06227 – 89901-0

Suche
Facebook
Instagram

NIS2 ist jetzt deutsches Recht!

Was das bedeutet und was Sie ab sofort tun müssen: ein strategischer Fahrplan für KMU!

Die deutsche Umsetzung der EU‑NIS2‑Richtlinie ist seit dem 06.12.2025 nun doch noch in Kraft – und weitet den Geltungsbereich der bisherigen Cybersicherheitsregulierungen massiv aus: Statt rund 4.500 sind künftig etwa 29.000 Unternehmen und Einrichtungen in Deutschland reguliert.

Digital Document Management

Für viele Mittelständler ist das jetzt der erste direkte Kontakt mit konkreten gesetzlichen IT‑Sicherheitspflichten. Und zwar inklusive Managementverantwortung, Meldepflichten mit Zeitvorgaben und Registrierung beim BSI.

Wer jetzt strukturiert vorgeht, senkt nicht nur Haftungsrisiken, sondern erhöht tatsächlich auch real die Resilienz seines Unternehmens und gewinnt damit Vertrauen in Lieferketten.

Was gilt seit dem 06.12.2025 – und für wen?

Deutschland hat NIS2 über eine Novellierung des BSI‑Gesetzes (BSIG) umgesetzt. Kernpunkte:
 
  • Anwendungsbereich: Unternehmen in 18 Sektoren (u. a. Energie, Transport, Gesundheit, digitale Infrastruktur, Herstellung/Produktion, Forschung), wenn sie ≥ 50 Mitarbeitende oder ≥ 10 Mio. € Umsatz/Bilanzsumme aufweisen. Größere Schwellen gelten für „besonders wichtige Einrichtungen“; KRITIS wird nach wie vor gesondert behandelt.
  • Kategorien: NIS2 unterscheidet „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“, diese spiegeln die EU‑Kategorien „important/essential“ wieder.
  • Selbstprüfung & Registrierung: Unternehmen müssen eigenständig prüfen, ob sie betroffen sind, und sich innerhalb von 3 Monaten nach Qualifikation beim BSI registrieren. 

Wichtiger Hinweis:

Der deutsche Gesetzgeber hat keine generelle Übergangsfrist vorgesehen. Viele Pflichten gelten unmittelbar. Ihre Registrierung und Einsetzung der Incident‑Prozesse sind also zeitkritisch.

Welche Pflichten entstehen – kurz & fundiert

Registrierung & Onboarding beim BSI

  • BSI‑Portal: Das Registrierungs‑ und Meldeportal ist laut BSI ab 06.01.2026 verfügbar. Empfehlung: Sie können schon jetzt Ihr Unternehmenskonto („MUK“) einrichten, basierend auf Ihrer ELSTER‑Authentifizierung.
  • Fristen: Die Registrierung muss 3 Monate ab einer existierenden Einordnung in den Anwendungsbereich erfolgen. Änderungen müssen binnen 14 Tagen gemeldet werden.
Mature businessman smiling, leaning back in his office chair with hands behind head, experiencing satisfaction and a brief break from work in a modern corporate environment

Meldepflichten bei Sicherheitsvorfällen

  • Erstmeldung binnen 24 Stunden
  • Detailmeldung binnen 72 Stunden
  • Abschlussbericht binnen 1 Monat
  • Zwischenberichte auf BSI‑Anforderung.

Risikomanagement & Managementverantwortung

  • Einführung angemessener, wirksamer und verhältnismäßiger Maßnahmen (ISMS‑Ansatz, z. B. nach BSI‑Grundschutz/ISO 27001), inkl. Dokumentation.
  • Die Führungsebene im Unternehmen ist unmittelbar verantwortlich (inkl. Schulungspflichten). Cybersicherheit ist „Chefsache“!

Lieferkette & Beschaffung

  • NIS2 zieht auch die Lieferkette in die Pflicht: vertragliche Sicherheitsanforderungen müssen definiert werden, Nachweise und Eskalationswege werden verpflichtend.

Ihr 90‑Tage‑Fahrplan: Von „wo stehen wir?“ zu „prüfbar regelkonform“

Damit Sie innerhalb der gesetzlichen Firsten konform werden, haben wir Ihnen einen groben 90 Tage-Plan aufgestellt, um Betroffenheit, Verantwortlichkeiten, Melde‑ und Grundschutz‑Prozesse aufzustellen. Damit werden Sie registrierungs‑ und meldefähig, inkl. dokumentierten Risiken und ersten Maßnahmen.

Tage 1–14: Analyse & Verantwortlichkeiten
  • Betroffenheit klären: Sektor, Größe, ggf. vernachlässigbare Tätigkeiten prüfen und eine Dokumentation Ihrer Ableitung erstellen.
  • Rollen festlegen: Mindestens zwei koordinierende Personen für Informationssicherheit benennen, ein Management‑Briefing durchführen und die Terminschiene für Pflichtschulungen im Unternehmen festlegen.
  • MUK‑Account anlegen, Nachweise und Unterlagen sammeln.
Tage 15–28: Reifegrad & Risiken
  • Gap‑Analyse: Gegen NIS2‑Pflichten und BSI‑Grundschutz/ISO 27001.
  • Risikoregister anlegen (kritische Assets, Bedrohungen, Maßnahmenstand, Verantwortliche, Fälligkeiten).
Tage 29–60: Kernprozesse & Erstmaßnahmen
  • Ein eigenes ISMS‑Light etablieren: Policy‑Set (Security‑Policy, Incident‑Policy, AUP), Rollen‑/Gremienbeschluss, Risiken priorisieren.
  • Incident‑Management festlegen: Interne Meldekette (24/72/30‑Tage) simulieren; Vorlagen für die notwendigen Erst‑/Zweit‑/Abschlussberichte bei Vorfällen erstellen.
  • Technische Baselines: Patch‑ und Schwachstellen‑Management und MFA/Zero‑Trust‑Grundlagen einführen, Backup/Restore‑Prozesse testen, Monitoring und Logging kritischer Systeme etablieren, Notfallkommunikationswege festlegen.
Tage 61–90: Registrierung & Verstetigung
  • BSI‑Registrierung im Portal durchführen (ab 06.01.2026) & Incident‑Meldungen testen.
  • Lieferkette prüfen: Mindestanforderungen in Verträge, Onboarding‑Fragenkataloge & Nachweisformate (z. B. ISO‑Zertifizierung, ISAE‑Berichte) aufnehmen.
  • Trainings & Reviews: Management‑Schulungen einführen und protokollieren; internen Audit‑Zyklus und KPI‑/KRIs festlegen.

Tipp für die Praxis:

Wenn Sie unsicher sind, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt, können Sie bei unserem Partnerunternehmen Save‑Dave GmbH aus Walldorf einen NIS2‑Betroffenheitstest durchführen. Der Check bietet in wenigen Schritten eine strukturierte Ersteinschätzung, ob und in welchem Umfang Ihr Unternehmen betroffen ist und welche Pflichten sich daraus ergeben können. Damit erhalten Sie schnell Orientierung und eine fundierte Grundlage für die nächsten Schritte. 

NIS2 - Check

FAQ – die häufigsten Fragen aus KMU‑Sicht

Sind kleine Unternehmen (< 50 MA) grundsätzlich raus?
Nicht automatisch. Die Sektorzuordnung und besonderen Konstellationen (z. B. bestimmte digitale Dienste, kritische Einrichtungen, Ausnahmen) können trotzdem Pflichten auslösen. Zudem entstehen indirekte Pflichten über Verträge mit Kunden, die den Regularien unterliegen.

Müssen wir sofort zertifiziert sein (ISO/BSI‑Grundschutz)?
NIS2 verlangt wirksame und verhältnismäßige Maßnahmen, kein Zertifikat per se. In der Praxis erleichtert auch ein einfaches ISMS die Nachweisführung bereits deutlich.

Wie streng sind die Meldefristen?
Sehr streng. Die 24/72/30‑Tage sind verbindlich, Prozesse und Vorlagen müssen deshalb bereits im Voraus erarbeitet werden.

Was passiert, wenn wir die Registrierung verpassen?
Es drohen aufsichtsrechtliche Maßnahmen und Bußgelder; die eigene Registrierung ist eine Kernpflicht von NIS2.

Gibt es Übergangsfristen?
Es ist keine generelle Übergangsfrist vorgesehen! Pflichten gelten mit Inkrafttreten und entsprechende Fristen laufen zeitnah an.

Fazit – „Jetzt“ ist der richtige Zeitpunkt zum Handeln!

  • NIS2 ist geltendes Recht in Deutschland – mit sofortigem Handlungsbedarf.
  • Registrierung, Meldekette und ISMS‑Kernprozesse sind die ersten drei Hebel der nächsten 90 Tage.
Wer früh strukturiert vorgeht, minimiert Haftungs‑ und Ausfallrisiken und gewinnt in Lieferketten an Vertrauen.

 

 

Ihr Weg zur NIS‑2‑Konformität – einfach und verständlich

Verschlafen Sie keine der verpflichtenden NIS‑2‑Fristen – wir unterstützen Sie dabei.
Schützen Sie Ihr Unternehmen zuverlässig vor rechtlichen Risiken und stärken Sie gleichzeitig Ihre langfristige Resilienz gegenüber Bedrohungen.
Gemeinsam setzen wir NIS 2 sicher, verständlich und fristgerecht um.
Beratungstermin vereinbaren

Jetzt Online-Beratungstermin buchen!

Nutzen Sie die Möglichkeit einer kostenlosen einstündigen Online-Beratung für Ihre IT-Lösung. In diesem Gespräch können Ihre individuellen Anforderungen besprochen werden. Füllen Sie einfach das untenstehende Formular aus und wir werden uns in Kürze mit Ihnen in Verbindung setzen, um einen passenden Termin zu vereinbaren.