Volljurist und Compliance-Experte
23 Mar 2026
10 min
.svg)
NIS2 erweitert den Geltungsbereich von 7 auf 18 Sektoren. Rund 30.000 Unternehmen in Deutschland sind neu betroffen.
Das NIS2UmsuCG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist. Die Anforderungen müssen sofort erfüllt werden.
Die Bußgelder steigen auf bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen.
NIS2 verlangt ein systematisches Risikomanagement nach §30 BSIG. Unternehmen mit einem bestehenden ISMS (z. B. nach ISO 27001) decken bereits 70-80 % der Anforderungen ab.
NIS2 ist nicht einfach ein Update der alten NIS1-Richtlinie. Es ist eine grundlegend neue Regulierung mit erweitertem Geltungsbereich, konkreteren Pflichten und deutlich höheren Sanktionen. Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2UmsuCG, das die europäische Richtlinie in nationales Recht umsetzt. Ohne Übergangsfrist.
Dieser Artikel zeigt die konkreten Unterschiede zwischen NIS1 und NIS2 und erklärt, was das für Unternehmen in Deutschland bedeutet.
Die NIS1-Richtlinie (EU 2016/1148) war der erste Versuch der EU, einheitliche Cybersicherheitsstandards für kritische Infrastrukturen zu schaffen. Sie trat 2016 in Kraft und betraf sieben Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasserversorgung und digitale Infrastruktur.
Die Anforderungen blieben bewusst offen formuliert. Betroffene Unternehmen mussten "geeignete und verhältnismäßige technische und organisatorische Maßnahmen" treffen und "erhebliche Sicherheitsvorfälle" melden. Was genau das bedeutete, definierte jeder Mitgliedstaat selbst. In Deutschland setzte das BSI-Gesetz die Anforderungen für KRITIS-Betreiber um, andere Länder wählten andere Wege.
Das Ergebnis war ein Flickenteppich unterschiedlicher Sicherheitsniveaus. Ein Energieversorger in Deutschland unterlag anderen Regeln als einer in Frankreich. Die EU-Kommission stellte in ihrer Evaluierung 2020 fest, dass NIS1 das Harmonisierungsziel verfehlt hatte: Die Meldepflichten waren uneinheitlich, die Aufsichtspraxis lückenhaft, und ganze Sektoren blieben unreguliert.
NIS2 (EU 2022/2555) ersetzt NIS1 vollständig. Die Änderungen betreffen nicht einzelne Stellschrauben, sondern die gesamte Architektur der Regulierung. Die folgende Tabelle fasst die sieben Kerländerungen zusammen.
| Vergleichsdimension | NIS1 (2016) | NIS2 (2022/2025) |
|---|---|---|
| Sektoren | 7 Sektoren | 18 Sektoren (11 hochkritisch + 7 kritisch) |
| Betroffene Unternehmen | Von Mitgliedstaaten individuell bestimmt | EU-weit einheitliche Schwellenwerte (ab 50 MA / 10 Mio. € Umsatz) |
| Anforderungen | Allgemeine Sicherheitsmaßnahmen | 10 konkrete Maßnahmenbereiche (§30 BSIG) |
| Meldepflichten | Keine einheitlichen Fristen | 24h Frühwarnung, 72h Bericht, 1 Monat Abschluss |
| Sanktionen (bwE) | Nicht harmonisiert | Bis 10 Mio. € oder 2 % Jahresumsatz |
| Sanktionen (wE) | Nicht harmonisiert | Bis 7 Mio. € oder 1,4 % Jahresumsatz |
| GF-Verantwortung | Nicht explizit geregelt | Persönliche Haftung, Billigungs- und Überwachungspflicht (§38) |
| Aufsicht | Reaktiv | Proaktiv für bwE (§61), reaktiv für wE (§62) |
Die Tabelle zeigt: NIS2 ist kein Feintuning. Es ist eine Neukalibrierung, die den Regulierungsrahmen für Cybersicherheit in Europa auf ein anderes Niveau hebt. Die wichtigsten Dimensionen im Detail.
Unter NIS1 entschied jeder Mitgliedstaat selbst, welche Unternehmen als Betreiber wesentlicher Dienste galten. NIS2 ersetzt diesen Ansatz durch EU-weit einheitliche Kriterien. Das Ergebnis: Die Zahl der betroffenen Unternehmen in Deutschland steigt von wenigen Tausend auf rund 30.000.
Neu sind vor allem die Sektoren Abfallwirtschaft, Lebensmittelproduktion, Postdienste, chemische Industrie, verarbeitendes Gewerbe und digitale Dienste. Statt der alten Unterscheidung zwischen "Betreibern wesentlicher Dienste" und "Anbietern digitaler Dienste" kennt NIS2 zwei Kategorien: besonders wichtige Einrichtungen (bwE) und wichtige Einrichtungen (wE). Die Einstufung hängt von Sektor, Mitarbeiterzahl und Jahresumsatz ab.
Ob Ihr Unternehmen unter den erweiterten Geltungsbereich fällt, hängt von diesen drei Faktoren ab. Alle 18 Sektoren und die genauen Schwellenwerte erklären wir unter Für wen gilt NIS2?.
NIS1 formulierte Anforderungen bewusst vage: "geeignete Sicherheitsmaßnahmen" ohne klare Definition. NIS2 konkretisiert das. §30 BSIG listet zehn Maßnahmenbereiche auf, die betroffene Unternehmen umsetzen müssen. Dazu gehören Risikoanalyse, Incident Response, Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement, Kryptographie und Multi-Faktor-Authentifizierung. Wer sich diese Liste anschaut, wird feststellen: Das ist im Kern ein Informationssicherheitsmanagementsystem (ISMS).
Unternehmen, die bereits eine ISO 27001 Zertifizierung besitzen, decken erfahrungsgemäß 70-80 % der NIS2-Anforderungen ab. Wer noch kein ISMS hat, kann mit einer Plattform wie SECJUR die Vorbereitungszeit erfahrungsgemäß um bis zu 50 % verkürzen. Die zehn konkreten Maßnahmen nach §30 BSIG erklären wir im Detail unter NIS2 Anforderungen: Alle Pflichten für Unternehmen 2026.
Neben den Risikomanagement-Maßnahmen verschärft NIS2 auch die Meldepflichten. Sicherheitsvorfälle mit erheblicher Auswirkung müssen dem BSI innerhalb von 24 Stunden als Frühwarnung, innerhalb von 72 Stunden als vollständiger Bericht und innerhalb eines Monats als Abschlussbericht gemeldet werden. Wie Sie diese Fristen einhalten, zeigt unser Leitfaden zur NIS2 Meldepflicht.
Die dritte große Änderung betrifft die Geschäftsleitung persönlich. §38 NIS2UmsuCG verpflichtet Geschäftsführer, die Risikomanagement-Maßnahmen zu billigen, ihre Umsetzung zu überwachen und regelmäßig an Cybersicherheitsschulungen teilzunehmen. Eine Delegation an die IT-Abteilung reicht nicht mehr aus. Welche persönlichen Haftungsrisiken das mit sich bringt, lesen Sie unter NIS2 Haftung Geschäftsführer.
"Viele Unternehmen behandeln NIS2 noch wie ein IT-Projekt. Das greift zu kurz. NIS2 verlangt ein systematisches Risikomanagement, das von der Geschäftsleitung getragen wird. Wer das verstanden hat, baut kein NIS2-Projekt auf, sondern ein ISMS."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Unter NIS1 bestimmte jeder Mitgliedstaat seine eigenen Sanktionen. Das führte zu erheblichen Unterschieden: In manchen Ländern drohten empfindliche Strafen, in anderen kaum spürbare. NIS2 harmonisiert den Strafrahmen EU-weit.
Für besonders wichtige Einrichtungen (bwE) sieht §65 NIS2UmsuCG Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag höher ist). Für wichtige Einrichtungen (wE) liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Zum Vergleich: Unter NIS1 gab es in Deutschland für KRITIS-Verstöße Bußgelder von maximal 100.000 Euro. Der Sprung auf 10 Millionen Euro zeigt, wie ernst der Gesetzgeber die neue Regulierung nimmt.
Hinzu kommt die proaktive Aufsicht. Besonders wichtige Einrichtungen unterliegen nach §61 NIS2UmsuCG einer aktiven Kontrolle durch das BSI: Audits, Inspektionen und Anordnungen sind ohne konkreten Anlass möglich. Bei wichtigen Einrichtungen (§62) greift das BSI nur bei Hinweisen auf Verstöße ein. Unter NIS1 war die Aufsicht in den meisten Fällen rein reaktiv.
Die EU-Mitgliedstaaten hatten bis Oktober 2024 Zeit, NIS2 in nationales Recht umzusetzen. Deutschland hat diese Frist gerissen. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde erst im November 2025 vom Bundestag verabschiedet und ist am 6. Dezember 2025 in Kraft getreten.
Ein wichtiger Punkt: Es gibt keine Übergangsfrist. Unternehmen, die unter den Geltungsbereich fallen, müssen die Anforderungen ab dem Tag des Inkrafttretens erfüllen. Das unterscheidet das NIS2UmsuCG von vielen anderen Regulierungen, die betroffenen Unternehmen 12 oder 24 Monate Vorbereitungszeit einräumen.
Die BSI-Registrierungspflicht ist seit März 2026 aktiv. Betroffene Unternehmen müssen sich über das BSI-Portal registrieren und einen Kontaktpunkt für Sicherheitsvorfälle benennen. Wer sich noch nicht registriert hat, muss sofort handeln. Eine verspätete Registrierung ist besser als keine, denn sie zeigt dem BSI, dass das Unternehmen reagiert hat.
Die vollständige Timeline des Gesetzgebungsverfahrens und den aktuellen Stand dokumentieren wir unter NIS2UmsuCG.
NIS1 war ein erster Schritt. NIS2 ist der Rahmen, den die EU von Anfang an hätte setzen sollen: einheitliche Kriterien, konkrete Pflichten, spürbare Sanktionen. Für Unternehmen in Deutschland bedeutet das: Die Anforderungen sind seit Dezember 2025 geltendes Recht. Wer noch nicht begonnen hat, sollte jetzt starten.
Der effizienteste Weg zur NIS2-Compliance führt über ein ISMS. Die zehn Maßnahmenbereiche aus §30 BSIG entsprechen im Kern den Anforderungen, die ein ISMS nach ISO 27001 ohnehin abdeckt. ISMS-Plattformen wie SECJUR Digital Compliance Office unterstützen Unternehmen dabei, die Anforderungen systematisch umzusetzen, von der Risikoanalyse über die Dokumentation bis zur BSI-Registrierung. Erfahrungsgemäß sinkt der interne Aufwand damit um bis zu 50 %, weil die Plattform Workflows, Vorlagen und Mappings mitbringt.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Qualitätsmanagementsystem: Definition, Bestandteile und praktischer Aufbau nach ISO 9001. Erfahren Sie, wie ein QMS funktioniert und warum es der Erfolgsschlüssel für systematische Qualitätssicherung ist.
Viele Unternehmen kennen die ISO 9001, doch bei der Umsetzung risikobasierten Denkens hapert es oft. Erfahren Sie, wie Sie Risiken gezielt steuern, Chancen strategisch nutzen und Ihr QMS zu einem echten Wettbewerbsvorteil machen. Dieser Leitfaden zeigt praxisnah, wie Sie aus reaktiver Qualitätssicherung ein vorausschauendes, resilientes System formen, das Ihr Unternehmen nachhaltig stärkt.
Entdecken Sie in unserem neuesten Artikel „Geldwäschegesetz: So setzen Sie das GwG im Unternehmen praktisch um“ die essenzielle Bedeutung des Geldwäschegesetzes (GwG) im Kampf gegen Geldwäsche und Terrorismusfinanzierung. Erfahren Sie, wie Sie das GwG kosteneffizient umsetzen können und wie das Digital Compliance Office Sie dabei unterstützt. Lesen Sie weiter, um wertvolle Einblicke und praktische Tipps zur praktischen Umsetzung des GwG in Ihrem Unternehmen zu erhalten.
.svg)
.svg)
.svg){kind=small}