29.04.2026
Erfahren Sie, welche Unternehmen vom NIS2‑Umsetzungsgesetz betroffen sind, welche Pflichten und Bußgelder gelten und wie TÜV NORD Sie mit ISO 27001 und ISO 22301 bei der rechtskonformen Umsetzung und Auditvorbereitung unterstützt.
Vom NIS2-Umsetzungsgesetz (NIS2UmsuCG), das am 6. Dezember 2025 in Kraft getreten ist und das BSI-Gesetz (BSIG) grundlegend neu gefasst hat, sind rund 30.000 deutsche Unternehmen in 18 Sektoren betroffen. Die Strukturierung folgt dabei zwei Anlagen des BSIG:
Anlage 1 – Sektoren besonders wichtiger und wichtiger Einrichtungen (hohe Kritikalität): Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung sowie Weltraum.
Anlage 2 – Sektoren wichtiger Einrichtungen: Post- und Kurierdienste, Abfallbewirtschaftung, Produktion und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe (insbesondere Maschinenbau, Medizinprodukte, Elektronik, Fahrzeugbau), Anbieter digitaler Dienste sowie Forschung.
Entscheidend für die Betroffenheit sind drei Faktoren: die Zugehörigkeit zu einem der genannten Sektoren, die Unternehmensgröße sowie bestimmte größenunabhängige Sonderfälle (etwa qualifizierte Vertrauensdiensteanbieter, Domänennamen-Registrierungsstellen oder TK-Anbieter).
Die Schwellenwerte unterscheiden zwischen besonders wichtigen Einrichtungen (ab 250 Beschäftigten oder 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme) und wichtigen Einrichtungen (ab 50 Beschäftigten oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme). Eine erste Orientierung bietet die NIS2-Betroffenheitsprüfung des BSI; rechtlich verbindlich ist jedoch nur die Einzelfallprüfung durch das Unternehmen selbst.
Wichtige Sonderregelung – DORA als lex specialis: Finanzunternehmen, die in den Anwendungsbereich der DORA fallen, sind von den Pflichten nach §§ 30, 31, 32, 35, 36, 38 und 39 des BSIG ausgenommen. Die Pflicht zur Registrierung im BSI-Portal nach § 33 BSIG bleibt jedoch bestehen. Für Betreiber kritischer Anlagen ergeben sich zudem Überschneidungen mit dem KRITIS-Dachgesetz, das vom Bundestag am 29. Januar 2026 beschlossen wurde.
Die Registrierung erfolgt über das BSI-Portal MUK (muk.bsi.bund.de). Voraussetzung ist ein ELSTER-Organisationszertifikat. Das BSI-Portal wurde am 6. Januar 2026 freigeschaltet. Die dreimonatige Registrierungsfrist endete am 6. März 2026 – eine verspätete Registrierung ist weiterhin möglich und dringend geboten, da die verspätete Registrierung ein eigenständiger Bußgeldtatbestand nach § 65 Abs. 2 Nr. 6 BSIG ist.
Bemerkenswert: Bis zum Fristablauf hatten sich lediglich rund 38,5 Prozent der betroffenen Unternehmen tatsächlich registriert. Mehr als sechs von zehn betroffenen Unternehmen waren zu diesem Zeitpunkt also noch nicht im System erfasst.
Das Herzstück des Gesetzes bildet ein Katalog von zehn verbindlichen Maßnahmenbereichen, die Einrichtungen technisch, organisatorisch und personell umsetzen müssen. Dazu zählen:
Die Maßnahmen müssen dem Stand der Technik entsprechen und verhältnismäßig zum jeweiligen Risiko sein. Da das Gesetz keine Übergangsfristen für die technischen und organisatorischen Maßnahmen vorsieht, müssen diese seit dem 6. Dezember 2025 implementiert sein.
Erhebliche Sicherheitsvorfälle sind dem BSI in einem dreistufigen Verfahren zu melden:
Bei länger andauernden Vorfällen ist nach einem Monat zunächst ein Fortschrittsbericht und nach Abschluss ein finaler Bericht vorzulegen.
Geschäftsführungen sind gesetzlich verpflichtet, die Risikomanagementmaßnahmen zu billigen, deren Umsetzung zu überwachen und regelmäßig an Schulungen zu Cyberrisiken teilzunehmen. Die Gesetzesbegründung sieht Schulungen mindestens alle drei Jahre vor; nach Auffassung des BSI genügt eine bloße Teilnahmebescheinigung nicht. Erforderlich ist eine detaillierte Dokumentation einschließlich Teilnehmender, Inhalte, Referenten und Dauer.
Eine reine Delegation an die IT-Abteilung erfüllt die gesetzliche Pflicht nicht. Bei Verstößen drohen Innenhaftung gegenüber der Gesellschaft (§§ 43 GmbHG, 93 AktG) und in schweren Fällen die zeitweise Untersagung der Leitungsfunktion.
Auf Grundlage des § 39 Absatz 3 BSIG verändert sich der Zyklus der dem BSI gegenüber zu erbringenden Nachweise auf frühestens drei Jahre nach Erbringung des letzten Nachweises. Besonders wichtige Einrichtungen müssen ihre Maßnahmen innerhalb von drei Jahren (also bis Dezember 2028) gegenüber dem BSI nachweisen. Eine ISO/IEC 27001-Zertifizierung kann hier als wesentlicher Baustein dienen, ersetzt aber nicht die NIS2-spezifischen Pflichten.
Verstöße gegen zentrale Pflichten – etwa fehlende Registrierung, unzureichende Risikomanagementmaßnahmen oder Verletzung der Meldepflichten – können mit Bußgeldern bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes geahndet werden – wobei der höhere Betrag gilt. Für wichtige Einrichtungen liegt die Höchstgrenze bei 7 Mio. Euro oder 1,4 % des Umsatzes.
Die ISO/IEC 27001 bietet Ihnen einen international anerkannten Rahmen, mit dem Sie den Großteil der NIS2-Anforderungen strukturiert adressieren und nachweisbar machen können. Erfahrungswerte aus der Praxis zeigen, dass ein bestehendes ISMS nach ISO/IEC 27001 einen erheblichen Teil der § 30 BSIG-Maßnahmenbereiche abdeckt – die genauen Prozentwerte variieren je nach Reifegrad des ISMS zwischen 70 und über 90 Prozent. Diese Werte sind als Praxisschätzungen zu verstehen, nicht als normativ belegte Größen. Die Norm schafft jedenfalls Klarheit im Risikomanagement, etabliert wirksame Sicherheitsprozesse und liefert die für Behörden und Audits erforderliche Dokumentation.
Die ISO 22301 ergänzt diesen Ansatz durch einen strukturierten Rahmen für Business Continuity Management. Sie unterstützt Sie dabei, die Geschäftskontinuität auch in Krisensituationen sicherzustellen und bildet die Grundlage für Notfall-, Wiederanlauf- und Krisenkommunikationskonzepte – Elemente, die im engen Zusammenhang mit den NIS2-Anforderungen an Betriebsaufrechterhaltung und Vorfallsbewältigung stehen.
Die NIS2-spezifischen Pflichten, die über ein klassisches ISMS hinausgehen – die BSI-Registrierung, das gestufte Meldeverfahren nach § 32 BSIG sowie die Geschäftsleitungspflichten nach § 38 BSIG – lassen sich durch gezielte Ergänzungen zuverlässig schließen.
Durch die Kombination beider Standards unterstützen wir Sie umfassend bei der Umsetzung der aus dem NIS2-Umsetzungsgesetz resultierenden Anforderungen. So entsteht ein ganzheitlicher Ansatz, der Informationssicherheit, organisatorische Resilienz und regulatorische Compliance miteinander verbindet und Ihr Unternehmen nachhaltig stärkt.
Darauf aufbauend unterstützt TÜV NORD Sie mit umfassender Expertise in den Bereichen Cyber Security, Informationssicherheit und Auditierung. Unsere interdisziplinären Teams begleiten Sie bei Gap-Analysen, der Konzeption von Risikomanagement-Prozessen, der Vorbereitung auf BSI-Audits und der Schulung von Geschäftsleitung und Mitarbeitenden. Ergänzend bieten wir Prüfungen für Rechenzentren nach TSI.STANDARD, EN 50600 oder ISO/IEC 22237 an, die zusätzlich zu einem hohen Niveau der physischen IT-Sicherheit beitragen.
