NIS-2 UmsuCG – Cybersecurity-Pflichten für KRITIS und besonders wichtige Einrichtungen
NIS-2 UmsuCG – Cybersecurity-Pflichten für KRITIS und besonders wichtige Einrichtungen
Kurzantwort
Die NIS-2-Richtlinie (EU) 2022/2555 verpflichtet rund 30.000 Unternehmen in Deutschland zu umfassenden Cybersecurity-Maßnahmen. Die deutsche Umsetzung erfolgt durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), das voraussichtlich Anfang 2026 in Kraft tritt (Stand 06/2026: parlamentarisches Verfahren). Betroffen sind „besonders wichtige" und „wichtige" Einrichtungen aus 18 Sektoren (Energie, Gesundheit, Finanzen, IT, Verkehr, etc.). Pflichten umfassen Risikomanagement, 24-Stunden-Erstmeldung an das BSI bei erheblichen Sicherheitsvorfällen und persönliche Haftung der Geschäftsleitung.
Kernfakten
| Punkt | Wert |
|---|---|
| EU-Rechtsgrundlage | Richtlinie (EU) 2022/2555 (NIS-2) [eur-lex.europa.eu, CELEX:32022L2555] |
| Deutsche Umsetzung | NIS2UmsuCG (Stand 06/2026: Bundestag-Verfahren) [BMI-Pressemitteilung] |
| EU-Umsetzungsfrist | 17. Oktober 2024 (überschritten, Vertragsverletzungsverfahren möglich) [Art. 41 NIS-2-RL] |
| Schwelle „besonders wichtig" | ≥ 250 Mitarbeitende ODER > 50 Mio. € Umsatz, in zentralen Sektoren [§ 28 BSIG-E] |
| Schwelle „wichtig" | ≥ 50 Mitarbeitende ODER > 10 Mio. € Umsatz, in weiteren Sektoren [§ 28 BSIG-E] |
| Anzahl betroffene Unternehmen DE | ca. 30.000 (vs. ca. 4.500 unter NIS-1) [BMI-Schätzung 2024] |
| Sektoren mit hoher Kritikalität | Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung, Raumfahrt |
| Sektoren mit hoher Wichtigkeit | Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung |
| Meldepflicht Frühwarnung | binnen 24 Stunden nach Kenntnis [Art. 23 Abs. 4 lit. a NIS-2-RL] |
| Meldepflicht detaillierte Meldung | binnen 72 Stunden [Art. 23 Abs. 4 lit. b NIS-2-RL] |
| Meldepflicht Abschlussbericht | binnen 1 Monat [Art. 23 Abs. 4 lit. d NIS-2-RL] |
| Risikomanagement-Pflichten | 10 Mindestmaßnahmen: Risk-Assessment, Incident-Handling, Business-Continuity, Lieferketten-Sicherheit, Schwachstellenmanagement, Schulungen, Verschlüsselung, MFA, Zugangskontrolle, Asset-Management [Art. 21 NIS-2-RL] |
| Bußgelder besonders wichtig | bis 10 Mio. € oder 2 % weltw. Jahresumsatz [Art. 34 NIS-2-RL] |
| Bußgelder wichtig | bis 7 Mio. € oder 1,4 % weltw. Jahresumsatz [Art. 34 NIS-2-RL] |
| Haftung Geschäftsleitung | persönliche Haftung für Umsetzung der Maßnahmen [Art. 20 NIS-2-RL, § 38 BSIG-E] |
| Schulungspflicht Leitung | Entwurf sieht vor: Geschäftsleitung soll Cybersecurity-Schulungen absolvieren [Art. 20 Abs. 2 NIS-2-RL] |
| Aufsichtsbehörde DE | Bundesamt für Sicherheit in der Informationstechnik (BSI) |
| Registrierungspflicht | binnen 3 Monaten nach Inkrafttreten beim BSI [§ 33 BSIG-E] |
Geltungsbereich
Das NIS2UmsuCG erfasst alle juristischen Personen mit Geschäftstätigkeit in Deutschland in den 18 Sektoren, sofern Mitarbeiter- oder Umsatz-Schwellen überschritten sind. Anders als NIS-1 gilt das Gesetz automatisch (Selbst-Identifikation), ohne dass das BSI das Unternehmen einzeln benennen muss. Konzernstrukturen werden konsolidiert betrachtet. Ausgenommen sind reine Verbraucherprodukte und Tätigkeiten unterhalb der Schwellen, sofern nicht besondere Kritikalität vorliegt (DNS-Anbieter, Top-Level-Domain-Registries, qualifizierte Vertrauensdienste, Verwaltung).
Häufige Fehler
- „Wir hatten NIS-1, sind also schon dabei." NIS-2 erweitert den Anwendungsbereich um den Faktor 6-7. Viele bisher unregulierte Unternehmen sind jetzt erfasst.
- „Wir warten auf das BSI." Falsch – die Selbst-Identifikation und Registrierung sind Pflicht des Unternehmens.
- „Wir sind als wichtig nicht so streng dran." Pflichten sind identisch; nur die Sanktionshöhe und die Aufsichts-Intensität unterscheiden sich.
Quellen
- Richtlinie (EU) 2022/2555 (NIS-2 Volltext):: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
- BMI – Gesetzentwurf NIS2UmsuCG:: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
- BSI – Information zu NIS-2:: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
Änderungsverlauf
- 2026-06-17: Falsch-Positiv korrigiert. BMI-Quellen-URL (nis2umsucg.html) war am 2026-06-17 als „toter Link" markiert (HTTP 400 aus der Sandbox = Anti-Bot-Antwort). Per WebFetch/WebSearch als erreichbar (HTTP 200, vollständiger Seiteninhalt, identischer Titel) verifiziert; Marker entfernt, factcheck_status=ok. | change_type=source_recheck field="sources" old="https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html [toter Link, geprüft 2026-06-17]" new="https://www.bmi.bund.de/SharedDocs/ges