29.500 Unternehmen. Keine Übergangsfrist.
Das deutsche NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft. Das überarbeitete BSI-Gesetz (BSIG) ist jetzt geltendes Recht. Anders als bei den meisten EU-Regulierungen gab es keine Schonfrist.
Die Ausweitung des Geltungsbereichs traf hart. Deutschland ging von etwa 4.500 regulierten Einrichtungen unter der ursprünglichen NIS-Richtlinie auf rund 29.500 unter NIS2.
Wenn Ihre Organisation in einer der 18 bezeichneten Branchen tätig ist und die Größenschwellen erreicht, sind Sie betroffen. Ab sofort.
Die erste harte Frist des BSI ist bereits verstrichen. Die Registrierung über das BSI-Portal endete am 6. März 2026. Die Behörde hat öffentlich kommuniziert, dass die Zahl der eingegangenen Registrierungen deutlich unter den Erwartungen lag.
Falls Sie noch nicht registriert sind: die Pflicht besteht weiter. Sie müssen sie nachholen, nur eben unter ungünstigeren Vorzeichen.
Cybersicherheit ist kein IT-Thema mehr. Unter dem neuen BSI-Gesetz haften Leitungsorgane persönlich für Compliance-Verstöße. Ihre Geschäftsführung kann direkt zur Verantwortung gezogen werden.
Wer fällt unter NIS2?
Zwei Kategorien von Einrichtungen, beide mit verbindlichen Cybersicherheitspflichten:
Wesentliche Einrichtungen. Große Organisationen in kritischen Sektoren. Energieversorger, Transportunternehmen, Gesundheitseinrichtungen, Bank- und Finanzdienstleistungen, digitale Infrastruktur, Wasserversorger.
Schwelle: in der Regel 250+ Beschäftigte oder 50 Millionen Euro+ Jahresumsatz. Bußgelder: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Wichtige Einrichtungen. Ein breiterer Kreis. Fertigung, Lebensmittelproduktion, Chemie, Abfallwirtschaft, Post- und Kurierdienste, Forschungseinrichtungen. Schwelle: 50+ Beschäftigte oder 10 Millionen Euro+ Umsatz. Gleiche technische Anforderungen. Niedrigere Höchstbußgelder, aber immer noch erheblich.
Die 18 Sektoren
Energie. Transport. Bankwesen. Finanzmarktinfrastruktur. Gesundheit. Trinkwasser. Abwasser. Digitale Infrastruktur. IKT-Dienstemanagement. Öffentliche Verwaltung. Weltraum. Post- und Kurierdienste. Abfallwirtschaft. Verarbeitendes Gewerbe. Lebensmittelproduktion und -vertrieb. Chemie. Forschung. Digitale Anbieter.
Wenn Sie denken “das betrifft ja fast jeden”: Richtig. NIS2 ist bewusst breit angelegt.
Die technischen Anforderungen
NIS2 schreibt keine spezifischen Technologien vor. Es fordert Ergebnisse.
Risikoanalyse und Sicherheit der Informationssysteme
Kontinuierliche Risikobewertung. Kein einmaliges Audit. Ihre Organisation muss eine aktuelle Sicht auf Bedrohungen, Schwachstellen und potenzielle Auswirkungen über alle Informationssysteme hinweg pflegen.
Vorfallbehandlung
Erkennung, Analyse, Eindämmung und Reaktion. Sie brauchen die Fähigkeit, einen Sicherheitsvorfall zu erkennen, seinen Umfang zu verstehen, den Schaden einzudämmen und effektiv zu reagieren.
Die Meldepflichten sind streng. Innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Vorfalls müssen Sie eine Erstmeldung an das BSI übermitteln. Innerhalb von 72 Stunden einen umfassenden Bericht. Ein Abschlussbericht folgt innerhalb eines Monats.
Kann Ihr Team das heute leisten? Die meisten können es nicht. Nur 14 % der KMU haben einen formalen Cybersicherheitsplan. Die Kluft zwischen Anforderung und Realität ist enorm.
Geschäftskontinuität und Backup-Management
Backup-Strategien, die tatsächlich funktionieren. Nicht nur “wir machen nächtliche Backups.” Getestete Wiederherstellungsverfahren. Definierte RTOs und RPOs. Krisenmanagementpläne, die Ihr Team geprobt hat.
Lieferkettensicherheit
Sie sind verantwortlich für die Cybersicherheitslage Ihrer Lieferanten und Zulieferer. Jede Drittanbieter-Komponente in Ihrem Software-Stack, jeder Cloud-Provider, jedes SaaS-Tool. NIS2 verlangt formale Lieferantenrisikobewertungen und vertragliche Sicherheitsanforderungen.
Das ist die Anforderung, die die meisten Organisationen überrascht. Ihre Sicherheit ist nur so stark wie Ihr schwächster Lieferant. Mehr dazu in unserem Leitfaden zum Drittanbieter-Risikomanagement.
Netzwerksicherheit und Zugangskontrolle
Least-Privilege-Zugriff. Netzwerksegmentierung. Multi-Faktor-Authentifizierung für administrativen Zugang. Regelmäßige Zugriffsüberprüfungen. Das sind keine Empfehlungen unter NIS2. Es sind Anforderungen.
Verschlüsselung
Daten im Transit und im Ruhezustand. TLS 1.2+ für alle Kommunikation. AES-256 für gespeicherte Daten. Schlüsselverwaltungsverfahren. Zertifikats-Lifecycle-Management.
Schwachstellenmanagement
Regelmäßige Schwachstellenscans. Patch-Management mit definierten SLAs. Teams, die kritische Schwachstellen innerhalb von 30 Tagen beheben, bestehen Compliance-Audits zu 94 %. Teams, die das nicht tun, bekommen unangenehme Fragen.
Cyberhygiene und Schulungen
Regelmäßige Schulungen für alle Mitarbeitenden. Nicht nur IT. Jeder, der eine Tastatur bedient. Phishing-Bewusstsein. Passworthygiene. Meldeverfahren für Vorfälle.
Architekturmuster für NIS2-Compliance
Zentralisierte Sicherheitsprotokollierung
Jedes System, jeder Dienst, jedes Zugriffsereignis fließt in eine zentrale Logging-Plattform. SIEM oder gleichwertig. Korrelationsregeln, die verdächtige Muster erkennen. Aufbewahrungsfristen, die den regulatorischen Anforderungen entsprechen.
Ohne zentralisierte Protokollierung können Sie Vorfälle nicht innerhalb von 24 Stunden erkennen. Das ist Ihr Fundament.
Anomalieerkennung
Normales Verhalten als Baseline erfassen. Bei Abweichungen alarmieren. Das kann so einfach sein wie schwellenwertbasierte Alarmierung bei fehlgeschlagenen Anmeldeversuchen, ungewöhnlichen Datenzugriffsmustern oder unerwartetem Netzwerkverkehr.
Starten Sie einfach. Erst Sichtbarkeit gewinnen. Dann verfeinern.
Zero-Trust-Architektur
Keiner Verbindung standardmäßig vertrauen, auch nicht innerhalb Ihres Netzwerks. Jede Anfrage verifizieren. Jeden Benutzer und jedes Gerät authentifizieren. Jede Aktion autorisieren. Alles protokollieren.
Netzwerksegmentierung
Kritische Systeme von der allgemeinen Infrastruktur trennen. Wenn ein Angreifer einen Marketing-Laptop kompromittiert, sollte er nicht Ihre Produktionsdatenbank erreichen können. VLANs, Firewalls und strikte Routing-Regeln. Einfaches Konzept, häufig ignoriert.
Unveränderliche Prüfpfade
Logs, die nicht modifiziert oder gelöscht werden können. Write-Once-Speicher. Kryptographisches Hashing zur Integritätsüberprüfung.
BSI-Registrierung: Die Frist ist am 6. März abgelaufen
Jede betroffene Einrichtung musste sich innerhalb von drei Monaten beim BSI registrieren. Angesichts des Inkrafttretens am 6. Dezember 2025 endete die formale Frist am Freitag, dem 6. März 2026.
Viele Unternehmen haben sie verpasst. Das BSI selbst hat darauf hingewiesen, dass die Registrierungszahlen unter den Erwartungen lagen.
Falls Sie betroffen sind: warten Sie nicht. Die Pflicht ist mit dem Stichtag nicht erloschen. Sie gilt fort.
Die Vorfallmeldung setzt ein registriertes Profil voraus. Trifft ein bedeutender Vorfall ein, bevor Sie registriert sind, können Sie die nach BSI-Gesetz vorgeschriebene 24-Stunden-Erstmeldung formal nicht korrekt absetzen. Ein fehlender Schritt macht aus einem schlechten Tag ein aufsichtsrechtliches Verfahren.
Die Registrierung erfolgt über das BSI-Portal (bsi.bund.de) mit einem “Mein Unternehmen”-Konto (MUK) und einem Elster-Organisationszertifikat. Sie müssen angeben: Unternehmensinformationen, Branchenklassifizierung, Kontaktdaten für Sicherheitsvorfälle und einen benannten Ansprechpartner.
Ein praktischer Hinweis, den viele Nachzügler unterschätzt haben: ein Elster-Organisationszertifikat zu beantragen dauert in der Regel fünf bis zehn Werktage, plus Postversand der Aktivierungs-ID. Wenn die administrative Vorarbeit fehlt, beginnen Sie heute. Jede Woche Verzug ist eine Woche mehr Erklärungsbedarf bei einer Prüfung.
Wie die ersten Monate der Durchsetzung tatsächlich aussehen
Die Durchsetzung ist nicht mehr theoretisch. Im Frühjahr 2026 sind drei Aufsichtsbehörden in der EU sichtbar aktiv: das deutsche BSI, die französische ANSSI und die niederländischen Aufsichten.
Belgien hat als erstes EU-Mitgliedstaat eine harte Audit-Frist gesetzt. Wesentliche Einrichtungen mussten dort bis zum 18. April 2026 eine geprüfte Konformitätsbewertung einreichen, entweder über CyberFundamentals (CyFun), ISO/IEC 27001 oder eine direkte CCB-Prüfung. Selbsterklärungen werden nicht akzeptiert.
Das BSI hat noch keine medienwirksamen Bußgeldbescheide veröffentlicht. Was begonnen hat, sind formale Verfahren. Branchen-Tracker berichten von Dutzenden frühen Hinweisen an Einrichtungen, die sich nicht registriert oder keinen Ansprechpartner benannt hatten.
Im Fokus stehen Energie und digitale Infrastruktur.
Die Kurve dürfte nun, da die Registrierungsfrist abgelaufen ist, steiler werden.
Für alle anderen ist das Signal klar. Aufseher beginnen dort, wo die Beweislage am sichersten ist. Haben Sie sich registriert? Haben Sie einen Ansprechpartner benannt? Haben Sie bei dem letzten Vorfall die 24-Stunden-Erstmeldung abgesetzt?
Das sind die einfachen Punkte für eine Aufsicht. Und die einfachen Verluste für eine unvorbereitete Einrichtung.
Eine marktweite Zahl, die man kennen sollte: eine im April 2026 veröffentlichte CyberSmart-Befragung von 670 Verantwortlichen aus neun EU- und UK-Ländern ergab, dass nur 16 % sich sicher sind, vollständig NIS2-konform zu sein. Die restlichen 84 % sind es nicht. Mehr als jede zehnte Befragte wusste trotz Betroffenheit nicht, was NIS2 ist.
Das ist nicht “ausbaufähig”. Das ist “bei einem Audit heute durchgefallen”.
EU-Bild: Die meisten Mitgliedstaaten hinken hinterher
NIS2 hätte EU-weit bis zum 17. Oktober 2024 umgesetzt sein sollen. Die meisten Länder haben das verfehlt.
Im Frühjahr 2025 richtete die Europäische Kommission eine mit Gründen versehene Stellungnahme an 19 Mitgliedstaaten wegen unvollständiger Umsetzung. Deutschland war einer davon, trotz NIS2UmsuCG vom Dezember 2025: die Kommission zählt erst dann fertig, wenn das Gesamtbild stimmt (Primärrecht plus Durchführungsregeln plus sektorspezifische Maßnahmen).
Stand etwa ein Jahr später ist das Bild fragmentiert.
Italien hat früh umgesetzt (Gesetzesdekret 138/2024, in Kraft seit Oktober 2024). Deutschland ist seit Dezember 2025 in Kraft, sektorspezifische Verordnungen werden noch nachgezogen.
Polen hat das geänderte KSC-Gesetz Anfang April 2026 in Kraft gesetzt und den Geltungsbereich von rund 400 auf 42.000 Einrichtungen erweitert. Belgien hat Mitte April 2026 sein erstes verbindliches Audit-Fenster aktiviert.
In den Niederlanden hat das Cyberbeveiligingswet Mitte April 2026 die Zweite Kammer passiert. Inkrafttreten ist um Juli 2026 zu erwarten.
Frankreich, Spanien, Irland und Luxemburg befinden sich weiterhin in der finalen oder aktiven Gesetzgebung. Österreichs NISG 2026 soll im Oktober 2026 in Kraft treten. Bis dahin gilt das NISG 2018 weiter.
Wenn Ihre Organisation in mehreren EU-Ländern tätig ist, ist die Umsetzungslandschaft real fragmentiert. Die sicherheitstechnische Mindestbasis ist dieselbe.
Die verfahrens- und meldetechnischen Details unterscheiden sich. Planen Sie für die strengste Variante, nicht für den Durchschnitt.
ENISA-Leitfaden: Das Referenzdokument, das Sie wirklich lesen sollten
ENISAs Technical Implementation Guidance on Cybersecurity Risk Management Measures (Version 1.0, Juni 2025) ist das nützlichste Einzeldokument, um die abstrakten NIS2-Anforderungen in konkrete Kontrollen zu übersetzen. 170 Seiten, gegliedert in 13 Themenbereiche, mit Belegbeispielen für jeden Bereich.
Lieferkettensicherheit ist einer der 13. Genauso Vorfallbehandlung, Asset Management, Kryptographie und Personalsicherheit.
Wenn Sie ein NIS2-Kontrollrahmenwerk von Grund auf bauen, beginnen Sie hier. Rechtlich nicht bindend, aber Aufseher werden es de facto als Maßstab nehmen.
Speziell für die Lieferkette hat die NIS-Kooperationsgruppe 2025 zusätzlich die EU ICT Supply Chain Security Toolbox verabschiedet: das politische Pendant zur technischen ENISA-Anleitung.
Die Strafen sind real
Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 %.
Aber die Bußgelder sind nicht das Bedrohlichste. Die Geschäftsführerhaftung ist es. Unter dem überarbeiteten BSI-Gesetz können Führungskräfte persönlich für unzureichende Cybersicherheitsmaßnahmen haften. Das ist neu.
Deutschland ist Europas Ziel Nummer eins für Cyberangriffe. Nur 29 % der KMU bewerten ihre Cyberabwehr als ausgereift. Und 55 % der KMU sagen, dass ein Cyberangriff-Schaden unter 50.000 Euro ihre Geschäftsfähigkeit bedrohen würde.
Umsetzungsfahrplan (für Nachzügler)
Wenn Sie diesen Text Mitte 2026 lesen und noch keine NIS2-Arbeit geleistet haben: das ist die Aufholsequenz. Sie geht davon aus, dass Sie die Frist vom 6. März verpasst haben und die Lücke nun zügig schließen müssen.
Diese Woche: Geltungsbereich klären und registrieren. Bestätigen, ob Sie betroffen sind, und Ihre Kategorie festlegen (wesentlich oder wichtig). BSI-Registrierung anstoßen, falls noch offen. Elster-Organisationszertifikat heute beantragen, falls nicht vorhanden, und einen primären sowie einen stellvertretenden Sicherheitsansprechpartner benennen.
Wochen 1-2: Gap-Analyse gegen den ENISA-Leitfaden. Nicht neu erfinden. Aktuellen Stand gegen die 13 Themenbereiche der ENISA-Anleitung mappen. Die Lücken werden offensichtlich.
Monat 1: Quick Wins, die Auditoren bemerken. MFA für alle administrativen Zugänge plus zentralisierte Protokollierung als Minimum (SIEM, wenn das Budget reicht). Ein dokumentiertes Incident-Response-Verfahren mit eingearbeiteter 24/72/30-Tage-Logik, dazu getestete Wiederherstellung (nicht nur Backup-Ausführung).
Monat 2-3: Kernimplementierung. SIEM oder gehärtetes zentrales Log-Management bereitstellen. Eine Tabletop-Übung durchführen, die explizit den 24-Stunden-BSI-Erstmeldeschritt durchspielt. Die Lieferketten-Bewertung mit den 20 wichtigsten Lieferanten starten und die Netzsegmentierung zwischen Unternehmens- und Produktionsumgebung umsetzen.
Monat 4-6: Risikomanagement-Rahmenwerk. Methodik dokumentieren. Formale Lieferantenrisikobewertungen durchführen und NIS2-Sicherheitsklauseln in laufende Vertragsverlängerungen aufnehmen. Schwachstellen-SLA festlegen: 30 Tage für kritische, 90 für hohe Schwachstellen.
Laufend. Vierteljährliche Incident-Response-Übungen. Jährliche Penetrationstests. Kontinuierliche Schwachstellenscans. Mitarbeiterschulungen. Lieferantenneubewertung im Zyklus.
Wenn Sie diesen Loop bereits drehen, bedeutet eine zukünftige Prüfungsfeststellung Verbesserung, nicht Versagen. Wenn nicht, wird die erste Prüfung das Versagen sein.
Für den breiteren EU-Regulierungskontext siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Und zur Integration von Sicherheit in Ihren Entwicklungsprozess: Security by Design.
Müssen Sie Ihre Softwaresysteme NIS2-konform machen? Lassen Sie uns Ihren aktuellen Stand bewerten. Wir bauen Sicherheit von Anfang an in die Architektur ein.
