Was ist NIS2? Geltungsbereich, Pflichten und Haftung

NIS2 ist die zweite EU-weite Richtlinie zur Netzwerk- und Informationssicherheit. Sie löst die NIS-Richtlinie aus 2016 ab, erweitert den Geltungsbereich erheblich und schärft die Sanktionen. In Deutschland setzt das NIS2-Umsetzungsgesetz die Richtlinie um, indem es das BSI-Gesetz (BSIG) anpasst. Seit 6. Dezember 2025 gilt die neue Rechtslage, ohne Übergangsfrist.

Warum NIS2 anders ist als die alte NIS-Richtlinie

Die ursprüngliche NIS-Richtlinie betraf nur sehr wenige Betreiber wesentlicher Dienste. Wer nicht in eine der ausdrücklich genannten Sparten fiel, hatte mit IT-Sicherheitsgesetz und § 8a BSIG zu tun, aber nicht mit NIS. NIS2 ändert das grundlegend in vier Punkten:

1. Geltungsbereich: Statt acht Sektoren jetzt achtzehn, mit deutlich weiter gefassten Definitionen.
2. Größen-Kriterium: Nicht mehr nur “Betreiber wesentlicher Dienste”, sondern alle mittleren (50 bis 249 MA, mehr als 10 Mio. € Umsatz) und großen (ab 250 MA) Unternehmen in den achtzehn Sektoren.
3. Mindestmaßnahmen kodifiziert: § 30 BSIG nennt zehn konkrete Maßnahmen, die jede Einrichtung umzusetzen hat.
4. Persönliche Haftung: § 38 BSIG verankert die persönliche Haftung der Geschäftsleitung. Das ist neu und für viele Unternehmen die wichtigste Information.

Wichtige und besonders wichtige Einrichtung

NIS2 unterscheidet zwei Kategorien:

• Besonders wichtige Einrichtungen (Sektoren mit hoher Kritikalität): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleister, öffentliche Verwaltung, Weltraum. Großunternehmen.
• Wichtige Einrichtungen (Sektoren mit hoher Kritikalität, aber mittelgroß; sowie weitere Sektoren wie Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung).

Die Einstufung entscheidet über die Bußgeld-Obergrenze und über das Aufsichts-Regime. Besonders wichtige Einrichtungen werden proaktiv durch das BSI beaufsichtigt, wichtige Einrichtungen reaktiv (nach Vorfall oder Beschwerde).

Die zehn Mindestmaßnahmen aus § 30 BSIG

§ 30 BSIG legt fest, was jede betroffene Einrichtung zu tun hat. Die zehn Maßnahmen sind:

1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme
2. Bewältigung von Sicherheitsvorfällen, inkl. Erkennung und Reaktion
3. Aufrechterhaltung des Betriebs, Backup-Management, Business Continuity, Krisenmanagement
4. Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehung zu Lieferanten
5. Sicherheit in der Entwicklung, Beschaffung und Wartung von IT-Systemen
6. Konzepte zur Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen
7. Grundlegende Cyberhygiene und Schulungen im Bereich Cybersicherheit
8. Kryptografie und ggf. Verschlüsselung
9. Personalsicherheit, Zugangskontrolle und Asset-Management
10. Lösungen zur Multi-Faktor-Authentifizierung und sichere Kommunikation

Diese Maßnahmen sind nicht abstrakt, sie sind direkt prüfbar. Wer auf Aufforderung des BSI keine schriftliche, nachvollziehbare Umsetzungsdokumentation vorlegen kann, hat ein Compliance-Problem.

Meldepflichten

Vorfälle mit erheblichen Auswirkungen sind in drei Stufen zu melden:

• Frühwarnung (innerhalb von 24 Stunden): Hinweis auf möglichen erheblichen Vorfall.
• Vorfallsmeldung (innerhalb von 72 Stunden): Erste Bewertung, getroffene Maßnahmen, Indikatoren der Kompromittierung.
• Abschlussbericht (innerhalb eines Monats): Detaillierte Analyse, Wirkung, Lehren.

Die Meldungen gehen an das BSI als nationale CSIRT-Stelle. Bei sektorspezifischen Vorgaben (etwa Energie, Telekommunikation) gelten zusätzlich sektorale Meldepflichten an Bundesnetzagentur oder andere Behörden.

Bußgelder und persönliche Haftung

Die Bußgeld-Obergrenzen liegen erheblich höher als bisher:

| Einrichtungstyp | Maximalbußgeld | Alternative | |---|---|---| | Besonders wichtig | 10 Mio. € | 2 % des weltweiten Jahresumsatzes | | Wichtig | 7 Mio. € | 1,4 % des weltweiten Jahresumsatzes |

Jeweils der höhere Wert greift. Das ist eine Größenordnung, die für mittelständische Unternehmen die Existenz bedrohen kann.

Die persönliche Haftung der Geschäftsleitung nach § 38 BSIG ist neu. Sie greift, wenn die Geschäftsleitung ihre Aufsichtspflichten verletzt. Die Haftung ist gegenüber dem Unternehmen ausgestaltet, das Unternehmen kann den Geschäftsführer in Regress nehmen, und sie ist nicht durch D&O-Versicherungen pauschal abgedeckt. Geschäftsführer müssen also wissen, was in ihrem Haus IT-sicherheitstechnisch passiert. “Das macht die IT” reicht als Verteidigung nicht aus.

Was Sie zuerst tun sollten

Bei der NIS2-Erstberatung empfehlen wir vier Schritte:

1. Geltungsbereich klären: Sind Sie wichtig oder besonders wichtig? Oder gar nicht betroffen?
2. Status quo erheben: Welche der zehn Mindestmaßnahmen sind bereits umgesetzt, dokumentiert und auditierbar?
3. Lücken priorisieren: Was muss in 30 Tagen geliefert sein, was in sechs Monaten, was in zwei Jahren?
4. Geschäftsleitung schulen: § 38 BSIG verlangt Schulung der Leitungsebene. Das ist nicht delegierbar.

Die ersten beiden Schritte sind genau das, was unser NIS2-Quick-Check in fünf Werktagen liefert.

Quellen

• NIS2-Richtlinie (Richtlinie (EU) 2022/2555)
• BSI-Gesetz in der Fassung des NIS2-Umsetzungsgesetzes, insbesondere §§ 30, 31, 32, 33, 38
• BSI als zuständige nationale Behörde (www.bsi.bund.de)