Am 6. Dezember 2025 trat das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft — nach langer politischer Verzögerung, aber mit sofortiger Wirkung. Keine Schonfrist, keine gestaffelte Umsetzung. Technische und organisatorische Maßnahmen nach § 30 BSIG sind seit diesem Datum Pflicht.

Und noch etwas: Die BSI-Registrierungsfrist für betroffene Einrichtungen war der 6. März 2026. Wer sich bis dahin nicht registriert hat, ist bereits in Verzug.

Dieser Leitfaden richtet sich an Geschäftsführer, IT-Leiter und Sicherheitsverantwortliche, die wissen wollen, was NIS2 konkret bedeutet — und was jetzt noch zu tun ist.

Wen betrifft NIS2 im Industriesektor?

NIS2 trennt zwischen zwei Kategorien: Wesentliche Einrichtungen und Wichtige Einrichtungen. Einstufungskriterien: Branche, Unternehmensgröße, gesellschaftliche Bedeutung. Das NIS2UmsuCG weitet den Anwendungsbereich massiv aus — von bisher rund 4.500 auf nun ca. 29.500 betroffene Einrichtungen in Deutschland.

Für den Industriesektor die relevanten Einordnungen:

Wesentliche Einrichtungen:

  • Energie (Elektrizität, Gas, Fernwärme, Öl, Wasserstoff)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Gesundheitswesen
  • Raumfahrt
  • Bankwesen und Finanzmarktinfrastrukturen

Wichtige Einrichtungen:

  • Verarbeitendes Gewerbe (Maschinenbau, Fahrzeugbau, Chemie, Elektronik)
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Anbieter digitaler Dienste

Für das verarbeitende Gewerbe gilt: Mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz kann zur Einstufung als Wichtige Einrichtung führen — wenn der Sektor zutrifft.

Im Zweifel: prüfen lassen. Eine falsche Selbsteinschätzung schützt nicht vor Bußgeldern.

BSI-Registrierung: Was gilt jetzt?

Das BSI-Portal ging am 6. Januar 2026 online. Die Registrierungspflicht für betroffene Einrichtungen lief bis zum 6. März 2026. Wer die Frist verpasst hat, sollte die Registrierung unverzüglich nachholen — eine verspätete Registrierung ist besser als keine.

Für die Registrierung wird ein ELSTER-Zertifikat (Mein Unternehmenskonto) benötigt. Das BSI-Portal dient gleichzeitig als Meldeplattform für erhebliche Sicherheitsvorfälle.

Technische Mindestanforderungen nach § 30 BSIG

Artikel 21 der NIS2-Richtlinie — in Deutschland umgesetzt in § 30 BSIG — listet Pflichtmaßnahmen auf. Keine Empfehlungen: Pflicht, seit 6. Dezember 2025.

Risikomanagement und Sicherheitskonzept

Ohne dokumentiertes Risikomanagementsystem sind alle anderen Maßnahmen rechtlich wertlos. Identifikation, Bewertung, Behandlung von Cyberrisiken — schriftlich, nachvollziehbar, aktuell gehalten.

Netzwerk- und Systemsicherheit

  • Netzwerksegmentierung: IT- und OT-Netze getrennt oder durch Firewalls strikt kontrolliert
  • Patch-Management: Sicherheitsupdates nach definiertem Prozess, zeitnah — nicht “irgendwann”
  • Härtung: Nicht benötigte Dienste und Ports deaktiviert
  • Verschlüsselung: Kommunikation über öffentliche Netze verschlüsselt

Identitäts- und Zugriffsmanagement

  • Multi-Faktor-Authentifizierung für alle privilegierten Zugriffe — kein optionales Feature mehr
  • Rollenbasierte Zugriffssteuerung: Nutzer bekommen nur, was sie brauchen
  • Regelmäßige Überprüfung von Zugriffsrechten, insbesondere nach Personalwechsel

Backup und Business Continuity

  • Regelmäßige, getestete Datensicherungen — getrennt vom Produktionsnetz
  • Notfallkonzept: Was passiert, wenn kritische Systeme ausfallen?
  • Wiederherstellungstests: Ein Backup ist erst dann sicher, wenn der Restore tatsächlich funktioniert hat

Lieferkettensicherheit

§ 30 BSIG fordert, die Cybersicherheit von Zulieferern und Dienstleistern in das eigene Risikomanagement einzubeziehen. Sicherheitsanforderungen in Lieferantenverträgen, Bewertung von Drittanbietern, kontrollierte Remote-Zugriffe — das ist nicht mehr optional.

Organisatorische Maßnahmen und Governance

Managementverantwortung: Geschäftsführer und Vorstände haften persönlich für die Umsetzung. Das ist keine Drohung, das ist der Gesetzestext. Cybersicherheit ist Chefsache — juristisch verankert, seit 6. Dezember 2025.

Schulungen: Die Unternehmensleitung muss sich regelmäßig zu Cybersicherheitsthemen schulen lassen. Mitarbeiter müssen sensibilisiert werden — dokumentiert.

Sicherheitsbeauftragter: Größere Unternehmen brauchen einen dedizierten Ansprechpartner für Informationssicherheit — CISO oder ISB.

Richtlinien: Informationssicherheitsrichtlinien müssen existieren, aktuell sein und tatsächlich gelebt werden. Ein 50-seitiges Dokument im SharePoint, das niemand kennt, zählt nicht.

Meldepflichten: Was und wann gemeldet werden muss

Erhebliche Sicherheitsvorfälle müssen ans BSI gemeldet werden — über das BSI-Portal, das seit 6. Januar 2026 bereitsteht. Die Fristen:

  • 24 Stunden: Erste Meldung (Frühwarnung)
  • 72 Stunden: Detaillierter Bericht — Schwere, Auswirkungen, Indikatoren
  • 1 Monat: Abschlussbericht — vollständige Analyse, ergriffene Maßnahmen, Lessons Learned

Produktionsausfall durch Ransomware? Meldepflichtig. Datenverlust durch externen Angriff? Meldepflichtig. Wer keine Meldeprozesse eingerichtet hat, wird die 24-Stunden-Frist nicht einhalten.

Sanktionen bei Nichteinhaltung

  • Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Das Schärfste: Bei schwerwiegenden Verstößen können Behörden die Geschäftsführung vorübergehend von Leitungsaufgaben suspendieren. Persönliche Haftung — das ist der Grund, warum NIS2 anders ist als jede bisherige Cybersicherheitsregulierung in Deutschland.

NIS2-Umsetzung: Was jetzt noch zu tun ist

  1. BSI-Registrierung nachholen (falls noch nicht geschehen) — unverzüglich über das BSI-Portal
  2. Betroffenheitsprüfung falls noch ausstehend: Wesentliche oder Wichtige Einrichtung? Welche Pflichten konkret?
  3. Gap-Analyse: Wo steht das Unternehmen heute — was fehlt gegenüber § 30 BSIG?
  4. Maßnahmenplan: Priorisiert, mit Budget, Verantwortlichkeiten, konkretem Zeitrahmen
  5. Dokumentation: NIS2 fordert Nachweisbarkeit. Eine lückenlose Dokumentation ist keine Kür, sie ist Pflicht

NIS2-Beratung: Wie ich Industrieunternehmen bei der NIS2-Umsetzung begleite — Gap-Analyse, BSI-Registrierung, Meldeprozesse — finden Sie unter NIS2 Compliance.

Häufige Fragen zur NIS2-Umsetzung

Bin ich als Maschinenbauer von NIS2 betroffen?

Maschinenbauunternehmen fallen unter den Sektor “Verarbeitendes Gewerbe” des NIS2UmsuCG. Ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz können Sie als Wichtige Einrichtung eingestuft werden. Eine genaue Prüfung anhand der BSIG-Kriterien ist notwendig — pauschale Selbsteinschätzung reicht nicht.

Die BSI-Registrierungsfrist (6.3.2026) ist abgelaufen — was nun?

Registrierung unverzüglich nachholen. Eine verspätete Registrierung ist in jedem Fall besser als keine. Das BSI-Portal ist weiterhin zugänglich. Die Fristversäumnis kann als Verstoß gewertet werden — proaktives Handeln mindert das Risiko.

Reicht ISO 27001 für NIS2?

ISO 27001 deckt viele NIS2-Anforderungen ab und ist ein starker Ausgangspunkt. Aber es gibt Unterschiede: NIS2 ist spezifischer bei Meldepflichten, Lieferkettensicherheit und der persönlichen Haftung der Geschäftsführung. Eine ISO-27001-Zertifizierung erleichtert die NIS2-Umsetzung erheblich — ersetzt sie aber nicht vollständig.

Was kostet eine NIS2-Umsetzung?

Hängt stark vom Ausgangszustand ab. Unternehmen mit bestehendem ISMS haben einen erheblichen Vorsprung. Für KMU ohne Vorarbeit liegen die Umsetzungskosten erfahrungsgemäß zwischen 30.000 und 150.000 Euro — abhängig von Unternehmensgröße, IT-Komplexität und vorhandenen Maßnahmen.

Wie lange dauert eine NIS2-Gap-Analyse?

Für ein mittelständisches Industrieunternehmen: drei bis acht Wochen — abhängig von Unternehmensgröße, IT/OT-Komplexität und Verfügbarkeit der Ansprechpartner. Das Ergebnis ist ein priorisierter Maßnahmenplan als Grundlage für Budget- und Ressourcenplanung.