NIS2 in Deutschland

1. Schnellübersicht zur Anwendbarkeit für KMU in Deutschland

Gilt NIS2 für KMU in Deutschland?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Deutschland ansässige Organisationen und unter bestimmten Umständen für ausländische digitale Anbieter, die den deutschen Markt bedienen.

KMU sollten den Anwendungsbereich im Rahmen des nationalen Cybersicherheitsregimes Deutschlands anhand der Sektorzuordnung und gesetzlicher Schwellenwerte beurteilen.

2. Überblick zur NIS2-Umsetzung in Deutschland

Deutschland hat die Umsetzung mit dem NIS2UmsuCG abgeschlossen, das am 6. Dezember 2025 ohne Übergangsfrist in Kraft getreten ist. Das Gesetz überarbeitet das BSI-Gesetz (BSIG) grundlegend und erweitert den Anwendungsbereich von rund 4.500 auf 29.000–30.000 Einrichtungen.

Deutschland weist drei nationale Besonderheiten auf: eine Ausnahme für "unerhebliche Tätigkeiten" nach § 28 Abs. 3 BSIG sowie eine strengere Unterkategorie der "Betreiber kritischer Anlagen", die verpflichtende Angriffserkennungssysteme und einen dreijährlichen Compliance-Nachweis erfordert.

Geschäftsleitungen müssen mindestens alle drei Jahre eine verpflichtende Cybersicherheitsschulung absolvieren (BSI-Empfehlung: ca. vier Stunden pro Sitzung).

3. Anwendungsbereich in Deutschland

Der sektorale Anwendungsbereich Deutschlands spiegelt die Mindestkategorien der Richtlinie wider und ist in sein etabliertes Regime für kritische Infrastrukturen integriert.

4. Größenschwellen und Anwendbarkeit für KMU in Deutschland

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien in den erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich. Deutschland führt eine Ausnahme für "unerhebliche Tätigkeiten" ein (§ 28 Abs. 3 BSIG) — NIS2-relevante Tätigkeiten, die gegenüber dem Gesamtgeschäft unerheblich sind, können unberücksichtigt bleiben; "unerheblich" ist nicht gesetzlich definiert und erfordert eine sorgfältig dokumentierte Selbstbewertung.

Kleine und Kleinstunternehmen können förmlich benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung öffentlicher Dienste eingestuft werden.

Deutsche Behörden behalten förmliche Benennungsbefugnisse, wenn systemische Risiken eine Einbeziehung rechtfertigen.

5. Klassifizierungsrahmen für Einrichtungen in Deutschland

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Audits und strukturiertem Compliance-Monitoring.
• Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch bedeutende Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Deutschland unterhält ein strukturiertes Aufsichtsmodell, das mit dem zweistufigen Rahmen der Richtlinie im Einklang steht.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Deutschland

Das nationale Regelwerk Deutschlands ist am Basisniveau der Richtlinie für das Cybersicherheits-Risikomanagement ausgerichtet. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikobewertung und Systemschutz
• Erkennung und Reaktion auf Sicherheitsvorfälle
• Geschäftskontinuität und Krisenmanagement
• Risikokontrollen in der NIS2-Lieferkette in Deutschland
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Sensibilisierung und Schulung des Personals zur Cybersicherheit

Die Maßnahmen müssen den Stand der Technik und die Risikoexposition der Organisation widerspiegeln. Eine Ausrichtung an ISO/IEC 27001 und an deutschen Leitlinien zur Cybersicherheit wird empfohlen.

Die Aufsicht über die Lieferkette umfasst Sorgfaltsprüfungen von Lieferanten und vertragliche Cybersicherheitsvorkehrungen.

7. Haftung des Managements und Governance in Deutschland

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem deutschen Rechtsrahmen:

• Vorstände sind für die Compliance-Aufsicht verantwortlich.
• Die obere Führungsebene muss ausreichende Cybersicherheitskompetenz sicherstellen und mindestens alle drei Jahre eine verpflichtende Cybersicherheitsschulung absolvieren (BSI-Empfehlung ca. 4 Std. pro Sitzung).
• Verwaltungsrechtliche Sanktionen können Governance-Verstöße ahnden.
• Die direkte persönliche Haftung der Geschäftsleitungsorgane ist in § 38 BSIG verankert — nach geltendem Gesellschaftsrecht oder unmittelbar nach dem BSI-Gesetz.

Die Erwartungen an die Managementhaftung nach NIS2 in Deutschland heben die Cybersicherheits-Governance zu einer Verantwortung auf Ebene der Geschäftsleitung.

8. Pflichten zur Meldung von Sicherheitsvorfällen in Deutschland

9. Aufsichtsbehörden und Durchsetzungsmodell in Deutschland

Zuständige Hauptbehörde: Bundesamt für Sicherheit in der Informationstechnik (BSI).

Deutschland betreibt ein zentrales Aufsichtsmodell unter Federführung des BSI, unterstützt durch Sektorregulatoren, wo zutreffend.

Zu den Aufsichtsbefugnissen gehören:

• Anforderung von Auskünften und Unterlagen
• Sicherheitsaudits
• Vor-Ort-Prüfungen
• Verbindliche Anordnungen zur Einhaltung
• Teilnahme an EU-Koordinierungsmechanismen zur Cybersicherheit

Die Durchsetzungsstruktur entspricht den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Bußgelder und Sanktionen in Deutschland

Deutschland wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Bußgeldern in Deutschland kann außerdem Folgendes umfassen:

• Verbindliche Abhilfeanordnungen
• Öffentliche Bekanntmachung nicht konformer Einrichtungen
• Aussetzung von Zertifizierungen oder Zulassungen
• Direkte persönliche Haftung der Mitglieder des Leitungsorgans nach § 38 BSIG

11. NIS2-Lieferketten- und Lieferantensicherheit in Deutschland

Einrichtungen müssen ihre Cybersicherheitsrisiken durch Dritte über folgende Maßnahmen steuern:

• Lieferantenrisikobewertungen
• Vertragliche Weitergabepflichten für Sicherheitsanforderungen
• Kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Eindämmung der Ausbreitung von Sicherheitsvorfällen

Der Ansatz Deutschlands entspricht den grundlegenden Erwartungen der Richtlinie an das Lieferantenrisikomanagement.

12. Registrierung und Selbstidentifikationspflichten in Deutschland

Einrichtungen im Anwendungsbereich müssen:

• Anwendungsbereich selbst bewerten und beim BSI registrieren – zweistufiger Prozess: Anlegen eines Mein Unternehmenskonto (MUK) mit ELSTER-Zertifikat, anschließend Registrierung über das BSI-Portal. Die Frist war der 6. März 2026 – nun abgelaufen; nicht registrierte Einrichtungen sollten umgehend handeln.
• Unternehmensidentifikationsdaten angeben
• Sektorklassifizierung offenlegen
• Aktuelle Meldekontakte pflegen; Änderungen innerhalb von 14 Tagen melden

Das BSI-Portal dient sowohl als Registrierungsplattform als auch als Hub für Vorfallsmeldungen. Bis zum Abschluss der Registrierung sollte das Online-Meldeformular des BSI verwendet werden.

Die Selbstidentifizierung ist verpflichtend – es gibt keine individuelle Benachrichtigung durch die Behörden; Einrichtungen müssen ihren Status selbst ermitteln und dokumentieren.

13. Interaktion mit der DSGVO und anderen Gesetzen in Deutschland

Die Datenschutz-Grundverordnung gilt weiterhin parallel.

Überschneidungen betreffen unter anderem:

• 72-Stunden-Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten
• Koordinierung der Aufsichtsbehörden
• Parallele Ermittlungen zu Cybersicherheit und Datenschutz
• Sektorspezifische deutsche Cybersicherheitsgesetzgebung

Ein Cybervorfall kann Meldepflichten nach beiden Regelwerken auslösen.

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Deutschland werden für grenzüberschreitende Dienste von deutschen Behörden beaufsichtigt.

Ausländische Anbieter digitaler Dienste, die in Deutschland Dienste erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungspflichten folgen den Vorgaben der Richtlinie für Anbieter aus Nicht-EU-Staaten, die den deutschen Markt bedienen.

15. Umsetzungszeitplan in Deutschland

• Annahme der Richtlinie: 2022
• Nationale Gesetzgebungsänderungen: NIS2UmsuCG am 13. November 2025 vom Bundestag verabschiedet; vom Bundesrat gebilligt; am 5. Dezember 2025 veröffentlicht
• Inkrafttreten: 6. Dezember 2025 (ohne Übergangsfrist)
• Kommissionsmeldung: EU-Mahnschreiben Mai 2025 (vor Verabschiedung); Vollständigkeit wird nach dem 6. Dezember 2025 geprüft
• Compliance-Meilenstein: BSI-Registrierungsfrist 6. März 2026 (abgelaufen); BSI-Portal seit 6. Januar 2026 geöffnet; Schulung der Geschäftsleitung alle 3 Jahre

Deutschland hat die Umsetzung am 6. Dezember 2025 ohne Übergangsfrist abgeschlossen. Die BSI-Registrierungsfrist vom 6. März 2026 ist abgelaufen – nicht registrierte Einrichtungen sollten umgehend handeln.

16. Zentrale Erkenntnisse für KMU in Deutschland

• Mittelgroße Einrichtungen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Einrichtungen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Governance-Aufsicht auf Vorstandsebene ist verpflichtend, mit direkter persönlicher Haftung nach § 38 BSIG und verpflichtender dreijähriger Cybersicherheitsschulung.
• Vorfallsmeldungen folgen den Fristen 24h / 72h / 1 Monat und werden über das BSI-Portal (eröffnet am 6. Januar 2026) eingereicht.
• Geldbußen können bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes erreichen.
• Lieferanten-Risikomanagement ist verpflichtend.
• Die BSI-Registrierungsfrist vom 6. März 2026 ist abgelaufen – nicht registrierte Einrichtungen sollten umgehend handeln; die Ausnahme für "unerhebliche Tätigkeiten" (§ 28 Abs. 3 BSIG) erfordert eine sorgfältig dokumentierte Selbstbewertung.

FAQ: NIS2-Leitfaden für KMU in Deutschland