NIS2 – Häufig gestellte Fragen

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen bei NIS2?

Besonders wichtige Einrichtungen (Essential Entities) sind Unternehmen in hochkritischen Sektoren wie Energie, Verkehr, Banken, Gesundheit, Wasser und digitale Infrastruktur (NIS2 Anhang I). Wichtige Einrichtungen (Important Entities) befinden sich in anderen kritischen Sektoren wie Abfallwirtschaft, Lebensmittel, Fertigung, Post und Chemie (Anhang II). Die wesentlichen Unterschiede: Besonders wichtige Einrichtungen haben höhere Bußgelder (10 Mio. € / 2 % Umsatz vs. 7 Mio. € / 1,4 %), proaktive BSI-Prüfungen (das BSI kann jederzeit ohne Anlass prüfen) und strengere Aufsicht. Wichtige Einrichtungen werden nur reaktiv geprüft — nach einem Vorfall oder bei Hinweisen auf Nichtkonformität. Beide müssen dieselben 10 Cybersicherheitsmaßnahmen nach §30 BSIG umsetzen.

Wie viele Unternehmen sind in Deutschland von NIS2 betroffen?

Das BSI schätzt, dass rund 29.500 Unternehmen in Deutschland unter den NIS2-Geltungsbereich fallen. Das ist eine massive Ausweitung gegenüber dem bisherigen KRITIS-Regime, das nur etwa 2.000 Betreiber umfasste. Der Anstieg kommt durch niedrigere Schwellenwerte (ab 50 Mitarbeiter statt Hunderttausende versorgte Personen) und sieben neu hinzugekommene Sektoren: Abfallwirtschaft, Lebensmittelproduktion, Fertigung, Postdienste, Chemie, Forschung und erweiterte digitale Dienste.

Seit wann gilt NIS2 in Deutschland?

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde am 13. November 2025 vom Bundestag beschlossen, am 21. November 2025 vom Bundesrat gebilligt, am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und trat am 6. Dezember 2025 in Kraft. Das BSI-Registrierungsportal ging am 6. Januar 2026 online, mit Registrierungsfrist am 6. März 2026. Deutschland hat die ursprüngliche EU-Umsetzungsfrist vom 17. Oktober 2024 um über ein Jahr verfehlt.

Gibt es eine Übergangsfrist für NIS2 in Deutschland?

Nein. Es gibt keine Übergangsfrist. Alle Pflichten — Risikomanagementmaßnahmen, Meldepflichten, Geschäftsführerhaftung und BSI-Registrierung — gelten ab dem Tag des Inkrafttretens am 6. Dezember 2025. Die BSI-Registrierungsfrist war der 6. März 2026 (3 Monate nach Inkrafttreten). Unternehmen, die noch nicht mit der Compliance begonnen haben, sind technisch bereits nicht konform.

Gilt NIS2 für kleine Unternehmen mit weniger als 50 Mitarbeitern?

Grundsätzlich nein. NIS2 nutzt die EU-KMU-Definition (Empfehlung 2003/361/EG): Unternehmen benötigen mindestens 50 Mitarbeiter ODER mehr als 10 Mio. € Jahresumsatz UND 10 Mio. € Bilanzsumme. Beide Finanzschwellen müssen erfüllt sein — hoher Umsatz allein reicht nicht, wenn die Bilanzsumme unter 10 Mio. € liegt. Jedoch sind bestimmte Einrichtungsarten unabhängig von der Größe betroffen: DNS-Anbieter, TLD-Registrierungsstellen, qualifizierte Vertrauensdiensteanbieter, KRITIS-Betreiber und Alleinversorger für wesentliche Dienste in einer Region. Bei Nähe zur 50-Mitarbeiter-Schwelle prüfen Sie, ob verbundene Konzernunternehmen den Schwellenwert überschreiten. Siehe unseren Einrichtungsarten-Artikel für 10 praxisnahe Grenzfallbeispiele.

Welche Sektoren fallen unter NIS2?

NIS2 umfasst insgesamt 18 Sektoren. Anhang I (hohe Kritikalität, besonders wichtige Einrichtungen): Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung und Weltraum. Anhang II (andere kritische Sektoren, wichtige Einrichtungen): Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion und -vertrieb, Fertigung (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge), digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschungseinrichtungen.

Was ist der Unterschied zwischen NIS2 Anhang I und Anhang II?

Anhang I listet 11 Sektoren mit hoher Kritikalität — Unternehmen darin werden als besonders wichtige Einrichtungen eingestuft, wenn sie groß sind, oder als wichtige Einrichtungen, wenn sie mittelgroß sind. Anhang II listet 7 andere kritische Sektoren — Unternehmen darin werden unabhängig von ihrer Größe als wichtige Einrichtungen eingestuft. Das bedeutet: Ein Chemiedistributor mit 180 Mitarbeitern, 70 Mio. € Umsatz und 50 Mio. € Bilanzsumme wird trotzdem als wichtig eingestuft — nicht als besonders wichtig — weil Chemie ein Anhang-II-Sektor ist. Der praktische Unterschied: Besonders wichtige Einrichtungen aus Anhang I unterliegen proaktiven BSI-Prüfungen, höheren Bußgeldern (10 Mio. € vs. 7 Mio. €) und strengerer Aufsicht. Wichtige Einrichtungen aus Anhang II unterliegen nur reaktiver Aufsicht.

Gilt NIS2 für produzierende Unternehmen?

Ja, wenn Sie Medizinprodukte, Computer, Elektronik, optische Produkte, elektrische Ausrüstung, Maschinen, Kraftfahrzeuge oder andere Transportmittel herstellen und 50+ Mitarbeiter oder 10 Mio. €+ Umsatz haben. Die Fertigung ist in NIS2 Anhang II aufgeführt und macht betroffene Unternehmen zu wichtigen Einrichtungen. Eine erhebliche Anzahl deutscher Mittelstandsunternehmen fällt in diese Kategorie. Alle 10 Cybersicherheitsmaßnahmen nach §30 BSIG gelten.

Wir lagern unsere gesamte IT an einen Dienstleister aus. Gilt NIS2 trotzdem?

Ja, vollständig. NIS2 gilt für die Einrichtung, die den regulierten Dienst erbringt — unabhängig davon, wer die IT betreibt. Sie können den Betrieb auslagern, aber nicht die Verantwortung (§30 BSIG). Ihr IT-Dienstleister wird zu Ihrem kritischsten Lieferanten: Dokumentieren Sie die Beziehung, nehmen Sie Cybersicherheitsanforderungen in den Vertrag auf und überprüfen Sie deren Sicherheitsmaßnahmen. Bei einer Sicherheitsverletzung beim Dienstleister greift Ihre Meldepflicht — nicht seine. Die Geschäftsführung haftet persönlich nach §38 BSIG.

Unser Unternehmen ist in mehreren EU-Ländern tätig. Müssen wir jedes nationale NIS2-Gesetz einhalten?

Ja. Ein Vorfall bei einem Unternehmen mit Niederlassungen in mehreren Mitgliedstaaten kann Meldepflichten in jedem Land auslösen, in dem betroffene Dienste erbracht werden. Bis Anfang 2026 hatten nur etwa 6-8 von 27 EU-Mitgliedstaaten NIS2 vollständig umgesetzt. Jedes Land hat sein eigenes Registrierungsportal und eigene Verfahren. Das deutsche BSIG gehört zu den detailliertesten Umsetzungen. Bei grenzüberschreitenden Aktivitäten gilt: Einhaltung jedes nationalen Gesetzes, wo Sie Dienste erbringen.

Was ist der Unterschied zwischen NIS2 und KRITIS?

NIS2 ersetzt KRITIS nicht — es erweitert es dramatisch. KRITIS umfasste rund 2.000 Betreiber mit hohen Schwellenwerten (z. B. 500.000 versorgte Personen). NIS2 umfasst etwa 30.000 Einrichtungen mit deutlich niedrigeren Schwellenwerten (ab 50 Mitarbeiter). NIS2 fügt sieben neue Sektoren hinzu, persönliche Geschäftsführerhaftung (§38 BSIG), verpflichtende BSI-Registrierung, strukturierte Meldepflichten (24h/72h/1 Monat) und deutlich höhere Bußgelder (bis 10 Mio. € vs. 100.000 €). KRITIS-Betreiber werden automatisch als besonders wichtige Einrichtungen unter NIS2 eingestuft.

Bedeutet eine ISO-27001-Zertifizierung, dass ich NIS2-konform bin?

Nein. ISO 27001 deckt etwa 70 % der technischen NIS2-Anforderungen ab, verfehlt aber die Bereiche mit dem höchsten Durchsetzungsrisiko: BSI-Registrierung (§33), Meldefristen (24h/72h/1 Monat nach §32), persönliche Geschäftsführerhaftung (§38), erweiterte Lieferketten-Sorgfaltspflicht und den gesetzlichen Bußgeldrahmen. ISO 27001 ist ein freiwilliger Managementstandard; NIS2 ist eine gesetzliche Verpflichtung mit behördlicher Berichterstattung und persönlicher Haftung. Ihre ISO-Zertifizierung ist eine starke Grundlage, aber Sie benötigen Lückenschließung für die NIS2-spezifischen regulatorischen Anforderungen.

Was ist IT-Grundschutz und warum ist er für NIS2 wichtig?

IT-Grundschutz ist die eigene Cybersicherheitsmethodik des BSI — ein umfassendes Framework mit schrittweiser Umsetzungsanleitung. §44(2) BSIG erkennt die Grundschutz-Implementierung ausdrücklich als Nachweis der NIS2-Compliance an. Das ist ein legaler Vorteil: Das BSI veröffentlicht sowohl den Grundschutz als auch die NIS2-Durchsetzung, sodass Sie gegen einen Standard geprüft werden, den der Auditor in- und auswendig kennt. Grundschutz deckt 100 % der CIR 2024/2690-Anforderungen ab und ist detaillierter als ISO 27001 für NIS2-Zwecke.

Was ist die CIR 2024/2690 und wie hängt sie mit NIS2 zusammen?

Die CIR 2024/2690 ist die EU-Durchführungsverordnung vom 17. Oktober 2024, die die genauen technischen und methodischen Anforderungen für die NIS2-Compliance festlegt. Anders als die NIS2-Richtlinie gilt sie direkt in allen EU-Mitgliedstaaten ohne nationale Umsetzung. Sie beantwortet die Frage: 'Was genau müssen wir umsetzen?' — indem sie die 10 Maßnahmenbereiche in konkrete, prüfbare Anforderungen aufgliedert. In Deutschland erweitert das BSIG diese technischen Anforderungen auf alle NIS2-betroffenen Sektoren.

Welche drei Pflichten hat die Geschäftsführung nach §38 BSIG?

§38 BSIG definiert drei persönliche Pflichten für die Geschäftsleitung, die nicht delegiert werden können: (1) Billigung — formelle Genehmigung der Cybersicherheits-Risikomanagementmaßnahmen mit dokumentierter, nachverfolgbarer Freigabe. (2) Überwachung — aktive Kontrolle der Umsetzung durch regelmäßige Statusüberprüfungen, nicht passive Kenntnisnahme. (3) Schulung — persönliche Teilnahme an Cybersicherheitsschulungen, um ausreichende Kenntnisse zur Risikobewertung zu entwickeln. Das Versäumnis einer einzelnen dieser Pflichten begründet persönliche Haftung — selbst wenn das Unternehmen angemessene Maßnahmen umgesetzt hat.

Kann ich die NIS2-Verantwortung an meine IT-Abteilung delegieren?

Sie können die Ausführung delegieren, aber nicht die Verantwortung. §38 BSIG benennt ausdrücklich Geschäftsleiter — nicht IT-Manager, CISOs oder externe Berater. Sie müssen persönlich Maßnahmen genehmigen, deren Umsetzung überwachen und Cybersicherheitsschulungen absolvieren. Ihr IT-Team setzt um; Sie genehmigen und überwachen. Die Behauptung, alles an die IT delegiert zu haben, ist keine Verteidigung — es ist der Beweis einer Überwachungspflichtverletzung.

Deckt eine D&O-Versicherung die NIS2-Haftung ab?

Die meisten D&O-Policen schließen Bußgelder und Verwaltungsstrafen aus — diese sind nach deutschem Recht typischerweise nicht versicherbar. Die zivilrechtliche Haftung nach §38 BSIG (Schadensersatzansprüche des eigenen Unternehmens) kann je nach Policenbedingungen gedeckt sein. Versicherer können Leistungen auch ablehnen, wenn die Geschäftsführung wissentlich gegen gesetzliche Pflichten verstoßen hat. Prüfen Sie die Ausschlussklauseln Ihrer Police — 'Nichteinhaltung gesetzlicher Pflichten' ist eine Standardausschlussklausel in deutschen D&O-Policen. Gehen Sie nicht von Deckung aus — fordern Sie schriftliche Bestätigung an.

Können Gesellschafter die Geschäftsführerhaftung für NIS2 erlassen?

Nein. §38(2) BSIG stellt ausdrücklich fest, dass Schadensersatzansprüche aus Verletzungen der §30 BSIG-Pflichten nicht von Gesellschaftern erlassen oder in einer zur finanziellen Lage des Unternehmens unverhältnismäßigen Weise verglichen werden können. Dies überlagert die normalen GmbHG §43-Regeln. Selbst in einer inhabergeführten GmbH, in der der Geschäftsführer gleichzeitig alleiniger Gesellschafter ist, besteht die Haftung. Im Insolvenzfall kann der Insolvenzverwalter auf Ihr Privatvermögen zugreifen.

Ich bin nicht technisch versiert — kann ich wirklich für Cybersicherheit haftbar gemacht werden?

Ja. §38(3) BSIG normiert die Schulungspflicht gerade, um diese Verteidigung auszuschließen. Das Gesetz unterstellt, dass die Geschäftsführung nach Absolvierung einer angemessenen Cybersicherheitsschulung über ausreichende Kenntnisse verfügt, um ihre Pflichten zu erfüllen. 'Ich verstehe nichts von Technik' ist keine Verteidigung — es ist der Beweis einer Schulungspflichtverletzung. Die Schulung verlangt nicht, dass Sie IT-Experte werden, aber Sie müssen das Risikoprofil Ihres Unternehmens und die getroffenen Maßnahmen verstehen.

Wie registriere ich mein Unternehmen beim BSI für NIS2?

Die Registrierung erfolgt in zwei Schritten: (1) Erstellen Sie ein Konto über Mein Unternehmenskonto (MUK) mit Ihrem ELSTER-Unternehmens­zertifikat unter muk.bsi.bund.de. (2) Melden Sie sich an und füllen Sie das NIS2-Registrierungsformular aus — mit Unternehmensdaten, Sektorklassifizierung, Ansprechpartner für Cybersicherheit und IP-Adressbereichen. Der Prozess dauert 30-60 Minuten, wenn Sie alles vorbereitet haben. Sie benötigen Ihr ELSTER-Zertifikat, die Handelsregisternummer und einen benannten Cybersicherheits-Ansprechpartner.

Ich habe die BSI-Registrierungsfrist verpasst. Ist es zu spät?

Nein. Das Portal ist weiterhin geöffnet — registrieren Sie sich sofort. Die Frist vom 6. März 2026 ist abgelaufen, aber ein erheblicher Teil der geschätzten 30.000 betroffenen Unternehmen hat sich noch nicht registriert. Das BSI hat signalisiert, dass es die Durchsetzung gegen Unternehmen priorisiert, die ihre Pflichten vollständig ignorieren — nicht gegen solche, die verspätet registriert sind, aber in gutem Glauben handeln. Das Bußgeld für Nichtregistrierung beträgt bis zu 500.000 €, aber das BSI berücksichtigt die Umstände.

Wie hoch ist das Bußgeld für die Nichtregistrierung beim BSI?

§65 BSIG sieht Bußgelder bis zu 500.000 € speziell für Registrierungsverstöße vor. Dies ist ein eigenständiger Verstoß — getrennt von Bußgeldern für die fehlende Umsetzung von Sicherheitsmaßnahmen. Sie können für Nichtregistrierung bestraft werden, selbst wenn Ihre tatsächlichen Cybersicherheitsmaßnahmen angemessen sind. Die Bußgelder werden jedoch im Einzelfall unter Berücksichtigung von Schwere, Dauer und Gutgläubigkeit bemessen.

Kann ich mich registrieren, wenn ich nicht sicher bin, ob mein Unternehmen betroffen ist?

Ja, und das BSI empfiehlt im Zweifel die Registrierung. Eine Registrierung, die sich als nicht erforderlich herausstellt, hat keine negativen Konsequenzen — sie kann korrigiert werden. Eine fehlende Registrierung, wenn Sie betroffen sind, birgt echtes rechtliches Risiko. Im Zweifel: registrieren.

Bedeutet die BSI-Registrierung, dass ich NIS2-konform bin?

Nein. Die Registrierung erfüllt eine Pflicht (§33 BSIG), aber nicht die inhaltlichen Anforderungen: Cybersicherheitsmaßnahmen (§30), Meldepflichten (§32) oder die Geschäftsführerpflichten (§38). Stellen Sie sich die Registrierung wie eine Steuererklärung vor — Sie müssen trotzdem die Steuern zahlen. Nach der Registrierung müssen Sie alle 10 Pflichtmaßnahmen umsetzen, Meldeprozesse einrichten und sicherstellen, dass die Geschäftsführung ihre persönlichen Pflichten erfüllt.

Wie sieht die NIS2-Meldekaskade bei Sicherheitsvorfällen aus?

NIS2 erfordert eine dreistufige Meldekaskade an das BSI: (1) Frühwarnung innerhalb von 24 Stunden — Bestätigung eines erheblichen Vorfalls, ob er böswillig ist und ob grenzüberschreitende Auswirkungen möglich sind. (2) Aktualisierte Meldung innerhalb von 72 Stunden — Schwerebewertung, Kompromittierungsindikatoren, erste Ursachenanalyse und ergriffene Maßnahmen. (3) Abschlussbericht innerhalb von 1 Monat — detaillierte Beschreibung, bestätigte Ursache, Gegenmaßnahmen und Lessons Learned. Ist der Vorfall nach einem Monat noch nicht abgeschlossen, ist ein Zwischenbericht erforderlich.

Was gilt als 'erheblicher' Sicherheitsvorfall unter NIS2?

Ein Vorfall ist erheblich, wenn er: schwere Betriebsstörungen verursacht, finanzielle Verluste über 500.000 € oder 5 % des Jahresumsatzes verursacht, andere natürliche oder juristische Personen erheblich schädigt, unbefugten Zugriff oder Veränderung von Daten beinhaltet oder eine längere Dienstunterbrechung verursacht. Die CIR 2024/2690 ergänzt, dass wiederkehrende kleinere Vorfälle aggregiert und als erheblich behandelt werden können, wenn sie zusammen innerhalb von sechs Monaten die Kriterien erfüllen.

Wo melde ich NIS2-Sicherheitsvorfälle?

Alle Vorfallsmeldungen müssen über das offizielle BSI-Meldeportal im NIS2-Bereich eingereicht werden. Das BSI akzeptiert keine Meldungen per E-Mail, Telefon oder Brief als Ersatz für die Portalmeldung. Der Zugang erfordert eine vorherige Registrierung nach §33 BSIG — nicht registrierte Einrichtungen haben ein doppeltes Problem: Sie können keine Vorfallsmeldungen über den ordnungsgemäßen Kanal einreichen. Telefonischer Kontakt mit dem CERT-Bund ist für die parallele Koordination der Reaktion angemessen.

Was passiert, wenn ich einen Vorfall nicht dem BSI melde?

Die Nichtmeldung wird unabhängig vom Vorfall selbst bestraft. Jede fehlende Stufe (24h, 72h, 1 Monat) ist ein separater Verstoß mit Bußgeldern bis 500.000 €. Für besonders wichtige Einrichtungen kann auch der erweiterte Bußgeldrahmen (bis 10 Mio. €) greifen. Wusste die Geschäftsführung von einem Vorfall und stellte die Meldung nicht sicher, stellt dies einen persönlichen Überwachungsverstoß nach §38 BSIG dar. Die Nichtmeldung wirft zudem Fragen zur gesamten Compliance-Haltung auf und kann eine umfassende BSI-Prüfung auslösen.

Ersetzt die NIS2-Vorfallsmeldung die DSGVO-Meldepflicht?

Nein. Die NIS2-Vorfallsmeldung nach §32 BSIG ist getrennt von und zusätzlich zur DSGVO-Datenschutzverletzungsmeldung nach Art. 33/34 DSGVO. Beide Pflichten können gleichzeitig für denselben Vorfall gelten. Wenn ein Cyberangriff personenbezogene Daten offenlegt und Dienste stört, müssen Sie sowohl beim BSI nach NIS2 als auch bei der Datenschutzbehörde nach DSGVO melden. Unterschiedliche Fristen, unterschiedliche Behörden, unterschiedliche Formulare.

Wie hoch ist das maximale NIS2-Bußgeld für mein Unternehmen?

Es hängt von Ihrer Einrichtungskategorie ab. Besonders wichtige Einrichtungen (Anhang-I-Sektoren): der höhere Betrag aus 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen (Anhang-II-Sektoren): der höhere Betrag aus 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Für die meisten mittelständischen Unternehmen unter 500 Mio. € Umsatz gilt der Festbetrag, da der Prozentsatz niedriger ist. Separate Bußgelder bis 500.000 € gelten für Registrierungs- und Meldeverstöße. Mehrere Verstöße können sich kumulieren.

Kann ich als Geschäftsführer persönlich bestraft werden?

Die Bußgelder nach §65 BSIG werden gegen das Unternehmen verhängt, nicht gegen die Einzelperson. Jedoch begründet §38 BSIG eine persönliche zivilrechtliche Haftung für Schäden aus dem Versäumnis, Cybersicherheitsmaßnahmen zu genehmigen und zu überwachen. Sie haften also persönlich für Verluste des Unternehmens — kein Bußgeld, aber potenziell ein Schadensersatzanspruch Ihres eigenen Unternehmens. Im Insolvenzfall kann der Insolvenzverwalter diesen Anspruch persönlich gegen Sie geltend machen.

Sind NIS2-Bußgelder verhältnismäßig zur Unternehmensgröße?

Ja, das ist beabsichtigt. Die umsatzbezogene Berechnung stellt sicher, dass Bußgelder mit der Unternehmensgröße skalieren. Für ein Unternehmen mit 15 Mio. € Umsatz beträgt das maximale Bußgeld für besonders wichtige Einrichtungen 10 Mio. € (der Festbetrag, da 2 % nur 300.000 € wären). Für ein 600-Mio.-€-Unternehmen beträgt das Maximum 12 Mio. € (2 % übersteigt die 10-Mio.-€-Untergrenze). Das BSI muss zudem die Verhältnismäßigkeit berücksichtigen: Unternehmensgröße, Schwere, Dauer und Gutgläubigkeit fließen in die tatsächliche Bußgeldhöhe ein.

Was löst BSI-Durchsetzungsmaßnahmen aus?

Bei besonders wichtigen Einrichtungen: Das BSI kann proaktive Prüfungen und Inspektionen ohne konkreten Anlass durchführen — risikobasierte Stichproben. Bei wichtigen Einrichtungen: Die Durchsetzung ist reaktiv — ausgelöst durch einen gemeldeten Vorfall, Beschwerden Dritter, Medienberichte über eine Sicherheitsverletzung oder fehlende Registrierung. Das BSI gleicht auch Handelsregister- und Sektordatenbanken ab, um Einrichtungen zu identifizieren, die registriert sein sollten, es aber nicht sind.

Wie vergleichen sich NIS2-Bußgelder mit DSGVO-Bußgeldern?

NIS2-Bußgelder orientieren sich an der DSGVO-Struktur. Maximale NIS2-Bußgelder (10 Mio. € / 2 % Umsatz für besonders wichtige Einrichtungen) sind vergleichbar mit DSGVO-Stufe-1-Bußgeldern (10 Mio. € / 2 % Umsatz). DSGVO-Stufe-2-Bußgelder gehen höher (20 Mio. € / 4 %). Der zentrale Unterschied: NIS2 fügt persönliche Geschäftsführerhaftung (§38 BSIG) hinzu, die die DSGVO nicht kennt. Zudem können sich NIS2-Bußgelder kumulieren — Nichtregistrierung, Nichtmeldung und Nichtkonformität mit Maßnahmen sind separate Verstöße mit separaten Bußgeldern.

Wie lange dauert die NIS2-Compliance für ein mittelständisches Unternehmen?

Für ein Unternehmen mit 50-250 Mitarbeitern, das bei Null anfängt, rechnen Sie mit 3-6 Monaten für eine solide Grundlage: BSI-Registrierung (Woche 1), Asset-Inventar und Risikoanalyse (Wochen 2-6), Meldeprozess (Wochen 4-8), Zugangskontrollen (Wochen 6-12) und Richtliniendokumentation (fortlaufend). Die meisten der 49 BSIG-Anforderungen sind einmalige Dokumentation — Richtlinien, Risikobewertungen, Verfahren. Nur wenige erfordern laufende operative Prozesse. Das BSI bewertet Entwicklung und Gutgläubigkeit, nicht Perfektion am ersten Tag.

Wie viel kostet die NIS2-Compliance?

Für ein Unternehmen mit 50-250 Mitarbeitern: Managementberatung kostet 150.000-500.000 €, Enterprise-GRC-Plattformen 100.000 €+/Jahr, US-Compliance-Tools (Vanta, Drata) ab 7.500 €/Jahr, aber ohne BSIG-Spezifika, und Eigenleistung 20.000-80.000 € an Personalaufwand. Realistische Erstjahreskosten für ein 100-Personen-Unternehmen: Gap-Analyse (5.000-15.000 €), Richtliniendokumentation (10.000-30.000 €), technische Maßnahmen (15.000-50.000 €), Schulung (3.000-8.000 €), insgesamt 33.000-103.000 € einmalig plus 20.000-53.000 € jährlich.

Was sind die 10 verpflichtenden NIS2-Cybersicherheitsmaßnahmen?

§30(2) BSIG definiert 10 Pflichtmaßnahmen: (1) Risikoanalyse und Informationssicherheitsrichtlinien, (2) Bewältigung von Sicherheitsvorfällen, (3) Aufrechterhaltung des Betriebs und Krisenmanagement, (4) Sicherheit der Lieferkette, (5) Sicherheit bei Beschaffung, Entwicklung und Wartung, (6) Bewertung der Wirksamkeit, (7) Cybersicherheitsschulung und -hygiene, (8) Kryptografie und Verschlüsselung, (9) Personalsicherheit, Zugangskontrolle und Asset-Management, (10) Multi-Faktor-Authentifizierung und gesicherte Kommunikation. Alle besonders wichtigen und wichtigen Einrichtungen müssen alle 10 Maßnahmen umsetzen.

Wie sieht ein Asset-Inventar für ein mittelständisches Unternehmen aus?

Einfacher als gedacht. Ein typisches 100-Personen-Unternehmen hat etwa 10-15 gruppierte Asset-Einträge. IT-Grundschutz erlaubt ausdrücklich die Gruppierung identischer Assets: '45 Windows-Laptops' ist ein Eintrag, nicht 45. Typische Kategorien: ERP-/Abrechnungssystem, E-Mail und Zusammenarbeit (Microsoft 365), Netzwerkinfrastruktur pro Standort, Standard-Endgeräte (gruppiert), Server und Datenbanken, Cloud-Dienste und eventuell Betriebstechnik. Für Entsorgungsunternehmen kommen Flottenmanagement und Wiegesysteme hinzu, für Hersteller Produktionsanlagensteuerungen.

Muss ich einen CISO oder ein Sicherheitsteam für NIS2 einstellen?

Nein. Für mittelständische Unternehmen (50-250 Mitarbeiter) ist die NIS2-Compliance mit vorhandenem Personal in Teilzeitrollen machbar: ein Compliance-Verantwortlicher (4-8 Stunden/Woche, meist IT-Leiter oder Qualitätsmanager), ein IT-Ansprechpartner (2-4 Stunden/Woche) und ein Management-Sponsor (1-2 Stunden/Woche, erforderlich nach §38 BSIG). Das Gesetz verlangt 'angemessene und verhältnismäßige' Maßnahmen — ein 100-Personen-Entsorgungsunternehmen braucht kein SOC oder SIEM.

In welcher Reihenfolge sollten die NIS2-Maßnahmen umgesetzt werden?

Sofort starten mit Maßnahme 1 (Risikoanalyse), 2 (Vorfallsbewältigung) und 9 (Zugangskontrolle und Assets) — diese sind grundlegend und alles andere baut darauf auf. Wochen 3-6: Maßnahmen 3 (Betriebskontinuität), 4 (Lieferkette) und 7 (Schulung), die das Asset-Inventar aus Maßnahme 1 benötigen. Wochen 7-12: Maßnahmen 5 (Beschaffungssicherheit), 6 (Wirksamkeitsbewertung), 8 (Kryptografie) und 10 (MFA). Die Reihenfolge ist wichtig, da spätere Maßnahmen auf früheren aufbauen.