Seit dem 16. Januar 2023 ist die NIS2-Richtlinie EU-weit in Kraft. Die deutsche Umsetzung wurde endgültig am 6. Dezember 2025 wirksam. Seitdem haften Geschäftsleitungen noch umfangreicher persönlich für unzureichende Cyberresilienz — auch im Mittelstand.
Am 6. Dezember 2025 wurde die NIS2-Umsetzung in deutsches Recht wirksam — über das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das das BSI-Gesetz neu fasst. Damit gelten die Anforderungen jetzt unmittelbar für rund 30.000 Unternehmen in Deutschland.
Die Verzögerung gegenüber der ursprünglichen EU-Frist (Oktober 2024) wurde von vielen Unternehmen als Schonzeit verstanden. Sie war es nicht. Aufsichtsmaßnahmen und Bußgelder sind seit Inkrafttreten des deutschen Umsetzungsgesetzes rechtlich möglich.
Wer jetzt noch keinen belastbaren Stand hat, ist nicht spät — er ist im Risiko.
Die Schwellen sind so gewählt, dass deutlich mehr Unternehmen betroffen sind als bei der Vorgängerregelung. Faustregel: ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz wird es relevant — sobald Sie in einem der NIS2-Sektoren tätig sind. KRITIS-Einrichtungen sind immer von NIS2 betroffen - mit erweiterten Anforderungen.
Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur, IT-Dienstleister, öffentliche Verwaltung. Ab 250 Mitarbeitenden oder 50 Millionen Euro Umsatz fast immer betroffen.
Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung. Ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz betroffen.
Auch wenn Sie selbst nicht direkt betroffen sind: Ihre Mandanten oder Kunden können Sie vertraglich auf NIS2-Niveau verpflichten. Compliance-Anforderungen rutschen die Lieferkette runter.
Die Behörden gehen von Selbstregistrierung aus. Sie müssen prüfen, ob Sie betroffen sind, und sich gegebenenfalls beim BSI registrieren — nicht umgekehrt.
NIS2 schreibt nicht jedes technische Detail vor — aber ein klares Set an Bereichen, in denen Sie aufgestellt sein müssen. Die Aufzählung folgt dem Gesetzestext, nicht der Wichtigkeit.
Unser kostenfreier NIS2 Gap Analyzer führt Sie in rund 20 Fragen durch die Selbsteinschätzung. Am Ende sehen Sie Ihren Reifegrad und welche Bereiche Handlungsbedarf haben.
Wo Sie selbst stehen, sehen Sie in 5 Minuten →Der Weg ist abhängig von Ihrem Ausgangspunkt — aber das Vorgehen ist standardisiert.
Gap Analyzer als Selbsteinschätzung oder strukturiertes Erstgespräch. In beiden Fällen verstehen wir Ihre Situation, ohne dass Sie Vorbereitung leisten müssen — Sie kommen so wie Sie heute aufgestellt sind.
Wo es zählt, schauen wir genauer hin. Welche der zehn Bereiche sind technisch abgedeckt, welche organisatorisch, wo sind Nachweise lückenhaft. Das Ergebnis ist eine belastbare Bestandsaufnahme.
Priorisiert nach Risiko und Aufwand. Was müssen Sie sofort umsetzen, was kann in den nächsten Quartalen folgen, was übernehmen wir. Inklusive grober Aufwands- und Kostenschätzung.
Mit NETILITY ONE übernehmen wir den technischen Betrieb komplett. Sie bekommen regelmäßig einen Bericht für die Geschäftsleitung — audittauglich und prüfertauglich. Falls Sie nur einzelne Lücken schließen wollen, ist NETILITY Co-Managed der passende Weg.
Der einfachste Weg ist unser NIS2 Gap Analyzer — er führt Sie durch die Sektor- und Größenkriterien und gibt Ihnen eine erste Einschätzung. Bei Grenzfällen empfehlen wir ein Erstgespräch mit uns: Lieferketten-Effekte und atypische Konstellationen lassen sich nur im Dialog klären.
§ 38 BSI-G stellt klar: Die Leitungsorgane sind für die Umsetzung der Sicherheitsmaßnahmen verantwortlich und haften bei Pflichtverletzung persönlich. Das ist nicht delegierbar an die IT-Abteilung. Was Sie absichern müssen, ist die Pflicht zur Sorgfalt — also dokumentierte Risikoabwägung, geprüfte Maßnahmen, regelmäßige Bewertung. Wer das nachweisen kann, hat die persönliche Haftung wirksam reduziert.
Das ist ein sehr guter Ausgangspunkt: ISO 27001 deckt die meisten NIS2-Anforderungen bereits ab — insbesondere Risikomanagement, Asset- und Zugriffskontrolle, Kryptografie, Personalsicherheit und Vorfallsbehandlung. Offen bleiben in der Regel drei Bereiche: die konkrete dreistufige Meldekette ans BSI (24 h / 72 h / 1 Monat), die explizite Schulungspflicht der Leitungsorgane selbst und die proaktive Sicherheitsbewertung der eigenen Lieferanten. ISO 27001 fordert dafür Policies, NIS2 die tatsächliche Bewertung.
Ja. VdS 10000 als zertifizierbare ISMS-Norm speziell für KMU deckt einen großen Teil der NIS2-Anforderungen ab — insbesondere Risikomanagement, Zugriffskontrolle und Vorfallsbehandlung. TISAX ist im Automotive-Umfeld verbreitet und ähnlich strukturiert. Beide sind ein guter Ausgangspunkt; offen bleiben in der Regel die Themen Lieferkettensicherheit, dreistufige Meldepflicht ans BSI und die explizite Schulung der Geschäftsleitung.
Nein, das ist eine häufige Verwechslung. Die 250-Mitarbeiter-Schwelle gilt für „Besonders wichtige Einrichtungen (bwE)" in einigen Sektoren. „Wichtige Einrichtungen (wE)" sind bereits ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz betroffen — und dieser Kreis ist deutlich größer. Plus: für bestimmte Sektoren (zum Beispiel manche Bereiche der digitalen Infrastruktur und IT-Dienstleister) gilt die Größenschwelle gar nicht.
Ja. Innerhalb von NIS2 gibt es eine eigene Kategorie "Betreiber kritischer Anlagen" nach § 28 BSIG n.F.
Für Sie gelten alle Pflichten einer besonders wichtigen Einrichtung — plus zusätzliche: Sie müssen ein System zur Angriffserkennung (SzA) einsetzen und alle drei Jahre einen Nachweis gegenüber dem BSI erbringen.
Die physische Resilienz Ihrer Anlage regelt separat das KRITIS-Dachgesetz — das ist nicht unser Themenfeld, kommt aber regulatorisch zusätzlich auf Sie zu.
Das hängt vom Ausgangspunkt ab. Mandanten mit gepflegter IT-Sicherheit und vorhandenen Prozessen erreichen einen belastbaren Stand in drei bis vier Monaten. Bei Unternehmen ohne strukturiertes ISMS sind sechs bis neun Monate realistisch. Wir bauen den Plan immer so, dass die kritischsten Lücken zuerst geschlossen werden — nicht nach Abarbeitung im Zehner-Katalog.
30 Minuten, kostenfrei, persönlich. Sie bekommen eine ehrliche Einschätzung Ihrer Lage und einen konkreten Vorschlag für die nächsten Schritte.