NIS2 Pflichten
der Geschäftsführung​

Was Unternehmen jetzt tun müssen​

IT-Sicherheit und Compliance

Inhaltsverzeichnis

Bild von Annika Geisler
Annika Geisler

Business- & IT-Consultant

Die NIS2-Richtlinie bringt neue Pflichten für Unternehmen und macht Informationssicherheit klar zur Aufgabe der Geschäftsleitung. Entscheidend ist nicht nur, wer von NIS2 betroffen ist, sondern auch, wie Unternehmen die Umsetzung strukturiert angehen. In diesem Beitrag erfahren Sie, welche Unternehmen durch die Richtlinie betroffen sind, welche NIS2-Pflichten Geschäftsleitungen haben und wie sich Maßnahmen priorisieren lassen.

Das Wichtigste in 30 Sekunden

  • NIS2 betrifft viele mittlere und große Unternehmen Nicht nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche Unternehmen aus relevanten Branchen müssen prüfen, ob sie unter die neuen Anforderungen fallen.
  • Die Geschäftsleitung trägt klare Steuerungs- und Überwachungspflichten NIS2 ist kein reines IT Thema. Die Verantwortung liegt auch auf Führungsebene. Die Geschäftsleitung muss sicherstellen, dass die Anforderungen im Unternehmen strukturiert umgesetzt und nachvollziehbar überwacht werden.
  • Unternehmen müssen jetzt vier Dinge klären Betroffenheit prüfen, Maßnahmen priorisieren, Meldewege für Sicherheitsvorfälle festlegen und die Umsetzung sauber dokumentieren.
  • Wer zu spät startet, riskiert mehr als nur Bußgelder Neben regulatorischen Folgen drohen auch operative Schwächen, etwa unklare Zuständigkeiten, fehlende Meldeprozesse und Sicherheitslücken im laufenden Betrieb.

Was ist NIS2?

Für rund 30.000 Unternehmen in Deutschland gelten seit dem 6. Dezember 2025 neue Pflichten zur Netzwerk- und Informationssicherheit. Hintergrund ist die NIS2-Richtlinie der EU, welche verabschiedet wurde, um den Schutz der kritischen Infrastruktur in der EU auszubauen. Das deutsche NIS2-Umsetzungsgesetz erweitert die Anforderungen an Informationssicherheit, Registrierung, Vorfallsmeldung und Risikomanagement deutlich. Besonders wichtig: Die Verantwortung liegt nicht nur bei der IT, sondern ausdrücklich auch bei der Geschäftsleitung.

NIS steht für Network and Information Security und zielt darauf ab, die Widerstandsfähigkeit kritischer Einrichtungen gegen IT‑Störungen und Cyberangriffe zu stärken. Genauer gesagt soll gewährleistet werden, dass die als kritisch eingestuften Einrichtungen die Bevölkerung der EU dauerhaft zuverlässig mit essenziellen Gütern und Dienstleistungen versorgen können. Durch die Digitalisierung und die zunehmende Vernetzung unserer Gesellschaft sind Netz- und Informationssysteme heute aus dem Alltag und dem grenzüberschreitenden Austausch nicht mehr wegzudenken. Kommt es zu Störungen, kann dies wirtschaftliche Aktivitäten im europäischen Binnenmarkt beeinträchtigen und finanzielle Schäden verursachen.

Um eine ununterbrochene Bereitstellung sicherzustellen, sind seit Ende 2025 auch viele Unternehmen in Deutschland verpflichtet, ihre IT-Sicherheitskompetenzen zu verbessern und Risikomanagementmaßnahmen und Meldepflichten einzuführen. Werden diese Pflichten nicht eingehalten, drohen Geldstrafen. Zuständige Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI.

Für Unternehmen bedeutet das konkret:

  • Betroffenheit prüfen
  • bei der Meldestelle registrieren
  • Sicherheitsmaßnahmen umsetzen und
  • erhebliche Vorfälle fristgerecht melden
Beratung & Unternehmensentwicklung
NIS2 Umsetzung strukturiert angehen

Digitalisierung, neue Marktanforderungen und veränderte Kundenerwartungen sowie regulatorische Anforderungen zwingen Unternehmen, ihre Geschäftsmodelle, Prozesse und Strukturen immer wieder neu zu denken. Wir begleiten Sie dabei mit strategischer Weitsicht, methodischer Klarheit und der Fähigkeit, Ideen auch umzusetzen.

Mehr erfahren

Wer ist von NIS2 betroffen?

Entscheidend sind zwei Punkte: Das Unternehmen ist in einem betroffenen Sektor tätig und es überschreitet Schwellenwerte hinsichtlich Beschäftigtenzahl, Umsatz und Jahresbilanzsumme. Unternehmen müssen selbständig prüfen, ob sie von NIS2 betroffen sind und damit zu den Einrichtungen gehören, für die die neuen Pflichten gelten. Das BSI stellt dafür eine Betroffenheitsprüfung und einen Entscheidungsbaum bereit. Betroffen sind Einrichtungen, die im BSI-Gesetz in „wichtige“ und „besonders wichtige Einrichtung“ untergliedert werden.

Als besonders wichtige Einrichtung gelten:

  • Betreiber kritischer Anlagen (KRITIS-Betreiber)
  • Anbieter von qualifizierten Vertrauensdiensten, Top Level Domain Name Registries oder DNS-Diensteanbieter
  • Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen
  • Anbieter von Waren oder Dienstleistungen, die einer der Sektoren mit hoher Kritikalität zuzuordnen sind, und mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen

Als wichtige Einrichtungen gelten:

  • Nicht-qualifizierte Anbieter von Vertrauensdiensten
  • Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz oder eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen
  • Anbieter von Waren oder Dienstleistungen, die einer der Sektoren mit hoher Kritikalität oder weiteren kritischen Sektoren zuzuordnen sind und mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen

Betroffene Einrichtungen sind in die zwei Bereiche Sektoren mit hoher Kritikalität und weitere kritische Sektoren unterteilt:

  • Sektoren mit hoher Kritikalität: Energie, Transport & Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum
  • Weitere kritische Sektoren: Transport & Verkehr, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/ Herstellung von Waren, Anbieter digitaler Dienste, Forschung
Betroffenheit prüfen und Maßnahmen ableiten
Digitalstrategie Check-up

Mit dem Check-up bewerten wir Ihre aktuelle Ausgangslage, erkennen Risiken und leiten konkrete Maßnahmen für mehr Sicherheit, Resilienz und Compliance ab.

Mehr erfahren

Was ist zu tun?

1. Betroffenheit überprüfen

Der erste Schritt ist eine Einschätzung, ob das eigene Unternehmen unter die NIS2-Richtlinie fällt. Das zuständige Bundesamt für Sicherheit in der Informationstechnik bietet eine NIS2-Betroffenheitsprüfung an, mit der Sie feststellen können, ob Ihre Einrichtung von der Richtlinie betroffen ist: Betroffenheitsprüfung des BSI. Aus diesem Schritt leiten sich alle weiteren Pflichten ab.

2. Registrierung im BSI-Portal

Betroffene Unternehmen müssen sich beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) des BSI anmelden. Im zweiten Schritt sollten sich Einrichtungen mit dem MUK-Nutzerkonto beim BSI-Portal registrieren. Eine ausführliche Anleitung des BSI finden Sie hier.

3. Geschäftsleitung einbeziehen & Verantwortlichkeiten klar festlegen

Das BSI formuliert ausdrücklich, dass die Verantwortung für Umsetzung und Überwachung bei der Geschäftsleitung liegt. Die Geschäftsleitung muss das Thema nicht selbst operativ umsetzen, aber sie muss sicherstellen, dass Zuständigkeiten, Entscheidungen, Prioritäten und Kontrollen im Unternehmen klar geregelt sind. Da die Geschäftsleitung die rechtliche Verantwortung für die Umsetzung der neuen Anforderungen trägt, sollte sie sicherstellen, dass IT-Sicherheit ein fester Bestandteil des Unternehmens ist. Die Geschäftsleitung sollte Verantwortliche für Informationssicherheit benennen, Entscheidungswege festlegen und das Thema sichtbar in die Unternehmenssteuerung aufnehmen. Wichtig ist, dass IT-Sicherheit nicht isoliert in der IT-Abteilung bleibt, sondern als Führungsaufgabe verankert wird. Um dies zu gewährleisten, schreibt das Gesetz eine Schulungspflicht für Geschäftsleitungen vor. Das bedeutet, dass Geschäftsleitungen regelmäßig an Schulungen zu Risikobewertung und Risikomanagementpraktiken teilnehmen müssen.

4. Risikomanagement betreiben

Für betroffene Unternehmen ist die Umsetzung geeigneter Risikomanagementmaßnahmen verpflichtend. Die NIS2-Richtlinie verlangt geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen. In der Praxis sollten Maßnahmen nach Risiko, Kritikalität und Umsetzbarkeit priorisiert werden. Risikomanagementmaßnahmen können zum Beispiel eine Risikoanalyse, Krisenmanagement nach einem Vorfall, die Absicherung der Lieferkette, Multi Faktor Authentifizierung an Geräten, Zugriffskontrollen in Gebäude sowie Schulungen für Mitarbeitende sein. Indirekt davon betroffen sind auch zahlreiche Dienstleister, da die Absicherung der Lieferkette ein integraler Bestandteil der Risikomanagementmaßnahmen ist und betroffene Unternehmen die Anforderungen an ihre Dienstleister weitergeben können.

Sicherheit gewährleisten
Integrierte Managementsysteme und Informationssicherheit

Zunehmende Cyberbedrohungen, strengere Vorgaben, höhere Kundenanforderungen und globaler Wettbewerb machen ein integriertes, normkonformes Managementsystem unverzichtbar. Isolierte Strukturen erhöhen Risiken, erschweren Entscheidungen und können zu Bußgeldern sowie Reputationsschäden führen. Wir unterstützen Unternehmen dabei, komplexe Managementanforderungen in ein schlankes, digitales und zukunftsfähiges Gesamtsystem zu überführen.

Mehr erfahren

5. Sicherheitsvorfälle melden

Besonders wichtige und wichtige Einrichtungen sind dazu verpflichtet, dem BSI erhebliche Sicherheitsvorfälle zu melden. Zu erheblichen Sicherheitsvorfällen zählen Vorfälle, die zu schwerwiegenden Betriebsstörungen der Dienste oder zu finanziellen Verlusten der Einrichtung führen. Sicherheitsvorfälle sollten direkt nach der Kenntniserlangung gemeldet werden. Die konkreten Fristen sind 24 Stunden nach der Kenntniserlangung für die frühe Erstmeldung, 72 Stunden nach der Kenntniserlangung für die Folgemeldung und 30 Tage nach der Kenntniserlangung für die Abschlussmeldung. Die Meldung erfolgt über das BSI-Portal. Betroffene Unternehmen sollten daher Meldewege für den Notfall festlegen. Eine Schritt-für-Schritt-Anleitung zur Meldung eines Vorfalls über das BSI-Portal finden Sie hier.

6. Umsetzung regelmäßig überprüfen

NIS2 ist kein Einmalprojekt. Sobald Sie die erforderlichen Maßnahmen eingeführt haben, sollten Sie diese auch regelmäßig überprüfen, dokumentieren und fortlaufend an neue Anforderungen anpassen.

Geldstrafen

Verstöße gegen Pflichten aus dem neuen Rechtsrahmen können teuer werden. Die Bußgelder richten sich nach der Einstufung der Einrichtung sowie dem Gesamtumsatz. Vorgesehen sind Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Typische Fehler in der NIS2 Umsetzung

In vielen Unternehmen scheitert die NIS2 Umsetzung nicht an einzelnen Maßnahmen, sondern an fehlender Klarheit und Steuerung

  • Vollständige Übergabe an die IT
    NIS2 ist jedoch auch eine Aufgabe der Geschäftsleitung. Sie muss die Umsetzung steuern, überwachen und im Unternehmen verankern.
  • Fehlende Betroffenheitsprüfung
    Wer nicht klärt, ob und in welchem Umfang das eigene Unternehmen betroffen ist, schafft keine belastbare Grundlage für weitere Schritte.
  • Maßnahmen ohne klare Priorisierung
    Das führt zu Aktionismus, unklaren Zuständigkeiten und verzögerter Umsetzung. Entscheidend ist eine sinnvolle Reihenfolge der Maßnahmen nach Risiko und Relevanz.
  • Fehlende Meldewege
    Wenn im Ernstfall nicht klar ist, wer intern informiert, bewertet und meldet, entstehen gefährliche Verzögerungen.
  • Dienstleister nicht ausreichend berücksichtigt
    Dabei sind externe Partner und die Lieferkette ein wichtiger Teil des Risikomanagements.
  • Lückenhafte Dokumentation
    Wer Entscheidungen, Maßnahmen und Zuständigkeiten nicht nachvollziehbar dokumentiert, kann die eigene Umsetzung später nur schwer belegen

Wie NIS2‑betroffene Unternehmen Maßnahmen richtig priorisieren

Unternehmen müssen zahlreiche technische und organisatorische Maßnahmen umsetzen – doch nicht alles ist gleich dringend. Eine strukturierte Priorisierung hilft, Risiken zu reduzieren, gesetzliche Fristen einzuhalten und Ressourcen sinnvoll einzusetzen.

1. Risiken bewerten und nach Impact priorisieren

NIS2 fordert ausdrücklich einen risikobasierten Ansatz. Unternehmen sollten deshalb zuerst analysieren, welche Systeme, Prozesse und Schwachstellen das größte Risiko darstellen. Priorisiert werden Maßnahmen, die:

  • große Risiken schnell reduzieren,
  • kritische Geschäftsprozesse betreffen oder
  • signifikante Auswirkungen auf Verfügbarkeit, Integrität oder Vertraulichkeit haben.

 

2. Gesetzliche Mindestanforderungen zuerst erfüllen

Einige Pflichten sind nicht verhandelbar und müssen unabhängig vom individuellen Risiko priorisiert werden. Dazu zählen u. a.:

  • Registrierung beim BSI
  • Umgang mit Sicherheitsvorfällen
  • Verwendung von Multi Faktor Authentifizierung
  • Wirksamkeit der Sicherheitsmaßnahmen prüfen
  • Schwachstellenmanagement
  • Einrichten einer Zugriffskontrolle
  • Schulung der Geschäftsleitung
  • Sensibilisierung der Mitarbeitenden zur Risikoerkennung und -vermeidung.


Diese Maßnahmen bilden das gesetzliche Fundament und sollten zuerst umgesetzt werden.

3. Kritische Geschäftsprozesse schützen

Unternehmen sollten sich darauf konzentrieren, die Prozesse abzusichern, die für den Betrieb oder die Versorgung besonders wichtig sind. Es sollte sichergestellt werden, dass wichtige Systeme auch bei Störungen weiterlaufen. Dazu gehören z. B. Produktionssysteme, Energieversorgung, Logistik oder zentrale Verwaltungsprozesse.

4. Quick Wins nutzen

Viele Sicherheitsverbesserungen lassen sich schnell realisieren und liefern sofort spürbare Effekte:

  • Multi Faktor Authentifizierung aktivieren
  • Administratorrechte reduzieren
  • Standardpasswörter entfernen
  • Kommunikationswege für Notfälle definieren


Solche Quick Wins senken das Risiko sofort – bei geringem Aufwand.

5. Abhängigkeiten und Lieferketten berücksichtigen

Da NIS2 ein Lieferketten‑Risikomanagement verlangt, sollten Unternehmen auch Dienstleister prüfen und vertragliche Sicherheitsanforderungen früh aktualisieren. Anbieter mit hohem Zugriff auf kritische Systeme werden zuerst adressiert.

Fazit: NIS2 ist ein Thema für die Geschäftsleitung​

NIS2 ist kein reines IT-Thema. Die Richtlinie verpflichtet Unternehmen dazu, Informationssicherheit strukturiert zu organisieren, Vorfälle zu melden und Risiken nachvollziehbar zu steuern. Für die Geschäftsleitung heißt das vor allem: Betroffenheit prüfen, Verantwortlichkeiten festlegen, Maßnahmen priorisieren und die Umsetzung aktiv überwachen.

Weitere hilfreiche Informationen finden Sie auf der Seite des Bundesamts für Sicherheit in der Informationstechnik.

Häufige Fragen und Antworten

Was muss die Geschäftsleitung bei NIS2 tun?
  • Prüfen, ob ihr Unternehmen durch NIS2 betroffen ist
  • Verantwortliche festlegen
  • Beim BSI-Portal registrieren
  • Sicherheitsvorfälle melden
  • Sich schulen lassen
  • Risikomanagement betreiben

Besonders wichtige und wichtige Einrichtungen müssen verschiedene, je nach Einrichtungsart abgestufte, Pflichten erfüllen, wie beispielsweise

  • sich zu registrieren,
  • erhebliche Sicherheitsvorfälle (in Bezug auf Cyber- und Informationssicherheit) zu melden,
  • Risikomanagementmaßnahmen zu ergreifen,
  • am Informationsaustausch teilzunehmen,
  • Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen umzusetzen.

Unternehmen fallen unter das NIS2-Umsetzungsgesetz, wenn sie unter eine oder mehrere Einrichtungsdefinitionen der Anlagen 1 und 2 fallen und zudem die im Gesetz festgeschriebenen Größenschwellen für Mitarbeiterzahl oder Umsatz (vgl. § 28 Absatz 1 und 2 BSIG) erreichen oder überschreiten. Unabhängig von ihrer Größe werden vom NIS2-Umsetzungsgesetz auch bestimmte Einrichtungen erfasst, etwa wenn die Dienste erbracht werden von:

  • Anbietern von öffentlichen elektronischen Kommunikationsnetzen
  • Anbietern von öffentlich zugänglichen elektronischen Kommunikationsdiensten
  • Vertrauensdiensteanbietern
  • Namensregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern

 

Ob Ihr Unternehmen unter den Anwendungsbereich des NIS2-Umsetzungsgesetzes fällt, können Sie mit der NIS2-Betroffenheitsprüfung prüfen.

NIS2 fordert ausdrücklich einen risikobasierten Ansatz. Unternehmen sollten deshalb zuerst analysieren, welche Systeme, Prozesse und Schwachstellen das größte Risiko darstellen.

Priorisiert werden Maßnahmen, die:

  • große Risiken schnell reduzieren,
  • kritische Geschäftsprozesse betreffen oder
  • signifikante Auswirkungen auf Verfügbarkeit, Integrität oder Vertraulichkeit haben.

 

Gesetzliche Mindestanforderungen sollten zuerst erfüllt werden. Unternehmen sollten sich darauf konzentrieren, die Prozesse abzusichern, die für den Betrieb oder die Versorgung besonders wichtig sind. Es sollte sichergestellt werden, dass wichtige Systeme auch bei Störungen weiterlaufen.

Da NIS2 ein Lieferketten‑Risikomanagement verlangt, sollten Unternehmen auch Dienstleister prüfen und vertragliche Sicherheitsanforderungen früh aktualisieren. Anbieter mit hohem Zugriff auf kritische Systeme werden zuerst adressiert.

Ja, das Gesetz schreibt eine Schulungspflicht für Geschäftsleitung betroffener Unternehmen vor.

Erhebliche Sicherheitsvorfälle müssen von NIS2 betroffenen Unternehmen an das BSI gemeldet werden. Das BSI nennt dafür die Fristen von 24 Stunden für die frühe Erstmeldung, 72 Stunden für die Folgemeldung und 30 Tagen für die Abschlussmeldung.

Einrichtungen müssen sich spätestens drei Monate, nachdem sie erstmals oder erneut NIS2-betroffen sind, registrieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), ist die nationale Aufsichts- und Meldestelle für die Umsetzung der NIS2-Richtlinie in Deutschland. Es überwacht die Einhaltung von Cybersicherheitsmaßnahmen bei betroffenen Einrichtungen, nimmt Meldungen über Sicherheitsvorfälle entgegen, bietet Beratung an und kann Sanktionen verhängen.

Sie haben weitere Fragen?​​

Kostenfreies Erstgespräch buchen

Sandra von König beantwortet Ihre persönlichen Fragen, gibt Orientierung und verschafft 
Ihnen einen klaren Überblick über Möglichkeiten und Mehrwerte.

Sandra von König
Ihre Ansprechpartnerin
Kontakt aufnehmen

Sie haben weitere Fragen?​

Kostenfreies Erstgespräch buchen

Sandra von König beantwortet Ihre persönlichen Fragen, gibt Orientierung und verschafft Ihnen einen klaren Überblick über Möglichkeiten und Mehrwerte.

Kontakt aufnehmen
Ihre Ansprechpartnerin
Sandra von König

Wie datengetrieben ist Ihre Produktion?

Mehr Transparenz, weniger Stillstand

10 Fragen, 5 Minuten: Unser kostenloser Test zur Potenzialanalyse: Daten & KI mit individuellem Ergebnisbericht liefert Ihnen wertvolle Einblicke zu Ihrem aktuellen Reifegrad, verstecktes Erfolgspotenzial und priorisierte Maßnahmen für Ihr Unternehmen.

Test jetzt starten

Klingt spannend? Mehr erfahren.