Vaeren
Themen-Hub

NIS2

Die zweite EU-Richtlinie zur Netz- und Informationssicherheit und ihre deutsche Umsetzung.

Aktueller Stand · 16. Mai 2026

Die deutsche Umsetzung (NIS2UmsuCG) wird im vierten Quartal 2026 erwartet. Die Pflichten der EU-Richtlinie gelten unabhängig davon faktisch bereits.

Wer ist betroffen?

Wesentliche Einrichtungen (Annex I)

Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, ab 250 Mitarbeitenden oder 50 Mio. EUR Umsatz.

Wichtige Einrichtungen (Annex II)

Post, Abfall, Lebensmittel, Hersteller von Industrieprodukten, Forschung, digitale Dienste, ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz.

Anzahl betroffener Unternehmen DE

Schätzung BMI: rund 30.000 Unternehmen.

Nicht betroffen

Kleinstunternehmen unter 50 Mitarbeitenden und 10 Mio. EUR Umsatz, mit Ausnahme bestimmter Sektoren.

Pflichten im Überblick

1
Risikomanagement etablieren

Cybersicherheits-Risiken systematisch identifizieren, bewerten, behandeln.

vor Geltungsbeginn DE
2
Geschäftsleitungs-Verantwortung

Geschäftsleitung haftet persönlich für Risiken. Pflicht zur Cybersecurity-Fortbildung.

vor Geltungsbeginn DE
3
Vorfall-Meldung (24/72 Stunden)

Erstmeldung an BSI binnen 24 Stunden, Folgemeldung 72 Stunden, Abschlussbericht 1 Monat.

vor Geltungsbeginn DE
4
Supply-Chain-Sicherheit

Cybersecurity-Anforderungen an Zulieferer und Dienstleister sicherstellen.

vor Geltungsbeginn DE
5
Business Continuity + Backup

Notfallpläne, regelmäßige Tests, Wiederherstellbarkeit nach Vorfällen.

vor Geltungsbeginn DE
6
Mitarbeitenden-Schulung

Regelmäßige Schulung aller Beschäftigten in Cybersecurity-Grundlagen.

laufend

Wichtige Stichtage

Auszug aus dem vollständigen Fristen-Kalender.

  • 17. Oktober 2024 NIS2: EU-Umsetzungsfrist abgelaufen (DE verfehlt) Quelle
  • 15. Juli 2026 BSI-Lagebericht: Veröffentlichung erwartet Quelle
  • 17. Oktober 2026 NIS2: ursprüngliche EU-Umsetzungsfrist (überschritten in DE) Quelle
  • 31. Oktober 2026 DE NIS2UmsuCG: erwartetes Inkrafttreten Quelle
  • 15. März 2027 ENISA Threat Landscape: Annual Report Quelle

Häufige Fragen

Sind wir betroffen, wenn wir Produkte für Energieversorger liefern? +
Möglicherweise direkt (Annex II Industrieprodukte) und mittelbar (Supply-Chain-Pflicht der Energieversorger gegen Sie). Selbst-Einstufung dringend empfohlen.
Reicht ISO 27001? +
Eine zertifizierte ISO 27001 erfüllt einen Großteil der NIS2-Anforderungen. Ergänzungen sind nötig bei Meldepflichten und Supply-Chain.
Wird das Geschäftsführungs-Haftungsrisiko durchsetzbar? +
Ja. Die Richtlinie und der deutsche Entwurf sehen persönliche Haftung der Geschäftsleitung bei Pflichtverletzungen vor. Eine D&O-Versicherung sollte angepasst werden.
Was, wenn wir kein BSI-Kontakt haben? +
Das BSI ist die zentrale nationale Stelle. Vorfälle werden über das Melde- und Lagezentrum gemeldet. Vorab-Registrierung wird Pflicht sein.
Wieviel kostet die Umsetzung? +
Stark abhängig vom Reifegrad. Erfahrungswerte aus Pilotprojekten: 80.000 bis 500.000 EUR initial, 30.000 bis 150.000 EUR jährlich.
Was, wenn die deutsche Umsetzung sich weiter verzögert? +
Die EU-Richtlinie gilt unabhängig von der deutschen Umsetzung. Aufsichtsbehörden in anderen Mitgliedsstaaten können Sie für Tätigkeiten dort prüfen.

Weiterführende Quellen