Compliance

Cybersicherheit: Die NIS2-Richtlinie und ihre Folgen für Unternehmen

News 23.12.2025 | 07:00 Uhr
Dr. Felix Sühlmann-Faul
Dr. Felix Sühlmann-Faul
 Experte für Digitalisierung und Nachhaltigkeit, Techniksoziologe, Berater, Autor
Cybersicherheit: Folgen der NIS2-Richtlinie für Unternehmen
Bild: Adobestock Cybersicherheit wird Chefsache: Die Geschäftsleitung trägt die Gesamtverantwortung für IT-Sicherheit

Die gute Nachricht: Das NIS2-Umsetzungsgesetz ist seit dem 6.12.2025 endlich in Kraft. Die schlechte Nachricht: Es gibt keine Übergangsfristen. Rund 30.000 Unternehmen in Deutschland müssen nun handeln: Registrierung beim BSI, verschärfte Meldepflichten und persönliche Haftung der Geschäftsführung machen Cybersicherheit spätestens jetzt zum zentralen Compliance-Thema. 

NIS2-Umsetzung erfolgt phasenweise 

Die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2, EU 2022/2555) trat bereits am 16.12023 auf EU-Ebene in Kraft. Deutschland hat die Umsetzungsfrist vom 17.10.2024 deutlich verfehlt. Nach monatelangen Verzögerungen und einem Vertragsverletzungsverfahren der EU-Kommission wurde das NIS2-Umsetzungsgesetz am 5.12.2025 verkündet und trat am 6.12.2025 in Kraft. 

Die Umsetzung erfolgt in mehreren Phasen: 

  • Ab dem 6.12.2025 gelten die Registrierungs- und Meldepflichten sowie die Geschäftsführerhaftung. 
  • Innerhalb von 3 Monaten (bis Anfang März 2026) müssen sich betroffene Unternehmen beim BSI registrieren. 
  • Innerhalb von 2 Jahren (bis Dezember 2027) ist der Nachweis der Sicherheitsmaßnahmen zu erbringen. 

Erweiterter Anwendungsbereich erfasst 30.000 Unternehmen 

Die NIS2-Richtlinie unterscheidet zwischen besonders wichtigen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities) in 18 Sektoren. Dazu zählen neben klassischen KRITIS-Bereichen wie Energie, Gesundheit und Verkehr nun auch Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion sowie digitale Dienste wie Cloud-Provider und Rechenzenzentren. 

Besonders wichtige Einrichtungen unterliegen der Regulierung bei mehr als 250 Mitarbeitenden oder einem Jahresumsatz über 50 Millionen Euro. Wichtige Einrichtungen fallen bereits ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz unter die Richtlinie. Bestimmte Sektoren der digitalen Infrastruktur sind größenunabhängig betroffen. 

Meldepflichten und Registrierung beim BSI 

Ein zentrales Element sind die verschärften Meldepflichten für Sicherheitsvorfälle in drei Stufen: 

  • Frühwarnung innerhalb von 24 Stunden nach Kenntniserlangung 
  • Konkretisierende Meldung binnen 72 Stunden mit Details zu Art und Gegenmaßnahmen 
  • Abschlussmeldung nach 30 Tagen mit Ursachenanalyse und langfristigen Abhilfemaßnahmen 

Betroffene Unternehmen müssen sich über die Plattform „ Mein Unternehmenskonto" (MUK) beim BSI registrieren und dabei Angaben zu Unternehmensname, Sektor, Ansprechpartnern und Dienstleistungsländern machen. 

Geschäftsführerhaftung als neue Herausforderung 

Nach Artikel 20 der NIS2-Richtlinie und § 38 BSI-Gesetz trägt die Geschäftsleitung die Gesamtverantwortung für IT-Sicherheit. Sie muss Risikomanagementmaßnahmen billigen, überwachen und kann für Verstöße persönlich haftbar gemacht werden. 

Neu ist die Pflicht zur Teilnahme an IT-Sicherheitsschulungen mindestens alle drei Jahre. Bei Pflichtverletzungen haften Geschäftsführer nach gesellschaftsrechtlichen Regelungen (§ 43 Abs. 2 GmbHG, § 93 AktG) mit ihrem persönlichen Vermögen. 

Bußgelder können verhängt werden: 

  • Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes 
  • Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes 

Risikomanagement und technische Maßnahmen erforderlich 

Die Richtlinie fordert umfassende technische und organisatorische Maßnahmen (TOMs): 

  • Etablierung eines Risikomanagementrahmens mit Risikoanalyse und -bewertung 
  • Incident- und Krisenmanagement mit klaren Prozessen 
  • Business Continuity Management und Disaster Recovery
  • Lieferkettensicherheit: Bewertung von Drittanbietern und Dienstleistern 
  • Schwachstellenmanagement, Multi-Faktor-Authentifizierung und Verschlüsselung 
  • Regelmäßige Schulungen für Mitarbeitende 

Parallelen zu EU AI Act und anderen Regulierungen 

Die NIS2 ist Teil eines umfassenderen EU-Regulierungstrends zur Digitalisierung. Parallelen zum  EU AI Act sind unverkennbar: Beide setzen auf einen risikobasierten Ansatz, definieren Meldepflichten, sehen strenge Sanktionen vor und verlangen eine Verankerung in der Unternehmensführung. 

Hinzu kommen  DORA (Digital Operational Resilience Act) für den Finanzsektor und der  Cyber Resilience Act (CRA) für digitale Produkte. Für Unternehmen, die mehreren Regelwerken unterliegen, gilt es, Synergien zu nutzen und ein strukturiertes Informations-Sicherheits-Management-System (ISMS) nach ISO 27001 als Grundlage zu etablieren. 

Was Unternehmen jetzt tun müssen 

  1. Betroffenheit prüfen: Sektor und Größenschwellen abgleichen 
  2. Registrierung vorbereiten: Anmeldung beim BSI bis Anfang März 2026 
  3. Gap-Analyse durchführen: IT-Sicherheitsstatus bewerten 
  4. Risikomanagement etablieren: Strukturierte Prozesse implementieren 
  5. Meldeprozesse definieren: 24-Stunden-Erstmeldung sicherstellen 
  6. Geschäftsleitung einbinden: Formelle Billigung und Schulungen 
  7. Lieferkette überprüfen: Sicherheitsklauseln in Verträge aufnehmen 

Die persönliche Haftung der Geschäftsführung, verschärfte Bußgelder und kurze Meldefristen erhöhen den Druck. Wer die NIS2-Anforderungen frühzeitig umsetzt, profitiert von Rechtssicherheit und stärkt das Vertrauen bei Kundschaft und Partnerunternehmen. 

Schlagworte zum Thema:  Recht , Compliance , Cybersicherheit
Meistgelesene Beiträge
Neueste Beiträge
0 Kommentare
Das Eingabefeld enthält noch keinen Text oder nicht erlaubte Sonderzeichen. Bitte überprüfen Sie Ihre Eingabe, um den Kommentar veröffentlichen zu können.
Noch keine Kommentare - teilen Sie Ihre Sicht und starten Sie die Diskussion
Zum Haufe Shop
Zum Thema Wirtschaftsrecht
Deutsches Anwalt Office Premium: Die umfassende digitale Fachbibliothek
Deutsches Anwalt Office Premium

Neben 150 Fachbüchern, Zeitschriften und einer Entscheidungs-datenbank bietet diese Fachbibliothek nützliche Umsetzungshilfen für die tägliche Fallbearbeitung sowie ein umfassendes Fortbildungsangebot.
Machen Sie Ihre Kanzlei digital fit: Mit der Kanzleisoftware Advolux
Advolux

Mit der modernen Kanzleisoftware für Windows, Mac und Linux – auch in der Cloud – nutzen Sie die Vorteile der Digitalisierung für Ihre Kanzlei.
Haufe Shop: Mergers & Acquisitions
Mergers & Acquisitions

M&A-Aktivitäten umfassen ein breites Themenspektrum, zu dem Unternehmenskäufe und -verkäufe, Beteiligungen, Fusionen und Joint Ventures genauso gehören wie strategische Allianzen. Die Motive für M&A-Aktivitäten können vielfältig sein, sie reichen von Wachstum über Restrukturierungen bis zu Nachfolgeregelungen. Über 80 renommierte Autorinnen und Autoren aus Unternehmens- und Rechtsberatung und aus der Wissenschaft analysieren in diesem Praxisbuch den M&A-Markt aus der Markt-, Transaktions- und Rechtsperspektive. Neu ist die Berücksichtigung von Entwicklungen im Kontext Nachhaltigkeit.
Bleiben Sie immer Up-to-date mit dem Recht Newsletter - kostenlos und unverbindlich