NIS-2-Richtlinie
Was jetzt für Ihr Unternehmen wichtig ist /// Stand: Februar 2026
Was ist NIS-2 und das neue BSIG n.F.?
EU-Richtlinie
Die Umsetzung der NIS‑2‑Richtlinie ist in Deutschland am 6. Dezember 2025 mit dem Gesetz zur Umsetzung der NIS‑2‑Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in Kraft getreten (amtlicher Titel <- nur zur Info). Im Whitepaper bezeichnen wir diese Neufassung kurz als BSIG n.F.¹
Seit dem 6. Dezember 2025 gilt in Deutschland die Neufassung des BSIG zur Umsetzung der NIS‑2‑Richtlinie (amtlicher Titel siehe S.1; im Folgenden BSIG n.F.). Die NIS‑2‑Richtlinie (EU)2022/2555 schafft einen einheitlichen europäischen Rahmen für Cybersicherheit; die Neufassung des BSIG setzt dies national um, ersetzt die bisherigen NIS‑Regelungen und erweitert insbesondere Anwendungsbereich, Pflichten und behördliche Aufsicht.
¹ BGBl. I 2025, Nr. 301 (verkündet am 5. Dezember 2025; Inkrafttreten am 6. Dezember 2025).
Hinweis: Die Inhalte dieser Website dienen der allgemeinen Information und stellen keine Rechtsberatung dar.
Füllen Sie das Formular aus, um das Whitepaper kostenlos zu erhalten.
Bedeutung für Unternehmen und Organisationen
Diese Informationen geben einen kompakten Überblick über die nationalen Anforderungen und zeigen, wie Sie Ihre Organisation im Sinne der gesetzlichen Vorgaben praxisnah ausrichten können.
Wer ist von der NIS-2-Richtlinie betroffen?
Das BSIG unterscheidet besonders wichtige Einrichtungen (BWE) und wichtige Einrichtungen (WE) in klar definierten Sektoren/Einrichtungsarten (Anlagen 1 und 2 zum BSIG). Die Einstufung erfolgt sektor-/einrichtungsbezogen und – soweit nicht ausdrücklich größenunabhängig – nach Größenkriterien (Richtwerte: BWE i. d. R. Großunternehmen ≥ 250 MA oder > 50 Mio. € Umsatz und > 43 Mio. € Bilanzsumme; WE i. d. R. mittlere Unternehmen ≥ 50 MA oder > 10 Mio. € Umsatz und > 10 Mio. € Bilanzsumme). Größenunabhängig erfasst sind u. a. Betreiber kritischer Anlagen, qualifizierte Vertrauensdienste, TLD-Registries und DNS-Diensteanbieter.
Sektoren besonders wichtiger und wichtiger Einrichtungen
Energie mit folgenden Branchen
- Stromversorgung
- Gasversorgung
- Fernwärmeversorgung oder Fernkälteversorgung
- Kraftstoff- und Heizölversorgung
Transport und Verkehr mit folgenden Branchen
- Luftverkehr
- Schienenverkehr
- Schifffahrt
Finanzwesen mit folgenden Branchen
- Bankwesen
- Finanzmarktinfrastruktur
Wasser mit folgenden Branchen
- Trinkwasserversorgung
- Abwasserversorgung
Gesundheit
Weltraum
Sektoren wichtiger
Einrichtungen
Transport und Verkehr mit folgenden Branchen
- Post- und Kurierdienste
Anbieter digitaler Dienste und Forschung
Verarbeitendes Gewerbe/Herstellung von Waren mit folgenden Branchen
- Herstellung von Medizinprodukten und In-vitro-Diagnostika
- Herstellung von Datenverarbeitungsgeräten
- elektronischen und optischen Erzeugnissen
- Herstellung von elektrischen Ausrüstungen
- Herstellung von Kraftwagen und Kraftwagenteilen
- sonstiger Fahrzeugbau
- Maschinenbau
Abfallbewirtschaftung
Produktion/Verarbeitung/Vertrieb von Lebensmitteln
Produktion/Herstellung/Handel mit chemischen Stoffen
Regulierung unabhängig von der Größe
Qualifizierte Vertrauensdienste
Betreiber kritischer Anlagen
TLD‑Registries
DNS‑Diensteanbieter
Einrichtungen der Bundesverwaltung
- Stellen des Bundes
- Körperschaften
- Stiftungen des öffentlichen Rates
- Anstalten
Wichtige und besonders wichtige Einrichtungen
Die Einstufung erfolgt zweistufig: Zuerst Sektor/Einrichtungsart (Anlagen 1 & 2 BSIG), dann die Größen-/Schwellenprüfung.
Ausnahmen/Abgrenzungen: Finanzunternehmen unter DORA, Telematikinfrastruktur, Einrichtungen der Bundesverwaltung (§ 29 BSIG).
Besonders wichtige Einrichtung (BWE)
BWE:
≥ 250 Mitarbeitende oder Jahresumsatz > 50 Mio. € und Bilanzsumme > 43 Mio. €
WE:
≥ 50 Mitarbeitende oder Jahresumsatz und Bilanzsumme jeweils > 10 Mio. €
Wichtige Einrichtung (WE)
Hinweis: Die Darstellung dient der Orientierung und erhebt keinen Anspruch auf Vollständigkeit.
Welche Maßnahmen sind erforderlich?
Risikomanagement-Pflichten nach § 30 BSIG
BWE und WE müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen treffen, die dem Stand der Technik entsprechen und einen gefahrenübergreifenden Ansatz verfolgen. Die Einhaltung dieser Verpflichtung ist zu dokumentieren. Bei der Bewertung der Verhältnismäßigkeit sind u. a. Risikoexposition, Größe der Einrichtung, Umsetzungskosten sowie Eintrittswahrscheinlichkeit und Schwere möglicher Sicherheitsvorfälle und deren Auswirkungen zu berücksichtigen.
Mindestens zu regeln sind
-
Risikoanalyse & IS-Konzepte
-
Bewältigung von Sicherheitsvorfällen Detection | Response | Recovery
-
Aufrechterhaltung des Betriebs Backup-Management, Notfallwiederherstellung, Krisenmanagement
-
Sicherheit der Lieferkette inkl. Beziehungen zu Anbietern/Dienstleistern
-
Sicherheitsmaßnahmen bei Erwerb, Entwicklung & Wartung von Systemen Secure SDLC | Schwachstellen-Management & Offenlegung
-
Wirksamkeitsbewertung der Maßnahmen
-
Cyberhygiene & Schulungen
-
Kryptografie & Verschlüsselung
-
Personalsicherheit, Zugriffskontrolle, Asset-/Anlagen-Management
-
Multi-Faktor- bzw. kontinuierliche Authentifizierung, gesicherte Sprach/Video/Text-Kommunikation und ggf. gesicherte Notfallkommunikation
Meldung und Registrierung
Meldepflichten bei erheblichen Sicherheitsvorfällen (§ 32 BSIG)
Meldungen erfolgen an die gemeinsame Meldestelle von BSI und BBK
Frühwarnung
unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, inkl. Verdachtslage (rechtswidrige/böswillige Handlung, grenzüberschreitende Auswirkungen).
Meldung
innerhalb von 72 Stunden, aktualisierte/validierte Informationen + erste Bewertung (Schweregrad, Auswirkungen, ggf. IoCs).
Zwischenmeldungen
auf Ersuchen des BSI.
Abschlussmeldung
spätestens 1 Monat nach der 72 Stunden-Meldung,
bei noch laufendem Vorfall zunächst Fortschrittsmeldung, Abschluss nach Beendigung.
Hinweis: Die Meldepflicht nach § 32 gilt frühestens ab Einrichtung des Meldewegs.
Registrierung
(§§ 33–34 BSIG)
Leitungspflichten (§ 38 BSIG)
Die Geschäftsleitung muss Maßnahmen umsetzen und überwachen und regelmäßig an Schulungen teilnehmen, um Risiken und deren Auswirkungen fachkundig zu beurteilen.
KRITIS‑Spezifika
(§§ 31, 39 BSIG)
Betreiber kritischer Anlagen müssen Systeme zur Angriffserkennung einsetzen (§ 31 Abs. 2) und alle 3 Jahre den Nachweis der umgesetzten Maßnahmen gegenüber dem BSI erbringen (§ 39).
Welche Konsequenzen gibt es bei Nichteinhaltung?
Aufsicht | Durchsetzung | Sanktionen
Aufsicht & Durchsetzung
Besonders wichtige Einrichtungen
§ 61 BSIG
Das BSI kann Audits/Prüfungen/Zertifizierungen anordnen, Mängelbeseitigungspläne verlangen und konkrete Maßnahmen durchsetzen.
Wichtige Einrichtungen
§ 62 BSIG
Bei hinreichenden Anhaltspunkten für Verstöße kann das BSI entsprechende Maßnahmen treffen.
Sanktionen
BUSGELDHÖHE
Ordnungswidrigkeiten
Verstöße gegen Risikomanagement, Meldepflichten oder Nachweispflichten gelten als Ordnungswidrigkeiten.
Verwaltungszwang
Das BSI kann Zwangsgelder bis zu 100.000 € verhängen.
Weitere Massnahmen
Bei anhaltender Nichtbefolgung
Geschäftsleitung (§ 38 BSIG; § 61 Abs. 9 BSIG)
Wie kann Sie die MR Datentechnik unterstützen?
Als IT-Systemhaus mit umfassender Expertise im Bereich IT-Sicherheitslösungen stehen wir Ihnen zur Seite, um Sie bei der Umsetzung der NIS-2-Richtlinie zu unterstützen und Ihre Sicherheitsmaßnahmen gemäß den EU-Mindestanforderungen zu verbessern. Mit unserem langjährigen Know-how passen wir unsere Unterstützung individuell an die spezifischen Anforderungen Ihres Unternehmens oder Ihrer Organisation an.
Unsere Experten analysieren gemeinsam mit Ihnen die organisatorischen und technischen Gegebenheiten in Ihrem Unternehmen und entwickeln einen maßgeschneiderten Maßnahmenplan, um die definierten Ziele zu erreichen. Wir setzen auf Verhältnismäßigkeit, um sicherzustellen, dass die vorgeschlagenen Sicherheitsmaßnahmen im Einklang mit den Bedürfnissen und Ressourcen Ihres Unternehmens stehen.
Profitieren Sie von dem umfangreichen Wissen unserer Cybersecurityexperten und unserer langjährigen Erfahrung mit verschiedenen Zertifizierungen und Richtlinien. Unsere Herangehensweise ist darauf ausgerichtet, Ihr Sicherheitsniveau kontinuierlich zu steigern.
Wir helfen Ihnen gerne dabei zu überprüfen, ob die NIS-2-Richtlinie Auswirkungen auf Ihr Unternehmen hat.
Kostenlose Erstberatung
Wir helfen Ihnen gerne dabei zu überprüfen, ob die NIS-2-Richtlinie Auswirkungen auf Ihr Unternehmen hat. Kontaktieren Sie uns gerne für eine kostenlose Beratung zum Thema NIS-2.
