NIS-2-Richtlinie: Cybersicherheit wird Chefsache — mit persönlicher Haftung
Am 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft getreten — ohne Übergangsfrist. Was vorher nur große Infrastrukturbetreiber traf, gilt jetzt für rund 29.500 Unternehmen in Deutschland — darunter viele kleinere und mittlere Betriebe.
Was sich ändert
Die Richtlinie erweitert den Kreis der „kritischen Einrichtungen" drastisch: Betroffen sind jetzt 18 Sektoren — von Energie, Gesundheit und Transport über Lebensmittelproduktion und Chemie bis zum verarbeitenden Gewerbe.
Die Schwelle liegt bei mindestens 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz. Wer darüber liegt und in einem der regulierten Sektoren tätig ist, fällt unter NIS-2 — ohne dass das BSI Bescheid gibt. Unternehmen müssen selbst prüfen, ob sie betroffen sind.
Was das für dich heißt
Drei Pflichten kommen auf dich zu:
- Registrierung beim BSI — die Frist war der 6. März 2026 (drei Monate nach Inkrafttreten).
- Meldepflicht bei Sicherheitsvorfällen: Erstmeldung binnen 24 Stunden, Zwischenbericht nach 72 Stunden, Abschlussbericht nach einem Monat.
- Risikomanagement dokumentieren: IT-Grundschutz umsetzen, Maßnahmen nachweisen, Prozesse etablieren.
Die Geschäftsführung haftet persönlich — auch mit ihrem Privatvermögen, wenn sie ihre Aufsichtspflicht verletzt. D&O-Versicherungen decken das oft nicht ab.
Fair gesagt
Cybersicherheit ist kein Nice-to-have mehr. Angriffe auf Lieferketten, Ransomware, Datendiebstahl — die Bedrohungslage ist real. Wer kritische Infrastruktur betreibt oder in sensiblen Branchen tätig ist, sollte sich schützen.
Der eigentliche Haken
Das Gesetz kam ohne Übergangsfrist. Viele Unternehmen wissen nicht, dass sie betroffen sind — weil das BSI sie nicht informiert. Wer die Registrierungsfrist verpasst hat oder Sicherheitslücken nicht behebt, riskiert Bußgelder bis zu 10 Millionen Euro (besonders wichtige Einrichtungen) oder 7 Millionen Euro (wichtige Einrichtungen). Im Wiederholungsfall droht der Geschäftsführung ein Berufsverbot.
Und: IT-Sicherheit kostet. Systeme nachzurüsten, Prozesse zu dokumentieren, externe Audits einzukaufen — das schlägt vor allem bei kleineren Betrieben ins Budget.
Für Unternehmer: Weiterführende Grundlagen
NIS-2 ist eine von mehreren regulatorischen Pflichten, die beim Unternehmensaufbau relevant werden. Wer eine Firma gründet in einem der 18 regulierten Sektoren, sollte NIS-2-Compliance von Anfang an mitplanen. Auch wer sich selbstständig macht und mit der Zeit wächst: Die Schwellenwerte von 50 Mitarbeitern oder 10 Mio. € Umsatz rücken mit jedem Schritt näher. Wer ein Startup gründet in einem regulierten Bereich, sollte die NIS-2-Pflichten früh kennen — sie treffen schneller als erwartet.
Häufige Fragen
Wer ist von NIS-2 betroffen?+
Welche Pflichten gelten unter NIS-2 konkret?+
Haftet die Geschäftsführung persönlich?+
Wie hoch sind die Bußgelder bei NIS-2-Verstößen?+
Du willst wissen, was das für deinen Betrieb bedeutet?
In der Macher-Session sprechen wir über genau solche Themen — konkret, ohne Theorie-Kurs.
Melde dich für die Macher-Session an- BSI: Pressemitteilung 05.12.2025 — NIS-2-Umsetzungsgesetz in Kraft
- Bundesregierung: Umsetzung der NIS-2-Richtlinie beschlossen
- Bundesgesetzblatt 2025 I Nr. 301 (NIS2UmsuCG)
- SecJur: NIS2 — Wer ist betroffen?
Hinweis: Allgemeine Einordnung, keine Rechtsberatung im Einzelfall. Stand: 10. Juni 2026.