NIS2 in der Praxis: Wo wir wirklich stehen
29.500 betroffene Unternehmen, 18.500 nicht registriert, BSI im Prüfmodus
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 ohne Übergangsfrist gültig. Die BSI-Registrierungsfrist endete am 6. März 2026. Heute, gut zweieinhalb Monate später, ist die Bilanz ernüchternd: Von rund 29.500 betroffenen Unternehmen haben sich nur etwa 11.000 fristgerecht registriert. Das BSI ist offiziell in die aktive Durchsetzungsphase übergegangen. Dieser Artikel zeigt, wer betroffen ist, was konkret zu tun ist, welche Bußgelder drohen – und mit welchen Werkzeugen sich der technische Teil der Pflichten effizient abarbeiten lässt.
Status Quo Mai 2026
| Betroffene Unternehmen in Deutschland | ~ 29.500 |
| Davon registriert bis 6. März 2026 | ~ 11.000 |
| Frist verpasst (BSI-Schätzung) | ~ 18.500 |
| Bußgeld für verpätete Registrierung | bis 500.000 € |
| Höchststrafe bei kumulierten Verstößen | 10 Mio. € / 2 % Weltumsatz |
Das BSI hat angekündigt, ab dem 2. Quartal 2026 systematisch zu prüfen. Erste Anschreiben mit Fristsetzung von 14 Tagen wurden bereits versandt. Eine verspätete Registrierung ist weiterhin möglich und dringend empfohlen – auch wer die Frist verpasst hat, signalisiert mit der Nachregistrierung Kooperationsbereitschaft.
Wer ist überhaupt betroffen?
Anders als das frühere IT-Sicherheitsgesetz beschränkt sich NIS2 nicht mehr auf KRITIS-Betreiber. Drei Schwellenwerte entscheiden über die Pflicht:
| Wesentliche Einrichtung | ≥ 250 MA oder > 50 Mio. € Umsatz in einem der 18 Sektoren |
| Wichtige Einrichtung | ≥ 50 MA oder > 10 Mio. € Umsatz in einem der 18 Sektoren |
| Kritische Anlage | Unabhängig von der Größe, definiert nach KRITIS-Schwellenwerten |
Die 18 Sektoren reichen von den klassischen KRITIS-Bereichen (Energie, Wasser, Gesundheit, Finanzen, Verkehr) bis hin zu Lebensmittelproduktion, Abfallwirtschaft, Maschinenbau, Forschung, öffentlicher Verwaltung und vor allem – für MSPs besonders relevant – digitalen Diensten und verwalteten Sicherheitsdiensten. Wer als IT-Dienstleister oder MSP arbeitet, ist fast immer selbst betroffen, nicht nur die Kunden.
bsi.bund.de stellt das Amt eine kostenlose NIS2-Betroffenheitsprüfung bereit. Das Tool führt durch alle Schwellenwerte und Sektorzuordnungen und erstellt ein PDF-Ergebnis – ein gutes Startdokument für die eigene Akte.Die fünf zentralen Paragraphen
Wer das BSIG-neu vollständig lesen will, wühlt sich durch knapp 80 Paragraphen. Für die tägliche Praxis sind aber fünf entscheidend:
Die 10 Kernmaßnahmen nach § 30
Das BSIG-neu fordert in § 30 Abs. 2 zehn konkrete Maßnahmenbereiche. Wer eine Mind-Map machen will: Das ist im Kern eine schlanke ISO 27001-Struktur, übersetzt in deutsches Pflichtrecht.
- Risikoanalyse und Sicherheit für Informationssysteme – dokumentierte Risikomatrix, regelmäßige Updates
- Bewältigung von Sicherheitsvorfällen – Incident-Response-Plan mit klaren Eskalationswegen
- Aufrechterhaltung des Betriebs – Backup-Strategie, Wiederanlaufpläne, Krisenmanagement
- Sicherheit der Lieferkette – Lieferantenprüfung, Vertragsklauseln, Supply-Chain-Risk-Assessment
- Sicherheit bei Erwerb und Wartung – sichere Beschaffungsprozesse, Patch- und Schwachstellenmanagement
- Bewertung der Wirksamkeit – regelmäßige Tests, Audits, Reviews
- Cyber-Hygiene und Schulungen – verpflichtende Awareness-Trainings, dokumentierte Teilnahme
- Kryptografie und Verschlüsselung – aktuelle Verfahren (TLS 1.3, AES-256), keine veralteten Cipher
- Personal-, Zugriffs- und Anlagensicherheit – Identity- und Access-Management, physische Sicherheit
- Multi-Faktor-Authentifizierung und sichere Kommunikation – MFA Pflicht, gesicherte interne Kommunikation
Das Bußgeldsystem im Überblick
§ 65 BSIG staffelt die Bußgelder in sieben Stufen. Die wichtigsten:
| Fahrlässige Verstöße, fehlende Erreichbarkeit | bis 100.000 € |
| Verspätete oder fehlende Registrierung | bis 500.000 € |
| Verletzung von Meldepflichten | bis 7 Mio. € (wichtige Einrichtung) bzw. 10 Mio. € |
| Verletzung § 30 Risikomanagement | bis 10 Mio. € oder 2 % Weltumsatz |
| Ultima Ratio | temporäre Geschäftsuntersagung, Berufsverbot der Leitung |
Was jetzt konkret zu tun ist
Für Unternehmen, die heute noch nicht handlungsfähig sind, gibt es eine pragmatische Prioritätenliste. Die Reihenfolge ist bewusst gewählt – sie minimiert kurzfristig das Bußgeldrisiko.
- Betroffenheitsprüfung dokumentieren – BSI-Tool nutzen, Ergebnis als PDF archivieren, mit Datum und Unterschrift
- ELSTER-Organisationszertifikat beantragen, falls nicht vorhanden (Bearbeitungszeit einige Werktage)
- BSI-Portal-Registrierung nachholen über
muk.bsi.bund.demit Kontaktperson für Sicherheitsvorfälle - Incident-Response-Prozess definieren: Wer wird bei einem Vorfall um wieviel Uhr informiert? Wer meldet binnen 24 Stunden? Telefonliste schriftlich
- Gap-Analyse gegen die zehn § 30-Maßnahmen – jeden Punkt mit Status (offen / in Arbeit / erledigt) und Verantwortlichem
- Geschäftsleitung schulen – mindestens ein dokumentierter halbtägiger Workshop, § 38 verlangt das explizit
Technische Umsetzung – und wo ISW-Tools direkt helfen
Viele der zehn Kernmaßnahmen sind originale Windows-Administrations-Aufgaben: Härtung von Active Directory, Patch-Management, Schwachstellenscanning, Authentifizierungs-Audit, Live-Eventmonitoring. Die ISW-Tools wurden von Anfang an mit Blick auf BSI IT-Grundschutz, ISO 27001 und NIS2 entwickelt – und decken die technische Seite der Pflichten weitgehend ab.
| § 30 Nr. 1 Risikoanalyse Aktuelle Schwachstellen erfassen |
ISW CVE Vulnerability Scanner – CVE-Abgleich gegen NVD, Patch-Status, RCE-Priorisierung |
| § 30 Nr. 5 Patch-Management Update-Stand der Systeme |
ISW Windows Patch Compliance Analyzer – auditierbarer Patch-Bericht pro Server |
| § 30 Nr. 6 Wirksamkeit GPO- und Security-Baseline-Audit |
ISW GPO Analyzer Pro – BSI-IT-Grundschutz-Mapping, Compliance-Score je Policy |
| § 30 Nr. 9 Zugriffssicherheit AD-Rechte und Berechtigungen |
ISW AD ACL Auditor – ACL-Audit, Überberechtigung erkennen, AdminSDHolder-Prüfung |
| § 30 Nr. 10 MFA & Authentifizierung Kerberos- und NTLM-Hygiene |
ISW Kerberos Audit Analyzer · ISW NTLM Event Analyzer · ISW SMB Security Analyzer |
| § 32 24h-Meldepflicht Vorfall schnell erkennen |
ISW Windows Live-Ereignismonitor – Multi-Server, Korrelations-Engine, Alert-Mails |
| § 30 Nr. 9 Passwortrotation Privilegierte Accounts |
ISW AD Password Rotator – 4-Augen-Prinzip, Audit-Log, DSGVO-konforme Reports |
Persönliche Haftung der Geschäftsleitung – das vergessene Thema
§ 38 BSIG ist der Paragraph, der in deutschen Vorstandsetagen für schlaflose Nächte sorgen wird, sobald er ernst genommen wird. Die Geschäftsleitung haftet persönlich für:
- Die Umsetzung der Risikomanagementmaßnahmen nach § 30
- Die Aufsicht über deren Wirksamkeit
- Die rechtzeitige Meldung von Sicherheitsvorfällen
- Die regelmäßige eigene Schulung in IT-Sicherheitsfragen
Bei nachgewiesenen schweren Verstößen kann das BSI bei wesentlichen Einrichtungen ein temporäres Berufsverbot aussprechen. Für Geschäftsführer, die auf Compliance vertrösten oder den Datenschutzbeauftragten als „NIS2-Verantwortlichen“ einsetzen wollen, ist das ein dringender Weckruf.
Sonderfall MSP: doppelt betroffen
Managed Service Provider sind in der NIS2-Architektur zweifach in der Pflicht: Sie sind selbst regulierte Einrichtung (Sektor „digitale Dienste / verwaltete Sicherheitsdienste“) und sie sind Teil der Lieferkette ihrer Kunden – und damit Prüfgegenstand bei jeder Kundenauditierung.
Wie geht es weiter?
Zwei Entwicklungen sind in den kommenden Monaten relevant:
- KRITIS-Dachgesetz in Kraft seit 17. März 2026 – ergänzt NIS2 um physische Resilienzanforderungen für kritische Anlagen
- EU Cyber Security Act 2 (CSA2) – die EU-Kommission hat Anfang 2026 erste Anpassungsvorschläge zur NIS2-Richtlinie publiziert; einzelne Schwellenwerte könnten sich verändern
- Aktive BSI-Audits – ab Q2 2026 sind erste systematische Prüfungen angekündigt, Fokus auf mittlere Einrichtungen mit hohem Risikoprofil