Öffentliche und private Einrichtungen in 14 Sektoren
aus Anlage 1 und 2 des BSI-Gesetzes (2025) mit mindestens 50 Beschäftigten oder mindestens 10 Millionen € Jahresumsatz und Jahresbilanzsumme
Was jetzt für Unternehmen wichtig ist
Erhalten Sie einen klaren Überblick, was die NIS-2-Richtlinie der EU und das deutsche Umsetzungsgesetz für Sie bedeuten. Damit sind Sie gut vorbereitet, um Ihre nächsten Schritte zu gehen.


Mit der NIS-2-Richtlinie und dem deutschen Umsetzungsgesetz gelten für viele Unternehmen und Organisationen in 14 Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten. Viele sind zudem als Lieferanten möglicherweise indirekt betroffen. Ziel von NIS-2 ist es, ein besseres gemeinsames Cybersicherheitsniveau in der EU zu erreichen. Um Geldstrafen bei Verstößen von vornherein zu vermeiden, erfahren Sie hier Schritt für Schritt, was zu tun ist.
NIS-Richtlinie steht für „Network and Information Security“-Richtlinie.

Es gibt keine Übergangsfrist. Die Pflichten und Sanktionen gelten seit Inkrafttreten des deutschen Gesetzes. Unternehmen müssen die Nachweise zur Umsetzung zwar normalerweise erst nach 3 Jahren einreichen. Aber wer auffällt oder besonders relevant ist, muss schon vorher damit rechnen, dass unabhängige Stellen die Umsetzung prüfen. Für Unternehmen wird es also höchste Zeit.
Dr. Matthias Zuchowski • Regulatory Affairs & Compliance Manager, G DATA CyberDefense AG
Die NIS-2-Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet Ihnen eine erste Orientierung, ob Ihr Unternehmen von der EU-weiten NIS-2-Richtlinie betroffen ist. Die NIS-2-Richtlinie gilt für folgende Einrichtungen, die ihre Dienste in der Europäischen Union erbringen oder ihre Tätigkeiten dort ausüben. „Vernachlässigbare Geschäftstätigkeiten“ können dabei unberücksichtigt bleiben.
aus Anlage 1 und 2 des BSI-Gesetzes (2025) mit mindestens 50 Beschäftigten oder mindestens 10 Millionen € Jahresumsatz und Jahresbilanzsumme
Einige Sonderfälle unabhängig von ihrer Größe

Das deutsche NIS-2-Umsetzungsgesetz enthält selbst keine neuen inhaltlichen Bestimmungen, sondern ändert bestehende Gesetze ab. In Artikel 1 fasst es das BSI-Gesetz (BSIG) neu. Die Referenzen auf dieser Webseite beziehen sich daher auf das „BSI-Gesetz (2025)“. Die weiteren Artikel ändern andere Gesetze. Beispiel: Artikel 17 ändert das Energiewirtschaftsgesetz (EnWG), das Maßnahmen für die Energiewirtschaft enthält.

§ 30 BSI-Gesetz (2025)
Laut NIS-2 müssen Sie mindestens die folgenden Maßnahmen umsetzen, um die Risiken für die Sicherheit Ihrer Netz- und Informationssysteme zu beherrschen – und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Sie müssen die IT-Systeme und deren physische Umwelt schützen („All-Gefahren-Ansatz“). Wieviel genau angemessen ist, sollten Sie nach einem risikobasierten Ansatz für sich festlegen.

§ 38 BSI-Gesetz (2025)

§ 32 BSI-Gesetz (2025)
Die NIS-2-Richtlinie schreibt vor, dass erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfängern der eigenen Dienste gemeldet werden müssen. Als Meldestelle dient das BSI-Portal. Diese Fristen gelten, um einen Vorfall dem BSI zu melden:

§§ 33-34 BSI-Gesetz (2025)
Wenn NIS-2 für Sie gilt, müssen Sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Der Registrierungsprozess ist zweistufig: Zunächst müssen Sie sich beim digitalen Dienst Mein Unternehmenskonto (MUK) anmelden und danach im BSI-Portal registrieren. Wie genau Sie vorgehen, erfahren Sie in der Schritt-für-Schritt-Anleitung.
Folgende Informationen sind einzureichen:
Besonders wichtige Einrichtungen | Wichtige Einrichtungen | |
|---|---|---|
Aufsicht durch Behörden (§§ 61–62 BSI-Gesetz 2025) | Proaktive Aufsicht ohne vorige Hinweise auf Verstöße, zum Beispiel (nach Ermessen des BSI):
| Reaktive Aufsicht nur nach Hinweisen auf Verstöße, zum Beispiel (nach Ermessen des BSI):
|
Geldstrafen bei Verstößen (§ 65 BSI-Gesetz) | Bis zu 10 Millionen € oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist | Bis zu 7 Millionen € oder 1,4 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist |
Wer zählt dazu? | Große Unternehmen aus Anlage 1 im BSI-Gesetz (2025):
Größenunabhängige Sonderfälle | Große Unternehmen aus Anlage 2 im BSI-Gesetz (2025):
Mittlere Unternehmen aus Anlage 1 oder Anlage 2 im BSI-Gesetz (2025):
Größenunabhängige SonderfälleHinweis: Die Einstufung als „besonders wichtig“ geht immer vor. |
Dann ist unsere NIS-2-Beratung ideal. Sie wird von G DATA Advanced Analytics GmbH angeboten – einer hochspezialisierten IT Security Consultancy innerhalb der G DATA Gruppe. Schreiben Sie uns einfach unverbindlich und erhalten Sie weitere Informationen.

Hinweis: Die zur Verfügung gestellten Informationen dienen lediglich Ihrer Information und ersetzen keine individuelle juristische Beratung.