NIS2 umsetzen: Pflichten, Fristen und der Weg zur Compliance
NIS2-Readiness-Checkliste
Selbstbewertung in fünf Blöcken: Betroffenheit & Registrierung, Governance & Schulung, die zehn Mindestmaßnahmen (mit Status- und Nachweis-Spalte), Meldekette und Übungsnachweis – inklusive aller Fristen für Deutschland und Österreich. Öffnen, ausfüllen und als PDF speichern.
Checkliste öffnen & als PDF speichernWas ist NIS2?
NIS2 (Richtlinie (EU) 2022/2555) ist der EU-weite Rechtsrahmen für Cybersicherheit. Sie löst die erste NIS-Richtlinie ab, erweitert den Kreis der betroffenen Sektoren erheblich und führt einheitlichere, strengere Mindestanforderungen sowie spürbare Sanktionen ein. Ziel ist ein hohes gemeinsames Sicherheitsniveau für kritische und wichtige Dienste in der EU.
Wo steht die Umsetzung in Deutschland und Österreich?
NIS2 ist eine Richtlinie – die Pflichten entstehen erst durch die nationalen Umsetzungsgesetze. In beiden DACH-Kernmärkten sind diese inzwischen verkündet:
| Deutschland | Österreich | |
|---|---|---|
| Gesetz | NIS2UmsuCG – Neufassung des BSI-Gesetzes (BSIG) | NISG 2026 |
| Fundstelle | BGBl. 2025 I Nr. 301 (5.12.2025) | BGBl. I Nr. 94/2025 (23.12.2025) |
| In Kraft | seit 6. Dezember 2025 | ab 1. Oktober 2026 |
| Registrierungsfrist | 3 Monate ab Betroffenheit (§ 33 BSIG) | 3 Monate ab Inkrafttreten, d. h. bis 31.12.2026 (§ 29 NISG) |
| Zuständige Stelle | BSI (gemeinsames Melde- und Registrierungsportal mit dem BBK) | Cybersicherheitsbehörde; Vorfallsmeldungen an das zuständige CSIRT |
Es gibt keine Übergangsfrist: In Deutschland gelten die Pflichten seit dem Tag nach der Verkündung – nur die Meldepflicht griff formal erst mit Einrichtung des Meldewegs (§ 32 Abs. 1 BSIG); das BSI-Portal ist seit dem 6. Januar 2026 freigeschaltet. Details zur österreichischen Umsetzung – inklusive Selbstdeklaration und Schulungs-Straftatbestand – im Beitrag NISG 2026: NIS2 in Österreich.
Wer ist von NIS2 betroffen?
NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen (das deutsche BSIG nennt die erste Kategorie „besonders wichtige Einrichtungen", § 28 BSIG). Maßgeblich sind die Kombination aus betroffenem Sektor (z. B. Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, aber auch Maschinenbau, Chemie, Lebensmittel, Post und mehr) und der Unternehmensgröße. Vereinfacht greift NIS2 ab mittelgroßen Unternehmen (in der Regel ab 50 Beschäftigten oder mehr als 10 Mio. € Umsatz); einzelne Einrichtungen fallen unabhängig von der Größe darunter. Eine erste Einordnung liefert unsere NIS2-Betroffenheitsprüfung.
Die wichtigsten Pflichten
Governance (Art. 20): Die Leitungsorgane müssen die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen – mit persönlicher Verantwortlichkeit bei Verstößen. In Deutschland regelt das § 38 BSIG (inklusive Haftung der Geschäftsleitung), in Österreich § 31 NISG 2026.
Risikomanagement (Art. 21): Gefordert sind zehn Maßnahmenbereiche – darunter Incident Handling, Business Continuity und Krisenmanagement, Lieferkettensicherheit, Cyberhygiene und Schulungen sowie Konzepte zur Bewertung der Wirksamkeit der Maßnahmen (national umgesetzt in § 30 Abs. 2 BSIG bzw. § 32 Abs. 4 NISG 2026). Details finden Sie in unserem Beitrag zu den NIS2-Anforderungen nach Art. 21.
Meldepflichten (Art. 23): Erhebliche Sicherheitsvorfälle sind gestaffelt zu melden – in Deutschland nach § 32 BSIG an die gemeinsame Meldestelle von BSI und BBK, in Österreich nach § 34 NISG 2026 an das zuständige CSIRT.
Meldepflichten & Fristen
- Frühwarnung innerhalb von 24 Stunden nach Kenntnis.
- Meldung des Vorfalls innerhalb von 72 Stunden.
- Abschlussbericht innerhalb von einem Monat.
Diese Meldekette unter Zeitdruck zuverlässig zu bedienen, ist eine der größten praktischen Herausforderungen – und ein typischer Bestandteil realistischer Übungsszenarien.
Registrierung
Betroffene Einrichtungen müssen sich bei der zuständigen Behörde – in Deutschland dem BSI – registrieren und bestimmte Stammdaten bereitstellen. Die Frist ist knapp: drei Monate, nachdem eine Einrichtung erstmals unter das Gesetz fällt (§ 33 BSIG). Wie das abläuft, lesen Sie unter NIS2-Registrierung beim BSI.
Sanktionen
NIS2 sieht empfindliche Bußgelder vor: für besonders wichtige (wesentliche) Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % – jeweils der höhere Betrag (§ 65 BSIG; § 45 NISG 2026). Hinzu kommt die persönliche Verantwortlichkeit der Leitungsorgane.
Die unterschätzte Pflicht: regelmäßig testen und üben
Maßnahmen auf dem Papier reichen nicht. NIS2 verlangt, ihre Wirksamkeit zu bewerten und den Betrieb auch im Krisenfall aufrechtzuerhalten. Tabletop-Übungen sind dafür das effizienteste Werkzeug: Ihr Team durchläuft ein realistisches Szenario, trifft Entscheidungen und übt die Meldekette – das Ergebnis ist ein audit-fähiger After-Action-Report. Genau hier setzt SecDrills an.
NIS2-Umsetzung in 6 Schritten
- Betroffenheit klären und als wesentliche oder wichtige Einrichtung einordnen.
- Bei der zuständigen Behörde registrieren.
- Risikomanagement-Maßnahmen nach Art. 21 etablieren.
- Leitungsorgane einbinden und schulen (Art. 20).
- Melde- und Krisenprozesse definieren (Art. 23).
- Regelmäßig üben, dokumentieren und verbessern – z. B. mit Tabletop-Übungen.
Häufige Fragen
Ab wann gilt NIS2?
Die NIS2-Richtlinie (EU) 2022/2555 ist seit Januar 2023 in Kraft; die EU-Frist zur nationalen Umsetzung lief am 17. Oktober 2024 ab. In Deutschland gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG, BGBl. 2025 I Nr. 301) seit dem 6. Dezember 2025 – ohne Übergangsfrist. In Österreich tritt das NISG 2026 (BGBl. I Nr. 94/2025) am 1. Oktober 2026 in Kraft.
Ist NIS2 in Deutschland schon in Kraft?
Ja. Das NIS2-Umsetzungsgesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten. Kernstück ist das neu gefasste BSI-Gesetz (BSIG): Registrierungspflicht (§ 33), Risikomanagementmaßnahmen (§ 30) und Pflichten der Geschäftsleitung (§ 38) gelten seither unmittelbar; die Meldepflichten (§ 32) griffen mit Einrichtung des Meldewegs über das BSI-Portal am 6. Januar 2026.
Muss die Geschäftsführung bei NIS2 persönlich tätig werden?
Ja. NIS2 Art. 20 verpflichtet die Leitungsorgane, die Risikomanagement-Maßnahmen zu billigen, ihre Umsetzung zu überwachen und an Schulungen teilzunehmen. Bei Verstößen ist eine persönliche Verantwortlichkeit vorgesehen.
Verlangt NIS2 Übungen?
NIS2 Art. 21 fordert unter anderem Konzepte zur Bewältigung von Sicherheitsvorfällen, zur Aufrechterhaltung des Betriebs sowie zur Bewertung der Wirksamkeit der Maßnahmen. Tabletop-Übungen sind ein anerkanntes Mittel, um diese Fähigkeiten regelmäßig zu testen und nachzuweisen.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.