NIS2-Richtlinie / BSIG 2.0:
Was Sie jetzt wissen müssen 

Wir berichten über die wichtigsten Pflichten, Fristen und haben praktische Umsetzungstipps für Sie. Zudem beleuchten wir welche Rolle das BSIG eigentlich dabei spielt und was das konkret für Sie und Ihr Unternehmen bedeutet

Dieser Artikel erklärt:

1. Wer genau betroffen ist – inkl. Sektoren und Unternehmensgrößen

2. Die 5 zentralen Pflichten – von Risikomanagement bis Meldepflichten

3. Welche zusätzlichen Maßnahmen das BSIG 2.0 fordert – einfach erklärt mit Paragraphen

NIS2 und BSIG 2.0

Einleitung: Warum NIS2 mehr ist als nur „IT-Sicherheit“

Die NIS2-Richtlinie (EU 2022/2555) ist seit Januar 2023 in Kraft – doch ihre Umsetzung in nationales Recht und die konkreten Pflichten für Unternehmen sorgen noch immer für Verunsicherung.

In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle bei der Überwachung und Durchsetzung der neuen NIS 2 – Vorgaben. Und seit dem 06. Dezember 2025 ist es offiziell: Die NIS2-Richtlinie der EU wurde in Deutschland durch das neue IT-Sicherheitsgesetz 2.0 (BSIG 2.0) in nationales Recht umgesetzt. Damit gelten für über 30.000 deutsche Unternehmen – von kritischen Infrastrukturen bis zu mittelständischen Dienstleistern – verschärfte Cybersicherheitspflichten.

Doch was bedeutet das konkret für Ihr Unternehmen? Während die erste NIS-Richtlinie (2016) vor allem kritische Infrastrukturen wie Energieversorger oder Banken betraf, erweitert NIS2 den Geltungsbereich massiv: Nun sind auch mittelgroße Unternehmen aus Branchen wie Digitalanbieter, Lebensmittelhersteller oder Abfallwirtschaft betroffen.

Damit ist NIS2 kein reines IT-Thema, sondern eine unternehmensweite Compliance-Herausforderung mit straffen Fristen und drastischen Sanktionen (bis zu 10 Mio. € Bußgeld oder 2 % des weltweiten Umsatzes).

Und das wichtigste: Die NIS2 setzt den EU-weiten Rahmen, während das BSIG 2.0 die konkreten Umsetzungspflichten in Deutschland regelt und dabei teilweise noch strengere Anforderungen stellt (z. B. für Kritische Infrastrukturen (KRITIS)).

Betroffene Unternehmen: Ist mein Unternehmen überhaupt pflichtig?

NIS2 bzw. das BSIG 2.0 gilt für „wesentliche Einrichtungen“ und „wichtige Einrichtungen“ unterteilt in zwei Kategorien:

Hierzu zählen große Unternehmen (ab 250 Mitarbeiter oder 50 Mio. € Umsatz oder 43 Mio. € Bilanzsumme) aus:

  • Energie (Strom, Gas, Öl)
  • Verkehr (Luft-, Schienen-, Schiffsverkehr, Logistik)
  • Banken & Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore)
  • Trinkwasserversorgung & Abwasser
  • Digitale Infrastruktur (DNS-Anbieter, Cloud-Dienste, Datencenter)
  • Öffentliche Verwaltung (z. B. Notfalldienste)

Hier sind mittelgroße Unternehmen (ab 50 Mitarbeiter oder 10 Mio. € Umsatz) aus folgenden Branchen betroffen:

  • Post- & Kurierdienste
  • Abfallwirtschaft
  • Chemieindustrie
  • Lebensmittelherstellung (z. B. Molkereien, Schlachthöfe)
  • Herstellung medizinischer Geräte
  • Digitalanbieter (z. B. Online-Marktplätze, Suchmaschinen, soziale Netzwerke)

Wichtig:

  • Selbst wenn Ihr Unternehmen unter den Schwellenwerten liegt, können Sie betroffen sein, wenn Sie als „kritischer Zulieferer“ für eine pflichtige Einrichtung gelten (z. B. IT-Dienstleister für ein Krankenhaus).
  • Ausnahmen: Mikrounternehmen (weniger als 10 Mitarbeiter) sind grundsätzlich ausgenommen außer sie sind in besonders sensiblen Bereichen tätig.

Praxistipp: Nutzen Sie den offiziellen NIS2-Sektorcheck der EU oder konsultieren Sie einen Fachanwalt für IT-Recht oder melden Sie sich bei unseren Experten, um Ihre Pflichtigkeit zu klären.

BISG 2.0 und NIS2

Die 5 zentralen Pflichten aus BSIG + NIS2 – und wie Sie sie umsetzen

Pflicht BSIG 2.0 (DE) NIS 2 (EU) Ihre To-Do’s
1. Risikomanagement § 8a BSIG: „Angemessene organisatorische und technische Maßnahmen“ Art. 21 NIS2: „Umfassendes Risikomanagement“
  • Gap-Analyse durchführen (z. B. mit BSI-Grundschutz)
  • Lieferketten prüfen (Drittanbieter-Risiken)
2. Meldepflichten § 8b BSIG: Meldung an BSI innerhalb 24h Art. 23 NIS2: Gleich, aber EU-weite Meldung an CSIRT
  • Vorlagen für Meldungen vorbereiten
  • Kontakt zum BSI-CERT (cert(Bitte ersetzen Sie diese Klammer durch das @-Symbol)bsi.bund.de)
3. Zusammenarbeit mit dem BSI § 9 BSIG: Auskunfts- und Duldungspflicht bei Prüfungen Art. 28 NIS2: Gleich, aber BSI kann unangekündigt prüfen
  • Ansprechpartner für Behörden benennen
  • Dokumentation griffbereit halten (z. B. in einer „BSI-Compliance-Mappe“)
4. Supply-Chain-Sicherheit § 8a Abs. 3 BSIG: Sicherheit von Drittanbietern Art. 21 Abs. 2 NIS2: Lieferketten-Risikomanagement
  • Vertragsklauseln zu Cybersicherheit prüfen
  • Drittanbieter-Audits (z. B. via Fragebogen)
5. Governance und Haftung § 8c BSIG: Persönliche Verantwortung der Geschäftsführung Art. 20 NIS2: Gleich, aber BSI kann Bußgelder gegen Personen verhängen
  • Schulungen für Führungskräfte
  • Cyber-Risiken im Jahresbericht dokumentieren

NIS2  / BSIG 2.0 verlangt ein proaktives Risikomanagement mit technischen und organisatorischen Maßnahmen. Konkrete Anforderungen:

  • Regelmäßige Risikoanalysen (mind. jährlich) für IT-Systeme, Lieferketten und physische Infrastruktur.
  • Grundschutzmaßnahmen wie:
    • Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme
    • Verschlüsselung sensibler Daten (in Ruhe und bei Übertragung)
    • Patch-Management für Software und Hardware (max. 30 Tage nach Bekanntwerden einer Lücke)
    • Backups mit geprüfter Wiederherstellbarkeit (mind. wöchentlich)
    • Netzwerksegmentierung zur Eindämmung von Angriffen
  • Schulungen für Mitarbeiter (mind. jährlich, inkl. Phishing-Tests).

Beispiel aus der Praxis: Ein Lebensmittelhersteller (Kategorie 2) muss nicht nur seine Produktions-IT absichern, sondern auch die Lieferketten-Risiken bewerten – z. B. ob ein Hackerangriff auf einen Logistikpartner die eigene Versorgung gefährden könnte.

  • Wann melden? Bei „erheblichen Vorfällen“ (z. B. Ransomware, Datenlecks, Denial-of-Service-Angriffe mit Betriebsausfall).
  • Fristen:
    • Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden (kurze Beschreibung des Vorfalls).
    • Detaillierter Bericht innerhalb von 72 Stunden (Ursache, Betroffenheit, Gegenmaßnahmen).
    • Abschlussbericht nach 1 Monat (Lösungsweg und Lehren).
  • An wen? An das nationale CSIRT (in Deutschland: BSI-CERT) und die zuständige Aufsichtsbehörde (je nach Branche).

Warnung: Unterlassen der Meldung kann ein eigenständiges Bußgeld nach sich ziehen – selbst wenn der Vorfall an sich keine schweren Folgen hatte!

Artikel 28 NIS2 verpflichtet Unternehmen zur aktiven Kooperation mit nationalen Behörden (in Deutschland: BSI, CSIRTs, zuständige Aufsichtsbehörden). Konkrete Pflichten:

  • Auskunftspflicht auf Anfrage (z. B. zu Sicherheitsvorfällen, technischen Maßnahmen)
  • Zugang zu Systemen gewähren (für Audits oder Vor-Ort-Prüfungen)
  • Dokumentation vorlegen (z. B. Risikoanalysen, Incident-Reports)
  • Anordnungen umsetzen (z. B. Nachbesserungen innerhalb gesetzter Fristen)

Wichtig: Die Behörden können ohne vorherige Ankündigung prüfen – und bei Nichtkooperation Zwangsmaßnahmen (z. B. Bußgelder) einleiten.

NIS2 verlangt, dass Unternehmen auch die Cybersecurity ihrer Zulieferer prüfen. Konkrete Schritte:

  • Vertragliche Verpflichtungen zu Mindeststandards (z. B. ISO 27001).
  • Regelmäßige Audits bei kritischen Partnern (z. B. Cloud-Anbieter, IT-Dienstleister).
  • Notfallpläne für den Fall, dass ein Lieferant ausgefallen ist (z. B. Backup-Logistik).

Tipp für KMU: Nutzen Sie Standard-Fragebögen (z. B. vom BSI) zur Bewertung der Lieferanten-Sicherheit – das spart Zeit und zeigt Compliance-Bemühungen.

Was steht im Gesetz? NIS2 schreibt vor, dass die Geschäftsführung persönlich für Cybersicherheit verantwortlich ist (z. B. durch regelmäßige Berichte des CISO).

Konkrete Pflichten:

  • Benennung eines Sicherheitsverantwortlichen (kann intern/extern sein)
  • Regelmäßige Schulungen für Führungskräfte (mind. jährlich)
  • Nachweisbare Ressourcenbereitstellung (Budget, Personal)
  • Dokumentation aller Maßnahmen (für Audits und Nachweise).

NIS2 definiert „kritische“ und „wichtige“ Sektoren – das BSIG 2.0 geht für deutsche KRITIS-Betreiber noch weiter:

1. Verpflichtende Zertifizierung:

KRITIS-Unternehmen müssen nachweisen, dass sie ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) betreiben (z. B. ISO 27001 auf Basis BSI-Grundschutz). NIS2 fordert hingegen nur „angemessene Maßnahmen“

  • Regelmäßige Sicherheitsaudits: jährliche Prüfungen durch BSI-anerkannte Prüfer. NIS2 sieht keine feste Häufigkeit vor.
  • Vorlage der Prüfberichte an das BSI.
  • Erweiterte Meldepflichten: Nicht nur „erhebliche Vorfälle“, sondern auch „bedrohliche Lageentwicklungen“ (z. B. gehäufte Angriffsversuche) müssen gemeldet werden.

2. Betriebseinschränkungen als Sanktion („Letzte Maßnahme“)

NIS2 sieht Bußgelder (bis 10 Mio. €) und „Naming & Shaming“ vor. Das BSIG 2.0 ermöglicht zusätzlich:

  • Anordnungen zur Einschränkung des Betriebs, wenn ein Unternehmen gravierende Sicherheitsmängel nicht behebt.
  • Beispiel: Ein Wasserwerk mit veralteter Steuerungssoftware könnte gezwungen werden, bestimmte Anlagen vorübergehend abzuschalten, bis die Lücken geschlossen sind.
  • Rechtliche Grundlage: § 8d BSIG – „Anordnungen zur Abwehr von Gefahren“.

3. Verpflichtende Verwendung des BSI-Grundschutzes

NIS2 lässt Unternehmen frei wählen, wie sie Risikomanagement umsetzen (z. B. ISO 27001, NIST, eigene Standards). Das BSIG 2.0 empfiehlt für deutsche Unternehmen explizit den BSI-Grundschutz als Referenz:

  • KRITIS-Betreiber müssen ihre Maßnahmen am BSI-Grundschutz ausrichten.
  • Andere betroffene Unternehmen können den Grundschutz freiwillig nutzen, um Compliance nachzuweisen.

 Vorteil: Das BSI stellt kostenlose Tools (z. B. BSI-Grundschutz-Kompendium (https://www.bsi.bund.de)) bereit.

Praxistipp:

Selbst wenn Sie nicht zu KRITIS gehören – der BSI-Grundschutz ist eine pragmatische Lösung, um NIS2-Anforderungen zu erfüllen.

4.  Erweiterte Pflichten für „Digitale Dienste“ (z. B. Cloud, DNS, Suchmaschinen)

NIS2 regelt digitale Infrastruktur-Anbieter (Art. 2 Abs. 2). Das BSIG 2.0 konkretisiert für Deutschland:

  • Verpflichtende „Sicherheitskennzeichen“ für bestimmte Dienste (z. B. Cloud-Anbieter müssen nachweisen, dass sie DSGVO- und NIS2-konform sind).
  • Zusätzliche Transparenzpflichten: Nutzer müssen über Sicherheitsvorfälle informiert werden (nicht nur das BSI). Und auch der Standort der Datenverarbeitung muss offengelegt werden (Relevanz für Cloud-Anbieter).

5. Stärkere Einbindung der Aufsichtsbehörden (z. B. Bundesnetzagentur, BaFin)

NIS2 sieht vor, dass nationale CSIRTs (in DE: BSI) die Hauptansprechpartner sind. Das BSIG 2.0 weitet die Zuständigkeiten jedoch aus:

  • Bundesnetzagentur (BNetzA): Überwacht Energie- und Telekommunikationsunternehmen.
  • BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht): Prüft Banken und Versicherungen auf NIS2/BSIG-Compliance.
  • Landesbehörden: Können für kommunale Betreiber (z. B. Wasserwerke) zusätzliche Auflagen erlassen.

Achtung:

Wenn Sie z. B. ein FinTech sind, müssen Sie sowohl mit dem BSI als auch mit der BaFin kooperieren – und deren unterschiedliche Anforderungen erfüllen.

6. Nationales Krisenmanagement (Zusammenarbeit mit dem BBK)

NIS2 fordert EU-weite Koordination bei großflächigen Cyberangriffen. Das BSIG 2.0** verankert zusätzlich:

  • Verpflichtende Teilnahme an Übungen des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) für KRITIS-Betreiber.
  • Abstimmung mit dem „Nationalen Cyber-Abwehrzentrum“ (NCAS) bei staatlich gelenkten Angriffen (z. B. APT-Gruppen).

Beispiel:

Ein Krankenhaus muss nicht nur Vorfälle an das BSI melden, sondern auch an lokalen Krisenstäben teilnehmen, wenn ein landesweiter Cyberangriff (z. B. auf die Gesundheits-IT) stattfindet.

7. Erleichterungen für KMU – aber mit Haken

NIS2 sieht proportionale Anforderungen für KMU vor (Art. 21 Abs. 7). Das BSIG 2.0 konkretisiert:

  • Kleinere Unternehmen (unter 50 Mitarbeitern) sind nur betroffen, wenn sie systemrelevante Dienstleistungen erbringen (z. B. Zulieferer für KRITIS).
  • Aber: Selbst wenn sie nicht direkt unter NIS2 fallen, können sie über die Lieferkette verpflichtet werden (z. B. wenn ein KRITIS-Kunde Sicherheitsnachweise verlangt).

Tipp für KMU:

Auch wenn Sie nicht direkt betroffen sind – bereiten Sie sich vor, denn:

  • Große Kunden (z. B. Automobilhersteller) verlangen zunehmend NIS2-konforme Sicherheit von ihren Zulieferern.
  • Cyberversicherungen knüpfen Policen an Compliance-Nachweise.

Fazit: BSIG 2.0 = NIS2 + „Deutsche Sonderwege“

Wir haben Ihnen die wichtigsten Themen was KRITIS-Unternehmen zusätzlich beachten müssen in einer Tabelle kompakt zusammengefasst:

Thema NIS2 (EU) BISG 2.0 (DE)
Zertifizierung ISO 27001 Freiwillig Verpflichtend für KRITIS nach BSI-Grundschutz / ISO 27001
Sanktionen Bußgelder bis 10 Mio. € Bußgelder bis 10 Mio. € + Betriebseinschränkungen ((§ 8d BSIG)
Meldepflichten 24h/ 72h/ 1 Monat 24h/ 72h/ 1 Monat + „bedrohliche Lageentwicklungen“
Prüfungen Durch nationale Behörden Durch nationale Behörden + jährliche Audits für KRITIS
Lieferketten Risikomanagement Risikomanagement + vertragliche Pflichten für KRITIS

NIS2 bzw. BISG 2.0 ist kein Hindernis – Handeln Sie jetzt, aber ohne Panik!

Die NIS2-Richtlinie ist kein bürokratisches Monster, sondern ein Weckruf für mehr Cybersicherheit – in einer Zeit, in der Ransomware, Lieferkettenangriffe und Datenlecks Unternehmen aller Größen bedrohen. Ja, die Umsetzung erfordert Zeit und Ressourcen, aber der Aufwand lohnt sich:

  • Rechtssicherheit: Sie vermeiden Bußgelder bis zu 10 Mio. € und persönliche Haftungsrisiken für die Geschäftsführung.
  • Wettbewerbsvorteile: Kunden und Partner vertrauen Unternehmen mit nachweisbarer IT-Sicherheit.
  • Krisenfestigkeit: Sie sind besser auf Cyberangriffe vorbereitet – und können schneller reagieren.

Wenn Sie unsicher sind, ob NIS2 für Sie gilt vereinbaren Sie ein 30-minütiges Beratungsgespräch mit unseren Experten.

Wenn Sie bereits wissen, dass Sie betroffen sind, dann laden Sie unsere kostenlose Schritt-für-Schritt-Fahrplan herunter und starten Sie jetzt.

Wenn Sie Unterstützung bei der Umsetzung brauchen: Unser Team hilft Ihnen bei Risikoanalysen, Schulungen oder der Erstellung Ihres IT-Sicherheitskonzepts – individuell und praxisnah.

Wie weit sind Sie mit der NIS2-Umsetzung? Fehlen Ihnen noch konkrete Hilfestellungen? Wir beantworten jede Frage!

Kostenloses Beratungsgespräch buchen
Glöckner und Schuhwerk Gruppenfoto

Glöckner & Schuhwerk – Ihr Partner für integrierte Managementsysteme aus Karlsruhe

Unser Team von Glöckner & Schuhwerk mit Sitz in der schönen Fächerstadt Karlsruhe ist Ihr erfahrenes Beratungsunternehmen für integrierte Managementsysteme. Seit über 10 Jahren begleiten wir Unternehmen dabei, ihre Prozesse effizienter, sicherer und nachhaltiger zu gestalten – maßgeschneidert auf ihre individuellen Anforderungen.

Sie benötigen Unterstützung bei der Einführung und Optimierung Ihrer Managementsysteme? Oder Sie brauchen Hilfe bei der Einführung von NIS 2 und / oder ISO 27701? Dann melden Sie sich bei uns! Gemeinsam finden wir die beste Lösung für Ihr Vorhaben – unverbindlich, kompetent und zielorientiert.

FAQ – Häufig gestellte Fragen

Ja! Ab 50 Mitarbeitern und 10 Mio. € Umsatz (in „kritischen Sektoren“ wie Energie, Gesundheit) – KMU sind explizit einbezogen

Das BSI kann Bußgelder verhängen – im Wiederholungsfall bis zu 7 Mio. €.

Nein, aber Sie müssen nachweisen, dass Sie ihre Sicherheit bewertet haben (z. B. durch Fragebögen oder Audits).