Insgesamt sind in Deutschland rund 29.500 Einrichtungen erfasst (vorher etwa 4.500). Da es keinen behördlichen Bescheid gibt, gilt eine Selbstprüfungspflicht – jede Einrichtung muss ihre Betroffenheit selbst feststellen. Eine erste Einschätzung liefert unser NIS2-Betroffenheitscheck.

Welche Fristen gelten bei NIS2 und gibt es eine Übergangsfrist? Es gibt keine allgemeine Übergangsfrist. Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft, die BSI-Registrierungsfrist lief am 6. März 2026 ab. Wer noch nicht registriert ist, sollte die Nachregistrierung und die Umsetzung der Pflichten jetzt angehen.

Welche NIS2-Anforderungen muss ich erfüllen? Im Kern: risikobasierte technische und organisatorische Maßnahmen (u. a. Risikoanalyse, Vorfallbehandlung, Business Continuity, Lieferketten-Sicherheit, Zugriffskontrolle, Verschlüsselung, Schulungen), Meldeprozesse an das BSI, die Registrierung sowie die Billigung und Überwachung der Maßnahmen durch die Geschäftsleitung samt deren Schulung. Unsere NIS2-Checkliste fasst die Punkte zusammen.

Welche Strafen drohen bei Verstößen gegen NIS2? Je nach Einrichtungskategorie sind Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes möglich. Zusätzlich haftet die Geschäftsleitung persönlich für Versäumnisse bei den Risikomanagementmaßnahmen, die sie billigen und überwachen muss.

Reicht ein ISMS nach ISO 27001 für NIS2 aus? Ein ISMS nach ISO/IEC 27001:2022 ist kein automatischer NIS2-Nachweis, aber ein anerkanntes und hilfreiches Gerüst: Es deckt viele der geforderten Risikomanagementmaßnahmen ab und erleichtert den Nachweis erheblich. Welche NIS2-spezifischen Lücken zusätzlich zu schließen sind, klären wir individuell.

Bringen Sie Ihre NIS2-Pflichten auf sicheren Stand

NIS2 ist geltendes Recht, die Fristen sind verstrichen und die Haftung ist persönlich – deshalb ist der richtige Zeitpunkt zum Handeln jetzt. Wir klären Ihre Betroffenheit, schließen die Lücken zwischen Soll und Ist und sichern Ihre Geschäftsleitung ab. Pragmatisch, risikobasiert, nachweisbar.

Zur NIS2-Beratung – im kostenlosen Erstgespräch klären wir Ihren Bedarf und die nächsten Schritte.

Jetzt zur NIS2-Beratung · NIS2-Betroffenheitscheck starten

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. Diese Seite dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.