---
title: NIS-2 UmsuCG – Cybersecurity-Pflichten für KRITIS und besonders wichtige Einrichtungen
slug: nis2-umsucg-kritis
topic: datenschutz
legal_status: in_legislation
authority_level: A
valid_from: 2024-10-18
valid_to: null
last_reviewed: 2026-06-21
status: aktuell
license: CC-BY-4.0
url: https://nexvyra.de/fakten/nis2-umsucg-kritis.md
wikidata_subjects: [Q124979037, Q3429089]
factcheck_status: ok
---

# NIS-2 UmsuCG – Cybersecurity-Pflichten für KRITIS und besonders wichtige Einrichtungen

## Kurzantwort

Die **NIS-2-Richtlinie (EU) 2022/2555** verpflichtet **rund 30.000 Unternehmen** in Deutschland zu umfassenden Cybersecurity-Maßnahmen. Die deutsche Umsetzung erfolgt durch das **NIS2UmsuCG** (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), das voraussichtlich **Anfang 2026** in Kraft tritt (Stand 06/2026: parlamentarisches Verfahren). Betroffen sind „besonders wichtige" und „wichtige" Einrichtungen aus **18 Sektoren** (Energie, Gesundheit, Finanzen, IT, Verkehr, etc.). Pflichten umfassen Risikomanagement, **24-Stunden-Erstmeldung** an das BSI bei erheblichen Sicherheitsvorfällen und **persönliche Haftung der Geschäftsleitung**.

## Kernfakten

| Punkt | Wert |
|---|---|
| EU-Rechtsgrundlage | Richtlinie (EU) 2022/2555 (NIS-2) [eur-lex.europa.eu, CELEX:32022L2555] |
| Deutsche Umsetzung | NIS2UmsuCG (Stand 06/2026: Bundestag-Verfahren) [BMI-Pressemitteilung] |
| EU-Umsetzungsfrist | **17. Oktober 2024** (überschritten, Vertragsverletzungsverfahren möglich) [Art. 41 NIS-2-RL] |
| Schwelle „besonders wichtig" | ≥ 250 Mitarbeitende ODER > 50 Mio. € Umsatz, in zentralen Sektoren [§ 28 BSIG-E] |
| Schwelle „wichtig" | ≥ 50 Mitarbeitende ODER > 10 Mio. € Umsatz, in weiteren Sektoren [§ 28 BSIG-E] |
| Anzahl betroffene Unternehmen DE | ca. **30.000** (vs. ca. 4.500 unter NIS-1) [BMI-Schätzung 2024] |
| Sektoren mit hoher Kritikalität | Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, **digitale Infrastruktur**, Verwaltung, Raumfahrt |
| Sektoren mit hoher Wichtigkeit | Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung |
| Meldepflicht Frühwarnung | binnen **24 Stunden** nach Kenntnis [Art. 23 Abs. 4 lit. a NIS-2-RL] |
| Meldepflicht detaillierte Meldung | binnen **72 Stunden** [Art. 23 Abs. 4 lit. b NIS-2-RL] |
| Meldepflicht Abschlussbericht | binnen **1 Monat** [Art. 23 Abs. 4 lit. d NIS-2-RL] |
| Risikomanagement-Pflichten | 10 Mindestmaßnahmen: Risk-Assessment, Incident-Handling, Business-Continuity, Lieferketten-Sicherheit, Schwachstellenmanagement, Schulungen, Verschlüsselung, MFA, Zugangskontrolle, Asset-Management [Art. 21 NIS-2-RL] |
| Bußgelder besonders wichtig | bis **10 Mio. €** oder **2 %** weltw. Jahresumsatz [Art. 34 NIS-2-RL] |
| Bußgelder wichtig | bis **7 Mio. €** oder **1,4 %** weltw. Jahresumsatz [Art. 34 NIS-2-RL] |
| Haftung Geschäftsleitung | **persönliche Haftung** für Umsetzung der Maßnahmen [Art. 20 NIS-2-RL, § 38 BSIG-E] |
| Schulungspflicht Leitung | Entwurf sieht vor: Geschäftsleitung soll Cybersecurity-Schulungen absolvieren [Art. 20 Abs. 2 NIS-2-RL] |
| Aufsichtsbehörde DE | **Bundesamt für Sicherheit in der Informationstechnik (BSI)** |
| Registrierungspflicht | binnen 3 Monaten nach Inkrafttreten beim BSI [§ 33 BSIG-E] |

## Geltungsbereich

Das NIS2UmsuCG erfasst **alle juristischen Personen** mit Geschäftstätigkeit in Deutschland in den 18 Sektoren, sofern Mitarbeiter- oder Umsatz-Schwellen überschritten sind. Anders als NIS-1 gilt das Gesetz **automatisch** (Selbst-Identifikation), ohne dass das BSI das Unternehmen einzeln benennen muss. Konzernstrukturen werden konsolidiert betrachtet. Ausgenommen sind reine Verbraucherprodukte und Tätigkeiten unterhalb der Schwellen, sofern nicht besondere Kritikalität vorliegt (DNS-Anbieter, Top-Level-Domain-Registries, qualifizierte Vertrauensdienste, Verwaltung).

## Häufige Fehler

- **„Wir hatten NIS-1, sind also schon dabei."** NIS-2 erweitert den Anwendungsbereich um den **Faktor 6-7**. Viele bisher unregulierte Unternehmen sind jetzt erfasst.
- **„Wir warten auf das BSI."** Falsch – die Selbst-Identifikation und Registrierung sind Pflicht des Unternehmens.
- **„Wir sind als wichtig nicht so streng dran."** Pflichten sind identisch; nur die Sanktionshöhe und die Aufsichts-Intensität unterscheiden sich.



## Quellen

- Richtlinie (EU) 2022/2555 (NIS-2 Volltext):
  https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
- BMI – Gesetzentwurf NIS2UmsuCG:
  https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
- BSI – Information zu NIS-2:
  https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html

## Änderungsverlauf

- 2026-06-17: Falsch-Positiv korrigiert. BMI-Quellen-URL (nis2umsucg.html) war am 2026-06-17 als „toter Link" markiert (HTTP 400 aus der Sandbox = Anti-Bot-Antwort). Per WebFetch/WebSearch als erreichbar (HTTP 200, vollständiger Seiteninhalt, identischer Titel) verifiziert; Marker entfernt, factcheck_status=ok. | change_type=source_recheck field="sources" old="https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html [toter Link, geprüft 2026-06-17]" new="https://www.bmi.bund.de/SharedDocs/ges reviewed_by="Andreas Warkentin"