NIS2 in Deutschland umsetzen 2026: was wirklich gilt

NIS2 ist kein IT-Projekt, sondern eine Haftungsverschiebung. Wer die Richtlinie als Aufgabe der Informationssicherheit liest, hat den Kern verfehlt. Die zweite Netz- und Informationssicherheitsrichtlinie der Europäischen Union verlagert Verantwortung in die Geschäftsleitung, weitet den Kreis der betroffenen Unternehmen massiv aus und definiert Sanktionen, die in der Größenordnung an die Datenschutzgrundverordnung anknüpfen.

Die deutsche Umsetzung verzögert sich, das ändert an der Substanz wenig. Wer im Jahr 2026 die Anforderungen nicht erfüllt, ist im Verzug, unabhängig davon, ob das deutsche Umsetzungsgesetz schon in Kraft getreten ist, weil die europäische Richtlinie selbst Bindungswirkung entfaltet und die Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik nicht mit dem ersten Bußgeld auf einen vollständigen nationalen Rechtsrahmen wartet. Wer einen Hersteller im Bereich physischer und digitaler Sicherheitstechnologie kennt, weiß, dass Compliance und betriebliche Wirklichkeit sich an einer Stelle treffen: in der Frage, ob die eingesetzten Systeme dokumentationsfähig, revisionsfähig und meldepflichtkonform sind.

Der Geltungsbereich, präzise gelesen

Die Richtlinie unterscheidet zwei Kategorien betroffener Unternehmen, wesentliche Einrichtungen und wichtige Einrichtungen. Beide Kategorien sind nicht über Branchenetiketten definiert, sondern über eine Kombination aus Sektorzugehörigkeit, Größenkriterien und Versorgungsrelevanz. Wesentliche Einrichtungen sind in Sektoren tätig, die die Richtlinie als hochkritisch einstuft, etwa Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Weltraum. Wichtige Einrichtungen umfassen Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe in definierten Teilbereichen, digitale Anbieter und Forschung.

Die Schwellenwerte orientieren sich an der Empfehlung der Europäischen Kommission zur Definition von Kleinstunternehmen sowie kleinen und mittleren Unternehmen. Wer mindestens fünfzig Beschäftigte hat oder einen Jahresumsatz beziehungsweise eine Jahresbilanzsumme von mindestens zehn Millionen Euro erreicht und in einem der genannten Sektoren tätig ist, fällt in der Regel in den Anwendungsbereich. Es gibt Ausnahmen, die unabhängig von der Größe greifen, etwa bei qualifizierten Vertrauensdiensteanbietern, Top-Level-Domain-Registries, Anbietern öffentlicher elektronischer Kommunikationsnetze und bei Einrichtungen, die als alleiniger Anbieter eines Dienstes in einem Mitgliedstaat agieren.

Im Vergleich zur Vorgängerrichtlinie verzehnfacht sich der Kreis der betroffenen Unternehmen in Deutschland, das ist eine qualitative Beobachtung und keine punktgenaue Zahl. Während die alte Richtlinie wenige hundert Betreiber kritischer Infrastrukturen erfasst hat, geht die nationale Umsetzung der NIS2 in die Zehntausende. Wer prüfen will, ob das eigene Unternehmen betroffen ist, beginnt mit drei Fragen: Welcher Sektor, welche Größe, welche Funktion in der Lieferkette. Die dritte Frage ist die unterschätzte, weil die Richtlinie Lieferkettenverantwortung kennt und Zulieferer mittelbar einbindet, ohne sie explizit zu benennen. Ein Unternehmen, das selbst nicht direkt in den Anwendungsbereich fällt, kann durch die vertraglichen Anforderungen seiner Kunden gezwungen sein, dieselben Sicherheitsstandards umzusetzen. Dieser Mechanismus ist der eigentliche Hebel der Richtlinie, weil er ohne behördlichen Eingriff Wirkung entfaltet.

Die Pflichten im Detail

Die NIS2 formuliert zehn Mindestmaßnahmen für das Risikomanagement im Bereich der Cybersicherheit. Sie reichen von Konzepten zur Risikoanalyse über den Umgang mit Sicherheitsvorfällen, Geschäftskontinuität und Krisenmanagement, Lieferkettensicherheit, Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, Konzepten zur Bewertung der Wirksamkeit der Maßnahmen, grundlegenden Verfahren der Cyberhygiene und Schulung, Kryptografie und Verschlüsselung, Personalsicherheit, Zugriffskontrolle, Vermögensverwaltung bis hin zur Verwendung von Multi-Faktor-Authentifizierung und kontinuierlicher Authentifizierung. Diese Maßnahmen sind in der Richtlinie als verbindlich formuliert, ihre konkrete Ausgestaltung liegt in der Verantwortung der Geschäftsleitung.

Das Bundesamt für Sicherheit in der Informationstechnik wird in Deutschland die zentrale Aufsichtsbehörde. Es nimmt Meldungen entgegen, prüft Umsetzungsstand, kann Audits anordnen und Sanktionen verhängen. Die Meldepflichten sind gestuft. Eine Erstmeldung an die zuständige Behörde ist innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls abzugeben. Eine detailliertere Vorfallmeldung folgt innerhalb von 72 Stunden. Ein abschließender Bericht ist nach spätestens einem Monat zu liefern. Diese Fristen sind nicht verhandelbar und setzen voraus, dass das Unternehmen über interne Prozesse verfügt, die eine solche Meldekette in der genannten Geschwindigkeit auslösen können.

Die Geschäftsleitung trägt persönliche Verantwortung. Sie muss die Risikomanagementmaßnahmen genehmigen, ihre Umsetzung überwachen und kann für Versäumnisse haftbar gemacht werden. Schulungspflichten gelten ausdrücklich auch für die Leitungsebene, nicht nur für die operative Sicherheitsfunktion. Wer in einem Vorstand sitzt, der die NIS2 als delegierbare IT-Aufgabe behandelt, hat ein persönliches Haftungsproblem, das durch keine Versicherung vollständig aufgefangen wird. Boswau + Knauer beobachtet in der Beratungspraxis, dass dieser Punkt regelmäßig unterschätzt wird, weil die Diskussion in den meisten Unternehmen technisch geführt wird und die rechtliche Dimension erst im Krisenfall sichtbar wird.

Die Sanktionen, eingeordnet

Die Sanktionsrahmen der NIS2 lehnen sich an die Datenschutzgrundverordnung an, gehen in der Höhe aber in Teilen darüber hinaus. Für wesentliche Einrichtungen liegt der Bußgeldrahmen bei bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen bei bis zu sieben Millionen Euro oder bis zu 1,4 Prozent des weltweiten Jahresumsatzes. Zusätzlich kennen die nationalen Umsetzungsgesetze regelmäßig die Möglichkeit, Geschäftsführer für eine begrenzte Zeit von der Ausübung von Leitungsfunktionen auszuschließen, sofern die Versäumnisse schwerwiegend sind und die Aufsicht eine solche Maßnahme als angemessen ansieht.

Diese Sanktionshöhen sind nicht nur Drohkulisse. Die europäische Praxis bei der Datenschutzgrundverordnung zeigt, dass Behörden zunehmend bereit sind, Bußgelder in der oberen Hälfte des Rahmens auszusprechen, wenn die Versäumnisse über mehrere Jahre dokumentiert sind und die Geschäftsleitung trotz wiederholter Hinweise nicht reagiert hat. Es ist davon auszugehen, dass die Aufsichtspraxis im Bereich der NIS2 einem ähnlichen Muster folgen wird, mit einem Schonjahr nach Inkrafttreten, in dem die Behörden zunächst Hinweise geben, gefolgt von einer Phase, in der die Sanktionen spürbar zunehmen.

Neben dem direkten Bußgeld wirkt die Reputationswirkung. Die Aufsicht kann Verstöße veröffentlichen, was bei Unternehmen mit institutionellen Kunden und in regulierten Märkten erhebliche wirtschaftliche Folgen hat. Versicherungen, insbesondere Cyber-Policen, ziehen die NIS2-Konformität zunehmend als Voraussetzung für Deckung heran, das ist eine Beobachtung aus dem Markt und keine pauschale Aussage. Wer im Schadensfall nachweisen muss, dass er die gesetzlich vorgeschriebenen Mindestmaßnahmen umgesetzt hat, und diesen Nachweis nicht erbringen kann, riskiert die Leistungsfreiheit des Versicherers und damit den ungedeckten Vollschaden. Der Gesamtverband der Deutschen Versicherungswirtschaft hat in den letzten Jahren wiederholt darauf hingewiesen, dass die Bedingungen für Cyber-Deckung enger werden und sich an regulatorische Mindeststandards anlehnen.

Die Lieferkette, der entscheidende Hebel

Wer NIS2 nur als unmittelbare Verpflichtung der eigenen Organisation liest, verkennt die zweite Wirkungsebene. Die Richtlinie verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu bewerten und zu steuern. Das bedeutet, dass jeder direkte Zulieferer eines NIS2-pflichtigen Unternehmens damit rechnen muss, vertragliche Anforderungen zur Cybersicherheit gestellt zu bekommen, unabhängig davon, ob er selbst unmittelbar unter die Richtlinie fällt. Diese Anforderungen reichen von Sicherheitszertifikaten über Auditrechte bis hin zu konkreten technischen Vorgaben für die Schnittstellen zwischen den Systemen.

Für Hersteller von Sicherheitstechnologie ist diese Lieferkettenlogik die zentrale Frage. Ein Sicherheitsroboter, der Daten erfasst und über Netzwerkverbindungen an eine Leitstelle überträgt, ist im Sinne der NIS2 ein Bestandteil der Informationssicherheit des Betreibers. Wenn der Betreiber unter die Richtlinie fällt, muss er die Sicherheit dieses Geräts dokumentieren können, einschließlich der Lieferkette des Herstellers, der Update-Politik, der Verschlüsselungsstandards und der Reaktionsfähigkeit bei Schwachstellen. Im Buch BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie wird der Hintergrund dieser Architekturentscheidung beschrieben, weil die offene Schnittstellenlogik und die dokumentierte Update-Kette nicht aus einer Vorausschau auf die NIS2 entstanden sind, sondern aus der Praxis industrieller Anwendungen, in denen Revisionsfähigkeit immer schon Voraussetzung war.

Wer als Lieferant nicht in der Lage ist, diese Nachweise zu erbringen, verliert in Ausschreibungen, in denen der Auftraggeber unter die Richtlinie fällt. Diese Wirkung tritt unabhängig von der direkten Anwendung der NIS2 ein und reicht in Sektoren hinein, die auf den ersten Blick nicht betroffen scheinen. Ein Bauunternehmen, das Industriekunden mit kritischer Versorgungsfunktion beliefert, ein Logistikdienstleister, der für ein Krankenhaus arbeitet, ein Sicherheitsdienstleister, der ein Wasserwerk bewacht, wird durch die Lieferkettenlogik in die Pflicht gezogen.

Die Übergangsfristen, realistisch betrachtet

Die Richtlinie ist auf europäischer Ebene am siebzehnten Januar 2023 in Kraft getreten. Die Mitgliedstaaten waren verpflichtet, die Richtlinie bis zum siebzehnten Oktober 2024 in nationales Recht umzusetzen. Deutschland hat diese Frist nicht eingehalten, das nationale Umsetzungsgesetz, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, hat im Gesetzgebungsverfahren mehrere Verzögerungen erlebt. Die Europäische Kommission hat im Mai 2024 Vertragsverletzungsverfahren gegen mehrere Mitgliedstaaten eingeleitet, darunter auch Deutschland, die die Umsetzungsfrist überschritten haben.

Diese Verzögerung darf nicht als Aufschub missverstanden werden. Die materiellen Anforderungen der Richtlinie gelten, sobald das nationale Umsetzungsgesetz in Kraft tritt. Unternehmen, die bis dahin gewartet haben, stehen vor der Aufgabe, in wenigen Monaten umzusetzen, wofür eine sorgfältige Vorbereitung in Jahresfristen plant. Wer im Jahr 2026 mit dem Risikomanagementkonzept beginnt, mit der Lieferkettenbewertung, mit der Schulung der Geschäftsleitung, mit der Implementierung der Multi-Faktor-Authentifizierung und der Vorfallmeldekette, ist im Verzug, sobald das Gesetz greift.

Die Praxis zeigt, dass eine vollständige Umsetzung der zehn Mindestmaßnahmen in einem mittelgroßen Unternehmen üblicherweise zwischen zwölf und achtzehn Monaten beansprucht, abhängig vom Reifegrad der bestehenden Informationssicherheit. Wer mit einem etablierten Informationssicherheitsmanagementsystem nach ISO 27001 oder vergleichbarem Standard startet, ist schneller. Wer ohne dokumentierte Sicherheitsorganisation beginnt, braucht länger. Das BSI hat in seinen Hinweisen wiederholt darauf hingewiesen, dass die Vorbereitung nicht auf das Inkrafttreten des deutschen Gesetzes warten sollte, weil die europäische Substanz bereits feststeht und nationale Anpassungen sich auf Detailfragen beschränken.

Was im Unternehmen jetzt vorliegen muss

Eine NIS2-Vorbereitung, die im Jahr 2026 trägt, hat fünf substantielle Bestandteile. Erstens eine Betroffenheitsanalyse, die rechtlich abgesichert dokumentiert, ob das Unternehmen wesentliche oder wichtige Einrichtung ist oder mittelbar über die Lieferkette in die Pflicht gerät. Diese Analyse ist keine Schreibtischarbeit, sondern verlangt eine Auseinandersetzung mit der Sektorzuordnung, den Größenkriterien und den Kundenbeziehungen.

Zweitens ein Risikomanagementkonzept, das die zehn Mindestmaßnahmen abdeckt und das die Geschäftsleitung formell genehmigt hat. Die Genehmigung muss dokumentiert sein, ein Vorstandsbeschluss ohne schriftliche Spur erfüllt die Anforderung nicht.

Drittens ein Vorfallmanagementprozess, der die Meldefristen von 24 Stunden, 72 Stunden und einem Monat technisch und organisatorisch trägt. Dieser Prozess muss geübt sein, eine schriftliche Anweisung ohne Tabletop-Übung wird im Ernstfall nicht funktionieren.

Viertens ein Lieferkettenkonzept, das die kritischen Zulieferer identifiziert, vertragliche Anforderungen formuliert und Auditrechte vorsieht. In diesem Punkt liegt für die meisten Unternehmen die größte Arbeit, weil die Lieferantenbasis historisch nicht unter Sicherheitsgesichtspunkten ausgewählt wurde.

Fünftens eine Schulung der Geschäftsleitung, die nachweisbar dokumentiert ist und regelmäßig wiederholt wird. Eine einmalige Präsentation ohne Wiederholung erfüllt die Anforderung nicht. Der BDSW hat in seinen Empfehlungen für die Sicherheitswirtschaft auf die Notwendigkeit kontinuierlicher Qualifizierung hingewiesen, das gilt für die Sicherheitswirtschaft selbst und für ihre Kunden in gleicher Weise.

Wer diese fünf Bestandteile nicht zusammenführt, hat keine NIS2-Compliance, sondern eine Sammlung von Einzeldokumenten, die im Audit nicht standhält. Der Unterschied zwischen den beiden Zuständen ist im Ernstfall der Unterschied zwischen einer Beanstandung und einer existenziellen Sanktion.

Was bleibt

NIS2 verändert die Sicherheitsökonomie von Unternehmen in zwei Richtungen. Sie macht Cybersicherheit zur Pflichtaufgabe der Geschäftsleitung, mit persönlicher Haftung. Und sie zieht über die Lieferkettenlogik einen Kreis um Unternehmen, die selbst nicht direkt betroffen sind, deren Kunden aber im Anwendungsbereich liegen. Beide Wirkungen verschieben die Frage, ob in Sicherheitstechnologie investiert wird, von einer kaufmännischen Abwägung zu einer regulatorischen Notwendigkeit.

Wer im Jahr 2026 beginnt, gewinnt Zeit. Wer im Jahr 2027 beginnt, arbeitet unter Druck. Wer im Jahr 2028 beginnt, arbeitet im Verzug. Die Entscheidung, an welchem dieser drei Punkte ein Unternehmen steht, fällt heute. Boswau + Knauer bietet als ersten Schritt ein vertrauliches Gespräch von sechzig Minuten an, in dem die Betroffenheit, die Lücken und die nächsten Schritte sortiert werden, ohne Folgeverpflichtung. Wer tiefer einsteigen will, geht in ein Audit von drei bis fünf Tagen, das die NIS2-Anforderungen gegen die bestehende Sicherheitsarchitektur prüft und einen umsetzbaren Plan liefert.

Häufige Fragen

Was schreibt NIS2 in Deutschland vor?

NIS2 verpflichtet betroffene Unternehmen zu zehn Mindestmaßnahmen im Cybersicherheits-Risikomanagement, darunter Risikoanalyse, Vorfallmanagement, Geschäftskontinuität, Lieferkettensicherheit, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Die Geschäftsleitung trägt persönliche Verantwortung und muss die Maßnahmen genehmigen sowie regelmäßig geschult werden. Hinzu kommen gestufte Meldepflichten bei Sicherheitsvorfällen mit Fristen von 24 Stunden, 72 Stunden und einem Monat an das Bundesamt für Sicherheit in der Informationstechnik. Die nationale Umsetzung erfolgt durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz.

Welche Branchen sind betroffen?

Die Richtlinie unterscheidet wesentliche und wichtige Einrichtungen. Wesentliche Einrichtungen umfassen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienste, öffentliche Verwaltung und Weltraum. Wichtige Einrichtungen umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, definierte Teile des verarbeitenden Gewerbes, digitale Anbieter und Forschung. Maßgeblich sind Sektorzugehörigkeit und Größenkriterien ab fünfzig Beschäftigten oder zehn Millionen Euro Umsatz beziehungsweise Bilanzsumme. Über die Lieferkettenlogik werden auch Zulieferer mittelbar in die Pflicht genommen.

Was sind die Sanktionen?

Für wesentliche Einrichtungen liegt der Bußgeldrahmen bei bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Für wichtige Einrichtungen bei bis zu sieben Millionen Euro oder 1,4 Prozent. Zusätzlich kann die Aufsicht Geschäftsführer für eine begrenzte Zeit von Leitungsfunktionen ausschließen, wenn die Versäumnisse schwerwiegend sind. Reputationswirkungen durch Veröffentlichung von Verstößen und die Gefahr der Leistungsfreiheit von Cyber-Versicherungen kommen hinzu. Der wirtschaftliche Gesamtschaden eines unzureichend vorbereiteten Unternehmens übersteigt das reine Bußgeld in der Regel deutlich.

Welche Übergangsfristen gelten?

Die Richtlinie ist europäisch am siebzehnten Januar 2023 in Kraft getreten. Die Umsetzungsfrist für die Mitgliedstaaten endete am siebzehnten Oktober 2024. Deutschland hat diese Frist überschritten, das nationale Umsetzungsgesetz steht noch aus oder ist im finalen Gesetzgebungsverfahren. Sobald das Gesetz in Kraft tritt, gelten die Anforderungen unmittelbar, klassische Übergangsfristen für die Umsetzung der zehn Mindestmaßnahmen sind nicht vorgesehen. Eine realistische Vorbereitung dauert je nach Reifegrad zwölf bis achtzehn Monate. Wer jetzt beginnt, hat Spielraum. Wer wartet, arbeitet unter regulatorischem Druck.