Aktualisiert am 23. Juni 2026; vorheriger Prüfstand: 26. März 2026.

Am 6. Dezember 2025 trat das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft — nach langer politischer Verzögerung, aber mit sofortiger Wirkung. Keine Schonfrist, keine gestaffelte Umsetzung. Technische und organisatorische Maßnahmen nach § 30 BSIG sind seit diesem Datum Pflicht.

Und noch etwas: Die BSI-Registrierungsfrist für betroffene Einrichtungen war der 6. März 2026. Wer sich bis dahin nicht registriert hat, ist bereits in Verzug.

Dieser Leitfaden richtet sich an Geschäftsführer, IT-Leiter und Sicherheitsverantwortliche, die wissen wollen, was NIS2 konkret bedeutet — und was jetzt noch zu tun ist.

Wen betrifft NIS2 im Industriesektor?

NIS2 trennt zwischen zwei Kategorien: Wesentliche Einrichtungen und Wichtige Einrichtungen. Einstufungskriterien: Branche, Unternehmensgröße, gesellschaftliche Bedeutung. Das NIS2UmsuCG weitet den Anwendungsbereich massiv aus — von bisher rund 4.500 auf nun ca. 29.500 betroffene Einrichtungen in Deutschland.

Für den Industriesektor die relevanten Einordnungen:

Wesentliche Einrichtungen:

  • Energie (Elektrizität, Gas, Fernwärme, Öl, Wasserstoff)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Gesundheitswesen
  • Raumfahrt
  • Bankwesen und Finanzmarktinfrastrukturen

Wichtige Einrichtungen:

  • Verarbeitendes Gewerbe (Maschinenbau, Fahrzeugbau, Chemie, Elektronik)
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Anbieter digitaler Dienste

Für das verarbeitende Gewerbe gilt vereinfacht: Mindestens 50 Beschäftigte können die reguläre Größenschwelle auslösen. Alternativ kann sie erreicht sein, wenn Jahresumsatz und Jahresbilanzsumme jeweils über 10 Millionen Euro liegen. Der passende Sektor, die konkrete Tätigkeit, verbundene Unternehmen und gesetzliche Sonderfälle müssen zusätzlich geprüft werden.

Im Zweifel: prüfen lassen. Eine falsche Selbsteinschätzung schützt nicht vor Bußgeldern.

BSI-Registrierung: Was gilt jetzt?

Das BSI-Portal ging am 6. Januar 2026 online. Die Registrierungspflicht für betroffene Einrichtungen lief bis zum 6. März 2026. Wer die Frist verpasst hat, sollte die Registrierung unverzüglich nachholen — eine verspätete Registrierung ist besser als keine.

Für die Registrierung wird ein ELSTER-Zertifikat (Mein Unternehmenskonto) benötigt. Das BSI-Portal dient gleichzeitig als Meldeplattform für erhebliche Sicherheitsvorfälle.

Technische Mindestanforderungen nach § 30 BSIG

Artikel 21 der NIS2-Richtlinie — in Deutschland umgesetzt in § 30 BSIG — listet Pflichtmaßnahmen auf. Keine Empfehlungen: Pflicht, seit 6. Dezember 2025.

Risikomanagement und Sicherheitskonzept

Ohne dokumentiertes Risikomanagementsystem sind alle anderen Maßnahmen rechtlich wertlos. Identifikation, Bewertung, Behandlung von Cyberrisiken — schriftlich, nachvollziehbar, aktuell gehalten.

Netzwerk- und Systemsicherheit

  • Netzwerksegmentierung: IT- und OT-Netze getrennt oder durch Firewalls strikt kontrolliert
  • Patch-Management: Sicherheitsupdates nach definiertem Prozess, zeitnah — nicht “irgendwann”
  • Härtung: Nicht benötigte Dienste und Ports deaktiviert
  • Verschlüsselung: Kommunikation über öffentliche Netze verschlüsselt

Identitäts- und Zugriffsmanagement

  • Multi-Faktor-Authentifizierung für alle privilegierten Zugriffe — kein optionales Feature mehr
  • Rollenbasierte Zugriffssteuerung: Nutzer bekommen nur, was sie brauchen
  • Regelmäßige Überprüfung von Zugriffsrechten, insbesondere nach Personalwechsel

Backup und Business Continuity

  • Regelmäßige, getestete Datensicherungen — getrennt vom Produktionsnetz
  • Notfallkonzept: Was passiert, wenn kritische Systeme ausfallen?
  • Wiederherstellungstests: Ein Backup ist erst dann sicher, wenn der Restore tatsächlich funktioniert hat

Lieferkettensicherheit

§ 30 BSIG fordert, die Cybersicherheit von Zulieferern und Dienstleistern in das eigene Risikomanagement einzubeziehen. Sicherheitsanforderungen in Lieferantenverträgen, Bewertung von Drittanbietern, kontrollierte Remote-Zugriffe — das ist nicht mehr optional.

Organisatorische Maßnahmen und Governance

Managementverantwortung: Geschäftsleitungen müssen die Maßnahmen nach § 30 BSIG billigen und ihre Umsetzung überwachen. Verletzt ein Leitungsorgan diese Pflichten schuldhaft, kann es der eigenen Einrichtung für den verursachten Schaden nach den anwendbaren gesellschaftsrechtlichen Regeln haften. Das ist keine pauschale Außenhaftung gegenüber Behörden oder beliebigen Dritten.

Schulungen: Die Unternehmensleitung muss sich regelmäßig zu Cybersicherheitsthemen schulen lassen. Mitarbeiter müssen sensibilisiert werden — dokumentiert.

Sicherheitsorganisation: Das Gesetz schreibt nicht jeder Einrichtung zwingend die Stellenbezeichnung CISO oder ISB vor. Verantwortlichkeiten, Eskalationswege und fachlich geeignete Ansprechpartner müssen aber so organisiert sein, dass Risikomanagement, Meldungen und Nachweise funktionieren.

Richtlinien: Informationssicherheitsrichtlinien müssen existieren, aktuell sein und tatsächlich gelebt werden. Ein 50-seitiges Dokument im SharePoint, das niemand kennt, zählt nicht.

Meldepflichten: Was und wann gemeldet werden muss

Erhebliche Sicherheitsvorfälle müssen ans BSI gemeldet werden — über das BSI-Portal, das seit 6. Januar 2026 bereitsteht. Die Fristen:

  • 24 Stunden: Erste Meldung (Frühwarnung)
  • 72 Stunden: Detaillierter Bericht — Schwere, Auswirkungen, Indikatoren
  • 1 Monat: Abschlussbericht — vollständige Analyse, ergriffene Maßnahmen, Lessons Learned

Produktionsausfall durch Ransomware? Meldepflichtig. Datenverlust durch externen Angriff? Meldepflichtig. Wer keine Meldeprozesse eingerichtet hat, wird die 24-Stunden-Frist nicht einhalten.

Sanktionen bei Nichteinhaltung

  • Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Bei besonders wichtigen Einrichtungen kann die zuständige Aufsichtsbehörde Leitungsaufgaben vorübergehend untersagen. Das ist kein Automatismus: § 61 Abs. 9 BSIG sieht diesen Schritt als letztes Mittel vor, wenn behördliche Anordnungen trotz gesetzter Frist nicht umgesetzt wurden. Davon zu trennen ist die mögliche Innenhaftung gegenüber der eigenen Einrichtung bei schuldhafter Pflichtverletzung.

NIS2-Umsetzung: Was jetzt noch zu tun ist

  1. BSI-Registrierung nachholen (falls noch nicht geschehen) — unverzüglich über das BSI-Portal
  2. Betroffenheitsprüfung falls noch ausstehend: Wesentliche oder Wichtige Einrichtung? Welche Pflichten konkret?
  3. Gap-Analyse: Wo steht das Unternehmen heute — was fehlt gegenüber § 30 BSIG?
  4. Maßnahmenplan: Priorisiert, mit Budget, Verantwortlichkeiten, konkretem Zeitrahmen
  5. Dokumentation: NIS2 fordert Nachweisbarkeit. Eine lückenlose Dokumentation ist keine Kür, sie ist Pflicht

NIS2-Beratung: Wie ich Industrieunternehmen bei der NIS2-Umsetzung begleite — Gap-Analyse, BSI-Registrierung, Meldeprozesse — finden Sie unter NIS2 Compliance.


Häufige Fragen zur NIS2-Umsetzung

Bin ich als Maschinenbauer von NIS2 betroffen?

Maschinenbauunternehmen können unter den Sektor “Verarbeitendes Gewerbe” des NIS2UmsuCG fallen. Mindestens 50 Beschäftigte können die Größenschwelle auslösen. Ohne diese Beschäftigtenzahl kann die Schwelle ebenfalls erreicht sein, wenn Jahresumsatz und Jahresbilanzsumme jeweils über 10 Millionen Euro liegen. Eine genaue Prüfung anhand von § 28 BSIG und den einschlägigen Anlagen bleibt notwendig.

Die BSI-Registrierungsfrist (6.3.2026) ist abgelaufen — was nun?

Registrierung unverzüglich nachholen. Eine verspätete Registrierung ist in jedem Fall besser als keine. Das BSI-Portal ist weiterhin zugänglich. Die Fristversäumnis kann als Verstoß gewertet werden — proaktives Handeln mindert das Risiko.

Reicht ISO 27001 für NIS2?

ISO 27001 deckt viele NIS2-Anforderungen ab und ist ein starker Ausgangspunkt. Unterschiede bestehen unter anderem bei gesetzlichen Meldepflichten, Lieferkettensicherheit sowie den Billigungs-, Überwachungs- und Schulungspflichten der Geschäftsleitung. Eine ISO-27001-Zertifizierung erleichtert die NIS2-Umsetzung erheblich, ersetzt sie aber nicht vollständig.

Was kostet eine NIS2-Umsetzung?

Hängt stark vom Ausgangszustand ab. Unternehmen mit bestehendem ISMS haben einen erheblichen Vorsprung. Für KMU ohne Vorarbeit liegen die Umsetzungskosten erfahrungsgemäß zwischen 30.000 und 150.000 Euro — abhängig von Unternehmensgröße, IT-Komplexität und vorhandenen Maßnahmen.

Wie lange dauert eine NIS2-Gap-Analyse?

Für ein mittelständisches Industrieunternehmen: drei bis acht Wochen — abhängig von Unternehmensgröße, IT/OT-Komplexität und Verfügbarkeit der Ansprechpartner. Das Ergebnis ist ein priorisierter Maßnahmenplan als Grundlage für Budget- und Ressourcenplanung.

Quellenstand