Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG), und die Zahlen sind drastisch: Rund 29.500 Unternehmen fallen jetzt unter die Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI), zuvor waren es etwa 4.500. Wer die neuen Pflichten verletzt, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Trotzdem unterschätzen laut dem Cyber Security Report 2026 rund 48 Prozent der befragten Unternehmen ihre regulatorische Betroffenheit. Diese Analyse ordnet ein, was NIS2 für Deutschland und den DACH-Raum bedeutet, wo die größten Lücken klaffen und welche Fristen 2026 noch anstehen.

NIS2 Deutschland: Was am 6. Dezember 2025 in Kraft trat

Die EU-Richtlinie NIS2 (Network and Information Security Directive 2, Richtlinie EU 2022/2555) musste eigentlich bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Deutschland verpasste diese Frist deutlich. Erst am 6. Dezember 2025 trat das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft, und zwar ohne Übergangsfrist. Betroffene Einrichtungen waren ab dem ersten Tag verpflichtet, die neuen Anforderungen zu erfüllen.

Das Gesetz novelliert das BSI-Gesetz (BSIG) und macht das BSI zur zentralen Aufsichtsbehörde. Die Behörde erhält weitreichende Befugnisse: Sie kann Prüfungen anordnen, verbindliche Anweisungen erteilen und Sanktionen verhängen. Der Sprung von 4.500 auf rund 29.500 beaufsichtigte Einrichtungen entspricht mehr als einer Versechsfachung. Einzelne Umsetzungsanalysen schätzen die Gesamtreichweite sogar auf bis zu 40.000 Unternehmen über mehr als 15 Sektoren hinweg, weil die Einstufung von Tochtergesellschaften und Lieferketten die Zahl weiter treibt.

Die deutsche Verzögerung war kein Einzelfall. Am 7. Mai 2025 versandte die Europäische Kommission ein mit Gründen versehenes Stellungnahmeschreiben (reasoned opinion) an 19 Mitgliedstaaten, die NIS2 nicht fristgerecht vollständig umgesetzt hatten. Deutschland stand auf dieser Liste, gemeinsam mit Frankreich, Spanien, Irland und weiteren großen Volkswirtschaften. Belgien dagegen hatte seine NIS2-Umsetzung schon zum Oktober 2024 in Kraft gesetzt und gilt seither als Vorreiter, dessen Aufsichtsmodell andere Behörden studieren.

NIS2: Wer ist betroffen und ab welcher Größe

Die wichtigste Frage für deutsche Geschäftsführer lautet: Bin ich überhaupt betroffen? Die Antwort hängt von zwei Faktoren ab, dem Sektor und der Unternehmensgröße. NIS2 gilt grundsätzlich ab 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz, sofern das Unternehmen in einem der regulierten Sektoren tätig ist. Für KRITIS-Betreiber und einige besonders kritische Dienste gelten niedrigere oder gar keine Schwellenwerte.

Das Gesetz unterscheidet zwei Kategorien. Besonders wichtige Einrichtungen umfassen unter anderem Energieversorger (Strom, Gas, Fernwärme, Kraftstoff- und Heizölversorgung), Verkehr (Luft, Schiene, See, Straße), Banken und Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur sowie Raumfahrt. Wichtige Einrichtungen erfassen unter anderem Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel sowie die Herstellung von Kraftfahrzeugen, Medizinprodukten und elektrischen Geräten. Insgesamt deckt die deutsche Umsetzung 18 Sektoren ab.

Gerade der Mittelstand ist überrascht. Viele Maschinenbauer, Zulieferer und Chemieunternehmen im DACH-Raum gingen davon aus, dass Cybersicherheitsregulierung nur Großkonzerne und klassische KRITIS-Betreiber trifft. Tatsächlich rutschen tausende mittelständische Firmen über die Schwelle von 50 Beschäftigten in den Anwendungsbereich, ohne es zu wissen. Genau hier setzt die Kritik an den 48 Prozent an, die ihre Betroffenheit unterschätzen.

Die NIS2-Zeitleiste: Alle Fristen 2024 bis 2026 im Überblick

Wer den Überblick über die Fristen verliert, riskiert teure Versäumnisse. Die folgende Tabelle fasst die zentralen Termine der NIS2-Umsetzung in Deutschland zusammen, von der EU-Frist bis zu den noch offenen Pflichten im Jahr 2026.

DatumEreignisBedeutung
17. Oktober 2024EU-Umsetzungsfrist für NIS2Deutschland verfehlt die Frist
7. Mai 2025Mit Gründen versehene Stellungnahme der EU-Kommission19 Mitgliedstaaten, darunter Deutschland, gerügt
6. Dezember 2025NIS2UmsuCG tritt in KraftSofort gültig, keine Übergangsfrist
6. Januar 2026BSI-Registrierungsportal öffnetPlattform für Registrierung und Meldungen
6. März 2026Registrierungsfrist endetDrei Monate nach Inkrafttreten
17. März 2026KRITIS-Dachgesetz tritt in KraftPhysische Resilienz kritischer Anlagen
30. Juni 2026Frist für ersten Compliance-NachweisVerschoben vom 31. Dezember 2025

Bemerkenswert ist die Verschiebung des ersten Audit-Nachweises vom 31. Dezember 2025 auf den 30. Juni 2026. Diese sechsmonatige Atempause verschafft Unternehmen Luft, darf aber nicht als Entwarnung verstanden werden. Die Registrierungspflicht und die Meldepflichten gelten ohne Aufschub. Ende Mai 2026 legte das Bundesinnenministerium zudem einen Referentenentwurf der KRITIS-Verordnung 2026 vor, der die Schwellenwerte und Pflichten für kritische Infrastrukturen weiter konkretisiert.

Bußgelder bis 10 Millionen Euro: Die Sanktionen im Detail

Der Hebel, der NIS2 von früheren Empfehlungen unterscheidet, sind die Sanktionen. Das Gesetz orientiert sich am Bußgeldrahmen der Datenschutz-Grundverordnung und macht Cybersicherheit damit zur Chefsache. Besonders wichtige Einrichtungen riskieren bei Verstößen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des globalen Umsatzes.

Entscheidend ist die persönliche Verantwortung der Geschäftsleitung. NIS2 verpflichtet Geschäftsführer und Vorstände, Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Sie müssen an Cybersicherheitsschulungen teilnehmen und können bei grober Pflichtverletzung persönlich haften. Diese Verlagerung der Haftung auf die Führungsebene ist der eigentliche Kulturbruch, den viele Unternehmen noch nicht verinnerlicht haben.

KategorieMaximales BußgeldUmsatzbezogenBeispielsektoren
Besonders wichtige Einrichtungen10 Mio. Euro2 % weltweiter UmsatzEnergie, Verkehr, Banken, Gesundheit, Wasser
Wichtige Einrichtungen7 Mio. Euro1,4 % weltweiter UmsatzChemie, Lebensmittel, Maschinenbau, Post
KRITIS-Betreiber10 Mio. Euro2 % weltweiter UmsatzKritische Infrastruktur aller Sektoren
Geschäftsleitung (persönlich)Haftung möglichBei grober PflichtverletzungAlle regulierten Einrichtungen

Die Rechtsanwälte von Reed Smith fassten die deutsche Umsetzung in ihrer Analyse vom Januar 2026 prägnant zusammen: Das Gesetz gelte mit sofortiger Wirkung, habe einen breiten Anwendungsbereich und verlange eine kurzfristige Registrierung. Wer auf eine sanfte Anlaufphase gehofft hatte, wurde enttäuscht.

Meldepflichten: 24 Stunden, 72 Stunden, 30 Tage

Ein Kernstück von NIS2 ist die gestaffelte Meldepflicht für erhebliche Sicherheitsvorfälle. Betroffene Einrichtungen müssen einen Vorfall innerhalb von 24 Stunden als Frühwarnung an das BSI melden. Innerhalb von 72 Stunden folgt eine erste Bewertung mit Details zu Art und Schwere. Spätestens nach 30 Tagen ist ein Abschlussbericht fällig, der Ursachen, Auswirkungen und ergriffene Gegenmaßnahmen dokumentiert.

Diese Taktung stellt viele Unternehmen vor organisatorische Probleme. Ein 24-Stunden-Fenster bedeutet, dass eine Firma rund um die Uhr in der Lage sein muss, einen Vorfall zu erkennen, zu bewerten und formal zu melden. Wer keine etablierte Incident-Response-Struktur hat, scheitert an dieser Frist. Das BSI-Portal, das am 6. Januar 2026 öffnete, dient sowohl der Registrierung als auch der Meldung dieser Vorfälle. Für die Praxis heißt das: Cybersicherheit wird messbar und dokumentationspflichtig.

289 Milliarden Euro Schaden: Die Bedrohungslage hinter NIS2

NIS2 entsteht nicht im luftleeren Raum. Die Studie Wirtschaftsschutz 2025 des Branchenverbands Bitkom beziffert den jährlichen Schaden für die deutsche Wirtschaft durch Diebstahl, Industriespionage und Sabotage auf 289,2 Milliarden Euro. 87 Prozent der befragten Unternehmen gaben an, in den vergangenen zwölf Monaten von solchen Angriffen betroffen gewesen zu sein. Diese Zahlen liefern die politische Begründung für die schärfere Regulierung.

Bitkom-Präsident Ralf Wintergerst macht seit Monaten Druck. Die deutsche Wirtschaft stehe unter dauerhaftem Beschuss, und der Schaden habe ein Rekordniveau erreicht, so seine Kernbotschaft zur Vorstellung der Studie im Oktober 2025. Cybersicherheit sei keine reine IT-Frage mehr, sondern eine Überlebensfrage für den Standort Deutschland. Der Verband fordert seit Jahren mehr Tempo bei der Umsetzung europäischer Vorgaben, gerade weil die Lücke zwischen Bedrohung und Schutzniveau wachse.

Auch das BSI selbst zeichnet ein deutliches Bild. BSI-Präsidentin Claudia Plattner betont seit ihrem Amtsantritt, dass die Bedrohungslage so angespannt sei wie nie zuvor und dass NIS2 ein notwendiger Schritt sei, um die Resilienz der deutschen Wirtschaft auf ein zeitgemäßes Niveau zu heben. Ransomware bleibt dabei die dominante Bedrohung. Im World Economic Forum Global Cybersecurity Outlook 2025 stuften 45 Prozent der Befragten Ransomware als ihr größtes organisatorisches Cyberrisiko ein.

NIS2 im EU-Vergleich: Deutschland als Nachzügler

Im europäischen Vergleich gehört Deutschland nicht zu den Schnellsten. Die mit Gründen versehene Stellungnahme der Kommission an 19 Staaten zeigt, dass die meisten großen EU-Volkswirtschaften die Oktober-2024-Frist gerissen haben. Belgien dagegen setzte NIS2 bereits zum Stichtag um und etablierte mit dem Cyberfundamentals Framework ein eigenes, praxisnahes Reifegradmodell. Diese Vorlaufzeit verschafft belgischen Unternehmen einen Vorsprung bei der Compliance.

Für den DACH-Raum ergibt sich ein gemischtes Bild. Österreich rang lange mit seinem Netz- und Informationssystemsicherheitsgesetz und stand ebenfalls unter Zugzwang der Kommission. Die Schweiz ist als Nicht-EU-Mitglied formal nicht an NIS2 gebunden, doch viele Schweizer Unternehmen mit EU-Geschäft fallen indirekt unter die Pflichten, etwa als Teil von Lieferketten besonders wichtiger Einrichtungen. Die Folge ist ein faktischer Geltungsanspruch über die EU-Grenzen hinaus.

Die unterschiedliche Umsetzungsgeschwindigkeit schafft ein regulatorisches Flickwerk. Ein Konzern mit Standorten in Deutschland, Belgien und Frankreich muss drei nationale Auslegungen derselben Richtlinie beachten. Genau diese Fragmentierung wollte NIS2 eigentlich überwinden, doch die nationalen Spielräume bei Schwellenwerten und Sanktionen führen vorerst zu neuer Komplexität.

Vom IT-Sicherheitsgesetz zur NIS2: Die historische Einordnung

Deutschland ist kein regulatorisches Neuland. Bereits 2015 trat das erste IT-Sicherheitsgesetz in Kraft, das KRITIS-Betreiber zu Mindeststandards verpflichtete. 2021 folgte das IT-Sicherheitsgesetz 2.0, das die Schwellenwerte senkte und dem BSI mehr Befugnisse gab. NIS2 ist insofern die konsequente Fortsetzung eines Pfades, der von wenigen tausend KRITIS-Betreibern hin zu zehntausenden regulierten Unternehmen führt.

Der qualitative Sprung liegt im Anwendungsbereich. Während frühere Gesetze auf einen engen Kreis kritischer Infrastrukturen zielten, erfasst NIS2 weite Teile der Realwirtschaft. Ein mittelständischer Automobilzulieferer mit 80 Beschäftigten war 2015 reguliertes Niemandsland, heute ist er potenziell eine wichtige Einrichtung mit Melde- und Nachweispflichten. Diese Ausweitung spiegelt die Erkenntnis, dass Lieferketten genauso angreifbar sind wie das Kraftwerk am Ende der Kette.

KRITIS-Dachgesetz: Physische Resilienz ab 17. März 2026

Parallel zu NIS2 trat am 17. März 2026 das KRITIS-Dachgesetz (KRITIS-DachG) in Kraft. Während NIS2 die digitale Sicherheit adressiert, regelt das Dachgesetz die physische Resilienz kritischer Anlagen. Es setzt die europäische CER-Richtlinie (Critical Entities Resilience) um und verpflichtet Betreiber, sich gegen Naturkatastrophen, Sabotage und Infrastrukturausfälle zu wappnen.

Damit entsteht ein zweistufiges Schutzregime. Ein Energieversorger muss künftig sowohl seine IT-Systeme nach NIS2 absichern als auch physische Bedrohungen wie Drohnenangriffe oder Sabotage an Umspannwerken adressieren. Der Ende Mai 2026 vorgelegte Referentenentwurf der KRITIS-Verordnung 2026 konkretisiert, welche Anlagen ab welchen Schwellenwerten als kritisch gelten. Für Betreiber bedeutet das doppelte Dokumentations- und Nachweispflichten gegenüber dem BSI.

Die 48-Prozent-Lücke: Warum so viele Unternehmen unvorbereitet sind

Der Cyber Security Report 2026 von Schwarz Digits offenbart die zentrale Schwachstelle: Rund 48 Prozent der befragten Unternehmen unterschätzen ihre regulatorische Betroffenheit durch NIS2. Diese Wissenslücke ist gefährlicher als jede technische Schwachstelle, weil sie strukturell ist. Wer nicht weiß, dass er betroffen ist, registriert sich nicht, meldet keine Vorfälle und implementiert keine Risikomaßnahmen.

Die Gründe sind vielfältig. Erstens fehlt vielen Mittelständlern schlicht das Bewusstsein, dass ihr Sektor erfasst ist. Zweitens herrscht Unsicherheit über die genaue Einstufung als besonders wichtige oder wichtige Einrichtung. Drittens fehlen Fachkräfte, um die Anforderungen umzusetzen. Der deutsche Cybersicherheitsmarkt wächst zwar zweistellig, doch der Fachkräftemangel begrenzt das Tempo, in dem Unternehmen ihre Lücken schließen können.

Hinzu kommt die Trägheit der Lieferketten. NIS2 verlangt von besonders wichtigen Einrichtungen, auch die Sicherheit ihrer Zulieferer zu bewerten. Ein nicht betroffener Zulieferer kann so indirekt zu Compliance-Anstrengungen gezwungen werden, weil sein Großkunde Nachweise verlangt. Dieser Kaskadeneffekt zieht weit mehr Unternehmen in die Pflicht, als die offizielle Zahl von 29.500 vermuten lässt.

Marktauswirkungen: Wer von NIS2 profitiert

Regulierung erzeugt Nachfrage. Der deutsche Cybersicherheitsmarkt wuchs laut Bitkom 2025 zweistellig, und NIS2 wirkt als zusätzlicher Treiber. Anbieter von Managed Security Services, SIEM-Lösungen, Incident-Response-Beratung und Compliance-Software erleben einen Nachfrageschub. Wer 29.500 Unternehmen zwingt, Risikomanagement, Meldeprozesse und Notfallpläne aufzubauen, schafft einen Milliardenmarkt für Dienstleister.

Profiteure sind insbesondere mittelgroße IT-Sicherheitsdienstleister, die den Mittelstand bedienen. Großkonzerne haben ihre Sicherheitsabteilungen meist im Haus, doch der typische Maschinenbauer mit 120 Beschäftigten braucht externe Unterstützung. Gleichzeitig entsteht ein Markt für virtuelle Informationssicherheitsbeauftragte (vCISO) und für Auditierungsdienstleistungen rund um den Compliance-Nachweis bis zum 30. Juni 2026.

Die Schattenseite ist die Belastung kleiner Unternehmen. Compliance kostet Geld, das gerade kleinere Firmen lieber in Produktentwicklung steckten. Branchenverbände warnen vor einer Überforderung des Mittelstands, wenn Dokumentationspflichten und Audits unverhältnismäßig viele Ressourcen binden. Die politische Kunst liegt darin, Schutzniveau und Bürokratie auszubalancieren.

Die wichtigsten Compliance-Schritte für betroffene Unternehmen

Unternehmen, die ihre Betroffenheit klären wollen, sollten strukturiert vorgehen. Die folgenden Schritte fassen die zentralen Pflichten zusammen, die sich aus dem NIS2UmsuCG ergeben.

  • Betroffenheit prüfen: Sektor und Schwellenwerte (50 Beschäftigte oder 10 Mio. Euro Umsatz) abgleichen.
  • Registrieren: Eintragung im BSI-Portal, das seit dem 6. Januar 2026 geöffnet ist.
  • Risikomanagement aufbauen: Technische und organisatorische Maßnahmen nach Stand der Technik dokumentieren.
  • Meldeprozess etablieren: 24-Stunden-, 72-Stunden- und 30-Tage-Fristen organisatorisch sicherstellen.
  • Geschäftsleitung einbinden: Schulungen absolvieren und Maßnahmen formal billigen.
  • Compliance-Nachweis vorbereiten: Erste Prüfung bis zum 30. Juni 2026 fristgerecht erbringen.

Ein typischer Stolperstein ist die Lieferkettenbewertung. Wer als besonders wichtige Einrichtung eingestuft ist, muss die Sicherheit seiner Zulieferer in das eigene Risikomanagement einbeziehen. Das erfordert Verträge, Audits und ein laufendes Monitoring, das viele Unternehmen erst noch aufbauen müssen.

5 Prognosen: Wohin sich NIS2 in Deutschland entwickelt

Wie geht es weiter? Auf Basis der aktuellen Lage zeichnen sich fünf Entwicklungen ab, die Unternehmen und Behörden 2026 und darüber hinaus beschäftigen werden.

  • Erste Bußgeldverfahren ab dem zweiten Halbjahr 2026: Nach Ablauf der Nachweisfrist am 30. Juni 2026 dürfte das BSI erste Sanktionen prüfen, zunächst bei klaren Registrierungsversäumnissen.
  • Welle von vCISO- und Managed-Security-Verträgen: Der Mittelstand kompensiert den Fachkräftemangel durch externe Dienstleister, der Markt wächst weiter zweistellig.
  • Lieferketten als Compliance-Multiplikator: Großkunden zwingen formal nicht betroffene Zulieferer über Vertragsklauseln zu NIS2-konformen Maßnahmen.
  • Nachschärfung der KRITIS-Verordnung: Der Referentenentwurf von Ende Mai 2026 wird im Laufe des Jahres zu verbindlichen Schwellenwerten konkretisiert.
  • Konvergenz von digitaler und physischer Sicherheit: NIS2 und KRITIS-Dachgesetz verschmelzen in der Praxis zu integrierten Resilienzkonzepten, besonders bei Energie und Verkehr.

Unsicher bleibt das Tempo der Durchsetzung. Das BSI hat zwar die Befugnisse, aber begrenzte Kapazitäten, um zehntausende Einrichtungen zu überwachen. Realistisch ist eine risikobasierte Aufsicht, die zunächst die größten und kritischsten Einrichtungen ins Visier nimmt, bevor der breite Mittelstand folgt.

Häufig gestellte Fragen zu NIS2 in Deutschland

Ab wann gilt NIS2 in Deutschland?

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt seit dem 6. Dezember 2025, und zwar ohne Übergangsfrist. Betroffene Unternehmen mussten ab dem ersten Tag die Pflichten erfüllen. Die Registrierungsfrist endete am 6. März 2026.

Wer ist von NIS2 betroffen?

Betroffen sind Unternehmen in 18 regulierten Sektoren ab 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz. Für KRITIS-Betreiber gelten teils niedrigere Schwellen. Insgesamt fallen rund 29.500 Einrichtungen unter die BSI-Aufsicht, manche Schätzungen nennen bis zu 40.000.

Wie hoch sind die Bußgelder bei Verstößen?

Besonders wichtige Einrichtungen riskieren bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen müssen mit bis zu 7 Millionen Euro oder 1,4 Prozent rechnen. Zusätzlich kann die Geschäftsleitung bei grober Pflichtverletzung persönlich haften.

Welche Meldefristen gelten unter NIS2?

Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung gemeldet werden. Nach 72 Stunden folgt eine erste Bewertung, spätestens nach 30 Tagen ein Abschlussbericht. Die Meldung erfolgt über das BSI-Portal.

Was ist der Unterschied zwischen NIS2 und dem KRITIS-Dachgesetz?

NIS2 regelt die digitale Cybersicherheit, das KRITIS-Dachgesetz die physische Resilienz kritischer Anlagen. Es trat am 17. März 2026 in Kraft und schützt vor Naturkatastrophen, Sabotage und Ausfällen. Viele Betreiber unterliegen beiden Regelwerken gleichzeitig.

Bis wann muss der erste Compliance-Nachweis erbracht werden?

Die Frist für den ersten Compliance-Nachweis wurde vom 31. Dezember 2025 auf den 30. Juni 2026 verschoben. Diese Verschiebung verschafft Unternehmen sechs zusätzliche Monate, ändert aber nichts an den sofort geltenden Registrierungs- und Meldepflichten.

Gilt NIS2 auch für Unternehmen in der Schweiz?

Die Schweiz ist als Nicht-EU-Mitglied formal nicht an NIS2 gebunden. Schweizer Unternehmen mit EU-Geschäft fallen jedoch oft indirekt unter die Pflichten, etwa als Zulieferer besonders wichtiger Einrichtungen, die Sicherheitsnachweise entlang ihrer Lieferkette verlangen.

Quellen und weiterführende Informationen

Stand: 12. Juni 2026. Alle Angaben basieren auf öffentlich verfügbaren Quellen zum Redaktionsschluss. Dieser Artikel ersetzt keine Rechtsberatung.