Die NIS2-Richtlinie gilt seit 17.10.2024 unmittelbar für Mitgliedstaaten. In Deutschland fehlt bis zum Inkrafttreten des NIS2UmsuCG die nationale Sanktions- und Registrierungsgrundlage — die materiellen Pflichten aus Risikomanagement und Lieferketten-Sicherheit wirken faktisch aber schon jetzt über Versicherungs-, Vertrags- und Sorgfaltspflichten der Geschäftsleitung. Diese Seite stellt die tragenden Paragraphen beider Rechtsordnungen nebeneinander.
Anwendungsbereich
Wer fällt unter NIS2?18 Sektoren · Größenschwelle mittel
Anwendungsbereich sind Einrichtungen in 18 Sektoren (Anhang I: 11 wesentliche, Anhang II: 7 wichtige) ab Größenschwelle 50 Mitarbeiter und 10 Mio. Euro Umsatz oder 10 Mio. Euro Bilanzsumme. Darunter greift NIS2 nur für Sonderfälle (alleiniger Dienstanbieter, nationale Bedeutung, digitale Infrastruktur).
Artikel 3 unterscheidet wesentliche (essential) und wichtige (important) Einrichtungen — bestimmend für Aufsichtsintensität und Bußgeldhöhe.
Anhang I (wesentlich) / Anhang II (wichtig)
Das NIS2UmsuCG übernimmt die Sektorenlisten 1:1 aus der Richtlinie. Zusätzlich werden KRITIS-Betreiber nach bisherigem BSI-Gesetz automatisch als wesentliche Einrichtungen eingestuft — auch unterhalb der EU-Größenschwelle.
Ergänzend: Bundesverwaltung als „Einrichtung der öffentlichen Verwaltung" explizit eingeschlossen. Kommunale Betreiber kritischer Dienste fallen über Landesrecht unter die Pflicht.
Risikomanagement
Was ist technisch und organisatorisch Pflicht?Mindestens 10 Maßnahmen-Felder
Artikel 21 Absatz 2 listet die Pflichtfelder auf: Risikoanalyse, Incident-Handling, Business Continuity, Lieferketten-Sicherheit, Beschaffungs-Sicherheit, Vulnerability Management, Krypto-Policy, Personalausbildung, Zugriffskontrolle und Asset-Management.
Die Maßnahmen müssen dem Stand der Technik, der Risikoexposition und der Größe der Einrichtung angemessen sein.
Konkretisierung durch BSI-Rechtsverordnung
§ 30 verweist für die technischen Details auf eine BSI-Rechtsverordnung, die die 10 Felder aus Artikel 21 weiter konkretisiert. Erwartet werden Schwellenwerte, Prüfintervalle und branchenspezifische Mindeststandards (z. B. für Gesundheit, Energie).
Für KRITIS-Betreiber gelten zusätzlich die bestehenden BSI-KritisV-Standards fort.
Meldepflichten
Wie schnell an die Behörde?Dreistufiges Meldesystem
- 24 Stunden: Frühwarnung — erster Hinweis auf einen erheblichen Sicherheitsvorfall
- 72 Stunden: Vorfallsmeldung — Bewertung der Schwere, Indikatoren, erste Gegenmaßnahmen
- 1 Monat: Abschlussbericht — Ursache, Auswirkungen, getroffene Abhilfe
Zusatzpflicht: betroffene Dienstnehmer sind „unverzüglich" zu informieren, wenn sie Gegenmaßnahmen ergreifen können.
Meldung an das BSI
Fristen 1:1 aus der Richtlinie. Formal erfolgt die Meldung über das BSI-Meldeportal. Für bestimmte Sektoren (Finanz, TK) gelten parallele Meldungen an BaFin bzw. Bundesnetzagentur.
Sanktion bei unterlassener Meldung: Bußgeld analog zu einem Verstoß gegen § 30 (Risikomanagement).
Leitungsverantwortung
Wer haftet persönlich?Leitungsorgane tragen Verantwortung
Artikel 20 verpflichtet die Leitungsorgane, die Risikomanagement-Maßnahmen zu billigen, ihre Umsetzung zu überwachen und regelmäßig an Schulungen teilzunehmen. Mitgliedstaaten stellen sicher, dass Leitungsorgane für Verstöße haftbar gemacht werden können.
Schulungspflicht · persönliche Haftung
Geschäftsleitung muss die Maßnahmen nach § 30 billigen, überwachen und an regelmäßigen Schulungen teilnehmen. Pflichtverletzung führt zur persönlichen Bußgeldhaftung (§ 61) und kann D&O-Versicherungs-Deckungsausschluss auslösen.
Registrierung
Wer, wann, wo?Zentrale Registrierung über Mitgliedstaat
Einrichtungen registrieren sich bei der zuständigen nationalen Behörde. Artikel 27 listet die Pflichtangaben: Name, Anschrift, Sektor, Dienstkategorie, IP-Bereiche und Domains, Kontaktstellen.
Registrierung ist Voraussetzung für rechtsgültige Meldungen und Aufsichtshandlungen.
BSI-Registrierung binnen 3 Monaten
Binnen 3 Monaten nach Betroffenheit — spätestens ab Inkrafttreten des NIS2UmsuCG — ist die Registrierung beim BSI Pflicht. Formular und Pflichtangaben folgen Artikel 27.
Unterbleibende Registrierung wird mit Bußgeld geahndet und kann zu Aufsichtsanordnung führen.
Sanktionen
Bußgeldrahmen in ZahlenObergrenzen nach Einstufung
- Wesentliche Einrichtungen: bis 10 Mio. Euro oder 2 % weltweiter Jahresumsatz (höherer Wert)
- Wichtige Einrichtungen: bis 7 Mio. Euro oder 1,4 % weltweiter Jahresumsatz
Zusätzliche Durchsetzungsbefugnisse: Weisungen, Audits, öffentliche Bekanntgabe, temporäre Suspendierung von Zertifizierungen.
Bußgelder 1:1 — plus persönliche Haftung
Bußgeldrahmen übernommen aus Artikel 34. Zusätzlich persönliche Haftung der Leitungsorgane nach OWiG — Bußgelder gegen natürliche Personen bis 10 Mio. Euro bei grober Fahrlässigkeit möglich.
Für den Bußgeld-Katalog nach Verstoßart siehe die Bußgeld-Übersicht.
Die EU-Richtlinie wirkt seit Oktober 2024, das deutsche Gesetz noch nicht. Bis zum Inkrafttreten des NIS2UmsuCG gilt für KRITIS weiter das bestehende BSI-Gesetz, für alle anderen Einrichtungen entsteht die formale Pflicht erst mit Verabschiedung. Die materielle Pflicht, ab Inkrafttreten vorbereitet zu sein, ist bereits jetzt Teil der unternehmerischen Sorgfaltspflicht — D&O-Versicherer und Auftraggeber prüfen NIS2-Readiness bereits 2026.
Lesehilfe zur Synopse
Die Synopse ist kein Vollständigkeitsanspruch — nur die tragenden Themen sind abgebildet. Weitere Artikel mit operativer Bedeutung: Artikel 22 (Lieferketten-Sicherheit), Artikel 24 (Zertifizierung), Artikel 26 (grenzüberschreitende Zuständigkeit), Artikel 28 (DNS-Registrierungsdaten). Im NIS2UmsuCG liegen die entsprechenden Paragraphen in §§ 31, 34–36.
Was noch offen ist
Einige Details des NIS2UmsuCG sind zum 22. April 2026 noch im parlamentarischen Verfahren — insbesondere die konkrete Bußgeldstaffelung, die Ausnahmen für Bundesländer und die Rolle der Landesdatenschutzbehörden bei sektoralen Überlappungen. Ein aktualisierter Referentenentwurf wird zum Mai 2026 erwartet.
Häufige Fragen zur Rechtslage
Welche Artikel der NIS2-Richtlinie sind für die Betroffenheitsprüfung relevant?
Artikel 2 (Anwendungsbereich), Artikel 3 (Unterscheidung wesentliche und wichtige Einrichtungen), Artikel 21 (Risikomanagementmaßnahmen), Artikel 23 (Meldepflichten) und die Sanktionsartikel 32 bis 34 sind die tragende Achse. Für grenzüberschreitende Einrichtungen kommt Artikel 26 (Zuständigkeit) hinzu.
Wo im NIS2UmsuCG steht die Größenschwelle?
Das NIS2UmsuCG übernimmt die EU-Größenschwelle (50 Mitarbeiter, 10 Mio. Euro Umsatz) für mittlere Einrichtungen und ergänzt sie um deutsche Besonderheiten. Die Zuordnung wesentlich vs. wichtig erfolgt über Anhang I (wesentliche Sektoren) und Anhang II (wichtige Sektoren) analog zu Anhang I/II der Richtlinie.
Gibt es Sonderregeln für Kommunen und Verwaltung?
Artikel 2 Absatz 2 der Richtlinie nimmt Teile der öffentlichen Verwaltung — insbesondere Verteidigung, nationale Sicherheit, Justiz und Parlamente — aus. Das NIS2UmsuCG erweitert den Anwendungsbereich punktuell auf Bundesverwaltung und kommunale Betreiber kritischer Infrastruktur, die Umsetzung der Landesverwaltung ist Ländersache.
Welche Meldefristen ergeben sich aus Artikel 23?
Artikel 23 definiert einen dreistufigen Meldeprozess. Frühwarnung binnen 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls, vollständige Vorfallsmeldung binnen 72 Stunden, Abschlussbericht binnen einem Monat. Das NIS2UmsuCG übernimmt diese Fristen 1:1.
Wer beaufsichtigt welche Einrichtungen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist zentrale Aufsichtsbehörde, für Finanzdienstleister gilt die BaFin, für Telekommunikation die Bundesnetzagentur. Die Zuordnung folgt dem Sektor, nicht der Rechtsform.
Greifen die Pflichten schon vor dem Inkrafttreten des NIS2UmsuCG?
Die EU-Richtlinie ist seit 17. Oktober 2024 in Kraft und unmittelbar bindend für die Mitgliedstaaten. Solange das NIS2UmsuCG nicht in Kraft ist, fehlt die nationale Sanktionsgrundlage — aber die bestehenden Pflichten aus BSI-Gesetz (für KRITIS) laufen parallel weiter. Unternehmen, die ihre Systeme bereits auf NIS2-Niveau bringen, sind spätestens nach Inkrafttreten erleichtert.