NIS2-Richtlinie: Alles, was Unternehmen 2026 wissen müssen

Seit Dezember 2025 ist die NIS2-Richtlinie in Deutschland Gesetz. Etwa 29.500 Unternehmen hierzulande sind davon unmittelbar betroffen, Tendenz steigend. Die neue Richtlinie erweitert die bisherigen Anforderungen an Cybersicherheit grundlegend, senkt die Größenschwellen für betroffene Unternehmen deutlich und verpflichtet Geschäftsleitungen zur persönlichen, nicht delegierbaren Haftung. Das ist neu und verändert die innere Organisationsstruktur vieler Unternehmen. Wer verstehen will, welche konkreten Pflichten entstehen, welche Fristen einzuhalten sind und wie die Umsetzung praktisch aussieht, findet hier einen fundierten Überblick über die gesamte NIS2-Richtlinie als Regelwerk, ihre Umsetzung in Deutschland, die zehn Kernmaßnahmen und die ersten Handlungsschritte für Betroffene. Der Artikel hilft auch Führungskräften, ihre neuen Verantwortungen zu verstehen.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (EU 2022/2555) ist die europäische Cybersicherheitsrichtlinie der nächsten Generation, die seit Dezember 2025 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in deutsches Recht umgesetzt ist. Sie verpflichtet Unternehmen und Behörden zu einem strukturierten Risikomanagement nach zehn definierten Maßnahmenbereichen, zu schnellen Meldepflichten bei Sicherheitsvorfällen und zur persönlichen Verantwortung der Geschäftsleitung. Das Besondere: Diese Verantwortung ist nicht delegierbar und führt zu persönlicher Haftung der Vorstandsmitglieder und Geschäftsführer. Insgesamt sind etwa 29.500 Unternehmen in Deutschland betroffen, darunter große Player aus Energie, Bankwesen, Gesundheit sowie mittlere und kleinere Unternehmen in digitalen Sektoren und anderen Branchen wie Chemie, Lebensmittel oder Logistik.

Im Kern ist NIS2 ein Standard für Informationssicherheit und Risikomanagement, der sich an Unternehmen und öffentliche Stellen richtet, die kritische Infrastrukturen betreiben oder digitale Dienste anbieten. Die Richtlinie war notwendig geworden, weil die bisherige NIS1-Richtlinie aus dem Jahr 2016 nur unzureichend auf die gestiegene Bedrohungslage durch Ransomware, staatlich gestützte Hacker, Lieferkettenattacken und andere organisierte Cyberangriffe reagierte. Die Cyberkriminalität ist in den letzten Jahren exponentiell gewachsen. Allein in Deutschland verursachen Cyberattacken nach Schätzungen jährlich hunderte Milliarden Euro Schaden. NIS2 schließt diese Lücken durch höhere Standards für Risikoabwehr, schnellere Meldeverfahren, konkrete und deutlich höhere Bußgelder bis zu 10 Millionen Euro sowie durch verpflichtende Governance-Anforderungen an die Geschäftsleitung.

Die Verantwortung für Cybersicherheit endet mit NIS2 nicht mehr bei der IT-Abteilung oder dem IT-Leiter. Das Gesetz macht die Geschäftsleitung direkt haftbar für die Erfüllung dieser Anforderungen. Das bedeutet konkret, dass der Vorstand oder die Geschäftsführung sich mit Risikomanagement-Entscheidungen befassen muss, diese bewusst genehmigen und die Umsetzung überwachen muss. Eine vollständige Delegation auf die operative IT ist nicht mehr möglich. Diese persönliche Haftung ist einer der deutlichsten und gravierendsten Unterschiede zu früher geltenden Regelungen. Für Unternehmen mit klassischer Organisationsstruktur bedeutet das eine Neuausrichtung von oben herab.

Die praktische Folge dieser neuen Haftungsregel ist, dass Geschäftsführer und Vorstandsmitglieder bei Verstößen gegen NIS2 persönlich haftbar gemacht werden können, nicht nur das Unternehmen selbst. Behörden können bei schweren Verstößen auch gegen Personen ermitteln und Bußgelder gegen diese verhängen. Das schafft einen direkten Anreiz für die Geschäftsleitung, sich aktiv und kontinuierlich mit Informationssicherheit auseinanderzusetzen. Dies ist ein fundamentaler Unterschied zu bisherigen Regelungen, wo Geschäftsleitung oft rein operative Angelegenheiten delegieren konnte.

Zeitstrahl: Von der EU-Richtlinie zum deutschen Gesetz

Die Entwicklung von NIS2 hat sich über mehrere Jahre hingezogen und ist noch nicht an allen Punkten abgeschlossen. Am 10. Januar 2023 verabschiedete das Europäische Parlament nach längeren Verhandlungen die NIS2-Richtlinie. Diese Verabschiedung markierte den Wendepunkt in der europäischen Cybersicherheitspolitik. Der Richtlinie folgte die Notwendigkeit, dass alle EU-Mitgliedstaaten diese Richtlinie bis spätestens zum 17. Dezember 2024 in ihr nationales Recht umsetzen mussten. Dies war eine klare Frist, die durch die EU-Verordnung vorgegeben wurde.

Deutschland verpasste diese Deadline um rund ein Jahr und verabschiedete das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erst im Dezember 2025. Das Gesetz trat sofort in Kraft und ist damit rechtsverbindlich. Parallel dazu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Online-Registrierungsportal entwickelt, über das betroffene Unternehmen ihre Einstufung vornehmen, ihre Daten hinterlegen und laufend aktualisieren können. Seit Januar 2026 ist dieses BSI-Registrierungsportal live, stabil und vollfunktionsfähig. Unternehmen, die wissen wollen, ob sie betroffen sind oder deren Status unklar ist, können sich dort anmelden und erhalten ihre offizielle und bindende Einstufung als "wesentliche" oder "wichtige" Einrichtung nach den Kriterien der NIS2-Richtlinie.

Die Registrierungsfrist läuft ab sofort, und betroffene Unternehmen sollten schnell handeln, um keine Bußgelder zu riskieren. Erste Compliance-Schritte wie eine Risikoanalyse sollten parallel zur Registrierung bereits in Angriff genommen werden. Für eine ordnungsgemäße Registrierung und die ersten Maßnahmen sollten Unternehmen ab sofort mit der Vorbereitung beginnen. Unternehmen, die SECJUR nutzen, können auf ein strukturiertes NIS2-Risikomanagement-Modul zugreifen, das bereits jetzt die Vorbereitung, Priorisierung und Dokumentation unterstützt.

Die konkrete Deadline für die vollständige Umsetzung der zehn Risikomanagementmaßnahmen nach NIS2 ist nicht einheitlich für alle Unternehmen gesetzt. Je nach Einstufung des Unternehmens (wesentliche oder wichtige Einrichtung) und je nach Sektor können unterschiedliche Phasenmodelle und Umsetzungsfristen gelten. Das Gesetz sieht vor, dass besonders kritische Sektoren wie Energie früher vollständige Compliance erreichen müssen, während andere Sektoren mehr Zeit bekommen. Das BSI wird voraussichtlich bis Mitte 2026 konkrete Umsetzungsfahrpläne, detaillierte Vorgaben und Interpretationshilfen für die verschiedenen Sektoren veröffentlichen. Diese Fahrpläne werden Unternehmen erheblich helfen, ihre Ressourcen richtig zu planen und die notwendigen Maßnahmen phasenweise und systematisch umzusetzen, ohne dabei alle Projekte parallel starten zu müssen.

NIS2 auf einen Blick: Die 5 wichtigsten Änderungen

NIS2 unterscheidet sich von der Vorgängerrichtlinie NIS1 in fünf wesentlichen Punkten. Diese Änderungen beeinflussen die Arbeit in betroffenen Unternehmen unmittelbar und erfordern operative sowie strategische Anpassungen in Governance, Organisationsstruktur und Technologie. Viele Unternehmen, die früher nicht von Cybersecurity-Richtlinien betroffen waren, fallen nun unter NIS2. Das erfordert schnelle und strukturierte Reaktion.

1. Erweiterter Anwendungsbereich: Von 7 auf 18 Sektoren

NIS1 erfasste nur sieben kritische Infrastruktur-Sektoren, darunter Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur und Öffentliche Verwaltung. NIS2 erweitert den Geltungsbereich erheblich auf 18 Sektoren und teilt sie in zwei Kategorien ein: "wesentliche Einrichtungen" (11 Sektoren wie Energie, Bankwesen, Gesundheit, Weltraum) und "wichtige Einrichtungen" (weitere 7 Sektoren wie Chemie, Lebensmittel, Verarbeitendes Gewerbe, Forschung). Was bedeutet das konkret? Unternehmen aus Sektoren wie Logistik, Post-Kurierdienste, Abfallwirtschaft oder dem verarbeitenden Gewerbe, die früher nicht von NIS1 erfasst waren, fallen jetzt unter NIS2. Gleichzeitig sinkt die Größenschwelle deutlich: Nicht erst ab 10.000 Mitarbeitern, sondern bereits ab 250 Mitarbeitern oder 50 Millionen Euro Jahresumsatz müssen Unternehmen komplexe Sicherheitskontrollen und ein strukturiertes Risikomanagement aufbauen. Für kleinere Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz gelten ebenfalls Anforderungen, allerdings mit etwas geringerem Umfang als für große Unternehmen.

2. Persönliche Geschäftsleiterhaftung: Das Führungsteam trägt direkte Verantwortung

Nach NIS2 muss die Geschäftsleitung (Vorstand oder Geschäftsführung) Risikomanagementmaßnahmen bewusst genehmigen, ihre Umsetzung aktiv überwachen und regelmäßig überprüfen. Das ist nicht delegierbar und nicht optional. Das bedeutet konkret: Vorstandsmitglieder und Geschäftsführer sind persönlich haftbar, wenn diese Überwachungspflicht nicht erfüllt wird. Verstöße gegen NIS2 können zu Bußgeldern nicht nur für das Unternehmen führen, sondern auch direkt für die Personen selbst. In besonders schweren Fällen können Geschäftsführer damit sogar strafrechtlich verfolgt werden. Diese persönliche Haftung ist für viele Vorständler neu und erfordert eine klare Governance-Struktur. Die Geschäftsleitung muss nachweisen können, dass sie ihre Aufsichtspflicht erfüllt hat. Wie die persönliche Haftung der Geschäftsführung konkret aussieht, erfahren Sie unter NIS2-Geschäftsführerhaftung.

3. Verschärfte Meldepflichten: Ein dreistufiges Verfahren mit strikten Fristen

NIS2 führt ein dreistufiges Meldeverfahren für Sicherheitsvorfälle ein, das deutlich schneller ist als das bisherige Verfahren. Größere Sicherheitsvorfälle müssen innerhalb von 24 Stunden der BSI und den zuständigen Behörden gemeldet werden (Erstmeldung). Nach 72 Stunden folgt eine Bestätigung des Vorfalls mit den ersten verfügbaren Informationen. Ein vollständiger, detaillierter Bericht muss nach spätestens einem Monat vorliegen. Diese Fristen sind eng und verlangen von Unternehmen ein gut etabliertes und trainiertes Incident-Response-Verfahren. Viele Unternehmen unterschätzen die organisatorische und logistische Komplexität dieser Fristen. Ein großer Angriff im Unternehmen erfordert plötzlich paralleles Krisenmanaagement und Dokumentation. Alles zum dreistufigen Meldeprozess mit konkreten Deadlines finden Sie im Artikel zur NIS2-Meldepflicht.

4. Zehn Risikomanagementmaßnahmen nach §30 BSIG als Mindeststandard

NIS2 konkretisiert zehn zentrale Risikomanagementmaßnahmen, die verpflichtend sind: (1) Risikoanalyse und -behandlung, (2) Incident Management und Geschäftskontinuität, (3) Management der Lieferkettensicherheit, (4) Sicherheit von Beschaffungen, (5) Kryptografie und Quantum-Readiness, (6) Personal und Personal-Sicherheit, (7) Zugriffskontrolle und Authentifizierung, (8) Mehrfaktor-Authentifizierung (MFA), (9) Kommunikationssicherheit und (10) Netzwerk-Monitoring. Diese zehn Maßnahmen bilden das organisatorische und technische Rückgrat des Risikomanagements. Sie sind nicht optional oder verhandelbar, sondern verpflichtend für alle betroffenen Unternehmen. Unternehmen, die bereits ein ISO-27001-ISMS haben, werden feststellen, dass NIS2 diese Anforderungen zu großen Teilen bereits abdeckt. Welche konkreten Maßnahmen §30 im Detail fordert, erfahren Sie in unserem Artikel zu den NIS2-Anforderungen.

5. Höhere Bußgelder und stärkere Durchsetzung durch die Behörden

Die Strafzahlungen für Nicht-Compliance sind mit NIS2 erheblich gestiegen. Für wesentliche Einrichtungen (wie Energie- oder Bankensektor) können Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem welche Summe höher ist. Für wichtige Einrichtungen liegt die Grenze bei 7 Millionen Euro oder 1,4 Prozent des weltweiten Umsatzes. Dies sind dramatisch höhere Strafzahlungen im Vergleich zu NIS1, das deutlich niedrigere Bußgelder vorsah. Diese deutlich höheren Strafzahlungen zeigen den massiven regulatorischen Druck, den die EU-Gesetzgeber aufbauen möchte. Die Strafzahlungen sind nicht nur abschreckend gemeint, sondern sollen auch Unternehmen dazu motivieren, Sicherheitsinvestitionen ernst zu nehmen. BSI und andere europäische Aufsichtsbehörden haben angekündigt, dass sie die Durchsetzung von NIS2 prioritär behandeln werden.

"NIS2 fordert im Kern das, was ISO 27001 seit Jahren vorgibt. Wer ein ISMS aufbaut, erfüllt NIS2 nicht als separate Pflicht, sondern als Nebeneffekt eines systematischen Ansatzes. Die zehn Maßnahmenbereiche aus §30 lesen sich wie das Inhaltsverzeichnis einer ISO-27001-Implementierung."

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR

Für wen gilt NIS2? (Kurzcheck)

NIS2 gilt nicht für alle Unternehmen, sondern nur für solche in bestimmten Sektoren und ab einer gewissen Größe oder mit bestimmten Funktionen. Der Schnell-Check funktioniert in drei konkreten Schritten. Erstens: Prüfen Sie, ob Ihr Unternehmen in einem der 18 betroffenen Sektoren tätig ist (Anhang I oder Anhang II der NIS2-Richtlinie). Dies ist eine breite und gut durchdachte Liste, die viele Sektoren abdeckt und auch Branchen einbezieht, die bisher nicht unter Cybersecurity-Richtlinien fielen. Zweitens: Prüfen Sie die Größenschwelle. Für wesentliche Einrichtungen (Anhang I) gilt: ab 250 Mitarbeitern oder mehr als 50 Millionen Euro Jahresumsatz in diesem Sektor tätig. Für wichtige Einrichtungen (Anhang II) liegt die Grenze bei 50 Mitarbeitern oder mehr als 10 Millionen Euro Umsatz. Drittens: Beachten Sie Sonderregeln für digitale Dienste wie Hosting-Provider, Cloud-Services oder Online-Marktplätze, die teilweise anderen Schwellwerten unterliegen als klassische physische Infrastruktur-Unternehmen.

Es gibt weitere Sonderregeln und Ausnahmen, die beachtet werden sollten. Mikrounternehmen und kleine Unternehmen (unter 50 Mitarbeitern und unter 10 Millionen Euro Jahresumsatz) sind grundsätzlich von NIS2 befreit, unabhängig von ihrem Sektor. Das ist eine wichtige Ausnahme für viele KMUs in Deutschland. Allerdings: Lieferanten von Mikro- und Kleinunternehmen können dennoch betroffen sein, wenn sie als "kritischer IKT-Dienstleister" tätig sind und bestimmte Dienste erbringen. Digitale Dienste wie Hosting-Provider, Cloud-Computing-Anbieter oder Online-Marktplätze unterliegen teilweise anderen Klassifizierungsregeln als klassische Energieunternehmen oder Banken. Hier gibt es Detailregelungen, die oft ein Audit erfordern. Das BSI-Registrierungsportal hilft Unternehmen grundsätzlich, ihre genaue Einstufung zu klären. Wer unsicher ist, sollte die Basis-Daten dort eintragen und erhält dann eine offizielle Rückmeldung zur eigenen Betroffenheit oder Nichtbetroffenheit.

Für vollständige Klarheit über die genaue Betroffenheit, die Sektoren-Klassifikation nach Anhang I und II, sowie die individuellen Schwellenwert-Berechnungen für Ihr spezielles Unternehmen empfehlen wir, die detaillierte Übersicht zu nutzen. Den vollständigen Überblick, eine ausführliche Interpretationshilfe und einen erweiterten Check-Fragebogen, den Sie zusammen mit Ihrer Geschäftsleitung durcharbeiten können, finden Sie unter NIS2: Für wen gilt die Richtlinie.

Was müssen betroffene Unternehmen tun? (Kurzüberblick)

Betroffene Unternehmen müssen vier zentrale Handlungsfelder in den nächsten Monaten parallel abdecken. Erstens: Registrierung im BSI-Portal und offizielle Einstufung in die richtige Kategorie (wesentlich oder wichtig). Diese Registrierung ist eine formale Anforderung und gibt Unternehmen bindende Klarheit über ihre genaue Compliance-Anforderung und die Deadline für Umsetzung. Zweitens: Aufbau oder umfassendes Audit eines Risikomanagementsystems, das die zehn Maßnahmen nach §30 BSIG vollständig und nachvollziehbar dokumentiert abdeckt. Drittens: Etablierung eines etablierten, getesteten und trainierten Incident-Response-Prozesses, der die strikten Meldepflichten (24h/72h/1 Monat) erfüllt und im Ernstfall schnell und fehlerfrei funktioniert. Viertens: Formelle Einbindung der Geschäftsleitung in die Risiko-Governance, regelmäßige Berichterstattung an die Geschäftsführung, regelmäßige Abstimmungssitzungen und dokumentierte Dokumentation dieser Governance-Aktivitäten.

Diese vier Handlungsfelder sind ineinandergreifend und sollten parallel vorangetrieben werden, allerdings mit klarer Priorisierung. Der Aufwand variiert stark je nach Ausgangslage und Unternehmensgröße. Unternehmen, die bereits ein ISO-27001-ISMS aufgebaut haben, sind oft schon mehr als halb fertig, da viele Grundanforderungen bereits erfüllt sind und nur noch "übersetzt" und dokumentiert zu NIS2 werden müssen. Unternehmen ohne etablierte Sicherheitsinfrastruktur müssen von vorne beginnen und sollten daher schnell handeln, um nicht unter Zeitdruck zu geraten. Besonders der Aufbau eines funktionierenden und getesteten Incident-Response-Prozesses braucht in der Praxis Zeit, erfordert Training und mehrfache Testläufe, bevor es im Ernstfall schnell und fehlerfrei funktioniert. Eine typische Umsetzung dauert 6-18 Monate je nach Größe und Sektor. Die konkrete Umsetzung der zehn Maßnahmen mit Detailbeschreibungen, ein detaillierter phasenweiser Umsetzungs-Fahrplan und eine Priorisierung nach Kritikalität finden Sie unter NIS2-Anforderungen sowie in unserer NIS2-Checkliste, die Sie herunterladen und sofort in Ihren Unternehmen einsetzen können.

Die NIS2-Richtlinie (EU 2022/2555) im Detail

Rechtsgrundlage und Geltungsbereich

Die NIS2-Richtlinie (EU 2022/2555) wurde am 10. Januar 2023 vom Europäischen Parlament nach langen Verhandlungen verabschiedet. Sie basiert auf der Richtlinie 2016/1148 (NIS1) und ersetzt diese für ihre Anwendungsbereiche vollständig, ist aber deutlich erweitert. In Deutschland ist die Umsetzung durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erfolgt, das im Dezember 2025 in Kraft trat. Das Gesetz ist im Informationssicherheitsgesetz des Bundes (BSIG) integriert und bildet dort die neuen Regelungen in den §28 bis §39 BSIG. Diese Regelungen sind direkt anwendbar und verpflichtend für alle betroffenen Unternehmen in Deutschland.

Der Geltungsbereich umfasst Unternehmen und Behörden, die öffentliche Dienste erbringen oder kritische Infrastrukturen betreiben beziehungsweise unterstützen. Das schließt physische Infrastrukturen (Stromnetze, Wasserleitungen, Verkehrsinfrastruktur, Bahnnetze) und digitale Infrastrukturen (Cloud-Services, DNS-Provider, Internet Exchange Points, CDN-Netzwerke) ein. Unternehmen, die nicht direkt Dienste erbringen, aber als kritische Lieferanten von Systemen oder Dienstleistungen tätig sind, können ebenfalls betroffen sein. Die Reichweite von NIS2 ist damit deutlich breiter und praxisnäher als die von NIS1. Das Gesetz berücksichtigt auch moderne Geschäftsmodelle wie Digitale Dienste und Cloud-Computing, die 2016 noch nicht relevant waren.

NIS2 vs. NIS1: Was hat sich grundlegend geändert?

NIS1 war auf sieben sehr eng definierte Sektoren begrenzt und erfasste nur sehr große Unternehmen (ab 10.000 Mitarbeitern in den meisten Sektoren). Der Fokus lag primär auf der Meldung von Sicherheitsvorfällen an Behörden, aber es gab wenig konkrete Anforderungen an vorbeugende Sicherheitsmaßnahmen. Die Governance-Anforderungen waren schwach, und persönliche Haftung der Geschäftsleitung war nicht rechtlich vorgesehen. NIS2 erweitert den Bereich erheblich auf 18 Sektoren mit klaren Kategorien, senkt die Größenschwelle deutlich (ab 250 Mitarbeitern oder 50 Mio. Euro für wesentliche Einrichtungen) und konkretisiert zehn verpflichtende Risikomanagementmaßnahmen als verbindlicher Mindeststandard. Zudem macht NIS2 die Geschäftsleitung explizit und persönlich haftbar für die Erfüllung dieser Anforderungen. Ein weiterer großer Unterschied: NIS2 umfasst aktiv die Lieferkettensicherheit und stellt spezifische Anforderungen an kritische IKT-Dienstleister (die sogenannten "Cloudwächter"). Unternehmen müssen ihre Zulieferer und digitalen Partner nun aktiv und nachvollziehbar in ihre Sicherheitsverantwortung einbeziehen.

Die 18 Sektoren der Richtlinie

NIS2 unterteilt ihre Anwendungsbereiche in 18 Sektoren, die in zwei Kategorien eingeteilt sind. Die Kategorisierung bestimmt die Strenge der Anforderungen und die Höhe der möglichen Bußgelder:

Unternehmen in der linken Spalte (wesentliche Einrichtungen) unterliegen strengeren Anforderungen, höheren Bußgeldern und teilweise erweiterten Compliance-Deadlines. Unternehmen in der rechten Spalte (wichtige Einrichtungen) haben etwas mehr Spielraum in der Umsetzung, müssen aber dennoch ein robustes und nachweisbares Risikomanagement aufbauen. Unternehmen, die mehreren Sektoren angehören, werden je nach Schwerpunkt der Geschäftstätigkeit in die jeweils höhere Kategorie eingestuft.

Umsetzungsstatus in den EU-Mitgliedstaaten

Die Umsetzungsfrist für NIS2 war der 17. Dezember 2024. Dies war eine starre Deadline, die die EU allen Mitgliedstaaten vorgegeben hatte. Mehrere große Mitgliedstaaten haben diese Frist verpasst. Deutschland hat sein NIS2-Umsetzungsgesetz (NIS2UmsuCG) im Dezember 2025 verabschiedet und ist damit etwa ein Jahr zu spät. Österreich und die Schweiz haben ähnliche Verzögerungen. Andere Länder wie Frankreich, Polen, Niederlande, Schweden, Belgien und Italien haben ihre Gesetze teilweise früher oder zeitlich näher an der Deadline umgesetzt. Ein differenziertes Bild zeigt sich bei der Vollständigkeit der Umsetzung. Manche Länder haben Gesetze auf den Weg gebracht, die rechtlich noch umstritten sind. Die Europäische Kommission prüft derzeit Vertragsverletzungsverfahren gegen Länder, die nicht oder nicht rechtzeitig umgesetzt haben und nicht aktiv an einer Lösung arbeiten. Besonders im südlichen und östlichen Europa gibt es noch Verzögerungen.

Trotz unterschiedlicher Umsetzungsgeschwindigkeiten hat die Europäische Kommission eine harmonisierte Anwendung der Richtlinie zugesagt und arbeitet aktiv an einheitlichen Handreichungen, Leitlinien und Interpretationshilfen für die Mitgliedstaaten. Diese sollen bis Mitte 2026 vorliegen und die Rechtssicherheit für Unternehmen erhöhen. Das BSI-Registrierungsportal in Deutschland ist seit Januar 2026 online, stabil und benutzerfreundlich konzipiert, sodass betroffene Unternehmen sich bereits jetzt registrieren können. Die Registrierungsfrist läuft und kann jederzeit beginnen. Weitere EU-Länder werden ihre Registrierungs-Portale und Behörden-Strukturen schrittweise aktivieren und aufbauen. Die tatsächliche Durchsetzung und die ersten Kontrollen durch Behörden haben in mehreren Ländern bereits begonnen, besonders in Sektoren wie Energie und Bankwesen. Unternehmen sollten nicht darauf warten, dass Behörden sie proaktiv per Post oder E-Mail anschreiben und kontaktieren, sondern selbst die Initiative ergreifen, sich registrieren und die Umsetzung proaktiv und strukturiert beginnen.

Wie SECJUR bei der NIS2-Compliance unterstützt

SECJUR bietet mit ihrer ISMS-Plattform einen strukturierten und systematischen Weg zur NIS2-Compliance. Das dedizierte Risikomanagement-Modul unterstützt Unternehmen dabei, die zehn Maßnahmen nach §30 BSIG nachvollziehbar zu dokumentieren, systematisch durchzuarbeiten, Lücken zu identifizieren und für die Geschäftsleitung aufzubereiten. Das Modul führt durch jeden Schritt eines bewährten und standardisierten Prozesses und gibt klare Handlungsempfehlungen. Unternehmen berichten von bis zu 50 Prozent schnellerer Umsetzung gegenüber klassischer Beraterberatung, weil die Plattform ein striktes Phasenmodell mit klaren Meilensteinen vorgeben kann und Dokumentation teilweise automatisiert. Das spart erheblich Zeit und interne Ressourcen.

Die Kosten starten ab 10.000 Euro, je nach Unternehmensgröße, Sektor und Umfang der bereits bestehenden Sicherheitsstruktur. Im Vergleich zu externen Beratungen, die oft fünf- bis sechsstellige Summen in Rechnung stellen, amortisiert sich die Investition in eine Plattform-Lösung schnell. Unternehmen berichten auch von bis zu 50 Prozent weniger belasteter interner Ressourcen, da die Plattform viel der Koordination und Dokumentation übernimmt. Besonders hilfreich ist das integrierte NIS2-Meldeprozess-Modul auf der Plattform, das Unternehmen dabei unterstützt, die BSI-Fristen (24h, 72h, 1 Monat) einzuhalten und Berichte strukturiert zu erstellen, wenn es tatsächlich zu einem Vorfall kommt. Weitere Details zur Unterstützung durch SECJUR finden Sie unter secjur.com/produkte/nis2. Unternehmen können dort auch ein unverbindliches Audit ihrer aktuellen Compliance-Quote anfordern und erhalten eine klare Roadmap zur vollständigen Compliance.

NIS2 ist ein Gesetz, das bleibt und kontinuierlich durchgesetzt wird. Unternehmen, die jetzt handeln und in ihre Sicherheitsinfrastruktur investieren, sparen sich erhebliche Bußgelder und schaffen eine robuste Sicherheitskultur, die über die bloße Compliance hinausgeht. Diese Kultur zahlt sich auch bei der Abwehr zukünftiger Cyberbedrohungen aus. Fragen Sie SECJUR direkt oder nutzen Sie die Checklisten auf der Website, um die erste Bestandsaufnahme selbst durchzuführen.

​