NIS2

NIS2 & Cybersecurity

NIS2UmsuCG seit 06.12.2025 in Kraft (DE), NISG 2026 in AT ab 01.10.2026: 10 § 30 BSIG-Pflichten, § 38 GF-Haftung, ISMS-Aufbau, Lieferketten-Sicherheit, Incident Response 24/72/30.

NIS2-Kit ansehen Top-Artikel
Anwendungsbereich

Wer fällt unter NIS2 in Deutschland?

Das deutsche Umsetzungsgesetz (NIS2UmsuCG) unterscheidet in § 28 BSIG zwei Stufen. Wesentliche Einrichtungen (Essential Entities) sind Unternehmen mit mindestens 250 Mitarbeitenden oder mehr als 50 Mio. EUR Jahresumsatz in einem der 18 Sektoren des Anhangs I — darunter Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur und Cloud-Anbieter. Wichtige Einrichtungen (Important Entities) erfassen mittlere Unternehmen (ab 50 Mitarbeitende oder 10 Mio. EUR Umsatz) in den Sektoren des Anhangs II, etwa Post, Abfall, Lebensmittel und verarbeitendes Gewerbe. Zusätzlich gelten Kleinstunternehmen ab 50 Mitarbeitenden als betroffen, sofern sie in Hochrisiko-Sektoren wie qualifizierten Vertrauensdiensten oder DNS-Diensten tätig sind. Wichtig: Es gibt keine offizielle BSI-Liste der NIS2-Pflichtigen — jedes Unternehmen muss selbst prüfen, ob es unter den Anwendungsbereich fällt. Bei Unsicherheit empfiehlt sich die formale Selbstregistrierung über das BSI-Meldeportal nach § 33 BSIG.

Pflichten

Die 10 Pflichtmaßnahmen aus § 30 BSIG

§ 30 BSIG setzt Art. 21 NIS2-RL um und verpflichtet betroffene Einrichtungen zu zehn technisch-organisatorischen Maßnahmen:

  1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme.
  2. Bewältigung von Sicherheitsvorfällen inklusive Erkennung, Reaktion und Wiederherstellung.
  3. Aufrechterhaltung des Betriebs durch Backup-Management, Disaster Recovery und Krisenmanagement.
  4. Sicherheit der Lieferkette einschließlich Beziehungen zu Direktlieferanten und Diensteanbietern.
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen, inklusive Schwachstellen-Management.
  6. Konzepte zur Bewertung der Wirksamkeit des Risikomanagements (Sicherheits-Reviews, Audits).
  7. Schulung und Cyber-Hygiene für alle Beschäftigten, einschließlich der Geschäftsleitung.
  8. Kryptografie und Verschlüsselung nach dem Stand der Technik.
  9. Zugangskontrolle und Asset-Management (Personalsicherheit, Berechtigungskonzepte, Inventar).
  10. Multi-Faktor-Authentifizierung und gesicherte Kommunikationssysteme.

Detail-Anleitungen mit ISO-27001-Mapping und 22 Vorlagen finden Sie im Leitfaden § 30 BSIG.

Meldewesen

Meldepflichten und Fristen

§ 32 BSIG normiert ein gestuftes Meldeschema für erhebliche Sicherheitsvorfälle. Innerhalb von 24 Stunden nach Kenntnisnahme ist eine Frühwarnung (Early Warning) an das BSI zu übermitteln — diese enthält eine Erst-Einschätzung, ob der Vorfall rechtswidrig oder böswillig herbeigeführt wurde und ob grenzüberschreitende Auswirkungen vorliegen. Innerhalb von 72 Stunden folgt die Incident Notification mit einer Aktualisierung der Lage, einer ersten Bewertung von Schweregrad und Auswirkungen sowie ggf. Kompromittierungsindikatoren. Spätestens nach einem Monat ist der Final Report mit ausführlicher Beschreibung des Vorfalls, Ursachen, getroffenen Abhilfemaßnahmen und etwaiger grenzüberschreitender Auswirkungen einzureichen. Flankierend regelt § 38 BSIG die persönliche Haftung der Geschäftsleitung: Geschäftsführer und Vorstände müssen die Risikomanagement-Maßnahmen aktiv billigen, ihre Umsetzung überwachen und an regelmäßigen Schulungen teilnehmen. Bei Pflichtverletzungen haften sie persönlich mit ihrem Privatvermögen gegenüber der Gesellschaft — ein Haftungsausschluss durch Gesellschafterbeschluss ist ausgeschlossen.

Pillar-Artikel

Die wichtigsten NIS2-Themen im Detail

Schritt-für-Schritt-Anleitungen mit Vorlagen, Verordnungs-Bezug und Audit-Checklisten.

NIS2-Umsetzung Deutschland (NIS2UmsuCG)

10 Pflichten + § 38 GF-Haftung + 12-Schritte-Roadmap

§ 30 BSIG: 10 Pflichtmaßnahmen

ISO-27001-Mapping + 22 Vorlagen

ISMS aufbauen

10-Wochen-Plan für KMU + 12 Pflicht-Policies

NIS2 Lieferkette absichern

8-Schritt-Lieferanten-Audit + 6 Vertragsklauseln

BCM nach NIS2

BIA, RTO/RPO, Notfallplan, DR-Tests

NIS2 Österreich (NISG 2026)

AT-Cybersicherheits-Pflichten ab 01.10.2026
Schnell-Übersichten

Listicles & Top-Listen

Kompakte Übersichten — perfekt für Vorstandsmeetings, Newsletter oder als A4-Druckvorlage.

NIS2 Top-7 Quick Wins

→ Listicle / Schnell-Übersicht

NIS2 § 30 BSIG: 10 Pflichten Übersicht

→ Listicle / Schnell-Übersicht
Vertiefung

Praxis-Cluster & Glossar

Spezial-Themen für Branchen, Use-Cases und Pflicht-Begriffe.

12 Praxis-Cluster

Branchen-spezifische Vertiefung (Anwaltskanzlei, Krankenhaus, SaaS, E-Commerce, Verein, Handwerk …)

→ Alle NIS2-Artikel im Wissen-Hub

20 NIS2-Glossar-Einträge

Fachbegriffe mit Verordnungs-Bezug und Praxis-Beispiel.

→ Glossar öffnen
Neu Mai 2026

Neue Praxis-Vorlagen & Branchen-Leitfäden

Verordnungstreue professionelle Vorlagen für die Kern-Pflichten nach § 30 BSIG und branchen-spezifische Umsetzung.

NIS2 Vorlagen-Übersicht

Alle 72 Dokumente nach § 30 BSIG kategorisiert + Anwendungshinweise pro Bereich.

→ Praxis-Vorlage / Leitfaden

NIS2 Risikomanagement Art. 21

Editierbare Risiko-Matrix + Bewertungsbogen + Behandlungs-Plan für Art. 21 NIS2-RL.

→ Praxis-Vorlage / Leitfaden

NIS2 Disaster Recovery Plan

DR-Plan-Vorlage mit RTO/RPO-Definition, Notfall-Szenarien und Test-Protokollen.

→ Praxis-Vorlage / Leitfaden

NIS2 Maschinenbau / Industrie

IEC 62443, OT-Cybersecurity, Lieferketten-Risiken für mittelständische Industrie-KMU.

→ Praxis-Vorlage / Leitfaden

Audit-fertig in 2-4 Stunden

Statt monatelanger Recherche: einsatzbare Vorlagen, personalisiert mit Ihrem Firmennamen, einmalige Investition statt Beraterhonorar.

NIS2-Kit ansehen →

Quellen

Rechtsstand: 02.05.2026 · Zuletzt geprüft: 04.06.2026