KI-Sicherheit.jetzt
← Zurück zur Übersicht
21. Dezember 2025 Cybersicherheit / Regulierung 5 Min. Lesezeit

NIS2 ist da – Was deutsche Unternehmen jetzt wissen müssen

Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten – ohne Übergangsfrist. Rund 29.500 Unternehmen in Deutschland sind betroffen und müssen sofort handeln.

Was ist NIS2?

  • EU-Richtlinie zur Stärkung der Cybersicherheit
  • Ersetzt die bisherige NIS-Richtlinie von 2016
  • Deutlich erweiterter Anwendungsbereich: von ca. 4.500 auf 29.500 Unternehmen
  • Ziel: Einheitliche europäische Sicherheitsstandards

Wer ist betroffen?

Zwei Kriterien müssen erfüllt sein:

1. Sektor

Unternehmen aus einem der 18 festgelegten Sektoren:

  • Energie, Verkehr, Bankwesen, Finanzmarkt
  • Gesundheit, Trinkwasser, Abwasser
  • Digitale Infrastruktur, IKT-Dienste
  • Öffentliche Verwaltung, Weltraum
  • Post, Abfall, Chemie, Lebensmittel
  • Verarbeitendes Gewerbe, Digitale Dienste, Forschung

2. Größe

  • Ab 50 Mitarbeiter ODER
  • Über 10 Mio. EUR Jahresumsatz
Wichtig: Unternehmen müssen selbst prüfen, ob sie betroffen sind – es gibt keine Benachrichtigung durch Behörden!

Was müssen betroffene Unternehmen tun?

Sofort

  • Selbstprüfung: Bin ich betroffen? (BSI-Betroffenheitsprüfung nutzen)
  • Registrierung bei "Mein Unternehmenskonto" (MUK) – empfohlen bis 31.12.2025

Innerhalb von 3 Monaten (bis März 2026)

  • Registrierung beim BSI-Portal (geht ab 6. Januar 2026 online)

Laufende Pflichten

  • Risikomanagementmaßnahmen implementieren und dokumentieren
  • Meldepflicht bei Cybervorfällen:
    • Frühwarnung innerhalb 24 Stunden
    • Detaillierte Meldung innerhalb 72 Stunden
    • Abschlussbericht innerhalb 1 Monat
  • Lieferketten-Sicherheit: Dienstleister vertraglich zu Sicherheitsstandards verpflichten
  • Regelmäßige Schulungen für Geschäftsleitung

Geschäftsführer-Haftung

Neu und wichtig: Die Geschäftsleitung haftet persönlich!

  • Pflicht zur Genehmigung UND Überwachung der Cybersicherheitsmaßnahmen
  • Pflicht zur eigenen Schulung in Cybersicherheit
  • Bei Verstößen: Persönliche Haftung möglich

Bußgelder

Besonders wichtige Einrichtungen Bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungen Bis 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes

Zusammenhang mit KI-Regulierung

NIS2 betrifft auch Unternehmen, die KI-Systeme einsetzen oder entwickeln:

  • KI-Infrastruktur muss in Risikomanagement einbezogen werden
  • Cloud-basierte KI-Dienste (ChatGPT, Copilot etc.) sind Teil der Lieferkette
  • Datenschutz und Cybersicherheit greifen ineinander

Nächste Schritte – Checkliste

  • Betroffenheitsprüfung durchführen (BSI-Tool)
  • Geschäftsleitung informieren (Haftungsthema!)
  • Bei MUK registrieren (bis 31.12.2025)
  • Gap-Analyse: Welche Maßnahmen fehlen?
  • Meldeprozesse definieren
  • Lieferanten-Verträge prüfen

Quellen

Wie steht Ihr Unternehmen bei KI und Digitalisierung da?

Unser KI-Status-Report gibt Ihnen einen strukturierten Überblick – inklusive Handlungsempfehlungen und Förderprogramm-Übersicht.

Jetzt Report starten Mehr erfahren
← Zurück zur Übersicht