WISSEN — GRUNDLAGEN & COMPLIANCE
NIS2
Einfach erklärt
NIS2 hebt das geforderte Mindestniveau an Cybersicherheit an und weitet den Kreis der betroffenen Unternehmen aus. Vereinfacht: Mehr Unternehmen als früher müssen nachweisen können, dass sie ihre IT-Risiken systematisch managen und auf Vorfälle vorbereitet sind. Die genaue Betroffenheit ist eine rechtliche Einzelfallfrage.
Worum es im Kern geht
Im Kern verlangt NIS2 ein angemessenes Risikomanagement, definierte Mindestmaßnahmen, Meldewege für erhebliche Sicherheitsvorfälle und bindet die Geschäftsleitung stärker ein. Die genaue Ausgestaltung, Fristen und Schwellenwerte ergeben sich aus dem Gesetz und den Vorgaben des BSI. Eine erste Orientierung bietet die NIS2-Betroffenheitsprüfung des BSI — für eine schnelle, unverbindliche Selbsteinschätzung zu Betroffenheit und Nachweispflicht steht zusätzlich unser NIS2-Check zur Verfügung.
NIS2 — für wen gilt sie?
Ob ein Unternehmen unter NIS2 fällt, ergibt sich aus zwei Fragen: Gehört es zu einem der regulierten Sektoren, und überschreitet es die Größenschwellen? Das deutsche NIS2-Umsetzungsgesetz unterscheidet zwei Kategorien. Wichtige Einrichtungen sind Unternehmen in den regulierten Sektoren ab 50 Mitarbeitern oder ab 10 Millionen Euro Jahresumsatz und Bilanzsumme. Besonders wichtige Einrichtungen sind größere Unternehmen ab 250 Mitarbeitern oder ab 50 Millionen Euro Umsatz bei gleichzeitig über 43 Millionen Euro Bilanzsumme. Unabhängig von der Größe gelten die Pflichten zusätzlich für bestimmte Anbieter, etwa im Bereich digitaler Infrastruktur und Telekommunikation.
Zu beachten ist die Lieferketten-Dimension: Auch kleinere Unternehmen, die selbst unter den Schwellen liegen, werden in der Praxis häufig von größeren Auftraggebern vertraglich verpflichtet, vergleichbare Sicherheitsstandards einzuhalten. Außerdem werden bei verbundenen Unternehmen und Konzernstrukturen die Kennzahlen zusammengerechnet. Die genaue Betroffenheit ist eine rechtliche Einzelfallfrage — die Unternehmen müssen sie selbst feststellen, das BSI prüft nicht automatisch. Eine erste Orientierung bietet die NIS2-Betroffenheitsprüfung des BSI.
Wozu es dient und wo die Grenze liegt
Ein angemessenes Risikomanagement schließt die Fähigkeit ein, Angriffe zu erkennen und auf Vorfälle zu reagieren. Eine belastbare Sicht auf die tatsächliche Netzwerkaktivität über NDR und der Nachweis geprüfter Angriffspfade über eine Angriffssimulation können Teil der technischen Umsetzung sein — ob und in welchem Umfang, hängt vom konkreten Fall ab.
Häufige Fragen zu NIS2
Was ist die NIS2-Richtlinie?
NIS2 ist eine EU-Richtlinie zur Cybersicherheit, die in Deutschland über das NIS2-Umsetzungsgesetz in nationales Recht überführt wurde. Sie hebt das geforderte Mindestniveau an Cybersicherheit an und weitet den Kreis der betroffenen Unternehmen deutlich aus.
Für wen gilt NIS2?
NIS2 gilt für Unternehmen in den regulierten Sektoren, die die Größenschwellen überschreiten — ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz als wichtige Einrichtung, ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz als besonders wichtige Einrichtung. Bestimmte Anbieter sind größenunabhängig betroffen. Über Lieferketten-Anforderungen können auch kleinere Unternehmen indirekt betroffen sein.
Welche Anforderungen stellt NIS2?
Im Kern verlangt NIS2 ein angemessenes Risikomanagement, definierte Mindestmaßnahmen, Meldewege für erhebliche Sicherheitsvorfälle und eine stärkere Einbindung der Geschäftsleitung, die persönlich in der Verantwortung steht. Ein angemessenes Risikomanagement schließt die Fähigkeit ein, Angriffe zu erkennen und auf Vorfälle zu reagieren.
Bis wann müssen betroffene Unternehmen handeln?
Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft, ohne Übergangsfrist. Betroffene Einrichtungen mussten sich beim BSI registrieren; eine verspätete Registrierung bleibt möglich. Die konkreten Fristen und Pflichten ergeben sich aus dem Gesetz — verbindliche Auskünfte gibt das BSI.
Verwandte Begriffe
Verbindliche Informationen zur Betroffenheit bietet das BSI. Dieser Beitrag ersetzt keine Rechtsberatung.
Zuletzt aktualisiert: 21. Juni 2026 · 4 Min. Lesezeit