NIS2 ist seit 2024 EU-Recht und wird durch das deutsche NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Anders als beim Vorgänger IT-SiG 2.0 sind diesmal nicht nur die klassischen KRITIS-Betreiber betroffen, sondern viele tausend Unternehmen mehr — auch reine Mittelständler, die bisher mit dem Thema Cybersicherheits-Compliance nichts zu tun hatten.
Hier die Lage 2026, mit dem, was wir aus echten Projekten gelernt haben.
Bin ich überhaupt betroffen?
NIS2 unterscheidet zwei Kategorien:
- Wesentliche Einrichtungen in 11 Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung digitaler IKT-Dienste, öffentliche Verwaltung, Raumfahrt — Schwelle: ab 250 MA oder 50 Mio. € Umsatz.
- Wichtige Einrichtungen in 7 weiteren Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitendes Gewerbe (in Auswahl), Anbieter digitaler Dienste, Forschung — Schwelle: ab 50 MA oder 10 Mio. € Umsatz.
Wichtig: Für einige besonders kritische Sektoren (z. B. qualifizierte Vertrauensdienste, TLD-Registries, DNS-Provider) gelten niedrigere Schwellen. Plus: Lieferanten von wesentlichen Einrichtungen werden über die Lieferketten-Anforderung indirekt mit erfasst — auch wenn sie selbst die Schwellen nicht erreichen.
Faustregel: Wenn Sie in einem der 18 Sektoren tätig sind UND Mittelstand-Schwelle erreichen, gelten Sie mit hoher Wahrscheinlichkeit als wichtige oder wesentliche Einrichtung. Eine 60-minütige Sektor-/Größen-Einordnung gibt Ihnen die verbindliche Einschätzung.
Was sich konkret ändert vs. IT-Sicherheitsgesetz 2.0
Drei Kernänderungen:
- Erweiterter Anwenderkreis: IT-SiG 2.0 betraf rund 1.700 Betreiber in Deutschland. NIS2 wird Schätzungen zufolge auf 30.000 – 40.000 Einrichtungen ausgeweitet.
- Persönliche Haftung der Geschäftsleitung: Vorstände und Geschäftsführer müssen das Cybersicherheits-Risikomanagement persönlich verantworten und sind für Verstöße haftbar. Das ist ein Dimensionssprung gegenüber der reinen Unternehmenshaftung im IT-SiG.
- Schärfere Meldefristen: 24 Stunden für die Erstmeldung („frühe Warnung”), 72 Stunden für die ausführliche Folgemeldung, ein Monat für den Abschlussbericht. Wer das nicht im Vorgehensmodell hat, verliert in einem realen Vorfall die ersten 12 Stunden mit der Klärung, wer was meldet.
Bußgelder und persönliche Haftung
Die maximalen Bußgelder sind an die DSGVO angelehnt:
- Wesentliche Einrichtungen: bis 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (höherer Wert).
- Wichtige Einrichtungen: bis 7 Mio. € oder 1,4 %.
- Geschäftsleitung kann im Wiederholungsfall persönlich in Haftung genommen werden — Stichwort „persönliche Schulung der Geschäftsleitung” als Pflicht nach Art. 20 NIS2.
Der Unterschied zur DSGVO: das BSI als zuständige Aufsicht hat in den letzten Jahren operatives Personal aufgestockt und wird voraussichtlich aktiver durchgreifen als manche Datenschutz-Aufsicht.
Die 24/72/30-Meldepflicht — operativ
Der häufigste Stolperstein in echten Projekten: die Meldepflicht ist nicht einfach „BSI-Formular ausfüllen”. Sie verlangt, dass innerhalb von 24 Stunden bereits eine erste fundierte Aussage zur Auswirkung getroffen wird. Das setzt voraus, dass Sie:
- wissen, welche Systeme als „wesentlich” eingestuft sind (Asset-Inventar mit Kritikalitäts-Klassifizierung)
- Logging in einer Form haben, das innerhalb von Stunden auswertbar ist (SIEM oder strukturiertes Log-Management)
- einen definierten Eskalationspfad inkl. Geschäftsleitung haben — nicht 'am Sonntag um 03:00 erstmal Telefonbuch'
- ein Incident-Response-Playbook geprobt haben (Tabletop-Übung mindestens jährlich)
Wer das nicht hat, kann die 24-h-Frist im realen Vorfall nicht einhalten. Das wird im Abschlussbericht für das BSI sichtbar.
Was Sie in den nächsten 12 Monaten konkret tun müssen
Operativer Zeitplan, getestet in mehreren Modern-Next-Projekten:
- Monat 1 – 2: Sektor- und Größeneinordnung. Klärung mit Aufsicht, falls Grenzfall. Benennung Ansprechpartner.
- Monat 2 – 3: GAP-Analyse gegen Art. 21 NIS2. Asset-Inventar mit Kritikalität.
- Monat 3 – 5: Risikoanalyse nach BSI 200-3 oder ISO 27005. Maßnahmenplan mit Priorität und Aufwand.
- Monat 4 – 9: technische Umsetzung — Netzsegmentierung, MFA flächendeckend, SIEM, immutable Backups, Patch-Management.
- Monat 6 – 9: Awareness-Programm für Mitarbeitende, verpflichtende Schulung der Geschäftsleitung, Tabletop-Übung Notfall.
- Monat 9 – 12: Registrierung beim BSI als wichtige/wesentliche Einrichtung. Jährliche Selbstauskunft vorbereiten. Re-Audit-Plan.
Das ist ehrlich gerechnet — wir kennen niemanden, der das in unter neun Monaten sauber durchgezogen hat.
Stolperfallen aus echten Projekten
Was wir in NIS2-Projekten erlebt haben, das nicht in den Beraterfolien steht:
- Lieferanten verstehen ihre Mit-Pflichten nicht. Sie schreiben Lieferanten an, weil NIS2 das verlangt — und bekommen E-Mail-Antworten zurück, dass „die Anfrage nicht zuständig”. Plant 6 – 12 Monate für saubere Lieferanten-Erklärungen.
- SIEM ohne Auswertung ist teures Logfile. Wer SIEM einkauft, braucht ein 24/7-Auswertungsmodell. Sonst sieht das BSI im Vorfall, dass Detection vorhanden, aber Response fehlt.
- Geschäftsleitungs-Schulung wird unterschätzt. Art. 20 NIS2 verlangt mehr als ein Awareness-Video. Die Pflicht ist auf Verstehen und persönliches Risiko ausgelegt — Format ist Workshop, nicht E-Learning.
- Backup-Architektur wird zu spät angefasst. Wer NIS2-Reife auf einem klassischen, online-erreichbaren Backup-Setup nachweisen will, kann das nicht. Immutable und Air-Gapped sind heute Standard-Erwartung.
Fazit
NIS2 ist kein „Wir machen das Q3 nächstes Jahr”-Projekt. Wer 2026 noch nicht mit der GAP-Analyse begonnen hat, läuft in das Risiko, die Frist nicht zu schaffen — mit persönlicher Haftung der Geschäftsleitung als Eskalationsstufe.
Falls Sie Klarheit über Ihren Status brauchen: unsere NIS2-Leistung beschreibt unseren Vorgehensmodell. Für eine 30-minütige Sektor-Einordnung melden Sie sich — kostenfrei, ohne Vertriebsdruck.
Eigenes Vorhaben in dem Bereich?
30 Minuten reichen für eine ehrliche Einschätzung. Kostenfrei, ohne Vertriebsdruck.