Die EU‑Richtlinie (EU) 2022/2555 („NIS2-Richtlinie“) ist seit Ende 2022 in Kraft und soll in allen Mitgliedstaaten ein hohes, einheitliches Niveau der Cybersicherheit etablieren. Deutschland hat lange gezögert – nun ist zum Jahreswechsel 2025/2026 mit dem Gesetz zur Umsetzung der NIS‑2‑Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2‑RLUG) der große Wurf erfolgt: Das Gesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten.
Damit endet eine lang anhaltende Phase von Entwürfen und politischen Manövern, inklusive des gescheiterten NIS2UmsuCG, und beginnt eine Phase verbindlicher Pflichten mit spürbaren Aufsichts‑ und Sanktionsrisiken. Für das Management bedeutet dies: NIS2 ist kein Zukunftsthema mehr, sondern ein geltender Rechtsrahmen, der unmittelbar in Strategie, Governance und Budgetplanung abgebildet werden muss.
Hinweis: Der Beitrag stammt ursprünglich aus dem Juni 2025 und wurde zuletzt im Februar 2026 aktualisiert.
Verzögerte NIS2-Umsetzung in Deutschland
Die Verzögerung hat Gründe: Die politische Instabilität der vergangenen Jahre, die Komplexität der Abstimmung zwischen Bund, Ländern und Wirtschaft und nicht zuletzt die Debatte über die Eingriffstiefe des Staates in unternehmerische Kernprozesse haben Fortschritte blockiert. Diese Verzögerung der NIS2‑Umsetzung war politisch teuer: Gegen Deutschland lief ein Vertragsverletzungsverfahren, die Kommission drängte, und gleichzeitig stritt die Politik über Reichweite, BSI‑Mandat und Eingriffstiefe gegenüber Unternehmen. Nach dem Regierungswechsel und mehreren Überarbeitungen ist der Kompromiss nun gefunden – und er fällt klar zugunsten einer starken staatlichen Cybersicherheitsarchitektur aus.
Bemerkenswert ist der Takt: Das NIS2‑Umsetzungsgesetz tritt ohne Übergangsfristen am Tag nach der Verkündung in Kraft; Unternehmen können sich nicht auf Schonfristen berufen, sondern müssen mit den bestehenden Strukturen in die Aufsicht starten. Praktisch bedeutet das, dass viele Organisationen ihre Hausaufgaben nun unter Aufsicht nachholen – und zwar mit einem Bußgeldrahmen, der sich an der DSGVO orientiert.
Cybersicherheit bei uns im Blog
Aufgrund unserer Spezialisierung auf Cybersecurity-Rechtsfragen (RA JF ist zertifizierter Experte für Cybersicherheit, SRH) sowie Managerhaftung beschäftigen wir uns regelmäßig in Beiträgen mit dem IT-Sicherheitsrecht:
- NIS2-Umsetzung in Deutschland 2026
- NIS2-Richtlinie und NIS-Richtlinie
- CER-Richtlinie und DORA
- IT-Sicherheitgesetz 2.0 und IT-Sicherheitsgesetz 1.0
- Cybersecurity-Act und Cyber Solidarity Act
- EU-Verordnung zur Informationssicherheit
- BSI-Gesetz als Grundlage der Cybersecurity (derzeit veraltet)
- Haftung der Geschäftsführung für Sicherheitsmängel
- Softwareupdates gesetzlich geregelt
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Bug-Bounty-Programme
- Wirksame Kündigung bei Verstoß gegen Richtlinie zur Informationssicherheit
- Fahrlässige Tötung durch Schadsoftware im Krankenhaus?
- Haftung des Arbeitnehmers für Installation von Ransomware oder Virus
- Ransomware-Angriffe im Alltag
- Vertrag über Penetrationstest
Grundidee der NIS2-Richtlinie und nationale Anpassung
Die NIS2‑Richtlinie folgt einem präventiven Paradigma: Sie will diejenigen Sektoren und Dienste absichern, deren Ausfall gesellschaftliche oder volkswirtschaftliche Schockwellen auslösen würde – von Energie, Verkehr und Gesundheit über Finanz‑ und Verwaltungsdienstleistungen bis hin zu Cloud‑Services, Rechenzentren und digitalen Plattformen. Deutschland setzt diese Architektur in einem vollständig und umfassend neu gefassten BSI‑Gesetz (BSIG) um, wobei sogar an mehreren Stellen darüber hinausgegangen wird:
- Es etabliert drei Kategorien von Adressaten: Betreiber kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen – jeweils mit abgestuften, aber verbindlichen Mindestpflichten.
- Es zieht die Bundesverwaltung systematisch in das Sicherheitsregime ein und verankert einen koordinierenden „CISO Bund“ sowie verbindliche IT‑Grundschutz‑Standards für Behörden.
- Es verlagert zentrale Weichenstellungen – Schwellenwerte, Sektorkataloge, Einstufung kritischer Komponenten – auf Rechtsverordnungen des Bundesinnenministeriums, wodurch die operative Definitionsmacht stärker beim Staat und weniger in politischen Aushandlungsprozessen liegt.
Aus Sicht des Managements ist zu sehen, dass die rechtlichen Rahmenbedingungen nicht mehr nur im Gesetz selbst, sondern zunehmend in dynamischen Verordnungen konkretisiert werden, die engmaschig zu beobachten sind.
3. NIS2: Wer jetzt tatsächlich erfasst ist
Die Neuregelung vergrößert den Kreis der unmittelbar regulierten Einrichtungen massiv: Aus bislang wenigen Tausend Betreibern kritischer Infrastrukturen werden – je nach Schätzung – rund 30.000 Unternehmen und Organisationen, die künftig unter die NIS2‑Pflichten fallen. Erfasst werden nicht nur klassische Kritikalitäts‑Sektoren, sondern auch viele mittelständische Anbieter von IT‑Dienstleistungen, Rechenzentrumskapazitäten oder wichtigen Vorleistungen in Lieferketten.
Ein wichtiges Korrektiv ist die gesetzliche Klarstellung, dass rein untergeordnete Nebentätigkeiten bei der Einstufung außen vor bleiben sollen, um Fehlzuordnungen und übermäßige Bürokratie zu vermeiden. Gleichwohl ist die Schwelle bewusst so gezogen, dass auch Unternehmen, die sich bisher als „normale“ Player sahen, nun als besonders wichtige oder wichtige Einrichtung eingestuft werden können – allein aufgrund ihrer Größe oder ihrer Rolle in kritischen Wertschöpfungsketten. Die Pflichtenarchitektur bleibt dabei dreigeteilt:
- Melde‑ und Reaktionspflichten: Meldekaskade bei Sicherheitsvorfällen mit kurzen Fristen, etablierten Reaktionsketten und dokumentierten Lessons Learned.
- Risikomanagement und technische/organisatorische Maßnahmen: Aufbau und Betrieb eines angemessenen Informationssicherheits‑Managements, abgestimmt auf Branche, Größe und Risikoprofil.
- Registrierung, Nachweisführung und Governance: Registrierung beim BSI, strukturierte Dokumentation und periodische Nachweise gegenüber der Aufsicht; verstärkte Verantwortung der Geschäftsleitung, inklusive Pflichtschulungen und Überwachung der Umsetzung.
Besonderes Augenmerk verdient die Rolle der Geschäftsleitung: Sie trägt die Gesamtverantwortung für Planung, Implementierung und Überwachung aller Maßnahmen. Ein Delegieren entbindet nicht von Haftung. Pflichtschulungen sind verpflichtend; Verstöße können zivilrechtliche und bußgeldrechtliche Folgen nach sich ziehen. Damit wird Cybersicherheit rechtlich zu einer Compliance-Kernaufgabe auf Vorstandsebene.
4. Rolle des BSI und institutionelle Neuerungen durch NIS2
Das BSI wird durch den Entwurf noch deutlicher als zentrale Sicherheitsbehörde positioniert. Seine Aufsichtskompetenzen, Prüfungsrechte und Befugnisse zur direkten Öffentlichkeitsinformation werden massiv ausgebaut. In besonders sensiblen Sektoren wie Energie tritt es künftig gemeinsam mit der Bundesnetzagentur auf — ein Modell, das sektorspezifisches Know-how mit Cybersicherheits-Expertise verbindet.
Im Bund selbst wird der IT-Grundschutz auf sämtliche Behörden ausgedehnt, nicht mehr nur auf Ministerien und Kanzleramt. Mit dem „CISO Bund“ entsteht eine neue, strategisch angelegte Leitungsposition, die ressortübergreifend Sicherheitsvorgaben harmonisieren und deren Einhaltung sicherstellen soll. Auch wenn Details zur praktischen Ausgestaltung noch offen sind, signalisiert diese Struktur eine ernsthafte Zentralisierung der staatlichen Cyberabwehr.
5. Wirtschaftliche Implikationen
Die Umsetzung ist finanziell wie organisatorisch herausfordernd. Der Referentenentwurf schätzt allein den zusätzlichen Erfüllungsaufwand für die Wirtschaft auf jährlich über zwei Milliarden Euro, zuzüglich eines einmaligen Aufwands von über zwei Milliarden für Prozessanpassungen und IT-Investitionen. Für die Bundesverwaltung kommen jährlich über 300 Millionen Euro hinzu. Diese Investitionen sind politisch gerechtfertigt mit dem Argument, dass sie Schäden in Milliardenhöhe abwenden können — laut Bitkom lag der durchschnittliche jährliche Schaden durch Cyberangriffe zuletzt bei rund 210 Milliarden Euro.
6. NIS2: Handlungspflichten für die Unternehmensführung — jetzt
Mit dem Inkrafttreten des NIS2‑Umsetzungsgesetzes gibt es keine bequeme Zwischenphase mehr: Für betroffene Unternehmen ist Cybersicherheit eine regulierte Compliance‑Pflicht geworden, die unmittelbar in der Verantwortung von Geschäftsleitung und Aufsichtsorganen liegt. Entscheidend ist nicht mehr, ob „etwas gemacht wird“, sondern ob sich Maßnahmen, Prozesse und Investitionen am gesetzlichen Pflichtenkatalog messen lassen.
In der Praxis sollten Vorstände und Geschäftsführungen kurzfristig mindestens Folgendes umsetzen:
- Einstufung klären: Systematische Prüfung, ob das Unternehmen als Betreiber kritischer Anlagen, als besonders wichtige oder als wichtige Einrichtung einzustufen ist – gegebenenfalls mit externer fachlicher Begleitung.
- Risikomanagement professionalisieren: Konsistente Verknüpfung von Informationssicherheits‑Risiken mit dem unternehmensweiten Risikomanagement, inklusive klarer Reporting‑Linien an die Geschäftsleitung und den Aufsichtsrat.
- Meldeketten und Incident‑Response etablieren: Formal definierte Meldeketten, 24/7‑Erreichbarkeit, Notfall‑Playbooks und ein geübtes Incident‑Response‑Team, das technisch wie organisatorisch funktionsfähig ist.
- Lieferketten in den Blick nehmen: Systematische Risikoanalyse von Dienstleistern und Lieferanten, Anpassung von Verträgen und SLA‑Strukturen an NIS2‑anfordernde Mindeststandards.
- Rolle der Geschäftsleitung dokumentieren: Klare Beschlusslagen, Protokolle, Schulungen und Kontrollberichte, um später nachweisen zu können, dass Pflichten ernst genommen und organisatorisch umgesetzt wurden.
Wer diese Punkte in den nächsten Wochen bis Monaten nicht zumindest strukturiert auf den Weg bringt, geht ein doppeltes Risiko ein: Bußgelder und Aufsichtsmaßnahmen einerseits sowie eine deutlich verschärfte Haftungsdiskussion bei gravierenden Vorfällen andererseits.
Mit der neuen NIS2-Umsetzung schafft Deutschland eine belastbare Rechtsgrundlage, die klare Verantwortlichkeiten definiert und damit Management, IT-Abteilungen und Aufsichtsgremien gleichermaßen in die Pflicht nimmt. Wer seine Hausaufgaben jetzt macht, sichert nicht nur die Compliance, sondern auch den Fortbestand seiner Geschäftsmodelle in einer digital verwundbaren Welt.
Hacking im Blog
- Hackangriff bzw. Cyberangriff – Was tun?
- Datenleck: Herausforderungen für Unternehmen
- NIS2-Umsetzung in Deutschland 2026
- Fake News als Gefahr für Unternehmen
- IT-Forensik aus Sicht des Managements
- IT-Sicherheit im Arbeitsrecht
- Wie schütze ich mich vor einem Hackangriff?
- Was ist ein sicheres Passwort?
- Phishing-Seiten-Installation am Beispiel ZPhisher
- Bin ich von einem Hackangriff betroffen?
- Glossar zum Cybercrime mit klassischen Angriffsszenarien
- Strafbarkeit der Suche nach Sicherheitslücken
- Business-Continuity-Management
- Unser Hacker-Guide: Russland, Iran, Nordkorea und China
- Unser Ransomware-Guide:
Mindestsicherheit nach § 30 BSIG
Der Pflichtenkatalog zur „Mindestsicherheit“ findet sich im neuen § 30 BSIG, der die Anforderungen aus Artikel 21 NIS2 in deutsches Recht übersetzt. Anders als viele interne Policies ist dieser Katalog kein Wunschzettel, sondern eine rechtlich durchsetzbare Mindestlinie, an der sich Aufsicht, Bußgeldpraxis und auch Zivilgerichte orientieren werden. Die Norm bündelt die Anforderungen in einem integrierten Risikomanagement‑Ansatz: vom klassischen technischen Schutz über Krisenmanagement und Lieferketten‑Sicherheit bis hin zu Governance, Schulung und Angriffserkennung. Für das Management lohnt sich der Blick in die Struktur – das Gesetz gibt faktisch die Agenda für das Informationssicherheits‑Programm vor.
| Bereich | NIS2-Umsetzung | NIS2-Richtlinie | ISO/IEC 27001 |
|---|---|---|---|
| Risikomanagement | § 30 Absatz 1: Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen. | Artikel 21 Absatz 2, Buchstabe a: Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme und Netzwerke. | Abschnitt 6.1: Maßnahmen zum Umgang mit Risiken und Chancen. |
| Sicherheitsvorfälle bewältigen | § 30 Absatz 2 Nr. 2: Maßnahmen zur Bewältigung von Sicherheitsvorfällen. | Artikel 21 Absatz 2, Buchstabe b: Vorkehrungen zur Prävention und Bewältigung von Sicherheitsvorfällen. | Abschnitt 16: Management von Informationssicherheitsvorfällen. |
| Betriebsfortführung und Krisenmanagement | § 30 Absatz 2 Nr. 3: Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement. | Artikel 21 Absatz 2, Buchstabe c: Kontinuitätspläne und Verfahren für das Krisenmanagement. | Abschnitt 17: Informationssicherheitsaspekte des Geschäftsfortführungsmanagements. |
| Sicherheit der Lieferkette | § 30 Absatz 2 Nr. 4: Sicherheitsmaßnahmen für die Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen. | Artikel 21 Absatz 5: Maßnahmen für die Sicherheit der Lieferkette. | Abschnitt A.15: Lieferantenbeziehungen. |
| Schulung und Sensibilisierung | § 38 Absatz 3: Regelmäßige Schulungen für Geschäftsleitungen und alle Beschäftigten sowie § 30 Absatz 2 Nr. 7: Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik. | Artikel 21 Absatz 2, Buchstabe e: Schulung und Sensibilisierung der Mitarbeiter. | Abschnitt 7.2.2: Bewusstsein, Schulung und Kompetenz. |
| Technische und organisatorische Maßnahmen | § 30 Absatz 1: Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. | Artikel 21 Absatz 2: Maßnahmen zur Vermeidung und Begrenzung von Sicherheitsvorfällen. | Abschnitt 6.2: Informationssicherheitsziele und Planung zu deren Erreichung. |
| Kryptografie und Verschlüsselung | § 30 Absatz 2 Nr. 8: Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung. | Nicht explizit erwähnt. | Abschnitt A.10: Kryptografische Maßnahmen. |
| Angriffserkennung | § 31 Absatz 2: Systeme zur Angriffserkennung einsetzen. | Nicht explizit erwähnt. | Abschnitt A.12: Betriebssicherheit (einschließlich Überwachungsmaßnahmen). |
| Multifaktor-Authentifizierung | § 30 Absatz 2 Nr. 10: Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung. | Nicht explizit erwähnt. | Abschnitt A.9: Zugangskontrolle. |
| Personalsicherheit | § 30 Absatz 2 Nr. 9: Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen. | Nicht explizit erwähnt. | Abschnitt A.7: Personalsicherheit. |
Entscheidend ist im Ergebnis dann weniger, ob jede einzelne Maßnahme „irgendwie“ vorhanden ist, sondern ob sie als kohärentes System greift: Risikoanalysen, Angriffserkennung, Backup‑ und Wiederanlaufkonzepte, Lieferketten‑Kontrollen und Schulung müssen ineinandergreifen und in der Unternehmensleitung sichtbar verankert sein. In Prüf‑ und Bußgeldsituationen wird es darauf ankommen, ob sich diese Struktur in Organigrammen, Richtlinien, Protokollen und Budgetentscheidungen tatsächlich widerspiegelt.
NIS2-Umsetzung ohne Nebelkerzen
Die NIS2‑Umsetzung ist kein bloßer Technik‑Standard, sondern ein Governance‑Signal: Cybersicherheit ist endgültig Chefsache – mit klaren Pflichten, klaren Zuständigkeiten und klaren Sanktionsdrohungen. Aber sie ist eines nicht: Anlass, sich als Geschäftsleitung ins Bockshorn jagen zu lassen. Wie seinerzeit bei der DSGVO kommen nun überall die Anbieter aus den Ecken gesprungen und erschrecken mit fachlich zwar korrekten, aber in der Sache nicht gebotenen angstmachenden Hinweisen: Schulungspflicht, Mindestkatalog, Haftungsängste … all das wird gerne aufgebauscht, um eigene Dienstleistungen zu verkaufen.
- Rund 30.000 Einrichtungen fallen künftig unter das NIS2‑Regime in Deutschland.
- Der Gesetzgeber kalkuliert für die Wirtschaft mit jährlich rund 2,3 Milliarden Euro zusätzlichem Erfüllungsaufwand plus einmalig etwa 2,2 Milliarden Euro Anpassungskosten.
- Bußgeldrahmen: bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen; bis zu 7 Mio. Euro oder 1,4% für wichtige Einrichtungen – je nachdem, welcher Betrag höher ist.
Tatsache ist, dass Sie sich um das Thema kümmern müssen. Aber weder sind formalistische Schulungen sinnvoll, noch muss man jetzt die gesamte IT ersetzen. Vielmehr sollten Geschäftsleitungen die Gelegenheit nutzen, um sich generell einmal auf Stand bringen zu lassen dazu, wie Managerhaftung funktioniert, wie sich NIS2 mit seinem Sanktionenregime hier einfügt und was man auf jeden Fall verstanden und im Blick halten sollte.
Ob der Gesetzgeber am Ende mehr Resilienz oder vor allem mehr Bürokratie erzeugt, wird sich daran entscheiden, wie ernst Unternehmen die Chance zur strategischen Modernisierung ihrer Sicherheitsarchitektur nehmen. Wer Cybersicherheit weiter als reines IT‑Problem behandelt, handelt inzwischen nicht nur betriebswirtschaftlich, sondern auch rechtlich fahrlässig.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Zuständigkeit nach § 14 Abs. 2 IRG - 5. März 2026
- Zerschlagung des globalen Datenleak-Forums LeakBase - 4. März 2026
- Steuerstrafrecht: Umsatzsteuerkarussell und Luxus PKW 2026 - 4. März 2026
