NIS-2-Richtlinie: Neue rechtliche Vorgaben für Unternehmen – Was Sie jetzt wissen und tun müssen

Wer ist betroffen? – Anwendungsbereich und Schwellenwerte

Die NIS-2-Pflichten treffen Unternehmen, die als „wesentliche“ oder „wichtige“ Einrichtungen gelten. Dies betrifft insbesondere Sektoren wie Energie, Transport, Gesundheit, digitale Infrastruktur und weitere. Maßgeblich sind in der Regel folgende Schwellenwerte: Mindestens 50 Beschäftigte und mindestens 10 Millionen Euro Jahresumsatz oder Bilanzsumme. Die Betroffenheit ist eigenverantwortlich und anhand der jeweiligen Tätigkeit, Größe und Struktur zu prüfen.

Wichtige Begriffe kurz erklärt

  • Wesentliche und wichtige Einrichtungen: Unternehmen, die in bestimmten Sektoren tätig sind und bestimmte Größenkriterien erfüllen.
  • Informationssicherheitsmanagementsystem (ISMS): Ein systematisches Konzept zur Sicherstellung der Informationssicherheit, oft nach ISO 27001 aufgebaut.
  • Managed Service Provider (MSP): Unternehmen mit tatsächlichem Zugriff und technischer Verantwortung für IT-Systeme; reine Beratung und Support ohne Zugriff fällt nicht darunter.

Was sind die zentralen Pflichten?

1. Risikomanagement und technische Maßnahmen

Unternehmen müssen umfassende Risikoanalysen durchführen, Schwachstellen identifizieren und adäquate technische sowie organisatorische Maßnahmen implementieren. Diese Maßnahmen müssen den Stand der Technik berücksichtigen und auf den individuellen Risikoprofilen der Unternehmen basieren. Die fortlaufende Dokumentation und regelmäßige Überprüfung der Maßnahmen sind verpflichtend, hierzu gehört auch die Bewertung der Sicherheitsmaßnahmen von Lieferanten und Dienstleistern.

2. Incident Management und Meldepflichten

Ein zentrales Element ist der Incident Response Plan: Sicherheitsvorfälle, die erhebliche Auswirkungen haben, müssen innerhalb von 24 Stunden an die zuständige nationale Behörde gemeldet werden. Prüfen Sie fortlaufend, ob Ihr Unternehmen meldepflichtige Vorfälle registriert und das Vorgehen klar definiert ist.

3. Schulungen und Sensibilisierung

Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen; in der Regel mindestens alle drei Jahre, wobei diese Intervalle je nach Risikoexposition auch kürzer gestaltet werden sollten. Die gesetzlich geforderte Mindestdauer von vier Stunden kann aufgeteilt werden. Pflichtschulungen gelten nicht nur für Geschäftsführende, sondern auch für andere Personen mit Entscheidungsbefugnis im IT-Bereich. Die BSI-Handreichungen betonen die Bedeutung fortlaufender Sensibilisierung von Mitarbeitenden.

4. Verantwortung und Haftung der Geschäftsleitung

Die Geschäftsleitung trägt die strategische Gesamtverantwortung für die Einhaltung der Vorgaben. Die persönliche Haftung greift, wenn Schadensfälle auf Pflichtverletzungen zurückzuführen sind – dies kann zivilrechtliche Ansprüche nach sich ziehen oder, falls keine entsprechende Gesellschaftsregelung vorhanden ist, unmittelbar aus dem NIS-2-Gesetz.

5. Lieferkettensicherheit

Sicherheitsanforderungen für Lieferanten sind integraler Bestandteil der Compliance. Unternehmen müssen diese Anforderungen in Verträge integrieren und die Umsetzung regelmäßig überprüfen – auch Audits oder Anfragen zur Lieferkette sind gefordert. Zertifikate wie ISO 27001 sind hilfreich, ersetzen aber nicht die individuelle Risikobewertung und Kontrolle.

6. Registrierungspflicht beim BSI

Wesentliche und wichtige Einrichtungen sind verpflichtet, sich beim BSI über das zu Beginn des Jahres 2026 gestartete BSI-Portal zu registrieren. Für die Registrierung ist ein ELSTER-Organisationszertifikat erforderlich, dessen Ausstellung erfahrungsgemäß fünf bis zehn Werktage in Anspruch nimmt. Im Portal sind Angaben zu Unternehmensgröße, Rechtsform, NIS-2-Kontaktstelle, Sektor sowie der zuständigen Aufsichtsbehörde zu machen. Änderungen dieser Daten sind binnen zwei Wochen zu aktualisieren. Das Portal dient darüber hinaus als zentrale Plattform für die Meldung von Sicherheitsvorfällen.

Die ursprüngliche Registrierungsfrist endete am 6. März 2026. Unternehmen, die noch nicht registriert sind, sollten dies umgehend nachholen, um Bußgeldrisiken zu vermeiden.

Praktische Handlungsoptionen

  • Prüfen Sie Ihre Betroffenheit anhand der Schwellenwerte und Einrichtungsdefinitionen.
  • Implementieren Sie ein ISMS nach anerkanntem Standard (z. B. ISO 27001).
  • Schulen Sie alle relevanten Führungskräfte und Mitarbeitenden regelmäßig.
  • Dokumentieren Sie Sicherheitsmaßnahmen, Vorfälle und Schulungen.
  • Machen Sie Cybersicherheit zum Bestandteil sämtlicher Verträge mit Dienstleistern und Lieferanten.
  • Erstellen und testen Sie einen Incident Response Plan; beachten Sie die Meldepflicht.
  • Überwachen Sie kontinuierlich die Umsetzung – z. B. durch interne Audits.
  • Registrieren Sie Ihr Unternehmen zeitnah im BSI-Portal; beachten Sie den Vorlauf für das erforderliche ELSTER-Organisationszertifikat.

Risiken für Unternehmen bei Nichtbeachtung

Die Einhaltung der NIS-2-Pflichten wird durch die Bundesbehörde (BSI) kontrolliert. Verstöße können zu empfindlichen Bußgeldern (bis zu 7 bzw. 10 Millionen Euro oder 1,4% bzw. 2% des Gesamtumsatzes) führen. Darüber hinaus entstehen Haftungsrisiken für die Geschäftsleitung. Verstöße gegen Meldepflichten und mangelhafte Dokumentation können das Unternehmen und dessen Leitung erheblich schädigen.

Fazit und Handlungsempfehlung

Die NIS-2-Richtlinie setzt neue Standards für Cybersicherheit und verlangt von Unternehmen, strategische Verantwortung zu übernehmen und klare Prozesse zu etablieren. Ein striktes Risikomanagement, regelmäßige Schulungen, sorgfältige Lieferantenkontrolle und eine lückenlose Incident-Dokumentation sind unverzichtbar. Nutzen Sie die Vorgaben nicht nur als gesetzliche Pflicht, sondern als Chance, Ihr Unternehmen gegen Cyberrisiken zukunftssicher aufzustellen.

Sie haben Fragen zu NIS-2? Sprechen Sie uns an!

Sollten Sie im Hinblick auf diese vorstehende Ausführungen Fragen haben, melden Sie sich gerne bei unserem Rechtsanwalt Herrn Joachim Nellissen über unsere Mitarbeiterin Frau Bur per E Mail an bur@dhk-law.com oder unter der Telefonnummer 0241 946210 .

Beitrag veröffentlicht am
23. April 2026

Joachim Nellissen
dh&k Rechtsanwälte Steuerberater
Rechtsanwalt
Alle Beiträge von Joachim Nellissen

Diesen Beitrag teilen

Diese Fachbeiträge könnten Sie auch interessieren:

Verkehrsrecht
09.04.2026

Nutzungsausfall nach Verkehrsunfall

Wer nach einem Unfall Nutzungsausfall geltend macht, muss seine Mitwirkungspflichten ernst nehmen und den Schaden aktiv steuern. Eine aktuelle Entscheidung des Oberlandesgerichts Celle (Beschluss vom 20.10.2025 – 5 U 147/25) bringt das auf den Punkt und zeigt, wo in der Praxis die Fallstricke liegen.

Beitrag lesen
Baurecht, Bau- und Architektenrecht
07.04.2026

Vergütung für Architekten- und Ingenieurleistungen: Was gilt bei Kündigungen in der frühen Planungsphase?

Der Bau eines Gebäudes beginnt mit einer intensiven Planungsphase. Während dieses sogenannten „Zielfindungsprozesses“ werden Ziele, Wünsche und Budgets konkretisiert, oftmals bevor überhaupt eine verbindliche Bauentscheidung fällt.

Beitrag lesen
Mietrecht
27.03.2026

Untervermieten ja aber nicht auf Kosten anderer: Was der Bundesgerichtshof jetzt klargestellt hat

Wer mit der Untervermietung einen Gewinn erzielen möchte, hat keinen Anspruch auf die hierfür erforderliche Erlaubnis des Vermieters und riskiert im schlimmsten Fall die Kündigung des eigenen Mietverhältnisses.

Beitrag lesen
Alle Beiträge

Einwilligung in das Setzen von Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte zur Ermittlung Ihrer Interessen

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Statistik-Cookies dienen dem Website-Betreiber zu verstehen, wie Nutzer mit der Website interagieren, indem Informationen anonym gesammelt und gemeldet werden.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Externe Dienste

Wir bieten zudem externe Dienste auf unserer Website an. Dabei werden Inhalte von Videoplattformen, Social-Media-Plattformen oder anderen externen Diensten zunächst standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner einzelnen manuellen Zustimmung mehr.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum