NIS2-Leitfaden 2026: Pflichten, Bußgelder, Roadmap nach § 30 BSIG

1. Was ist NIS2?

Die Network and Information Security Directive 2 (Richtlinie (EU) 2022/2555, kurz NIS-2-Richtlinie) ist die zweite Generation der EU-Cybersicherheitsverordnung für kritische und wichtige Sektoren. Sie löst die Vorgänger-Richtlinie NIS1 von 2016 ab und erweitert den Anwendungsbereich erheblich: von rund 1.700 Unternehmen unter NIS1 auf ca. 29.500 unter NIS2 in Deutschland (Schätzung BSI 2024).

Die Umsetzung in nationales Recht erfolgte durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das BSI-Gesetz (BSIG) komplett neu fasst. Inkrafttreten: 06.12.2025. Die ursprüngliche EU-Umsetzungsfrist war der 17.10.2024 — Deutschland überschritt diese Frist um 14 Monate, was die Europäische Kommission im Februar 2025 mit einem Vertragsverletzungsverfahren (EU-Pilot 9930/24/CNECT) beanstandete.

NIS2 verfolgt vier zentrale Ziele:

• Harmonisierung der Cybersicherheits-Standards in der EU — Schluss mit nationalen Insellösungen.
• Verschärfung der Pflichten für mittlere und große Unternehmen in kritischen Sektoren — risikobasierte Mindestmaßnahmen nach Art. 21 NIS-2-Richtlinie.
• Direkte Haftung der Geschäftsleitung (Art. 20 NIS-2-Richtlinie, in DE umgesetzt als § 38 BSIG) — persönliche Verantwortung, nicht delegierbar an IT-Abteilung.
• Einheitliche Meldepflichten mit gestaffelten Fristen (24 h Frühwarnung, 72 h Vorfallmeldung, 1 Monat Abschlussbericht).

Zentral: NIS2 ist kein freiwilliger Sicherheitsstandard, sondern bußgeldbewehrtes Gesetz mit persönlicher Geschäftsführerhaftung. Wer in einem der 18 Sektoren tätig ist und die Größenkriterien erfüllt, ist verpflichtet, die 10 Mindestmaßnahmen umzusetzen — unabhängig davon, ob bereits ein Vorfall stattgefunden hat.

2. Wer ist von NIS2 betroffen?

Der Anwendungsbereich richtet sich nach § 28 BSIG (gegliedert in Sektoren und Größenkriterien). Es gibt drei Kategorien betroffener Einrichtungen:

2.1 Wesentliche Einrichtungen (essential entities)

Große Unternehmen (≥ 250 Mitarbeitende oder ≥ 50 Mio. € Jahresumsatz und Bilanzsumme ≥ 43 Mio. €) in den 11 hochkritischen Sektoren nach Anlage 1 BSIG:

• Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
• Verkehr (Luft, Schiene, Schiff, Straße)
• Bankwesen (Kreditinstitute)
• Finanzmarktinfrastrukturen
• Gesundheitswesen (inkl. Pharma, Medizinprodukte-Hersteller)
• Trinkwasser
• Abwasser
• Digitale Infrastruktur (TK-Anbieter, DNS, TLD-Registries, Cloud, Datenzentren)
• IKT-Dienstleister (Managed Services, Managed Security Services)
• Öffentliche Verwaltung (Bundes- und Landesbehörden)
• Weltraum

2.2 Wichtige Einrichtungen (important entities)

Mittlere Unternehmen (50–249 Mitarbeitende oder 10–50 Mio. € Jahresumsatz) in den 18 Sektoren nach Anlage 1 und 2 BSIG. Zusätzlich zu den 11 hochkritischen Sektoren kommen 7 weitere:

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemische Produktion, Herstellung, Handel
• Lebensmittelproduktion, -verarbeitung und -vertrieb
• Verarbeitendes Gewerbe (u. a. Medizinprodukte, Datenverarbeitungsgeräte, elektrische Ausrüstung, Maschinenbau, Kraftwagen, sonstiger Fahrzeugbau)
• Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschung

2.3 KRITIS-Betreiber (Sonderkategorie)

Betreiber kritischer Infrastruktur nach KRITIS-Dachgesetz sind unabhängig von Größenkriterien automatisch wesentliche Einrichtungen. Die Schwellenwerte richten sich nach der KRITIS-Verordnung (z. B. Stromversorgung ab 100.000 Haushalten, Krankenhäuser ab 30.000 vollstationären Fällen/Jahr).

2.4 Sektor-Sonderregeln (Größe egal)

In manchen Sektoren greift NIS2 unabhängig von der Größe (§ 28 Abs. 3 BSIG):

• Anbieter qualifizierter Vertrauensdienste (eIDAS)
• TLD-Registries + DNS-Diensteanbieter
• Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
• Anbieter öffentlich zugänglicher elektronischer Kommunikationsnetze
• Bestimmte Anbieter öffentlicher Verwaltung

Praxis-Tipp: Bei Konzernstrukturen greift § 28 Abs. 4 BSIG: verbundene Unternehmen werden gemeinsam betrachtet. Ein Tochterunternehmen mit nur 30 MA kann durch Konzernzugehörigkeit unter NIS2 fallen.

→ NIS2-Betroffenheits-Check in 10 Fragen (kostenlos, lokal im Browser)

3. Die 10 Pflichtmaßnahmen nach § 30 BSIG

Der § 30 BSIG („Risikomanagement-Maßnahmen") ist das operative Herzstück von NIS2. Er konkretisiert Art. 21 NIS-2-Richtlinie und verlangt von jeder wesentlichen und wichtigen Einrichtung die folgenden 10 Mindestmaßnahmen — risikobasiert, nachweisbar und regelmäßig zu überprüfen:

Wichtig: Die Verhältnismäßigkeit richtet sich nach Größe, Risikoexposition und Sektor (§ 30 Abs. 1 BSIG: „angemessene, verhältnismäßige technische und organisatorische Maßnahmen"). Kleine wichtige Einrichtungen müssen nicht alles in Großkonzern-Tiefe umsetzen — aber jede der 10 Maßnahmen muss dokumentiert nachweisbar sein.

→ Detailartikel: § 30 BSIG — 10 Pflichtmaßnahmen mit ISO-27001-Mapping

4. Stichtage 2024–2027

Realität Q1 2026: Nur ~38,5 % der ca. 29.500 betroffenen Unternehmen sind beim BSI registriert (Quelle: Bitkom-Umfrage Februar 2026, n=1.002). 12 % melden vollständige Umsetzung, 25 % haben noch nicht begonnen. Wer jetzt registriert, ist verspätet — aber besser als gar nicht.

5. Bußgelder und Geschäftsführer-Haftung (§ 38 BSIG)

NIS2 hat erstmals persönliche Geschäftsführer-Haftung in das deutsche Cybersicherheitsrecht eingeführt. Das ist ein qualitativer Sprung gegenüber NIS1, das nur die juristische Person sanktionierte.

5.1 Bußgelder gegen die Einrichtung (§ 60 BSIG)

Bußgeld-Tatbestände sind u. a.: Verstoß gegen § 30 BSIG (10 Maßnahmen), Verstoß gegen § 32 BSIG (Meldepflichten), fehlende Registrierung beim BSI, falsche oder verspätete Behörden-Kommunikation.

5.2 Geschäftsführer-Haftung nach § 38 BSIG

§ 38 BSIG ist die deutsche Umsetzung von Art. 20 NIS-2-Richtlinie. Die Vorschrift verlangt:

• § 38 Abs. 1: Die Geschäftsleitung genehmigt die Risikomanagement-Maßnahmen nach § 30 BSIG selbst — Delegation an CIO/CISO ist nicht ausreichend.
• § 38 Abs. 2: Die Geschäftsleitung überwacht die Umsetzung der Maßnahmen.
• § 38 Abs. 3: Die Geschäftsleitung muss regelmäßige Schulungen zu Cybersicherheit absolvieren — und das ist dokumentationspflichtig.

Die Konsequenz: Bei nachgewiesenem Pflichtverstoß durch die Geschäftsführung greift persönliche Haftung mit Privatvermögen, analog § 43 GmbHG. Das ist nicht durch D&O-Versicherung gedeckt, wenn der Verstoß auf Unterlassen beruht — viele D&O-Policen schließen wissentliche Pflichtverletzungen aus.

Praxis-Folge: GFs müssen die § 30-Maßnahmen schriftlich genehmigen (Vorstandsbeschluss, GF-Sign-Off), die Umsetzung jährlich überprüfen lassen und ihre eigene Schulung dokumentieren. Wer das nicht tut, haftet persönlich — auch wenn er Cybersicherheit „nicht versteht".

→ Glossar: Geschäftsführer-Haftung NIS2

6. 12-Schritte-Roadmap zur NIS2-Umsetzung

Eine pragmatische Roadmap für mittelständische Einrichtungen (50–250 MA) ohne dedizierte CISO-Funktion. Zeitansatz: 4–6 Monate bei priorisierter Umsetzung, bei knappen Ressourcen 8–10 Monate.

1. Betroffenheits-Analyse (Woche 1): § 28 BSIG-Check, Sektor-Klassifikation, Größenkriterien, Konzern-Verflechtung prüfen.
2. BSI-Registrierung (Woche 2): Anmeldung über BSI-Meldeportal, Kontaktperson festlegen.
3. Gap-Analyse (Woche 3–4): Ist-Zustand vs. § 30 BSIG-Maßnahmen 1–10. Welche Policies und Prozesse fehlen?
4. GF-Beschluss + Schulung (Woche 4): Vorstandsbeschluss zur NIS2-Roadmap, erste GF-Schulung absolvieren und dokumentieren.
5. ISMS-Aufbau (Woche 5–10): Informationssicherheitsleitlinie, Risikomanagement-Prozess, Risikoregister, Sicherheitsorganisation.
6. Incident-Response-Plan (Woche 8–10): Meldekette für 24h/72h/1-Monat-Fristen, Notfall-Kontakte, Eskalationsmatrix, Test-Szenarien.
7. BCM-Plan (Woche 10–14): Business Impact Analysis, RTO/RPO definieren, Notfall-Wiederherstellungs-Plan, DR-Tests.
8. Lieferketten-Audit (Woche 10–16): Liste aller IKT-Dienstleister, Risiko-Klassifizierung, Vertragsanpassungen mit 6 NIS2-Klauseln.
9. Technische Maßnahmen (Woche 12–20): MFA flächendeckend, Verschlüsselung, Zugriffsmatrix, Logging-Konzept, Patch-Management.
10. Awareness-Schulungen (Woche 14–20): Mitarbeiter-Schulung (jährlich), Phishing-Simulationen, Awareness-Kampagnen.
11. Interne Audits (Woche 20–24): Wirksamkeitsbewertung der Maßnahmen, Schwachstellen-Analyse, Management-Review.
12. Kontinuierliche Verbesserung: Quartalsweise Reviews, jährliche Risiko-Updates, Anpassung an BSI-Sektor-Leitfäden.

→ Detailartikel: ISMS in 10 Wochen aufbauen — Schritt-für-Schritt-Plan

7. Die häufigsten NIS2-Umsetzungsfehler

1. „Wir sind unter der Schwelle" — ohne Konzern-Check. § 28 Abs. 4 BSIG bezieht verbundene Unternehmen ein. Ein 30-MA-Tochterunternehmen kann durch Konzernzugehörigkeit unter NIS2 fallen.
2. ISO-27001-Zertifikat wird als NIS2-Compliance gewertet. ISO 27001 erfüllt ca. 70–80 % der § 30 BSIG-Anforderungen — aber nicht die § 32 BSIG-Meldepflichten, Lieferketten-Audit und § 38 GF-Schulungspflicht.
3. Delegation der GF-Pflichten an IT-Leitung. § 38 BSIG verlangt Selbst-Genehmigung durch die Geschäftsleitung. Eine schriftliche Vollmacht an den CISO genügt nicht.
4. Lieferanten werden nicht ausreichend bewertet. § 30 Abs. 2 Nr. 4 BSIG verlangt risikobasierte Lieferantenbewertung — nicht nur die direkten Anbieter, sondern auch deren Subprozessoren bei kritischen Diensten.
5. Meldepflichten unterschätzt. Die 24-Stunden-Frühwarnung beginnt mit der Kenntnis des Vorfalls (§ 32 Abs. 1 BSIG). Wochenenden und Feiertage zählen mit — Notfall-Bereitschaft ist Pflicht.
6. Dokumentation für Audits fehlt. Mündliche Absprachen und „wir machen das ja sowieso so" sind kein Audit-Beleg. Jede der 10 Maßnahmen braucht eine dokumentierte Policy + Umsetzungsnachweis.
7. BSI-Registrierung wird vergessen. § 33 BSIG ist eigenständig sanktionsbewehrt — auch ohne Vorfall.

8. NIS2 vs. ISO 27001 — Was deckt was ab?

Eine häufige Frage: Reicht eine bestehende ISO-27001-Zertifizierung für NIS2-Compliance? Die kurze Antwort: nein, aber sie ist eine starke Basis. Die längere Antwort:

Fazit: Eine ISO-27001-Zertifizierung erfüllt 70–80 % von NIS2. Die fehlenden 20–30 % sind aber qualitativ kritisch (Meldepflichten, GF-Haftung, BSI-Registrierung). Wer ISO 27001 hat, baut auf — wer es nicht hat, kann NIS2 direkt nach BSIG-Vorgaben umsetzen, ohne Zertifizierung anstreben zu müssen.

→ Detailartikel: NIS2 + ISO 27001 — Zertifizierungs-Pfad für KMU

9. Branchen-Praxis: NIS2 in verschiedenen Sektoren

Die Verhältnismäßigkeit der § 30 BSIG-Maßnahmen hängt vom Sektor ab. Hier die Praxis für die häufigsten DACH-KMU-Sektoren:

9.1 Gesundheitswesen (Krankenhäuser, MVZ, Pflegedienste)

Krankenhäuser ab 30.000 vollstationären Fällen sind KRITIS-Betreiber (BSI-Krit-V § 6) und automatisch wesentliche Einrichtungen. Spezifika:

• Ransomware-Risiko deutlich erhöht — 2024 wurden mindestens 18 deutsche Krankenhäuser angegriffen (BSI Lagebericht 2024)
• Backup-Strategie 3-2-1 zwingend, mit Offline-Backup-Kopie (Ransomware-resistent)
• Notfallplan mit IT-Ausfall-Szenario für 7-21 Tage (typische Wiederherstellungszeit nach Ransomware)
• Medizinprodukte-Cybersecurity (MDR-Anforderungen + IEC 62304) integriert mit NIS2
• Personalsicherheit verschärft — Patient*innendaten = Art. 9 DSGVO + § 30 Abs. 2 Nr. 9 BSIG

→ Detailartikel: NIS2 für Krankenhäuser + MVZ

9.2 Energieversorgung (Strom, Gas, Wärme)

Energieversorger ab 100.000 Haushalten KRITIS-pflichtig. § 30 BSIG ergänzt die bestehenden IT-Sicherheitskatalog-Anforderungen § 11 Abs. 1a EnWG. Spezifika:

• OT/IT-Konvergenz: SCADA-Systeme, Smart-Meter-Gateways, Fernwirktechnik
• IEC 62443 Industrial Cybersecurity als ergänzender Standard
• Lieferketten-Audit besonders kritisch (Hardware-Hersteller, Maintenance-Provider)
• BNetzA als ergänzende Aufsicht (Sektor-Sonderzuständigkeit)

9.3 Maschinenbau / Industrie 4.0

Mittelständischer Maschinenbau mit IIoT, vernetzten Anlagen oder Predictive-Maintenance-Cloud fällt unter Anlage 2 BSIG (verarbeitendes Gewerbe). Spezifika:

• OT-Cybersecurity (Werkzeugmaschinen, SPS, Roboterzellen) — IEC 62443 als Standard
• Cyber Resilience Act (CRA, Verordnung 2024/2847, gilt ab Dezember 2027) ergänzt für vernetzte Produkte
• Lieferketten besonders komplex (Tier-2/3-Zulieferer aus Asien)
• Patent + Know-how-Schutz integriert (GeschGehG + NIS2 Personalsicherheit)

→ Detailartikel: NIS2 für Maschinenbau / Industrie 4.0

9.4 IT-Dienstleister + Managed Service Providers (MSP)

IKT-Dienstleister sind in Anlage 1 BSIG und damit potenziell wesentlich. Spezifika:

• Doppelrolle: eigene NIS2-Compliance + Lieferanten-Pflichten zu eigenen Kunden (B2B-Compliance-Kette)
• Cloud-Service-Provider zusätzlich C5-Anforderungen + EU Cloud Code of Conduct
• Incident-Response erweitert: nicht nur eigene Vorfälle, auch Mandanten-Vorfälle
• Penetration-Tests jährlich + nach jeder größeren Änderung

9.5 Cloud-Provider + Datenzentren

Cloud-Provider sind unabhängig von Größe automatisch wesentlich (§ 28 Abs. 3 BSIG). Spezifika:

• Multi-Tenant-Sicherheit + Mandantentrennung dokumentationspflichtig
• EU-Datenresidenz-Konzept (Schrems II-konform)
• Lift-and-Shift-Provider haften für Sicherheits-Voreinstellungen

→ Detailartikel: NIS2 für Cloud-Provider

10. Anonymisierte Fallbeispiele aus der Praxis

Drei reale Anwendungsfälle (anonymisiert), die zeigen, wie unterschiedlich NIS2-Umsetzung in der Praxis aussieht:

11. 7 NIS2-Konflikt-Fälle 2024–2026

NIS2 ist Theorie, bis sie Praxis wird. Die folgenden sieben Fälle aus dem DACH-Raum und seinem unmittelbaren Umfeld zeigen, wie sich Cyber-Vorfälle in der NIS2-Mechanik konkret entfalten — von der erstmaligen Kenntnis über die 24-Stunden-Frühwarnung nach § 32 BSIG bis zur potenziellen § 38 BSIG-Haftung der Geschäftsführung. Jeder Fall enthält Sachverhalt, Meldefrist-Beurteilung, Haftungs-Konsequenz und die operative Lehre. Wo NIS2 zum Zeitpunkt des Vorfalls noch nicht formal galt, wird der Fall als Vor-NIS2-Präzedenz behandelt — er zeigt, wie die heutige Regulierung den damaligen Vorfall heute bewerten würde.

Querschnitts-Lehre aller sieben Fälle: NIS2-Compliance entscheidet sich nicht im Moment des Vorfalls, sondern in den Wochen davor — in der Qualität der Risikoanalyse, der Patch-Disziplin, der Lieferantenverträge und der Eskalations-Playbooks. Wer diese Vorarbeit dokumentiert hat, übersteht den Vorfall haftungs- und reputationstechnisch. Wer sie nicht hat, gerät unter doppelten Druck: technische Krise plus § 38-Haftungs-Risiko.

12. Statistische NIS2-Markt-Daten 2025/2026

Die folgenden Zahlen stammen aus dem BSI-Lagebericht 2024, ergänzt um die Bitkom-NIS2-Umfrage Februar 2026 (n=1.002) und das ENISA Threat Landscape 2025. Sie zeigen, wie der NIS2-Anwendungsbereich operativ aussieht — und wo die größten Umsetzungslücken liegen.

• 70 angegriffene KRITIS-Betreiber in Deutschland im Berichtsjahr 2024 (BSI Lagebericht 2024). Die Spannweite reicht von kurzzeitigen DDoS-Wellen bis zu mehrwöchigen Ransomware-Vorfällen. Sektoren mit höchster Vorfall-Dichte: Gesundheitswesen, Energieversorgung und kommunale Verwaltung.
• 4,45 Mio. € durchschnittliche Recovery-Kosten pro NIS2-relevantem Vorfall (Schätzung aus IBM Cost of a Data Breach Report 2025, DACH-Stichprobe). Die Bandbreite reicht von 0,8 Mio. € (kleines wichtiges Unternehmen mit guter Vorbereitung) bis > 50 Mio. € (großer Konzern ohne BCM-Plan).
• 89 % der Essential Entities mit dokumentiertem ISMS — aber nur ein Bruchteil davon mit aktivem Wirksamkeits-Review nach § 30 Abs. 2 Nr. 6 BSIG. Die Lücke zwischen Dokumentation und gelebter Praxis ist der häufigste Audit-Befund.
• 23 % mit Multi-Faktor-Authentisierung für alle privilegierten Accounts — § 30 Abs. 2 Nr. 10 verlangt MFA flächendeckend, nicht nur für Admins. Die Lücke ist die kostengünstigste Sofort-Maßnahme zur Risikoreduktion.
• 1,2 Mio. Phishing-Vorfälle in DACH-KMU 2024 (Hochrechnung aus Telekom-Sicherheitsbericht und ENISA Threat Landscape). Phishing bleibt der dominante Eintrittsvektor — die § 30 Abs. 2 Nr. 7 vorgeschriebene Cyberhygiene-Schulung ist deshalb keine Pflicht-Übung, sondern messbar wirksam.
• 38,5 % BSI-Registrierungsquote per Q1 2026 (Bitkom). Die Lücke entspricht etwa 18.000 nicht-registrierten betroffenen Unternehmen — eine eigenständig sanktionsfähige Pflichtverletzung nach § 33 BSIG.

Operativ bedeutet das: Wer heute die § 30-Mindestmaßnahmen umsetzt, agiert gegen einen Markt, in dem etwa 60 % der Mitbewerber dieselbe Lücke haben. Das ist Risiko und Chance zugleich — Vorfälle werden weiterhin in hoher Frequenz stattfinden, aber dokumentiert vorbereitete Unternehmen reduzieren ihre erwarteten Schadenskosten um Größenordnungen.

13. 6 Mythen zu NIS2 in DACH

Bei jeder zweiten Erstberatung tauchen dieselben Missverständnisse auf. Sechs davon kosten Zeit, Geld und potenziell die Existenz der Geschäftsführung.

Mythos 1: „Wir sind nicht KRITIS — daher kein NIS2"

Falsch. § 28 BSIG kennt zwei NIS2-Kategorien jenseits von KRITIS: wesentliche Einrichtungen (ab 250 Mitarbeitenden oder 50 Mio. € Umsatz in 11 Sektoren) und wichtige Einrichtungen (50–249 Mitarbeitende oder 10–50 Mio. € Umsatz in 18 Sektoren). KRITIS ist eine Teilmenge, kein Synonym. Die Mehrheit der ca. 29.500 NIS2-pflichtigen Unternehmen in Deutschland sind wichtige Einrichtungen — kein KRITIS.

Mythos 2: „Compliance kommt von der IT-Abteilung"

Falsch. § 38 BSIG verankert die Verantwortung explizit bei der Geschäftsleitung. Sie genehmigt, überwacht und schult sich selbst — nicht der CIO oder CISO. Die Delegation der Umsetzung ist möglich, die Delegation der Verantwortung nicht. Bei Pflichtverletzung haftet die Geschäftsleitung persönlich mit Privatvermögen (analog § 43 GmbHG).

Mythos 3: „ISO 27001 reicht automatisch"

Falsch — und zugleich nicht ganz falsch. ISO 27001:2022 deckt etwa 80 % der § 30 BSIG-Mindestmaßnahmen ab, insbesondere ISMS, Risikomanagement, Zugriffskontrolle und Personalsicherheit. Die fehlenden 20 % sind aber qualitativ kritisch: die § 32-Meldepflichten, die § 33-BSI-Registrierung, die spezifische § 38-Geschäftsführer-Schulung und die konkrete Lieferketten-Audit-Tiefe nach § 30 Abs. 2 Nr. 4. NIS2-Compliance ist deshalb für ISO-zertifizierte Unternehmen 80 % Mapping, 20 % Lücke — und die Lücke entscheidet.

Mythos 4: „24-Stunden-Meldung gilt nur bei großen Vorfällen"

Falsch. § 32 BSIG kennt keinen einheitlichen Schwellenwert in Euro oder Stunden Ausfall. Die Meldepflicht greift bei erheblichen Vorfällen (significant incidents), definiert über die Fähigkeit, schwerwiegende betriebliche Störungen oder finanzielle Verluste zu verursachen, oder andere natürliche oder juristische Personen erheblich zu beeinträchtigen. Auch ein scheinbar kleiner Vorfall mit potenzieller Eskalation fällt unter die Meldepflicht — die Beurteilung erfolgt ex ante, nicht ex post.

Mythos 5: „Bei Übernahmen erbt der Käufer keine NIS2-Pflicht"

Falsch. Asset-Deals und Share-Deals werden unterschiedlich behandelt, aber in beiden Fällen geht die NIS2-Betroffenheit auf den Käufer über, sofern die übernommene Einheit weiterhin in einem der 18 Sektoren oberhalb der Schwellen tätig ist. § 33 BSIG verlangt eine Re-Registrierung binnen 3 Monaten nach signifikanter Strukturänderung. Wer bei einer M&A-Transaktion die NIS2-Due-Diligence vergisst, kauft sich eine sofort fällige Compliance-Verpflichtung plus potenzielle Altlasten.

Mythos 6: „Cloud-Anbieter sind nur Auftragsverarbeiter"

Falsch. Cloud-Service-Provider sind nach § 28 BSIG selbst wesentliche Einrichtungen, unabhängig von ihrer Rolle in der Datenschutz-Mechanik. Zusätzlich verlangt § 30 Abs. 2 Nr. 4 BSIG vom Auftraggeber eine eigene Lieferketten-Risikoanalyse — die Übertragung der Verantwortung über AVV-Klauseln allein erfüllt NIS2 nicht. NIS2 und DSGVO operieren in zwei Schichten, die beide bedient werden müssen.

Querschnittsbeobachtung: Alle sechs Mythen haben dieselbe Wurzel — die Annahme, NIS2 sei eine technische IT-Compliance-Aufgabe. Tatsächlich ist es eine Governance-Aufgabe der Geschäftsleitung, in der IT-Teams die Umsetzung leisten, aber nicht die Verantwortung tragen.

14. NIS2 in den DACH-Ländern — Status 2026

Die NIS-2-Richtlinie ist europäisches Recht, ihre Umsetzung ist nationale Hoheit. Die DACH-Länder haben den Umsetzungspfad in unterschiedlichem Tempo und mit unterschiedlichen Aufsichtsstrukturen beschritten — was für grenzüberschreitend tätige Unternehmen bedeutet, dass sie mehrere Compliance-Mechaniken gleichzeitig bedienen müssen.

Deutschland

Das NIS2UmsuCG ist am 06.12.2025 in Kraft getreten und hat das BSI-Gesetz neu gefasst (BSIG-neu, BGBl. 2025 I Nr. 285). Die Aufsicht liegt beim BSI als zentraler Behörde, mit ergänzenden Sektor-Zuständigkeiten der BNetzA (Telekommunikation, Energie), der BaFin (Finanzwesen) und der Landesdatenschutzbehörden (Schnittstelle DSGVO). Das BSI-Portal für die § 32-Vorfallsmeldung ist seit 01.01.2026 produktiv und akzeptiert sowohl 24-Stunden-Frühwarnungen als auch 72-Stunden-Vorfallmeldungen und 1-Monats-Abschlussberichte über eine einheitliche Maske. Die Registrierungsfrist nach § 33 BSIG endete am 06.03.2026; verspätete Registrierung wird seitdem als eigenständige Pflichtverletzung verfolgt.

Österreich

Das NISG 2026 tritt voraussichtlich am 01.10.2026 in Kraft und löst die bisherige NIS-Gesetzgebung aus 2018 ab. Anlaufstelle und Aufsichtsbehörde ist die Datenschutzbehörde (DSB) in Wien, ergänzt um das österreichische GovCERT als operative CSIRT-Funktion. Die österreichische Umsetzung folgt eng dem deutschen Vorbild bei Schwellenwerten und Sektoren, weicht aber bei der Lieferketten-Verpflichtung und der Meldemechanik teilweise ab — grenzüberschreitend tätige Unternehmen müssen beide Regime parallel bedienen. Die Übergangsfristen entsprechen weitgehend dem deutschen Modell mit 3-Monats-Registrierung.

Schweiz

Als Nicht-EU-Staat ist die Schweiz nicht direkt durch die NIS-2-Richtlinie verpflichtet, hat aber mit der ISG-Verordnung (Informationssicherheitsgesetz-Verordnung) ein funktional vergleichbares Regime in Vorbereitung. Inkrafttreten voraussichtlich Q4 2026, verzögert gegenüber dem ursprünglichen Plan. Die Aufsicht übernimmt das NCSC (Nationales Zentrum für Cybersicherheit), das aus der bisherigen MELANI-Struktur hervorgegangen ist. Schweizer Unternehmen mit EU-Töchtern fallen über § 28 BSIG bzw. das österreichische NISG dennoch unter NIS2 — die Schweizer ISG-V kommt als zweite Schicht hinzu, nicht als Ersatz.

Praxis-Konsequenz für DACH-Konzerne: Eine NIS2-Compliance-Architektur muss alle drei Regime simultan abbilden — gemeinsames ISMS-Grundgerüst, sektor- und länderspezifische Meldekanäle, harmonisierte Lieferanten-Verträge. NIST CSF 2.0 hat sich dabei als Brücken-Standard etabliert, weil er sowohl an ISO 27001:2022 als auch an die § 30 BSIG-Maßnahmen-Logik anschlussfähig ist und in beiden EU-Mitgliedstaaten wie auch in der Schweiz als anerkanntes Bezugswerk gilt.