Volljurist und Compliance-Experte
23 Mar 2026
13 min
.svg)
Das NIS2UmsuCG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist. Betroffene Unternehmen müssen die zehn Maßnahmen nach §30 BSIG sofort umsetzen.
Die zehn Maßnahmenbereiche entsprechen im Kern einem ISMS nach ISO 27001. Wer bereits zertifiziert ist, deckt rund 70-80 % der Anforderungen ab.
Die Geschäftsleitung muss die Maßnahmen nach §38 persönlich billigen und überwachen. Bei Verstößen drohen Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes.
BSI-Registrierung, MFA und Meldewege sind Sofort-Maßnahmen. Risikoanalyse, BCM und Lieferketten-Bewertung brauchen 3-6 Monate Vorlauf.
Das NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten und verpflichtet rund 30.000 Unternehmen in Deutschland zu konkreten Cybersicherheitsmaßnahmen. Kern des Gesetzes ist §30 BSIG: ein Katalog von zehn Risikomanagement-Maßnahmen, die betroffene Unternehmen umsetzen müssen. Ohne Übergangsfrist.
Dieser Artikel erklärt alle zehn Maßnahmen im Detail, zeigt die Überschneidung mit ISO 27001 und liefert eine Priorisierung für die Umsetzung.
Das NIS2UmsuCG setzt die europäische NIS2-Richtlinie in deutsches Recht um. Für Unternehmen sind drei Paragraphen relevant: §30 definiert zehn Mindestmaßnahmen für das Risikomanagement. §38 verpflichtet die Geschäftsleitung, diese Maßnahmen zu billigen, ihre Umsetzung zu überwachen und regelmäßig an Cybersicherheitsschulungen teilzunehmen. §65 regelt die Bußgelder bei Verstößen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen.
Ob Ihr Unternehmen unter die NIS2-Regulierung fällt, hängt von Sektor, Unternehmensgröße und Umsatz ab. Die genauen Schwellenwerte und alle 18 Sektoren erklären wir im Artikel Für wen gilt NIS2?.
Der Gesetzgeber betont den Verhältnismäßigkeitsgrundsatz: Die Maßnahmen müssen "angemessen, verhältnismäßig und wirksam" sein (§30 Abs. 1 Satz 1). Ein Mittelständler mit 80 Mitarbeitern muss nicht das Sicherheitsniveau eines DAX-Konzerns erreichen. Was er aber muss: nachweisen, dass er die Risiken systematisch bewertet und angemessen behandelt hat. Und genau das Wort "nachweisen" ist der Knackpunkt. Ohne Dokumentation kein Nachweis.
§30 Abs. 2 BSIG listet zehn Maßnahmenbereiche auf. Wer sich diese anschaut, wird feststellen: Das ist im Kern ein ISMS. Der Gesetzgeber hat sich bei der Formulierung an ISO 27001 orientiert. Im Folgenden erklären wir jede Maßnahme mit ihrer praktischen Bedeutung und der Zuordnung zu ISO 27001.
Das Gesetz verlangt Konzepte zur Risikoanalyse und zur Sicherheit der Informationssysteme. In der Praxis heißt das: Sie brauchen ein dokumentiertes Verfahren, um Risiken zu identifizieren, zu bewerten und zu behandeln. Ohne diese Grundlage fehlt jeder weiteren Maßnahme die Richtung.
ISO 27001 Mapping: A.5.1 (Informationssicherheitsrichtlinien), A.6.1 (Risikomanagement-Prozess). ✅ Vollständig abgedeckt.
Praxisbeispiel
Ein mittelständischer Maschinenbauer identifiziert als Top-Risiko den Ausfall seines ERP-Systems. Er dokumentiert die Eintrittswahrscheinlichkeit, die geschätzten Ausfallkosten und beschließt eine Maßnahme: tägliche Backups plus Failover auf einen zweiten Server. Das ist eine vollständige Risikobehandlung im Sinne von §30.
Unternehmen müssen in der Lage sein, auf Sicherheitsvorfälle strukturiert zu reagieren. Das bedeutet: klare Zuständigkeiten, ein dokumentierter Incident-Response-Plan und regelmäßige Tests dieses Plans. Testen Sie den Plan mit einer Tabletop-Übung. Solche Übungen decken innerhalb von zwei Stunden Lücken auf, die im Alltag nicht auffallen.
ISO 27001 Mapping: A.5.24-A.5.28 (Incident Management). ✅ Vollständig abgedeckt.
Maßnahme 2 betrifft die interne Reaktionsfähigkeit. Die gesetzlichen Meldefristen von 24 Stunden, 72 Stunden und einem Monat an das BSI sind ein eigenes Thema, das wir im Detail unter NIS2 Meldepflicht behandeln.
§30 fordert die Aufrechterhaltung des Betriebs, einschließlich Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement. Der wichtigste Punkt: Backups allein reichen nicht. Sie brauchen einen getesteten Wiederherstellungsprozess mit definierten Wiederherstellungszeiten (RTO) und Wiederherstellungspunkten (RPO).
ISO 27001 Mapping: A.5.29-A.5.30 (Business Continuity), A.8.13 (Backup). ✅ Vollständig abgedeckt.
Maßnahme 4 verlangt, dass Sie die Cybersicherheit Ihrer Zulieferer und Dienstleister bewerten. Das umfasst vertragliche Sicherheitsanforderungen, regelmäßige Überprüfung der Lieferanten und ein Verfahren zur Risikobewertung der Lieferkette.
ISO 27001 Mapping: A.5.19-A.5.23 (Supplier Relationships). ✅ Vollständig abgedeckt.
Wie Sie die Lieferkettensicherheit konkret umsetzen, zeigt unser Leitfaden zur NIS2 Lieferkettensicherheit.
Dieses Maßnahmenfeld umfasst die Sicherheit des gesamten Lebenszyklus von IT-Systemen: von der Beschaffung über die Eigenentwicklung bis zur Wartung. Ein zentraler Bestandteil ist das Schwachstellenmanagement. Unternehmen brauchen einen Prozess, um bekannte Schwachstellen zeitnah zu patchen und die Offenlegung eigener Schwachstellen (Vulnerability Disclosure) zu regeln.
ISO 27001 Mapping: A.8.25-A.8.31 (Secure Development), A.8.8 (Vulnerability Management). ✅ Vollständig abgedeckt.
Es reicht nicht, Maßnahmen einzuführen. §30 verlangt Konzepte und Verfahren, um regelmäßig zu bewerten, ob die Maßnahmen tatsächlich wirken. Das kann über interne Audits, Penetrationstests oder KPI-basierte Reviews geschehen. Der Punkt wird bei Audits am häufigsten beanstandet, weil viele Unternehmen Maßnahmen implementieren, aber nie systematisch prüfen, ob sie funktionieren.
ISO 27001 Mapping: A.5.35-A.5.36 (Review, Compliance with Policies). ✅ Vollständig abgedeckt.
Grundlegende Verfahren im Bereich Cyberhygiene und regelmäßige Schulungen für alle Mitarbeiter. Das Gesetz adressiert damit den Faktor Mensch: Die meisten erfolgreichen Cyberangriffe beginnen mit Phishing oder Social Engineering. Schulungen müssen nicht teuer sein, aber sie müssen stattfinden und dokumentiert werden.
ISO 27001 Mapping: A.6.3 (Awareness), A.6.8 (Reporting). ✅ Vollständig abgedeckt.
§38 NIS2UmsuCG geht einen Schritt weiter: Die Geschäftsleitung selbst muss an Cybersicherheitsschulungen teilnehmen. Welche persönlichen Haftungsrisiken das mit sich bringt, zeigt unser Artikel zur NIS2 Geschäftsführer-Haftung.
Unternehmen brauchen ein Konzept für den Einsatz von Kryptographie. Das betrifft Verschlüsselung von Daten at rest und in transit, Schlüsselmanagement und die Wahl geeigneter Algorithmen. In der Praxis bedeutet das: Festplatten verschlüsselt, E-Mail-Transport per TLS, VPN für Remote-Zugriffe und ein dokumentiertes Verfahren für Schlüsselrotation.
ISO 27001 Mapping: A.8.24 (Use of Cryptography). ✅ Vollständig abgedeckt.
Drei Themenbereiche in einer Maßnahme: Sicherheitsüberprüfung von Personal (Screening, Vertraulichkeitsvereinbarungen), Zugangskontrollkonzepte (Wer hat Zugriff auf welche Systeme? Nach welchem Prinzip?) und eine vollständige Inventarisierung aller informationstechnischen Assets. Das Prinzip der minimalen Rechtevergabe (Least Privilege) ist der Kern dieses Maßnahmenbereichs.
ISO 27001 Mapping: A.5.15-A.5.18 (Access Control), A.6.1-A.6.6 (People Controls), A.5.9-A.5.14 (Asset Management). ✅ Vollständig abgedeckt.
Die letzte Maßnahme verlangt den Einsatz von Multi-Faktor-Authentifizierung (MFA) oder kontinuierlicher Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation. MFA ist eine der wenigen Maßnahmen, die das Gesetz explizit benennt (nicht nur als "angemessen" umschreibt). Das Fehlen von MFA wird bei einer Prüfung sofort auffallen.
ISO 27001 Mapping: A.8.5 (Authentication), A.5.14 (Information Transfer). ✅ Vollständig abgedeckt.
"Die zehn Maßnahmenbereiche aus §30 lesen sich wie das Inhaltsverzeichnis eines ISMS. Das ist kein Zufall: Der Gesetzgeber hat sich an ISO 27001 orientiert. Unternehmen, die das verstanden haben, bauen nicht isoliert NIS2-Compliance auf. Sie bauen ein ISMS auf und erfüllen NIS2 als Nebeneffekt."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Wer bereits ein ISMS nach ISO 27001 betreibt, hat einen klaren Vorsprung. Die Überschneidung liegt bei den Unternehmen, die wir bei der Umsetzung begleiten, bei rund 70-80 %. Die folgende Tabelle zeigt, welche §30-Maßnahmen durch ISO 27001 Controls abgedeckt sind und wo NIS2-spezifische Lücken bleiben.
| §30 Maßnahme | ISO 27001 Controls | Abdeckung |
|---|---|---|
| 1. Risikoanalyse | A.5.1, A.6.1 | ✅ Voll |
| 2. Incident Response | A.5.24-A.5.28 | ✅ Voll |
| 3. Business Continuity | A.5.29-A.5.30, A.8.13 | ✅ Voll |
| 4. Lieferkette | A.5.19-A.5.23 | ✅ Voll |
| 5. Entwicklung & Wartung | A.8.25-A.8.31, A.8.8 | ✅ Voll |
| 6. Wirksamkeitsbewertung | A.5.35-A.5.36 | ✅ Voll |
| 7. Schulungen | A.6.3, A.6.8 | ✅ Voll |
| 8. Kryptographie | A.8.24 | ✅ Voll |
| 9. Zugangskontrolle | A.5.15-A.5.18, A.6.1-A.6.6 | ✅ Voll |
| 10. MFA | A.8.5 | ✅ Voll |
Die Tabelle zeigt: Alle zehn Maßnahmen sind durch ISO 27001 Controls abgedeckt. Das bedeutet allerdings nicht, dass ein ISO-27001-Zertifikat NIS2-Compliance automatisch garantiert. Drei Anforderungen gehen über ISO 27001 hinaus:
Meldepflichten (§32): ISO 27001 fordert internes Incident Management, aber keine Meldung an eine Behörde innerhalb von 24 Stunden. Die NIS2-Meldefristen sind ein eigenes Regelwerk.
Geschäftsleitungspflicht (§38): ISO 27001 verlangt "Management Commitment". NIS2 geht weiter: Die Geschäftsleitung muss die Maßnahmen persönlich billigen, ihre Umsetzung überwachen und selbst an Schulungen teilnehmen.
BSI-Registrierung (§33): Ein rein regulatorisches Erfordernis, das kein ISMS-Standard abdeckt. Die Registrierungsfrist beim BSI ist am 5. März 2026 abgelaufen. Eine verspätete Registrierung ist besser als keine, denn das BSI kann bei besonders wichtigen Einrichtungen proaktiv prüfen (§61), ob die Registrierung erfolgt ist. Plattformen wie SECJUR unterstützen bei der korrekten Registrierung und dem Nachweis der Compliance-Umsetzung.
Nicht alles gleichzeitig aufbauen, sondern priorisieren. Die zehn Maßnahmen haben unterschiedliche Umsetzungshorizonte. Die folgende Einteilung hilft, die Ressourcen richtig zu verteilen.
Sofort-Maßnahmen (Wochen)
BSI-Registrierung nachholen (falls noch nicht geschehen), MFA für alle kritischen Systeme aktivieren, Meldewege und Zuständigkeiten für Sicherheitsvorfälle festlegen. Diese drei Punkte lassen sich ohne aufwendige Projektplanung umsetzen und beseitigen die größten Compliance-Lücken sofort.
Mittelfristig (3-6 Monate)
Risikoanalyse durchführen, Business-Continuity-Pläne erstellen und testen, Lieferketten-Sicherheitsbewertung aufsetzen, Asset-Inventar aufbauen. Diese Maßnahmen erfordern Workshops, Abstimmungen und Dokumentation. Sie bilden das Fundament für alle weiteren Schritte.
Langfristig (6-12 Monate)
Wirksamkeitsbewertung als wiederkehrenden Prozess etablieren, Schulungsprogramm für alle Mitarbeiter und die Geschäftsleitung aufbauen, Kryptographie-Konzept entwickeln und Schlüsselmanagement implementieren. Diese Maßnahmen bauen auf den mittelfristigen Ergebnissen auf und machen das ISMS dauerhaft überlebensfähig.
ISMS-Plattformen wie SECJUR Digital Compliance Office können die Vorbereitungszeit um bis zu 50 % verkürzen, weil sie Workflows, Vorlagen und Mappings mitbringen. Statt jede Richtlinie und jedes Risikoregister von Grund auf neu aufzubauen, arbeiten Unternehmen mit vorkonfigurierten Strukturen, die auf §30 BSIG abgestimmt sind.
§65 NIS2UmsuCG staffelt die Bußgelder nach Einrichtungstyp:
| Einrichtungstyp | Max. Bußgeld | Bei Umsatz > 500 Mio. € |
|---|---|---|
| Besonders wichtige Einrichtungen | bis 10.000.000 € | bis 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | bis 7.000.000 € | bis 1,4 % des weltweiten Jahresumsatzes |
Die Bußgelder treffen das Unternehmen. Aber §38 NIS2UmsuCG adressiert auch die persönliche Verantwortung der Geschäftsleitung: Sie muss die Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen. Kommt sie dieser Pflicht nicht nach, haftet sie persönlich. Die Details zur persönlichen Haftung erklären wir im Artikel zur NIS2 Geschäftsführer-Haftung.
Betreiber kritischer Anlagen müssen die Umsetzung alle drei Jahre nachweisen. Welche Prüfkriterien und Governance-Anforderungen dabei gelten, erfahren Sie im Artikel zu NIS2 Audit und Governance.
Die zehn Maßnahmen nach §30 BSIG lesen sich als Anforderungskatalog umfangreich. In der Praxis gibt es drei Wege zur Umsetzung: eine spezialisierte Beratung beauftragen, die Anforderungen vollständig in Eigenregie umsetzen, oder eine ISMS-Plattform nutzen, die Struktur und Vorlagen mitbringt.
Die Beratung liefert Expertise, bindet aber oft über Monate interne Kapazität und erzeugt Abhängigkeiten. Eigenregie spart externe Kosten, erfordert aber NIS2- und ISMS-Wissen im Haus. Plattformen wie SECJUR Digital Compliance Office (ab 10.000 Euro) bündeln Risikoanalyse, Dokumentation und Maßnahmen-Tracking in einem Tool. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 %, weil die Plattform die Struktur vorgibt, die §30 fordert.
Unabhängig vom gewählten Weg gilt: Starten Sie mit der Risikoanalyse. Sie zeigt, wo die größten Lücken liegen, und gibt allen weiteren Maßnahmen die Richtung. Die Priorisierung oben hilft, die Ressourcen auf die dringendsten Punkte zu konzentrieren, statt alle zehn Maßnahmen parallel anzugehen.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Das NIS2UmsuCG verpflichtet betroffene Unternehmen zu zehn Risikomanagement-Maßnahmen nach §30 BSIG. Dazu gehören Risikoanalyse, Incident Response, Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement, Wirksamkeitsbewertung, Schulungen, Kryptographie, Zugangskontrolle und Multi-Faktor-Authentifizierung.
Das NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten, ohne Übergangsfrist. Die Risikomanagement-Maßnahmen nach §30 BSIG müssen sofort umgesetzt werden. Die BSI-Registrierungsfrist lief bis zum 5. März 2026.
Besonders wichtige Einrichtungen riskieren Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des Umsatzes. Die Geschäftsleitung haftet nach §38 persönlich für die Umsetzung.
Ein ISMS nach ISO 27001 deckt rund 70-80 % der NIS2-Anforderungen ab. NIS2-spezifische Lücken bleiben bei den Meldepflichten an das BSI (§32), der persönlichen Geschäftsleitungspflicht (§38) und der BSI-Registrierung (§33). Diese müssen zusätzlich umgesetzt werden.
Sofort-Maßnahmen sind BSI-Registrierung, MFA-Aktivierung und Festlegung von Meldewegen. Mittelfristig (3-6 Monate) folgen Risikoanalyse, Business-Continuity-Pläne und Lieferketten-Bewertung. Langfristig (6-12 Monate) werden Wirksamkeitsbewertung, Schulungsprogramme und Kryptographie-Konzepte aufgebaut. ISMS-Plattformen wie SECJUR können die Vorbereitungszeit um 30-50 % verkürzen, weil sie Workflows und Mappings zu §30 BSIG mitbringen.
Müssen Sie sich in Ihrem Unternehmen mit einem Informationssicherheitsmanagementsystem (ISMS) beschäftigen? Dann wissen Sie: Den richtigen ISMS-Standard zu wählen ist nicht einfach. Wir gehen in diesem Artikel daher auf einige der bekanntesten Informationssicherheits-Standards und ihre Anwendungsbereiche sowie ihre Unterschiede zur ISO/IEC 27001 ein.
Wie allgemein bekannt ist, stellt der Schutz von Daten in unserer Zeit der „Big Data“ eine große Herausforderung dar. Daten sind nicht gleich Daten. Manche sind ganz besonders schützenswert. Namentlich Daten, die zur Diskriminierung führen können. Daten, die über die Einstellung eines potenziellen neuen Mitarbeiters entscheiden können. Daten, die die Gesundheitsgeschichte eines Menschen umreißen. Gerade auf diese Daten sollte niemand unbefugt Zugriff haben. Doch genau solche Daten lagen über Jahre hinweg für jedermann offen im Internet.
.svg)
.svg)
.svg){kind=small}