NIS2 in Deutschland
Deutschland hat die NIS2-Richtlinie durch das NIS2UmsuCG in nationales Recht umgesetzt und dabei das BSI-Gesetz (BSIG) grundlegend überarbeitet. Alle Pflichten gelten seit dem 6. Dezember 2025.
| Date | Event |
|---|---|
| 14. Dez. 2022 | NIS2-Richtlinie im EU-Amtsblatt veröffentlicht |
| 16. Jan. 2023 | NIS2 tritt auf EU-Ebene in Kraft |
| 17. Okt. 2024 | EU-Umsetzungsfrist (von Deutschland verfehlt) |
| 13. Nov. 2025 | Bundestag verabschiedet NIS2UmsuCG |
| 21. Nov. 2025 | Bundesrat stimmt zu |
| 5. Dez. 2025 | Im Bundesgesetzblatt veröffentlicht |
| 6. Dez. 2025 | Neues BSIG tritt in Kraft — alle Pflichten gelten sofort |
| 6. Jan. 2026 | BSI-Registrierungsportal geht online |
| 6. März 2026 | Frist für die BSI-Registrierung |
| ~2028 | KRITIS-Betreiber: erster Compliance-Nachweis fällig |
Es gibt keine Übergangsfrist. Risikomanagement-Maßnahmen, Meldepflichten und Geschäftsführerhaftung gelten seit dem Tag des Inkrafttretens.
| EU-Begriff | Deutscher Begriff | Abkürzung |
|---|---|---|
| Wesentliche Einrichtung | Besonders wichtige Einrichtung | bwE |
| Wichtige Einrichtung | Wichtige Einrichtung | wE |
| Betreiber kritischer Infrastrukturen | Betreiber kritischer Anlagen | KRITIS |
Die Hierarchie: KRITIS ⊂ bwE ⊂ alle NIS2-Einrichtungen. KRITIS-Betreiber werden automatisch als besonders wichtige Einrichtungen (bwE) eingestuft.
Bußgelder
| Kategorie | Maximales Bußgeld | Umsatzbasierte Alternative |
|---|---|---|
| Besonders wichtige Einrichtungen (bwE) | 10.000.000 EUR | 2 % des weltweiten Jahresgruppenumsatzes |
| Wichtige Einrichtungen (wE) | 7.000.000 EUR | 1,4 % des weltweiten Jahresgruppenumsatzes |
| Verstoß | Maximales Bußgeld |
|---|---|
| Nichtumsetung von Cybersicherheitsmaßnahmen (§30) | 10 Mio. / 7 Mio. EUR |
| Nichtmeldung von Sicherheitsvorfällen (§31) | 10 Mio. / 7 Mio. EUR |
| Nichteinhaltung von BSI-Anordnungen | 10 Mio. / 7 Mio. EUR |
| KRITIS: Verstoß bei der Meldung kritischer Komponenten | 5.000.000 EUR |
| KRITIS: Verstoß bei Nachweisverfahren | 2.000.000 EUR |
| Registrierungsverstöße, unterlassene BSI-Meldung | 500.000 EUR |
| Behinderung von BSI-Prüfungen | 500.000 EUR |
| Nichterreichbarkeit der Kontaktstelle | 100.000 EUR |
Drei Kernpflichten
Billigung
Die Geschäftsführung muss die Risikomanagement-Maßnahmen nach § 30 BSIG förmlich genehmigen.
Überwachung
Aktive Kontrolle der Umsetzung — nicht bloße Kenntnisnahme. Die Geschäftsführung muss überprüfen, dass Maßnahmen tatsächlich umgesetzt werden.
Schulung
Verpflichtende persönliche Teilnahme an Cybersicherheitsschulungen mindestens alle 3 Jahre. Diese Pflicht ist nicht delegierbar.
Geschäftsführer haften persönlich gegenüber ihrem eigenen Unternehmen, wenn sie diese Pflichten schuldhaft verletzen. Die Delegation operativer Aufgaben ist zulässig, die strategische Verantwortung und Überwachung verbleibt bei der Geschäftsführung. Mangelnde technische Kenntnisse sind kein Enthaftungsgrund.
§ 38 BSIG verbietet ausdrücklich vertragliche Haftungsfreistellungen durch Gesellschafter, die in einem groben Missverhältnis zur bestehenden Unsicherheit über die Rechtslage stehen.
Frist: 6. März 2026 (3 Monate nach Inkrafttreten des BSIG).
Die Registrierung erfolgt in zwei Schritten: Zunächst ein Konto über Mein Unternehmenskonto (MUK/ELSTER) anlegen, dann über das BSI-Portal registrieren (online seit 6. Januar 2026).
Die Registrierung ist eine Selbstidentifikationspflicht — es erfolgt keine Benachrichtigung durch das BSI. Unternehmen müssen selbst prüfen, ob sie in den Anwendungsbereich fallen. Das BSI kann Unternehmen auch zur Registrierung verpflichten.
| Aspekt | Besonders wichtig (bwE) | Wichtig (wE) |
|---|---|---|
| Aufsicht | Proaktiv (ex-ante) — BSI kann jederzeit prüfen | Reaktiv (ex-post) — nur bei Hinweisen auf Verstöße |
| Maximales Bußgeld | 10 Mio. EUR oder 2 % des weltweiten Umsatzes | 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes |
| Prüfanforderungen | Risikobasierte Stichproben durch das BSI | Nur bei begründetem Verdacht |
| KRITIS-Prüfzyklus | Alle 3 Jahre (bei KRITIS-Betreibern) | Entfällt |