NIS2 & Zertifizierung

NIS2 verständlich: Betroffenheit, Pflichten und Fristen.

NIS2 ist seit dem 6. Dezember 2025 in Deutschland geltendes Recht. Diese Seite fasst die wichtigsten Punkte sachlich zusammen, auf Basis offizieller Quellen, insbesondere des BSI.

Stand: Juni 2026. Maßgeblich ist allein der gültige Gesetzestext (BSIG / NIS2UmsuCG).

Grundlage

Was ist NIS2?

NIS2 ist die EU-Richtlinie (EU) 2022/2555 für ein hohes gemeinsames Cybersicherheitsniveau. Sie trat EU-weit am 16. Januar 2023 in Kraft; die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

In Deutschland erfolgt die Umsetzung durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das das BSI-Gesetz (BSIG) umfassend novelliert. Es wurde am 5. Dezember 2025 verkündet (BGBl. 2025 I Nr. 301) und gilt seit dem 6. Dezember 2025, ohne Übergangsfrist.

Damit gelten für deutlich mehr Unternehmen verbindliche Sicherheitsanforderungen, Melde- und Registrierungspflichten sowie eine verschärfte staatliche Aufsicht durch das BSI.

Einordnung

NIS2, KRITIS und das KRITIS-Dachgesetz.

KRITIS bezeichnet Betreiber kritischer Anlagen, die bestimmte Versorgungsschwellen überschreiten. Dieser Kreis ist vergleichsweise klein. NIS2 erweitert den Adressatenkreis erheblich: Erfasst sind nun besonders wichtige und wichtige Einrichtungen, nach Schätzungen mehrere Zehntausend Unternehmen in Deutschland und damit deutlich mehr als zuvor. KRITIS-Betreiber sind dabei eine Teilmenge der NIS2-Pflichtigen mit zusätzlichen Pflichten.

Davon zu trennen ist der physische Schutz kritischer Infrastrukturen. Den regelt das KRITIS-Dachgesetz (Umsetzung der EU-CER-Richtlinie), für das das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zuständig ist, nicht das BSI. Vereinfacht: NIS2 und das BSIG betreffen die Cybersicherheit, das KRITIS-Dachgesetz die physische Resilienz. Beide können dasselbe Unternehmen treffen.

Betroffenheit

Wer ist betroffen?

Die Betroffenheit hängt von Sektor und Unternehmensgröße ab. Das BSIG unterscheidet zwei Kategorien mit denselben inhaltlichen Pflichten, aber unterschiedlicher Aufsichtsintensität.

Besonders wichtige Einrichtungen

Große Einrichtungen aus stark regulierten Sektoren, ab etwa 250 Beschäftigten oder mit Jahresumsatz über 50 Mio. Euro und zugleich Bilanzsumme über 43 Mio. Euro. Sie unterliegen der proaktiven Aufsicht des BSI.

Wichtige Einrichtungen

Mittlere und große Einrichtungen aus den regulierten Sektoren, ab etwa 50 Beschäftigten oder mit Jahresumsatz über 10 Mio. Euro und zugleich Bilanzsumme über 10 Mio. Euro. Sie unterliegen grundsätzlich reaktiver Aufsicht.

Unabhängig von der Größe können bestimmte Einrichtungen betroffen sein, etwa Anbieter öffentlicher Telekommunikationsnetze und -dienste, DNS-Dienste, TLD-Registries, qualifizierte Vertrauensdiensteanbieter und Betreiber kritischer Anlagen.

Erfasst ist eine breite Liste von Sektoren, die das BSIG in zwei Anlagen führt: von Energie, Transport und Verkehr, Finanz- und Gesundheitswesen über Wasser und digitale Infrastruktur bis zu Bereichen wie Abfallwirtschaft, Chemie, Lebensmitteln, verarbeitendem Gewerbe, digitalen Diensten und Forschung.

Diese Aufzählung ist illustrativ. Welche Sektoren und Tätigkeiten konkret erfasst sind, ergibt sich rechtsverbindlich aus den Anlagen 1 und 2 des BSIG; eine erste Orientierung gibt die BSI-Betroffenheitsprüfung.

Hilfsmittel des BSI

NIS-2-Betroffenheitsprüfung

Das BSI stellt ein kostenloses, anonymes Online-Tool bereit, mit dem Einrichtungen eine erste Einschätzung erhalten, ob sie unter NIS2 fallen könnten. Laut BSI dient es ausdrücklich nur als Orientierung und ist rechtlich nicht bindend; es ersetzt nicht die eigenverantwortliche Prüfung.

Zur BSI-Betroffenheitsprüfung

Pflichten

Welche Pflichten gelten?

Betroffene Einrichtungen treffen vor allem vier Pflichtenblöcke nach dem BSIG.

§ 33 BSIG

Registrierung beim BSI

Das BSI-Portal für Registrierung und Meldungen ist freigeschaltet. Neu betroffene Einrichtungen müssen sich binnen drei Monaten ab Betroffenheit registrieren. Die allgemeine Erstregistrierungsfrist (6. März 2026) ist abgelaufen; wer noch nicht registriert ist, sollte das unverzüglich nachholen.

§ 30 BSIG

Risikomanagement

Angemessene, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, dokumentiert. Das Gesetz nennt zehn Mindestbereiche.

§ 32 BSIG

Meldepflichten

Erhebliche Sicherheitsvorfälle sind dem BSI dreistufig zu melden. Es gilt der Grundsatz Schnelligkeit vor Vollständigkeit.

§ 38 BSIG

Verantwortung der Leitung

Die Geschäftsleitung muss die Maßnahmen billigen, ihre Umsetzung überwachen und sich regelmäßig schulen lassen. Sie kann persönlich haften.

Risikomanagement: zehn Mindestbereiche (§ 30)

Der gesetzliche Mindestkatalog an technischen und organisatorischen Maßnahmen, den betroffene Einrichtungen umsetzen und dokumentieren müssen.

  1. 01 Risikoanalyse und Sicherheitskonzepte für Informationssysteme
  2. 02 Bewältigung von Sicherheitsvorfällen (Incident Response)
  3. 03 Aufrechterhaltung des Betriebs, Backup-Management, Notfall- und Krisenmanagement
  4. 04 Sicherheit der Lieferkette und der Beziehungen zu Lieferanten und Dienstleistern
  5. 05 Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen, Schwachstellenmanagement
  6. 06 Verfahren zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen
  7. 07 Cyberhygiene und Schulungen zur Cybersicherheit
  8. 08 Einsatz von Kryptografie und Verschlüsselung
  9. 09 Personalsicherheit, Zugriffskontrolle und Asset-Management
  10. 10 Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Meldepflichten: drei Stufen (§ 32)

Erhebliche Sicherheitsvorfälle sind dem BSI dreistufig zu melden, es gilt Schnelligkeit vor Vollständigkeit.

binnen 24 Stunden

Frühe Erstmeldung

Erste Anzeige nach Kenntnis: erste Lageeinschätzung, ob ein Angriff vermutet wird und ob grenzüberschreitende Auswirkungen bestehen.

binnen 72 Stunden

Meldung

Aktualisierung mit einer Bewertung von Schweregrad und Auswirkungen sowie ersten Kompromittierungsindikatoren.

binnen eines Monats

Abschlussbericht

Ausführlicher Bericht mit Ursache, ergriffenen Maßnahmen und Auswirkungen.

Leitungsverantwortung (§ 38)

Die Verantwortung der Geschäftsleitung ist nicht delegierbar: Sie muss die Maßnahmen billigen, ihre Umsetzung überwachen und sich regelmäßig schulen. Bei schuldhafter Pflichtverletzung kann sie persönlich haften; ein Haftungsausschluss ist gesetzlich ausgeschlossen. Bußgelder reichen bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen), für wichtige Einrichtungen bis 7 Mio. Euro oder 1,4 Prozent.

Lieferkette

Lieferkette: Pflicht und Treiber zugleich

Die Sicherheit der Lieferkette ist ein ausdrücklicher Pflichtbereich (§ 30 BSIG): Betroffene Einrichtungen müssen die Sicherheit in den Beziehungen zu ihren direkten Lieferanten und Dienstleistern berücksichtigen. In der Praxis wirkt das über den Kreis der unmittelbar Verpflichteten hinaus. Auch Unternehmen, die selbst nicht unter NIS2 fallen, werden von NIS2-pflichtigen Kunden vertraglich zu Nachweisen der Informationssicherheit aufgefordert. Die Lieferkette ist damit ein zentraler Grund, warum sich auch kleinere Betriebe frühzeitig mit dem Thema befassen.

Frameworks

NIS2, ISO 27001 und BSI IT-Grundschutz.

Ein Managementsystem nach ISO/IEC 27001 oder BSI IT-Grundschutz liefert ein gutes Fundament für die geforderten technischen und organisatorischen Maßnahmen, etwa für Risikoanalyse, Incident Response, Notfallmanagement und Lieferkettensicherheit.

Das BSI stellt klar: Eine ISO-27001-Zertifizierung bedeutet nicht automatisch, dass ein Unternehmen NIS2-konform ist.

Sie kann den Nachweis erleichtern, muss aber gegen den gesetzlichen Maßnahmenkatalog geprüft und gegebenenfalls ergänzt werden. Ein Framework strukturiert die Anforderungen und erleichtert den Nachweis, ersetzt aber keine gesetzliche Pflicht: Registrierung, Meldungen innerhalb der Fristen und die persönliche Verantwortung der Geschäftsleitung bleiben eigenständige Rechtspflichten.

Für sehr kleine Unternehmen, die kein vollständiges ISMS aufbauen, bietet der BSI-CyberRisikoCheck nach DIN SPEC 27076 einen niedrigschwelligen Einstieg; er ist allerdings keine Zertifizierung und nicht auf NIS2 zugeschnitten.

Wo NIS2 über ISO 27001 hinausgeht

Dieselbe Anforderung, gegenübergestellt: ISO 27001 und NIS2 / BSIG.

Anforderung
ISO 27001
NIS2 / BSIG
Registrierung beim BSI
nicht enthalten
Pflicht (§ 33 BSIG)
Meldung 24 h / 72 h / 1 Monat
nicht enthalten
Pflicht (§ 32 BSIG)
Persönliche Verantwortung der Leitung
nicht enthalten
Pflicht inkl. Haftung (§ 38 BSIG)
Schulung der Geschäftsleitung
empfohlen
gesetzliche Pflicht (§ 38 BSIG)
Geltungsbereich (Scope)
frei wählbar, einschränkbar
muss die regulierte Tätigkeit vollständig umfassen
Reine Risikoakzeptanz
als Behandlung zulässig
laut BSI nicht ausreichend
Konkrete Mindestmaßnahmen (z. B. MFA)
risikobasiert wählbar (Annex A)
gesetzlicher Mindeststandard, MFA ausdrücklich (§ 30 BSIG)
Staatliche Aufsicht & Sanktionen
keine staatliche Aufsicht
BSI-Aufsicht, Bußgeld bis 10 Mio. € / 2 % (§ 65 BSIG)
Nachweis gegenüber der Behörde
nur gegenüber Zertifizierer
Vorlage- und Mitwirkungspflicht ggü. BSI (§ 61 BSIG)

Vorgehen

Was Unternehmen tun können.

Das BSI empfiehlt unter dem Stichwort #nis2know ein Vorgehen in mehreren Phasen. Sinngemäß:

  1. 01 Analyse und Grundsatzklärung: Betroffenheit prüfen, Einrichtungskategorie bestimmen, Verantwortlichkeiten festlegen.
  2. 02 Organisation und Verantwortung: Rollen und Governance für Informationssicherheit aufbauen.
  3. 03 Ist-Analyse und Risikoabschätzung: Sicherheitsstand erfassen, Gap-Analyse gegen die Maßnahmen nach § 30.
  4. 04 Ressourcen sichern und vorbereiten: Budget und Kapazitäten bereitstellen, Maßnahmen priorisieren.
  5. 05 Umsetzung der Kernmaßnahmen: die Pflichtbereiche umsetzen, Meldeprozesse etablieren.
  6. 06 Institutionalisierung und kontinuierliche Verbesserung: Prozesse verankern, Wirksamkeit prüfen, Leitung schulen.

Quellen

Worauf diese Seite beruht.

Wichtiger Hinweis

Diese Seite gibt allgemeine Informationen zu NIS2 wieder, auf Basis öffentlich zugänglicher Quellen, insbesondere des BSI. Stand: Juni 2026. Sie ist keine Rechtsberatung und keine verbindliche Einordnung im Einzelfall. Ob und wie NIS2 für Ihr Unternehmen gilt, hängt von Ihrer konkreten Situation ab und ist eigenverantwortlich, gegebenenfalls mit rechtlicher Beratung, zu prüfen. Maßgeblich ist allein der jeweils gültige Gesetzestext (BSIG / NIS2UmsuCG). Wir übernehmen keine Gewähr für Vollständigkeit und Aktualität und keine Haftung für Entscheidungen, die auf Grundlage dieser Informationen getroffen werden.

Partner für Zertifizierung

Kristof Werling, ISO 27001 Lead Auditor und Geschäftsführer der KwerlingIT GmbH

Kristof Werling

ISO 27001 Lead Auditor

Dozent für Cybersecurity, Hochschule Reutlingen

KwerlingIT GmbH · Böblingen

KwerlingIT GmbH Otto-Lilienthal-Straße 36
71034 Böblingen
Germany
+49 7031 7145370 Anfrage per E-Mail
LinkedIn

Technik von uns, Zertifizierung von Kristof Werling.

Sicherheit endet nicht an der Technik. Für ISO 27001, den BSI-Cybersecurity-Check und die DIN Spec 27076 arbeiten wir mit Kristof Werling zusammen. Als ISO-27001-Lead-Auditor und Dozent für Cybersecurity an der Hochschule Reutlingen bringt er mehr als zwei Jahrzehnte aus Software-Architektur und IT-Sicherheit mit. Wir bauen und härten die technische Grundlage, er begleitet Ihr Unternehmen durch Audit, Schulung und Umsetzung bis zur Zertifizierung.

ISO 27001 BSI Cybersecurity Check DIN Spec 27076 Cert+

Stationen

Geschäftsführer & ISO 27001 Lead Auditor

KwerlingIT GmbH · seit 2021

Audits nach DIN Spec 27076, BSI Cybersecurity Check und Cert+.

Dozent für Cybersecurity

Hochschule Reutlingen · seit 2024

Lehre zu Cybersecurity, zuvor bereits Dozent für Java.

Software-Architekt

DXC Technology · 2015–2020

Kundenportal mit über 600.000 Nutzern, Leitung weltweiter Teams.

Trainer & Team Lead

Hewlett Packard Enterprise · 2012–2015

Software-Design und Schulung weltweit verteilter Entwicklungsteams.

Technischer Team-Leiter

HP · 2002–2012

Design und Aufbau von Infrastruktur für über 10.000 Server weltweit.

Gast-Professor

Staffordshire University · 1996/97

Vorlesungen in Projektmanagement und C++ in England.

Veröffentlichungen

Kristof Werling ist zudem Fachbuchautor. Gemeinsam mit Jo Tzschenscher veröffentlicht er eine englischsprachige Praxisreihe, die ISO/IEC 27001 mit EU-Regulatorik verzahnt: ISO/IEC 27001 Meets the NIS2 EU Directive, … Meets the Cyber Resilience Act und … Meets SOX 404. Jeweils mit Mapping-Tabellen, die zeigen, wo die Norm die Vorgaben abdeckt und wo ergänzt werden muss.

Bücher von Kristof Werling ansehen

So arbeiten wir zusammen

LINOXA

Technische Umsetzung und Härtung: Netzsegmentierung, Logging und sichere Infrastruktur als belastbare Basis.

Kristof Werling

Audit, Schulung und Umsetzungsbegleitung bis zur Zertifizierung, von der DIN Spec 27076 bis zur ISO 27001.

Der nächste Schritt

Von der Anforderung zur prüffähigen Umsetzung.

Die rechtliche Einordnung bleibt bei Ihnen und Ihrer Beratung. Die technische Umsetzung und Auditierbarkeit der Maßnahmen begleiten wir, die Zertifizierung gemeinsam mit unserem Partner. Wie das technisch aussieht, zeigt die Seite NIS2: Technische Basis.

NIS2 mit uns besprechen oder Formular ausfüllen