NIS‑2‑Umsetzungsgesetz · § 38 BSIG · Geschäftsleiterhaftung · Informationssicherheit

NIS‑2 ist geltendes Recht. Die Geschäftsleitung haftet persönlich.

Das NIS‑2‑Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. § 38 BSIG verpflichtet die Geschäftsleitung persönlich zur Umsetzung, Überwachung und Schulung im Bereich Informationssicherheit.

Von geschätzten 29.500 betroffenen Einrichtungen hatten sich bis Anfang März 2026 nur rund 11.500 beim BSI registriert.

18.000+

Einrichtungen noch nicht registriert (Stand: März 2026)

~29.500

Betroffene Einrichtungen laut BSI‑Schätzung

§ 38

BSIG — persönliche Pflichten der Geschäftsleitung

Überblick

NIS‑2 auf einen Blick

Geltendes Recht seit

6. Dezember 2025

Betroffene Einrichtungen

~29.500

(BSI‑Schätzung)

Regulierte Sektoren

18

Registrierungsfrist BSI

6. März 2026

(abgelaufen)

Geschäftsleiterhaftung

§ 38 BSIG

Persönlich, nicht delegierbar

Bußgeldrahmen

Bis 10 Mio. €

oder 2 % des weltweiten Jahresumsatzes

Betroffenheits‑Check

Ist Ihr Unternehmen NIS‑2‑pflichtig?

Ihr Unternehmen fällt unter NIS‑2, wenn es in einem der 18 regulierten Sektoren tätig ist und die jeweilige Größenschwelle erreicht. Die Einstufung als „besonders wichtige” oder „wichtige” Einrichtung unterscheidet Aufsichtsintensität und Bußgeldhöhe.

Wichtige Einrichtungen

§ 28 Abs. 2 BSIG

Schwelle: ≥ 50 Mitarbeiter ODER (Jahresumsatz > 10 Mio. € UND Bilanzsumme > 10 Mio. €)

Bußgeld: bis 7 Mio. € — bei Jahresumsatz über 500 Mio. € bis zu 1,4 % des weltweiten Jahresumsatzes

Besonders wichtige Einrichtungen

§ 28 Abs. 1 BSIG

Schwelle: ≥ 250 Mitarbeiter ODER (Jahresumsatz > 50 Mio. € UND Bilanzsumme > 43 Mio. €) — nur in Anlage‑1‑Sektoren

Bußgeld: bis 10 Mio. € — bei Jahresumsatz über 500 Mio. € bis zu 2 % des weltweiten Jahresumsatzes

Ausnahme: Bestimmte Einrichtungen der digitalen Infrastruktur (z. B. Anbieter von DNS‑Diensten, Domain‑Registries oder qualifizierten elektronischen Vertrauensdiensten) fallen unabhängig von der Unternehmensgröße unter NIS‑2.

18 regulierte Sektoren

Energie

Gesundheit

Transport und Verkehr

Finanz- und Versicherungswesen

Abwasser

Digitale Infrastruktur

Trinkwasser

Weltraum

Post- und Kurierdienste

Abfallwirtschaft

Chemie

Lebensmittel

Verarbeitendes Gewerbe

Digitale Dienste

Forschung

Pharma

Medizinische Geräte

IKT‑Dienste (B2B)

Die Betroffenheit lässt sich in einem 30‑minütigen Erstgespräch einordnen. Vertraulich und unverbindlich.

Geschäftsleiterpflichten

§ 38 BSIG — Was das Gesetz von der Geschäftsleitung verlangt

§ 38 BSIG richtet sich direkt an die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen. Die Pflichten sind nicht an den CISO oder die IT‑Abteilung delegierbar.

Pflicht 1 — Umsetzung

§ 38 Abs. 1 i. V. m. § 30 BSIG

Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach § 30 BSIG aktiv umsetzen und verantworten — eine reine Kenntnisnahme oder Delegation genügt nicht.

Pflicht 2 — Überwachung

§ 38 Abs. 1 BSIG

Regelmäßige Reviews, Statusberichte und Eskalationswege müssen eingerichtet und dokumentiert sein. Die Geschäftsleitung muss die laufende Umsetzung nachweisbar begleiten.

Pflicht 3 — Schulung

§ 38 Abs. 3 BSIG

Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, die ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken für die Informationssicherheit vermitteln. Diese Pflicht ist persönlich wahrzunehmen — eine Vertretung durch den CISO oder IT‑Leiter ist nicht ausreichend.

Haftung (§ 38 Abs. 2 BSIG)

Bei schuldhafter Verletzung der Pflichten nach Absatz 1 haftet die Geschäftsleitung der Einrichtung nach den jeweils anwendbaren gesellschaftsrechtlichen Regelungen auf Schadensersatz. Enthält das anwendbare Gesellschaftsrecht keine entsprechende Haftungsregelung, greift § 38 Abs. 2 BSIG unmittelbar.

Handlungsbedarf

Konkreter Handlungsbedarf

1

Registrierung beim BSI (§ 33 BSIG)

Frist abgelaufen

Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen. Von geschätzten 29.500 betroffenen Einrichtungen waren zu diesem Zeitpunkt nur rund 11.500 registriert. Die Registrierungspflicht besteht unverändert. Verstöße können mit einem Bußgeld von bis zu 500.000 € geahndet werden (§ 65 Abs. 5 Nr. 5 BSIG).

Hinweis: Das BSI hat Mitte März 2026 signalisiert, zunächst auf Einsicht statt auf sofortige Bußgelder zu setzen. Die Registrierungspflicht bleibt davon unberührt — das BSI kann die Registrierung nach § 33 Abs. 3 BSIG auch eigenständig vornehmen. Eine Eigenregistrierung durch das BSI lässt den Bußgeldtatbestand unberührt.

2

Risikomanagement nach § 30 BSIG

§ 30 BSIG verlangt verhältnismäßige technische und organisatorische Maßnahmen nach dem Stand der Technik. Die zehn Maßnahmenbereiche umfassen unter anderem: Risikoanalyse und IT‑Sicherheitskonzepte, Vorfallbewältigung, Betriebskontinuität (Backup, Notfallwiederherstellung, Krisenmanagement), Sicherheit der Lieferkette, Schwachstellenmanagement, Wirksamkeitsbewertung, Schulungen und Awareness, Kryptografie, Zugangskontrollen sowie Multifaktor‑Authentifizierung und gesicherte Kommunikation. Die Maßnahmen müssen dokumentiert und nachweisbar sein.

3

Meldepflichten nach § 32 BSIG

Erhebliche Sicherheitsvorfälle müssen dem BSI in drei Stufen gemeldet werden:

Stufe 1 — Frühmeldung

Unverzüglich, spätestens 24 Stunden nach Kenntnis des Vorfalls (einschließlich Angabe, ob ein rechtswidriger oder böswilliger Hintergrund vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind).

Stufe 2 — Erste Bewertung

Unverzüglich, spätestens 72 Stunden nach Kenntnis (Aktualisierung der Erstmeldung, Schweregrad, Auswirkungen, Kompromittierungsindikatoren).

Stufe 3 — Abschlussmeldung

Spätestens einen Monat nach Übermittlung der 72‑Stunden‑Meldung (detaillierte Beschreibung, Ursachenanalyse, Abhilfemaßnahmen, ggf. grenzüberschreitende Auswirkungen). Bei andauernden Vorfällen: Fortschrittsmeldung (§ 32 Abs. 2 BSIG).

4

Dokumentation und Nachweisführung

Alle Maßnahmen, Entscheidungen und Schulungen müssen dokumentiert und gegenüber dem BSI nachweisbar sein. Fehlende oder unvollständige Dokumentation ist ein eigenständiger Bußgeldtatbestand (§ 65 Abs. 2 Nr. 3 BSIG). Die Dokumentation dient gleichzeitig als Entlastungsnachweis bei Haftungsfragen der Geschäftsleitung.

Umsetzung

4‑Phasen‑Umsetzung

Von der Einordnung bis zur belastbaren Umsetzung — jede Phase baut auf der vorherigen auf.

1

Analyse

Betroffenheitsanalyse (Sektor, Größe, Einrichtungsart — inkl. Einstufung als besonders wichtige oder wichtige Einrichtung). Ist‑Aufnahme bestehender Sicherheitsmaßnahmen mit Lead‑Auditor‑Perspektive. Gap‑Analyse gegen die Anforderungen des § 30 BSIG — nicht als Checkliste, sondern als belastbare Einordnung mit Blick auf Nachweisfähigkeit und Prüffestigkeit.

2

Konzeption

Aufbau eines Risikomanagement‑Frameworks nach § 30 BSIG. Konzeption der Meldeprozesse nach § 32 BSIG (24 h / 72 h / 1 Monat). Entwicklung eines Schulungskonzepts für die Geschäftsleitung nach § 38 Abs. 3 BSIG. Erstellung eines Umsetzungsplans mit klaren Verantwortlichkeiten, Zeitrahmen und Ressourcenbedarf.

3

Umsetzung

Umsetzung technischer und organisatorischer Maßnahmen gemäß dem Umsetzungsplan. Registrierung beim BSI über das Unternehmensportal. Durchführung der Geschäftsleitungsschulung nach § 38 Abs. 3 BSIG. Aufbau der Dokumentation und Nachweisführung.

4

Absicherung

Internes Audit des aufgebauten Systems. Integration in ein bestehendes oder aufzubauendes Integriertes Managementsystem (IMS) — Verknüpfung mit ISO 27001, ISO 9001, DSGVO und ggf. branchenspezifischen Standards. Einrichtung eines kontinuierlichen Überwachungs- und Verbesserungsprozesses. Vorbereitung auf behördliche Prüfungen durch das BSI.

Differenzierung

Was diese Umsetzung von Standardansätzen unterscheidet

Vier Merkmale, die den Unterschied in der operativen Umsetzung ausmachen.

Prüffest von Anfang an

Das System wird so aufgebaut, dass es behördlichen Prüfungen durch das BSI, Kundenanforderungen an Informationssicherheit und — bei paralleler ISO‑27001‑Zertifizierung — auch externen Audits standhält. Die Konzeption erfolgt aus der Perspektive eines Lead Auditors mit Qualifikationen nach DGQ/EOQ.

Integration statt Parallelprojekt

NIS‑2 wird nicht als isoliertes Compliance‑Projekt behandelt, sondern in bestehende Managementsysteme integriert (ISO 27001, ISO 9001, DSGVO). Das vermeidet Doppelstrukturen, reduziert Abstimmungsaufwand und schafft ein konsistentes Steuerungsmodell.

Klarheit für die Geschäftsleitung

Welche Pflichten treffen die Geschäftsleitung persönlich? Was muss dokumentiert sein? Wo endet die Verantwortung? Das Mandat liefert klare Zuständigkeiten, dokumentierte Entscheidungswege und prüffeste Nachweise — damit die Geschäftsleitung ihrer Verantwortung nach § 38 BSIG nachweisbar nachkommt.

Ausgerichtet auf den Mittelstand

Die Umsetzung ist auf mittelständische Unternehmen mit 200 bis 800 Mitarbeitern ausgerichtet — mit begrenzten IT‑Ressourcen, laufendem Tagesgeschäft und dem Anspruch, Maßnahmen aufzubauen, die im Betrieb tatsächlich funktionieren und dauerhaft tragfähig sind.

FAQ

Häufige Fragen zur NIS‑2‑Umsetzung

Wir haben bereits ein ISMS nach ISO 27001. Reicht das für NIS-2?

ISO 27001 schafft eine strukturelle Grundlage, deckt aber die spezifischen Anforderungen des NIS‑2‑Umsetzungsgesetzes nicht vollständig ab. Zusätzlich verlangt das Gesetz insbesondere: Registrierung beim BSI nach § 33 BSIG, gestufte Meldepflichten bei erheblichen Sicherheitsvorfällen nach § 32 BSIG (24 h / 72 h / 1 Monat), persönliche Schulungspflicht der Geschäftsleitung nach § 38 Abs. 3 BSIG sowie die Sicherheit der Lieferkette nach § 30 Abs. 2 Nr. 4 BSIG. Ein bestehendes ISMS verkürzt die Umsetzung erheblich — aber die NIS‑2‑spezifischen Pflichten müssen gezielt ergänzt und dokumentiert werden.

Muss die Geschäftsleitung tatsächlich persönlich an Schulungen teilnehmen?

§ 38 Abs. 3 BSIG verpflichtet die Geschäftsleitung, regelmäßig an Schulungen teilzunehmen — persönlich, nicht durch Stellvertretung. Die Schulungen müssen ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken für die Informationssicherheit vermitteln. Das BSI schreibt keinen bestimmten Anbieter vor — Schulungen können durch externe Berater, spezialisierte Schulungsanbieter oder qualifiziertes internes Personal durchgeführt werden. Das BSI empfiehlt in seiner Handreichung halbtägige Formate (ca. 4 Stunden) mit einem Wiederholungsintervall von drei Jahren. Dr. Krömer bietet diese Schulungen im Rahmen des Mandats an — individuell zugeschnitten auf Branche, Unternehmenssituation und die konkreten Risiken der Einrichtung.

Die Registrierungsfrist ist abgelaufen. Was bedeutet das für unser Unternehmen?

Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen. Unternehmen, die sich noch nicht registriert haben, bleiben zur Registrierung verpflichtet. Verstöße können mit einem Bußgeld von bis zu 500.000 € geahndet werden (§ 65 Abs. 5 Nr. 5 BSIG). Das BSI hat Mitte März 2026 signalisiert, zunächst auf Einsicht statt auf sofortige Bußgelder zu setzen — eine Entwarnung ist das nicht. Je länger die Registrierung ausbleibt, desto größer das Risiko bei einer behördlichen Prüfung oder einem Sicherheitsvorfall. Im Erstgespräch ordnen wir Ihre Situation ein und definieren die nächsten Schritte — inklusive Registrierung, Risikoanalyse und Meldeprozesse.

Gibt es eine Übergangsfrist für die Umsetzung?

Nein. Das NIS‑2‑Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Die Pflichten nach §§ 30, 32, 33 und 38 BSIG gelten unmittelbar. Eine allgemeine gesetzliche Übergangsfrist ist nicht vorgesehen. Unternehmen, die noch nicht begonnen haben, sollten die Umsetzung nicht weiter aufschieben — eine strukturierte Gap‑Analyse ist der erste Schritt.

Betrifft NIS-2 auch unsere Lieferanten und Dienstleister?

§ 30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Einrichtungen ausdrücklich, die Sicherheit ihrer Lieferkette zu gewährleisten. Das bedeutet: Unternehmen müssen die Informationssicherheit ihrer unmittelbaren Lieferanten und Dienstleister bewerten und vertraglich absichern. Auch wenn ein Lieferant selbst nicht unter NIS‑2 fällt, kann er vertraglich zur Einhaltung bestimmter Sicherheitsanforderungen verpflichtet werden. In der Praxis erfordert das eine Überprüfung bestehender Dienstleisterverträge und ggf. die Aufnahme von NIS‑2‑konformen Sicherheitsklauseln.

Ersetzt eine Cyber-Versicherung die NIS-2-Konformität?

Nein. Eine Cyber‑Versicherung ersetzt keine NIS‑2‑Konformität. Viele Versicherer verlangen den Nachweis eines funktionierenden ISMS und dokumentierter Meldeprozesse als Voraussetzung für den Versicherungsschutz. Fehlende Konformität kann im Schadenfall zu Deckungslücken führen. Ein belastbares ISMS ist damit sowohl regulatorische Pflicht als auch Grundlage für die Absicherung gegenüber Versicherern.

Unser Unternehmen hat weniger als 50 Mitarbeiter. Kann NIS-2 trotzdem gelten?

In der Regel greift die Größenschwelle von ≥ 50 Mitarbeitern oder > 10 Mio. € Jahresumsatz. Bestimmte Einrichtungen der digitalen Infrastruktur (z. B. Anbieter von DNS‑Diensten, Domain‑Registries oder qualifizierten elektronischen Vertrauensdiensten) fallen jedoch unabhängig von der Unternehmensgröße unter NIS‑2. Wenn Sie unsicher sind, ob Ihr Unternehmen betroffen ist, lässt sich das im Erstgespräch einordnen.

Was kostet eine NIS-2-Umsetzung?

Der Aufwand hängt von der Ausgangslage ab: Besteht bereits ein ISMS? Gibt es dokumentierte Prozesse für Vorfallmeldung und Risikomanagement? Wie ist die IT‑Organisation aufgestellt? Richtwert für ein mittelständisches Unternehmen mit bestehendem ISMS: Phase 1 (Analyse) dauert typischerweise 2–4 Wochen. Das Honorar wird projektbezogen mit klar definiertem Leistungsumfang und verbindlicher Aufwandsschätzung vereinbart. Dr. Krömer erstellt nach dem Erstgespräch eine Aufwandseinschätzung und ein strukturiertes Mandatsangebot.

Ist Ihr Unternehmen NIS‑2‑pflichtig?

§ 38 BSIG verpflichtet die Geschäftsleitung persönlich. Die Registrierungsfrist beim BSI ist abgelaufen — die Pflichten bestehen fort. In einem vertraulichen Erstgespräch ordnen wir Ihre Betroffenheit ein und definieren die nächsten Schritte.

Dr. Bernhard Krömer — DGQ/EOQ Lead Auditor, Auditor ISO 27001, über 30 Jahre Industrie‑ und Beratungspraxis. Persönliches Mandat, keine Weiterdelegation.