Nexvyra

NIS-2 UmsuCG – Cybersecurity-Pflichten für KRITIS und besonders wichtige Einrichtungen

Inhaltlich verantwortet von Andreas Warkentin (warepoint-media GbR) · zuletzt geprüft am 2026-06-21 · Quellenautorität A (amtliche Primärquelle) Fehler melden ✉

NIS-2 UmsuCG – Cybersecurity-Pflichten für KRITIS und besonders wichtige Einrichtungen

Kurzantwort

Die NIS-2-Richtlinie (EU) 2022/2555 verpflichtet rund 30.000 Unternehmen in Deutschland zu umfassenden Cybersecurity-Maßnahmen. Die deutsche Umsetzung erfolgt durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), das voraussichtlich Anfang 2026 in Kraft tritt (Stand 06/2026: parlamentarisches Verfahren). Betroffen sind „besonders wichtige" und „wichtige" Einrichtungen aus 18 Sektoren (Energie, Gesundheit, Finanzen, IT, Verkehr, etc.). Pflichten umfassen Risikomanagement, 24-Stunden-Erstmeldung an das BSI bei erheblichen Sicherheitsvorfällen und persönliche Haftung der Geschäftsleitung.

Kernfakten

PunktWert
EU-RechtsgrundlageRichtlinie (EU) 2022/2555 (NIS-2) [eur-lex.europa.eu, CELEX:32022L2555]
Deutsche UmsetzungNIS2UmsuCG (Stand 06/2026: Bundestag-Verfahren) [BMI-Pressemitteilung]
EU-Umsetzungsfrist17. Oktober 2024 (überschritten, Vertragsverletzungsverfahren möglich) [Art. 41 NIS-2-RL]
Schwelle „besonders wichtig"≥ 250 Mitarbeitende ODER > 50 Mio. € Umsatz, in zentralen Sektoren [§ 28 BSIG-E]
Schwelle „wichtig"≥ 50 Mitarbeitende ODER > 10 Mio. € Umsatz, in weiteren Sektoren [§ 28 BSIG-E]
Anzahl betroffene Unternehmen DEca. 30.000 (vs. ca. 4.500 unter NIS-1) [BMI-Schätzung 2024]
Sektoren mit hoher KritikalitätEnergie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung, Raumfahrt
Sektoren mit hoher WichtigkeitPost/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung
Meldepflicht Frühwarnungbinnen 24 Stunden nach Kenntnis [Art. 23 Abs. 4 lit. a NIS-2-RL]
Meldepflicht detaillierte Meldungbinnen 72 Stunden [Art. 23 Abs. 4 lit. b NIS-2-RL]
Meldepflicht Abschlussberichtbinnen 1 Monat [Art. 23 Abs. 4 lit. d NIS-2-RL]
Risikomanagement-Pflichten10 Mindestmaßnahmen: Risk-Assessment, Incident-Handling, Business-Continuity, Lieferketten-Sicherheit, Schwachstellenmanagement, Schulungen, Verschlüsselung, MFA, Zugangskontrolle, Asset-Management [Art. 21 NIS-2-RL]
Bußgelder besonders wichtigbis 10 Mio. € oder 2 % weltw. Jahresumsatz [Art. 34 NIS-2-RL]
Bußgelder wichtigbis 7 Mio. € oder 1,4 % weltw. Jahresumsatz [Art. 34 NIS-2-RL]
Haftung Geschäftsleitungpersönliche Haftung für Umsetzung der Maßnahmen [Art. 20 NIS-2-RL, § 38 BSIG-E]
Schulungspflicht LeitungEntwurf sieht vor: Geschäftsleitung soll Cybersecurity-Schulungen absolvieren [Art. 20 Abs. 2 NIS-2-RL]
Aufsichtsbehörde DEBundesamt für Sicherheit in der Informationstechnik (BSI)
Registrierungspflichtbinnen 3 Monaten nach Inkrafttreten beim BSI [§ 33 BSIG-E]

Geltungsbereich

Das NIS2UmsuCG erfasst alle juristischen Personen mit Geschäftstätigkeit in Deutschland in den 18 Sektoren, sofern Mitarbeiter- oder Umsatz-Schwellen überschritten sind. Anders als NIS-1 gilt das Gesetz automatisch (Selbst-Identifikation), ohne dass das BSI das Unternehmen einzeln benennen muss. Konzernstrukturen werden konsolidiert betrachtet. Ausgenommen sind reine Verbraucherprodukte und Tätigkeiten unterhalb der Schwellen, sofern nicht besondere Kritikalität vorliegt (DNS-Anbieter, Top-Level-Domain-Registries, qualifizierte Vertrauensdienste, Verwaltung).

Häufige Fehler

Quellen

Änderungsverlauf