NIS-2: Wer betroffen ist und welche Cybersicherheitspflichten jetzt gelten
Mit NIS-2 weitet die EU die Cybersicherheits-Regulierung massiv aus: Statt weniger kritischer Infrastrukturen sind nun 18 Sektoren erfasst – vom Maschinenbau über Lebensmittel bis zu digitalen Diensten. In Deutschland fallen damit Zehntausende mittelständische Unternehmen erstmals unter verbindliche IT-Sicherheitspflichten.
Die Brisanz liegt im Detail: Die Pflichten gelten ohne Bescheid und ohne Aufforderung – betroffene Unternehmen müssen sich selbst identifizieren und registrieren. Und die Geschäftsleitung haftet persönlich für die Umsetzung. Dieser Ratgeber klärt Betroffenheit, Pflichten und die ersten Schritte.
Dieser Ratgeber wurde von Rechtsanwalt Demirel von der Kanzlei MANDATI in Essen auf Grundlage der aktuellen Gesetzeslage und Rechtsprechung erstellt. Die Kanzlei berät Unternehmen, Start-ups und Verbraucher im IT-Recht – vor Ort im Ruhrgebiet und bundesweit digital.
1. Bin ich betroffen? Sektoren und Größenschwellen
NIS-2 kombiniert zwei Kriterien: Sektor und Unternehmensgröße. Erfasst sind „wesentliche“ und „wichtige“ Einrichtungen aus 18 Sektoren – darunter Energie, Transport, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, IT-Dienstleister (Managed Services!), öffentliche Verwaltung, Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe (u. a. Maschinenbau, Elektronik, Fahrzeugbau) und digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke).
Als Faustregel gilt: Unternehmen dieser Sektoren ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz sind erfasst; für besonders kritische Bereiche und bestimmte Dienste gelten Sonderregeln unabhängig von der Größe. Auch Zulieferer spüren NIS-2 indirekt: Betroffene Kunden müssen die Sicherheit ihrer Lieferkette vertraglich absichern.
Keine Behörde klingelt: NIS-2 kennt keinen Feststellungsbescheid. Unternehmen müssen ihre Betroffenheit selbst prüfen und sich beim BSI registrieren. „Wir wussten nicht, dass wir betroffen sind“ schützt weder vor Bußgeld noch vor Haftung.
2. Der Pflichtenkatalog: Zehn Mindestmaßnahmen
Risikomanagement nach NIS-2 – die Kernpflichten
- Risikoanalyse- und Sicherheitskonzepte für Informationssysteme
- Vorfallsbewältigung (Incident Handling) mit definierten Prozessen
- Business Continuity: Backups, Notfall- und Krisenmanagement
- Lieferkettensicherheit inklusive vertraglicher Anforderungen an Dienstleister
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Konzepte zur Bewertung der Wirksamkeit der Maßnahmen
- Cyberhygiene-Schulungen für alle Mitarbeitenden
- Kryptografie- und Verschlüsselungskonzepte
- Zugriffskontrolle und Identitätsmanagement
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation
3. Meldepflichten: 24 Stunden, 72 Stunden, ein Monat
| Frist | Pflicht |
|---|---|
| 24 Stunden | Frühwarnung an das BSI bei erheblichen Sicherheitsvorfällen |
| 72 Stunden | Ausführlichere Vorfallsmeldung mit erster Bewertung |
| 1 Monat | Abschlussbericht mit Ursachen, Auswirkungen und Maßnahmen |
Betrifft der Vorfall zugleich personenbezogene Daten, läuft parallel die DSGVO-Meldung an die Datenschutzbehörde – zwei Verfahren, zwei Behörden, ein Sachverhalt. Ein integrierter Melde- und Krisenprozess erspart im Ernstfall Chaos.
4. Geschäftsführerhaftung: Chefsache per Gesetz
NIS-2 macht Cybersicherheit ausdrücklich zur Aufgabe der Leitungsebene: Die Geschäftsleitung muss die Risikomanagement-Maßnahmen billigen und ihre Umsetzung überwachen – und an Schulungen teilnehmen. Verletzt sie diese Pflichten, drohen neben Unternehmens-Bußgeldern (bis zu 10 Millionen Euro bzw. 2 Prozent des weltweiten Umsatzes für wesentliche Einrichtungen) auch persönliche Haftungsrisiken gegenüber der Gesellschaft. Cyber-Versicherungen prüfen im Schadensfall zunehmend, ob die gesetzlichen Mindeststandards eingehalten wurden.
5. Der Einstieg: Vier Schritte zur NIS-2-Readiness
Betroffenheit klären
Sektor und Schwellenwerte prüfen, Ergebnis dokumentieren – auch ein begründetes „nicht betroffen“ ist Compliance.
Gap-Analyse
Ist-Zustand gegen den Pflichtenkatalog spiegeln; vorhandene Standards (ISO 27001, BSI-Grundschutz) anrechnen.
Maßnahmen priorisieren
Meldeprozess, MFA, Backups und Lieferantenklauseln zuerst – sie bringen das meiste Risiko aus dem System.
Governance verankern
Verantwortlichkeiten, Leitungs-Reporting und Schulungen festschreiben; Registrierung beim BSI vorbereiten.
Das Wichtigste in Kürze
NIS-2 erfasst weite Teile des Mittelstands – auch ohne Bescheid, per Selbstidentifikation. Der Pflichtenkatalog reicht von Risikomanagement über Lieferkettensicherheit bis zu gestaffelten Meldefristen (24 h / 72 h / 1 Monat), und die Geschäftsleitung steht persönlich in der Verantwortung. Wer mit Betroffenheitsanalyse und Gap-Analyse beginnt, macht aus der Pflicht einen strukturierten Prozess – wir begleiten juristisch von der Analyse bis zum Meldefall.
NIS-2-Betroffenheit unklar?
Wir prüfen Sektor, Schwellen und Konzernstruktur und liefern ein dokumentiertes Ergebnis – die Grundlage jeder weiteren Entscheidung.
Beratung anfragen →6. Häufige Fragen (FAQ)
Woher weiß ich, ob mein Unternehmen unter NIS-2 fällt?
Prüfen Sie zweistufig: Gehört Ihre Tätigkeit zu einem der 18 Sektoren (inklusive verarbeitendes Gewerbe und IT-Dienstleistungen)? Und erreichen Sie 50 Mitarbeitende oder 10 Millionen Euro Umsatz? Bei Grenzfällen – etwa Mischkonzernen oder Holding-Strukturen – lohnt die juristische Betroffenheitsanalyse mit dokumentiertem Ergebnis.
Was ist der Stand der NIS-2-Umsetzung in Deutschland?
Das deutsche Umsetzungsgesetz (NIS2UmsuCG) hat sich verzögert und ist inzwischen in Kraft getreten; die Pflichten greifen ohne lange Übergangsfristen. Unternehmen, die auf das Gesetz gewartet haben, sollten jetzt zügig in die Umsetzung gehen – die EU-Vorgaben standen seit 2022 fest.
Wir sind Zulieferer eines betroffenen Unternehmens – was heißt das für uns?
Direkt betroffen sind Sie dadurch nicht, aber Ihre Kunden müssen die Sicherheit ihrer Lieferkette gewährleisten – und geben die Anforderungen vertraglich weiter: Sicherheitsnachweise, Auditrechte, Meldepflichten. Wer früh liefert, was gefordert wird, macht Sicherheit zum Vertriebsargument.
Reicht unsere ISO-27001-Zertifizierung für NIS-2?
Sie ist eine hervorragende Basis und deckt viele Anforderungen ab – aber nicht automatisch alle: Registrierung, Meldeprozesse mit den NIS-2-Fristen und die spezifischen Pflichten der Geschäftsleitung müssen ergänzt werden. Eine Gap-Analyse zeigt die Restlücken.
Was droht der Geschäftsführung persönlich?
Die Leitung muss die Cybersicherheits-Maßnahmen billigen, überwachen und sich schulen lassen. Pflichtverletzungen können zu persönlicher Innenhaftung gegenüber der Gesellschaft führen; zudem drohen dem Unternehmen empfindliche Bußgelder. Dokumentierte Leitungsbefassung ist daher essenziell.
Wie hängen NIS-2- und DSGVO-Meldepflichten zusammen?
Sie laufen parallel: Ein Ransomware-Angriff mit Datenabfluss löst die NIS-2-Meldung ans BSI (24 h/72 h/1 Monat) und die DSGVO-Meldung an die Datenschutzbehörde (72 h) aus. Ein integrierter Incident-Response-Plan bedient beide Verfahren aus einem Prozess.
7. Ihre Kanzlei für NIS-2-Compliance-Beratung in Essen und ganz NRW
Die Kanzlei MANDATI in Essen berät Unternehmen, Start-ups und Verbraucher im IT-Recht – von der DSGVO-Compliance über IT-Verträge bis zur Abwehr von Abmahnungen. Persönlich in Essen oder vollständig digital, bundesweit.
MANDATI Rechtsanwälte – Ihr Anwalt für NIS-2-Compliance-Beratung in Essen und dem gesamten Ruhrgebiet. Persönliche Beratung vor Ort oder mandatsbezogen bundesweit.
Hindenburgstr. 23, 45127 Essen, Nordrhein-Westfalen
Telefon: 0201 – 890 722 40 · E-Mail: [email protected]
Öffnungszeiten: Mo–Fr 9–18 Uhr
Einzugsgebiete / „in der Nähe":
- Essen
- Bochum
- Dortmund
- Düsseldorf
- Duisburg
- Mülheim a. d. Ruhr
- Oberhausen
- Gelsenkirchen
- Köln
Kanzlei MANDATI
Hindenburgstr. 23
45127 Essen
Nordrhein-Westfalen
Telefon: 0201 – 890 722 40
E-Mail: [email protected]
Beratung im IT-Recht: vor Ort in Essen · bundesweit digital per Video und Telefon
Vom Pflichtenkatalog zum Prozess
Gap-Analyse, Lieferantenklauseln, Meldeprozesse: Kanzlei MANDATI macht Ihr Unternehmen NIS-2-fest – juristisch fundiert, pragmatisch umgesetzt.
Beratung anfragen →
