NIS2-Pflichten — Was Unternehmen jetzt wissen müssen

Die NIS2-Richtlinie ist seit dem 6. Dezember 2025 in Deutschland in Kraft. Über 25.000 Unternehmen fallen neu in den Anwendungsbereich — und die Geschäftsführung haftet erstmals persönlich. Für externe DSBs bedeutet NIS2 eine neue Aufgabe und eine Chance, ihren Mandanten Mehrwert zu bieten.

Wer fällt unter NIS2?

NIS2 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen. Betroffen sind Unternehmen aus 18 Sektoren — darunter Energie, Transport, Gesundheit, digitale Infrastruktur, aber auch produzierende Industrie, Lebensmittel und Post/Kurier. Die Schwellenwerte: Ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz kann ein Unternehmen in den Anwendungsbereich fallen. In Deutschland betrifft das geschätzt 25.000 Unternehmen — vorher waren es nur rund 4.500 KRITIS-Betreiber. Der Kreis hat sich also verfünffacht. Viele dieser Unternehmen wissen noch nicht, dass sie betroffen sind.

Die wichtigsten Pflichten

NIS2 verlangt umfassende Cybersicherheitsmaßnahmen: Risikoanalyse und Sicherheitskonzepte, Vorfallbehandlung (Incident Response), Business Continuity und Krisenmanagement, Sicherheit der Lieferkette, Sicherheitsmaßnahmen bei Beschaffung und Entwicklung, Schulung der Mitarbeiter in Cybersicherheit sowie Kryptografie und Verschlüsselung. Besonders wichtig: Die Meldepflicht. Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden als vollständige Meldung an das BSI übermittelt werden. Das ist deutlich strenger als die DSGVO-Meldepflicht.

Persönliche Geschäftsführer-Haftung

Die größte Neuerung: Die Geschäftsführung haftet persönlich für die Einhaltung der NIS2-Pflichten. Das bedeutet, dass Geschäftsführer und Vorstände die Cybersicherheitsmaßnahmen nicht nur genehmigen, sondern auch deren Umsetzung überwachen müssen. Schulungen sind verpflichtend. Für externe DSBs ergibt sich daraus eine neue Beratungsaufgabe: Die Geschäftsführung muss verstehen, was NIS2 von ihr verlangt. Ein kombiniertes DSGVO+NIS2-Reporting — wie es Trustee.eu bietet — hilft dabei, den Überblick zu behalten und die Haftung zu dokumentieren.

NIS2 und DSGVO — Überschneidungen nutzen

NIS2 und DSGVO haben erhebliche Überschneidungen: Beide fordern technische und organisatorische Maßnahmen, beide verlangen Vorfallmeldungen, beide setzen Risikoanalysen voraus. Wer DSGVO bereits gut umsetzt, hat einen Vorsprung bei NIS2. Als externer DSB können Sie diese Synergien nutzen: Dokumentieren Sie die Überschneidungen, vermeiden Sie Doppelarbeit und bieten Sie Ihren Mandanten einen kombinierten Compliance-Service. Trustee.eu bildet beide Regelwerke in einem Dashboard ab — mit einem einzigen Compliance-Score, der DSGVO und NIS2 berücksichtigt.

Praxis-Tipp

Prüfen Sie bei jedem Mandanten zuerst, ob NIS2 überhaupt anwendbar ist (Sektor + Schwellenwerte). Für viele KMU unter 50 Mitarbeitern gilt NIS2 nicht. Vermeiden Sie unnötige Panik — aber dokumentieren Sie die Prüfung, damit Sie nachweisen können, dass Sie den Anwendungsbereich geprüft haben.

NIS2-Compliance mit Trustee.eu
NIS2-Compliance — DSGVO und NIS2 in einem Dashboard Was ist ein Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO? Pflichten eines externen Datenschutzbeauftragten — Praxisleitfaden