
Betroffen von NIS-2 sind Unternehmen, die in einem der im BSIG gelisteten Sektoren (Anlagen 1 und 2) tätig sind und die Größenschwellen nach § 28 BSIG erreichen – sie gelten dann als wichtige oder besonders wichtige Einrichtung. Maßgeblich ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG), das das BSI-Gesetz novelliert hat und seit dem 6. Dezember 2025 ohne Übergangsfrist in Kraft ist. Das BSI beaufsichtigt damit rund 29.500 Einrichtungen statt zuvor etwa 4.500.
Anders als bei der früheren KRITIS-Regulierung kommt es nicht mehr auf das Überschreiten von Anlagen-Schwellenwerten an, sondern primär auf Sektor und Unternehmensgröße. Grenze: Die Einordnung erfolgt durch gesetzliche Selbst-Identifizierung – die kostenlose BSI-Betroffenheitsprüfung liefert nur eine unverbindliche Ersteinschätzung und ist rechtlich nicht bindend.
Die folgenden fünf Schritte bilden die Prüflogik des § 28 BSIG nach. Erst die Kombination aus Sektorzugehörigkeit und Größenschwelle (sogenannter Size-Cap) begründet in der Regel die Betroffenheit.
Grenze/Ausnahme: Die Schwellenwerte nach § 28 BSIG sind hier vereinfacht dargestellt; im Einzelfall gelten branchenspezifische Besonderheiten. Maßgeblich ist stets der Gesetzeswortlaut, nicht diese Checkliste.
Das BSIG unterscheidet zwei Kategorien betroffener Unternehmen: besonders wichtige Einrichtungen und wichtige Einrichtungen. Beide treffen dieselben Grundpflichten – der Unterschied liegt in Aufsicht und Sanktionsrahmen.
MerkmalWichtige EinrichtungBesonders wichtige EinrichtungGrößenschwelle (§ 28 BSIG)ab 50 Beschäftigte oder >10 Mio. € Umsatz und Bilanzsummeab 250 Beschäftigte oder >50 Mio. € Umsatz und >43 Mio. € BilanzsummeAufsichtanlassbezogenproaktiv (Prüfung auch ohne Anlass)Bußgeldrahmenniedrigerer Rahmenbis 10 Mio. € oder 2 % des weltweiten JahresumsatzesKRITIS-Betreiber–stets besonders wichtig
Besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht (das BSI kann auch ohne Anlass prüfen) und dem höheren Bußgeldrahmen. Wichtige Einrichtungen werden grundsätzlich anlassbezogen beaufsichtigt. KRITIS-Betreiber sind stets besonders wichtige Einrichtungen.
Grenze/Ausnahme: Die Kategorie ändert nichts an der Pflicht selbst – auch wichtige Einrichtungen müssen sich registrieren, Vorfälle melden und Risikomanagement umsetzen. Unterschiede betreffen primär Aufsichtstiefe und Höchstbußgeld.
Betroffene Unternehmen treffen drei Kernpflichten: Registrierung beim BSI, Meldung erheblicher Sicherheitsvorfälle und Umsetzung von Risikomanagementmaßnahmen (§ 30 BSIG). Diese gelten seit Inkrafttreten – ohne Schon- oder Übergangsfrist.
Registrierung: Die Registrierung erfolgt zweistufig – zunächst über „Mein Unternehmenskonto“ (MUK), dann im BSI-Portal (seit 6. Januar 2026 freigeschaltet). Einrichtungen müssen sich spätestens drei Monate nach erstmaliger Betroffenheit registrieren.
Meldepflicht: Erhebliche Sicherheitsvorfälle sind gestaffelt zu melden – Erstmeldung binnen 24 Stunden, ausführliche Meldung binnen 72 Stunden, Abschlussmeldung spätestens einen Monat nach der 72-Stunden-Meldung (§ 32 BSIG).
Risikomanagement (§ 30 BSIG): Verpflichtend sind mindestens zehn technische und organisatorische Maßnahmen – darunter Risikoanalyse, Incident Response, Business Continuity, Lieferkettensicherheit, Kryptografie, Multi-Faktor-Authentifizierung sowie Schulungen und Sensibilisierungsmaßnahmen.
Grenze/Ausnahme: Der Umfang der Maßnahmen ist verhältnismäßig zu bemessen – nach Risikoexposition, Größe und Kosten. „Verhältnismäßig“ bedeutet jedoch nicht „optional“: Die zehn Maßnahmenbereiche des § 30 BSIG sind verpflichtend.
Die Geschäftsleitung trägt die persönliche Verantwortung für Umsetzung und Überwachung der Risikomanagementmaßnahmen (§ 38 BSIG). Sie muss die Maßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen – und haftet bei schuldhaften Pflichtverletzungen nach den für die Rechtsform geltenden Regeln.
Bei Verstößen drohen erhebliche Bußgelder. Für besonders wichtige Einrichtungen sieht die NIS-2-Richtlinie Höchstbeträge von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor (der höhere Wert gilt), national umgesetzt in § 65 BSIG; für wichtige Einrichtungen liegt der Rahmen darunter.
Grenze/Ausnahme: Die genaue Höhe und Durchsetzung der Sanktionen hängt vom Einzelfall und der Schwere des Verstoßes ab; die Konkretisierung erheblicher Vorfälle wird vom BSI fortlaufend präzisiert.
Dieser Beitrag wertet ausschließlich Primärquellen aus: das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) wie in BGBl. 2025 I Nr. 301 verkündet, die novellierten Vorschriften des BSIG (insb. §§ 28, 29, 30, 38) sowie die offiziellen Informationen des BSI. Die Zahl von rund 29.500 beaufsichtigten Einrichtungen und das Inkrafttreten am 6. Dezember 2025 ohne Übergangsfrist stammen aus der BSI-Pressemitteilung vom 5. Dezember 2025. Annahme: Die Sektorlisten (Anlagen 1 und 2) sind hier beispielhaft zusammengefasst – die vollständige Aufzählung ergibt sich aus den Anlagen des BSIG. Stand: 10. Juni 2026.
NIS-2 gilt in Deutschland seit dem 6. Dezember 2025. An diesem Tag trat das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft, verkündet am 5. Dezember 2025 in BGBl. 2025 I Nr. 301. Es novelliert das BSI-Gesetz. Eine Übergangsfrist gibt es nicht – die Pflichten gelten unmittelbar für alle betroffenen Einrichtungen.
Nach Einschätzung des BSI sind rund 29.500 Einrichtungen betroffen. Zuvor regulierte das BSI-Gesetz nur etwa 4.500 Organisationen, vor allem KRITIS-Betreiber und Anbieter digitaler Dienste. Der Anwendungsbereich wurde durch NIS-2 deutlich erweitert: Maßgeblich sind nun Sektorzugehörigkeit nach den Anlagen 1 und 2 BSIG sowie die Größenschwellen nach § 28 BSIG. Betroffene Einrichtungen müssen sich beim BSI registrieren.
Als wichtige Einrichtung gelten Unternehmen aus gelisteten Sektoren ab 50 Beschäftigten oder mehr als 10 Mio. € Umsatz und Bilanzsumme. Als besonders wichtige Einrichtung gelten sie ab 250 Beschäftigten oder mehr als 50 Mio. € Umsatz und mehr als 43 Mio. € Bilanzsumme (§ 28 BSIG). Maßgeblich ist stets der Gesetzeswortlaut.
Nicht zwingend. Anbieter qualifizierter Vertrauensdienste, Top-Level-Domain-Name-Registries und DNS-Diensteanbieter fallen unabhängig von ihrer Größe unter das BSIG. Auch Betreiber kritischer Anlagen (KRITIS) sind unabhängig vom Size-Cap betroffen und gelten automatisch als besonders wichtige Einrichtungen. Wer betroffen ist, muss sich registrieren, Vorfälle melden und Risikomanagement umsetzen. Maßgeblich ist stets der Gesetzeswortlaut, nicht eine vereinfachte Checkliste.
Betroffene Unternehmen müssen sich beim BSI registrieren (binnen drei Monaten), erhebliche Sicherheitsvorfälle melden (24 Stunden Erstmeldung, 72 Stunden Meldung, Abschlussmeldung spätestens einen Monat nach der 72-Stunden-Meldung) und Risikomanagementmaßnahmen nach § 30 BSIG umsetzen. Dazu zählen unter anderem Schulungen, Incident Response und Multi-Faktor-Authentifizierung.
Ja. Nach § 38 BSIG muss die Geschäftsleitung die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen. Bei schuldhaften Pflichtverletzungen haftet sie nach den für die Rechtsform geltenden Regeln. Zusätzlich drohen der Einrichtung Bußgelder, bei besonders wichtigen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Einblicke in das digitale Lernen der Zukunft mit Fokus auf KI, Compliance und moderne Schulungslösungen. Entdecken Sie die neuesten Beiträge und aktuelle Artikel, um praxisnahe Insights zu rechtssicherer, effizienter und automatisierter Weiterbildung im Unternehmen zu erhalten.
Hinweis: Texte, Bilder und Videos auf dieser Website wurden teilweise mit Künstlicher Intelligenz generiert.
Alle Inhalte dienen der Information und wurden sorgfältig journalistisch geprüft, erheben jedoch keinen Anspruch auf Vollständigkeit oder rechtliche Verbindlichkeit.