Was ist das NIS-2-Umsetzungsgesetz?

Das NIS-2-Umsetzungsgesetz (BGBl. 2025 I Nr. 301) setzt die EU-Richtlinie NIS-2 in deutsches Recht um. Es verpflichtet Unternehmen in 18 kritischen Sektoren zu Cybersicherheitsmaßnahmen, Meldepflichten und Risikomanagement.

Wer ist vom NIS-2-Umsetzungsgesetz betroffen?

Betroffen sind Unternehmen in kritischen Sektoren (Energie, Transport, Gesundheit, Finanzen, Wasser, Digitale Infrastruktur, etc.) mit mindestens 50 Mitarbeitern ODER über 10 Mio. EUR Umsatz UND Bilanzsumme. KRITIS-Betreiber und bestimmte Anbieter sind größenunabhängig betroffen.

Welche Bußgelder drohen bei NIS-2-Verstößen?

Bei besonders wichtigen Einrichtungen bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes. Bei wichtigen Einrichtungen bis zu 7 Mio. EUR oder 1,4% des Umsatzes. Die persönliche Haftung der Geschäftsführung ist ebenfalls möglich.

Bis wann muss NIS-2 umgesetzt werden?

Das NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Betroffene Unternehmen müssen sich innerhalb von 3 Monaten beim BSI registrieren. Die Umsetzung der Sicherheitsmaßnahmen sollte unverzüglich beginnen.

NIS-2 Betroffenheitsprüfung 2025 - Kostenlos online

Sektor

Branche

Größe

Sonderfälle

Ergebnis

Schritt 1: Sektor wählen

In welchem Sektor ist Ihr Unternehmen tätig? Wählen Sie die Hauptgeschäftstätigkeit Ihres Unternehmens

Schritt 1b: Branche und Tätigkeit konkretisieren

Welche Branche innerhalb des Sektors? Grenzen Sie Ihre Tätigkeit ein

Schritt 2: Unternehmensgröße

Anzahl Mitarbeiter Vollzeitäquivalente, inkl. verbundene Unternehmen gem. KMU-Definition

Jahresumsatz Letztes Geschäftsjahr, in Millionen EUR (z.B. 0.5 für 500.000 €)

Mio. EUR

Jahresbilanzsumme Letztes Geschäftsjahr, in Millionen EUR (z.B. 0.5 für 500.000 €)

Mio. EUR

Schritt 3: Ergänzende Prüfungen

Kritische Infrastruktur (KRITIS)

Betreiber kritischer Anlagen (KRITIS)

Überschreitung der Schwellenwerte nach BSI-KritisV (z.B. Wasserversorgung >500.000 Personen, Rechenzentrum >3,5 MW)