Gilt NIS2 schon — oder gibt es eine Schonfrist?

Die EU-Umsetzungsfrist endete am 17. Oktober 2024; eine offizielle Schonfrist gibt es nicht. In Deutschland ist das NIS2UmsuCG seit dem 6. Dezember 2025 in Kraft, die BSI-Registrierungsfrist (6. März 2026) ist abgelaufen. Unternehmen, die noch nicht handeln, befinden sich bereits in einer haftbaren Grauzone.

Ab wann gilt die 50-Mitarbeiter-Grenze genau?

Die Schwelle greift ab genau 50 Mitarbeitern (Vollzeitäquivalente); Teilzeitkräfte zählen anteilig. Bei Unternehmensgruppen werden die Mitarbeiterzahlen verbundener Unternehmen in der Regel zusammengerechnet.

Wir sind ein kleines IT-Unternehmen mit 30 Mitarbeitern — müssen wir auch?

Direkt über die Größenschwelle möglicherweise nicht, indirekt aber sehr wahrscheinlich. Managed Service Provider und IT-Dienstleister können unabhängig von der Unternehmensgröße als besonders wichtige Einrichtung gelten, und Kunden verpflichten ihre Dienstleister zunehmend vertraglich zur NIS2-Konformität.

Wofür haftet die Geschäftsführung persönlich?

NIS2 verpflichtet Leitungsorgane ausdrücklich zur Billigung und Überwachung der Cybersicherheitsmaßnahmen (§ 38 BSIG). Bei nachweislichem Versäumnis kann die persönliche Haftung greifen — auch mit dem Privatvermögen. Eine Cyber-D&O-Versicherung kann sinnvoll sein, ersetzt die Compliance-Pflichten aber nicht.

Was ist der sinnvollste erste Schritt bei Betroffenheit?

Ein strukturiertes Gap-Assessment: feststellen, welche Anforderungen erfüllt sind und wo Lücken bestehen. Genau das liefert der NIS2 Wizard — Betroffenheits-Einstufung, Reifegrad-Score und priorisierte Lücken in Minuten, als Basis für einen Maßnahmenplan.

Gilt NIS2 nur für deutsche Unternehmen?

Nein. NIS2 gilt EU-weit nach dem Marktortprinzip: Entscheidend ist, wo Sie Ihre Dienstleistungen erbringen, nicht wo das Unternehmen gegründet wurde. Wer in Deutschland oder einem anderen EU-Mitgliedstaat tätig ist, unterliegt der jeweiligen nationalen Umsetzung.

Ist Ihr Unternehmen von NIS2 betroffen?

50 Mitarbeiter, ein kritischer Sektor, ein großer Kunde —
schon kann NIS2 gelten. Und mit ihr die persönliche Haftung.

Die NIS2-Richtlinie gilt — und mit ihr die persönliche Haftung der Geschäftsführung. Klären Sie in Minuten, ob und in welchem Umfang Ihr Unternehmen unter die Pflichten fällt — mit Betroffenheits-Einstufung, Reifegrad-Score und Ihrem NIS2-Report.

Betroffenheit klar eingestuft — mit Begründung
Schwellenwerte & alle 18 Sektoren geprüft
Persönliche Haftung der Geschäftsführung
Ihr NIS2-Report als PDF — ohne Anmeldung

NIS2 Wizard starten So funktioniert's

Beispiel eines NIS2-Wizardreports: Betroffenheit, Reifegrad-Score, Risiken, Handlungsempfehlungen und standardisierte Anbieter-Anfrage

Der NIS2 Wizard

In Minuten zu Ihrem NIS2-Wizardreport.

Drei kurze Blöcke — Betroffenheit, Reifegrad und Bedarf. Am Ende steht Ihr Report mit Score, Risiken, Handlungsempfehlungen und Ihrer standardisierten Anbieter-Anfrage. Ohne Anmeldung, in ca. 5 Minuten.

NIS2 Wizard BEREIT

A · EINORDNUNG B · REIFEGRAD C · BEDARF

In welchem Sektor ist Ihr Unternehmen tätig?

Frage 1 von 3 in Block A — los geht's:

Verarbeitendes Gewerbe / Warenherstellung

Energie, Transport, Gesundheit, Wasser …

Digitale Dienste / IT & TK

Anderer Sektor / unsicher

ca. 5 Min · ohne Anmeldung · jetzt starten Weiter

Rechtsstand & Quellen

Nicht eine Meinung. Die Gesetze — mit Datum.

Der Wizard rechnet nicht nach Bauchgefühl, sondern nach geltendem Recht, geprüft gegen amtliche Quellen und mit sichtbarem Rechtsstand.

§ 30 BSIGRisikomanagement — die 10 verbindlichen Maßnahmen, die der Wizard abfragt.

§ 32 BSIGMeldepflichten — 24 h / 72 h / 1 Monat ans BSI.

§ 33 BSIGRegistrierung beim BSI — Frist 6.3.2026 abgelaufen.

§ 38 BSIGPflichten & Haftung der Geschäftsleitung — persönlich.

EU 2022/2555Die NIS2-Richtlinie als europäische Grundlage.

Geprüft gegen BSIgesetze-im-internet.deBT-Drs. 20/13184OpenKRITIS

So funktioniert's

Vom Monster zur vergleichbaren Checkliste — in Minuten.

Drei kurze Blöcke, ein klares Ergebnis. Kein Berater-Termin, kein Aktenordner, Basis für all' Ihre weiteren Bemühungen. — Starten Sie jetzt und sehen sofort, wo Sie stehen.

Einordnung

Sektor, Größe, Sonderfälle — ergibt Ihre gesetzliche Betroffenheit.

Reifegrad

Die 10 Maßnahmen aus § 30 BSIG plus drei Governance-Fragen.

Bedarf

Wo Sie Unterstützung suchen — für Ihren passgenauen Report.

Betroffenheit

Sind Sie überhaupt betroffen? Klar und nachvollziehbar.

Ihr Score

Ein Wert über alle Bereiche — Sie sehen, was fehlt.

Checkliste

Ihre persönliche Anforderungs-Checkliste zum Abarbeiten.

Vergleichbar

Eine Anbieter-Anfrage, mit der Sie Angebote 1:1 vergleichen.

Schwellenwerte · § 28 BSIG

Wer fällt unter NIS2? Die entscheidenden Grenzen.

Das Gesetz definiert zwei Unternehmensgrößen — beide gelten alternativ, nicht kumulativ. Es reicht, wenn eine zutrifft.

Schwelle 1 · Personal

Ab 50 Mitarbeitern (Vollzeitäquivalente). Bereits ab 50 Beschäftigten greifen die Pflichten — sofern Ihr Sektor betroffen ist.

Schwelle 2 · Umsatz

Ab 10 Mio. € Jahresumsatz oder Jahresbilanzsumme. Wer das überschreitet, fällt unabhängig von der Mitarbeiterzahl unter NIS2.

Besonders wichtige Einrichtungen

Ab 250 MA oder 50 Mio. € in Sektoren hoher Kritikalität. Bußgeld bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — der höhere Betrag.

Wichtige Einrichtungen

Ab 50 MA in weiteren kritischen Sektoren. Bußgeld bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Konzern-Falle: Verbundene Unternehmen (Tochter- und Muttergesellschaften) werden bei der Berechnung in der Regel zusammengezählt. Und auch Zulieferer ohne eigene Schwelle werden über die Lieferkette vertraglich in die Pflicht genommen — NIS2-pflichtige Auftraggeber müssen die Sicherheit ihrer Dienstleister sicherstellen.

Geltungsbereich · Anlage 1 & 2 BSIG

Alle 18 betroffenen Wirtschaftsbereiche

NIS2 erfasst weit mehr Branchen als die bisherige KRITIS-Regulierung. Elf Sektoren gelten als besonders wichtig (Anhang I), sieben als wichtig (Anhang II). Prüfen Sie, ob Ihr Sektor dabei ist.

⚡ Energie

Strom, Fernwärme, Öl, Gas, Wasserstoff

✈️ Verkehr

Luft, Schiene, Wasser, Straße

🏦 Bankwesen

Kreditinstitute

📈 Finanzmarktinfrastruktur

Handelsplätze, zentrale Gegenparteien

🏥 Gesundheitswesen

Krankenhäuser, Labore, Pharma, Medizingeräte

💧 Trinkwasser

Versorger und Verteiler

🚿 Abwasser

Entsorgung und Aufbereitung

🌐 Digitale Infrastruktur

Rechenzentren, Cloud, Telekom, DNS

🛡️ IKT-Dienstleistungen (B2B)

Managed Service Provider, MSSP

🏛️ Öffentliche Verwaltung

Zentrale und regionale Behörden

🛸 Weltraum

Betreiber von Bodeninfrastrukturen

📦 Post & Kurierdienste

Zustellung und Logistik

♻️ Abfallbewirtschaftung

Entsorgung und Recycling

🧪 Chemie

Produktion, Herstellung, Handel

🍎 Lebensmittel

Produktion, Verarbeitung, Großhandel

⚙️ Verarbeitendes Gewerbe

Maschinenbau, Fahrzeugbau, Elektronik, Medizintechnik

🖥️ Anbieter digitaler Dienste

Online-Marktplätze, Suchmaschinen, soziale Netzwerke

🔬 Forschung

Forschungseinrichtungen und Institute

Pflichtenliste · wenn Sie betroffen sind

6 Kernpflichten für betroffene Unternehmen

Sind Sie betroffen, müssen Sie alle sechs Punkte nachweisbar umgesetzt haben. Klicken Sie eine Zeile auf.

01Betroffenheitsprüfung & BSI-Registrierung+

Rechtssichere Feststellung der NIS2-Betroffenheit und Registrierung beim BSI (§ 33 BSIG) — die Frist 6.3.2026 ist bereits abgelaufen.

02Risikomanagement & technische Maßnahmen (TOMs)+

Nachweisbare Dokumentation aller technischen und organisatorischen Maßnahmen — inkl. MFA, Verschlüsselung, Patch- und Zugriffsmanagement (§ 30 BSIG).

03Incident Response & 24h-Meldeprozess+

Sichergestellte Meldekette für Cyberangriffe innerhalb von 24 Stunden ans BSI — rund um die Uhr, 365 Tage. Update nach 72 h, Abschlussbericht nach 1 Monat (§ 32 BSIG).

04Lieferkettensicherheit+

Vertragliche Prüfung und Absicherung aller Zulieferer und IT-Dienstleister auf Cybersicherheitsstandards — dokumentiert und regelmäßig aktualisiert.

05Business Continuity Management+

Notfall- und Wiederanlaufpläne (BCP/DRP), regelmäßig geübt, um den Betrieb nach einem Cyberangriff oder Systemausfall aufrechtzuerhalten.

06Schulungspflicht für Führungskräfte+

Nachweisliche, regelmäßige Cybersicherheitsschulungen für alle Mitarbeiter — besonders für Geschäftsführung und C-Level. Unwissenheit schützt bei Haftungsfragen nicht.

Ein geprüfter Markt steht bereit

Sie stehen damit nicht allein da.

Der Wizard gleicht Ihren Bedarf gegen einen kuratierten Anbieter-Pool ab — und erzeugt eine standardisierte Anfrage, mit der Sie vergleichbare Angebote einholen. Echte Zahlen, keine erfundenen Bewertungen.

geprüfte NIS2-Dienstleister im Pool — nach Leistung, Eignung, Sektor & Region kuratiert

Leistungsbereiche, gegen die Ihr Bedarf gematcht wird — vom Gap-Assessment bis SOC/SIEM

Sektoren der NIS2-Anlagen abgedeckt — Ihr Match wird auf Ihre Branche zugeschnitten

Gap-AnalyseISMS-AufbauISO 27001PenetrationstestsSOC / SIEM / EDRBCM & BackupLieferketteAwareness & SchulungvCISOIncident & MeldeprozessKrypto / IAM / MFADatenschutz / DSGVO

Häufige Fragen

Häufige Fragen zu den NIS2-Anforderungen

Links wählen, rechts lesen — wie in einem Nachschlagewerk.

Was auf dem Spiel steht

Das steht für Sie persönlich auf dem Spiel.

Nicht „mögliche Strafen" irgendwann — sondern was Sie verlieren können, während die Pflicht bereits gilt.

10 Mio €

oder 2 % des weltweiten Jahresumsatzes — der höhere Betrag

… und Ihr Privatvermögen.

Kein Zukunftsszenario — geltendes Recht seit 6.12.2025

Bußgeld trifft die Firma

Bis 10 Mio € oder 2 % Weltumsatz — verhängt durch die Aufsichtsbehörde.

Haftung trifft Sie persönlich

Bei versäumter Aufsichtspflicht haften Leitungsorgane mit dem Privatvermögen (§ 38 BSIG).

Tätigkeitsverbot

Bei schweren Verstößen kann die Behörde Ihnen die Leitungstätigkeit zeitweise untersagen.

„Die Frist ist abgelaufen. Wer jetzt noch nicht weiß, wo er steht, haftet bereits — nicht irgendwann."Die Prüfung kostet Minuten. Das Wegschauen kann alles kosten.

Was es kostet — und was Sie sparen

Bevor Sie entscheiden, welcher Anbieter: wissen, was fair ist. Mit dem NIS2 Wizard.

NIS2-Maßnahmen kosten echtes Geld — und kein Angebot gleicht dem anderen. Unser NIS2 Wizard macht Anfragen einfach und gleich, sowie Angebote damit vergleichbar; Sie sehen, was angemessen ist und können sparen.

Typische Umsetzung · Maßnahmen nach § 30 BSIG

20.000 – 60.000 €

einmaliger Aufwand für rechtssichere, umfängliche NIS2-Compliance

Jährlich danach

15.000 – 40.000 €

Typischer Zeitrahmen

3–9 Monate

Mit der standardisierten Anbieter-Anfrage

Ohne Vergleich — erstbestes Angebot60.000 €

Mit Anbieter-Anfrage — vergleichbar45.000 €

Sie sparen bis zu15.000 €

= 15–25 % der extern beschafften Angebotskosten. Kein Rabatt-Trick — nur Transparenz.

Grundlage: Erfüllungsaufwand des Regierungsentwurfs (BT-Drs. 20/13184) sowie marktübliche ISMS-Projektkosten, gestaffelt nach Unternehmensgröße. Spar-Spanne bezogen auf den extern beschafften Angebotsteil; tatsächliche Kosten hängen v. a. vom bestehenden Sicherheitsniveau ab. Die Anbieter-Anfrage ist ein Werkzeug — was Sie mit den erzeugten Daten tun, bleibt Ihnen überlassen.

Die Frist ist abgelaufen. Das NIS2UmsuCG gilt seit 6.12.2025, die BSI-Registrierung war bis 6.3.2026 fällig. Die Pflicht gilt jetzt — nicht irgendwann.

Sehen Sie in Minuten, wo Sie stehen.

Starten Sie jetzt. Sie erhalten Ihre Betroffenheit, Ihren Reifegrad-Score, Ihre persönliche Anforderungs-Checkliste, erste passende Anbietervorschläge und eine standardisierte Anbieter-Anfrage für vergleichbare Angebote.

Jetzt Betroffenheit prüfen

Ihr NIS2-Reportfast fertig

Nur noch freischalten — Ihre Auswertung wartet.

Themen-Netzwerk