NIS2 Umsetzung – Der Schritt-für-Schritt-Plan für Unternehmen

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Ohne Übergangsfrist. Trotzdem haben viele betroffene Unternehmen die Umsetzung noch nicht abgeschlossen. Manche haben noch nicht einmal angefangen. Wer jetzt noch keinen Plan hat, riskiert Bußgelder bis 10 Millionen Euro und die persönliche Haftung der Geschäftsführung.

Dieser Artikel liefert den konkreten Fahrplan: Sieben Schritte von der Betroffenheitsanalyse bis zur vollständigen NIS2-Compliance. Mit Timeline, Zuständigkeiten und einer Checkliste zum Abhaken.

Warum die NIS2 Umsetzung nicht warten kann

Das NIS2UmsuCG gilt seit Tag eins. Das BSI kann bereits Audits anordnen, Mängelbeseitigungspläne einfordern und bei besonders wichtigen Einrichtungen sogar die Geschäftstätigkeit vorübergehend untersagen. Die BSI-Registrierungsfrist ist im März 2026 abgelaufen. Wer sich noch nicht registriert hat, verstößt bereits gegen geltendes Recht.

Dazu kommt: Die Lieferkette wartet nicht. Große Auftraggeber fordern von ihren Zulieferern bereits jetzt NIS2-Konformitätsnachweise. Wer diese nicht liefern kann, verliert Aufträge. Mehr dazu in unserem Artikel NIS2 Lieferantenaudit: So bestehen KMU als Zulieferer.

NIS2 umsetzen in 7 Schritten

1. Betroffenheitsanalyse durchführen Prüfen Sie, ob Ihr Unternehmen direkt unter NIS2 fällt: ab 50 Mitarbeitende oder 10 Mio. € Umsatz in einem der 18 Sektoren. Prüfen Sie zusätzlich, ob Sie über die Lieferkette betroffen sind — etwa als Zulieferer für Energieversorger, Kliniken oder Logistikunternehmen. Nutzen Sie unseren NIS2-Betroffenheitscheck.
2. BSI-Registrierung abschließen Betroffene Unternehmen müssen sich beim BSI registrieren und eine Kontaktstelle für Cybersicherheitsvorfälle benennen. Falls noch nicht geschehen: sofort nachholen. Die Frist ist bereits abgelaufen.
3. Gap-Analyse: Ist-Zustand erheben Erfassen Sie systematisch, welche der zehn Maßnahmenbereiche nach §30 BSIG-neu bereits umgesetzt sind. Dazu gehören Risikoanalyse, Vorfallsbewältigung, Business Continuity, Backup-Management, Lieferkettensicherheit, Kryptografie und Multifaktor-Authentifizierung. Dokumentieren Sie jede Lücke.
4. Risikomanagement aufbauen Erstellen Sie eine systematische Risikoanalyse für Ihre Netz- und Informationssysteme. Definieren Sie technische Maßnahmen (Verschlüsselung, Zugangskontrolle, Netzwerksegmentierung) und organisatorische Maßnahmen (Sicherheitsrichtlinien, Zuständigkeiten, Prozesse). Der BSI IT-Grundschutz liefert dafür konkrete Bausteine.
5. Incident-Response-Plan erstellen Definieren Sie, wer im Ernstfall was tut. Die 24-Stunden-Frist für die Frühwarnung ans BSI lässt keinen Spielraum für Improvisation. Innerhalb von 72 Stunden folgt der detaillierte Bericht, nach einem Monat der Abschlussbericht. Testen Sie den Prozess mit einer Übung.
6. Lieferkettensicherheit herstellen Identifizieren Sie kritische Zulieferer und Dienstleister. Bewerten Sie deren Sicherheitsmaßnahmen. Schließen Sie vertragliche Vereinbarungen zur Cybersicherheit. Unser Hugo Shield unterstützt Sie dabei mit Self-Assessments und einem Dashboard für die laufende Überwachung.
7. Schulung und Dokumentation Schulen Sie alle relevanten Mitarbeitenden — einschließlich der Geschäftsführung. Dokumentieren Sie alle Maßnahmen lückenlos. Das BSI kann jederzeit Nachweise anfordern. Ohne Dokumentation gibt es keine Compliance.

Timeline: Wann muss was stehen?

Die folgende Übersicht zeigt den realistischen Zeitplan für Unternehmen, die jetzt mit der NIS2 Umsetzung starten:

Zeitraum	Maßnahme	Priorität
Sofort	BSI-Registrierung nachholen (falls versäumt)	Kritisch
Woche 1–2	Betroffenheitsanalyse und Gap-Analyse	Hoch
Monat 1–2	Risikomanagement und Sicherheitskonzepte	Hoch
Monat 2–3	Incident-Response-Plan und Meldeprozesse	Hoch
Monat 3–4	Lieferkettenbewertung und vertragliche Anpassungen	Mittel
Monat 4–5	Schulungen durchführen und dokumentieren	Mittel
Laufend	Überwachung, Tests und kontinuierliche Verbesserung	Dauerhaft

Die 10 Maßnahmenbereiche nach §30 BSIG-neu

Das NIS2UmsuCG fordert technische und organisatorische Maßnahmen in zehn Bereichen. Jeder Bereich muss dokumentiert und nachweisbar umgesetzt sein:

1. Risikoanalyse und Sicherheitskonzepte — systematische Bewertung der Bedrohungen für Ihre IT-Systeme
2. Bewältigung von Sicherheitsvorfällen — Incident-Response-Prozesse mit definierten Eskalationsstufen
3. Business Continuity und Krisenmanagement — Notfallpläne und Wiederherstellung nach einem Vorfall
4. Sicherheit der Lieferkette — Bewertung und Überwachung aller Zulieferer und Dienstleister
5. Sicherheit bei Erwerb, Entwicklung und Wartung — Secure Development Lifecycle
6. Bewertung der Wirksamkeit — regelmäßige Tests und Audits der eigenen Maßnahmen
7. Cyberhygiene und Schulungen — Awareness-Programme für alle Mitarbeitenden
8. Kryptografie und Verschlüsselung — Verschlüsselung sensibler Daten in Transit und at Rest
9. Personalsicherheit und Zugangskontrollen — Berechtigungsmanagement und Authentifizierung
10. Multi-Faktor-Authentifizierung — MFA für alle kritischen Systeme und Fernzugriffe

Weiterführende Details finden Sie in der ENISA NIS2 Technical Implementation Guidance und bei der Bundesregierung zum NIS2UmsuCG.

Checkliste: NIS2-Readiness-Check

Nutzen Sie diese Checkliste, um den Stand Ihrer NIS2 Umsetzung zu prüfen:

Grundlagen

• Betroffenheitsanalyse durchgeführt (direkt und Lieferkette)
• BSI-Registrierung abgeschlossen
• Kontaktstelle für Sicherheitsvorfälle benannt
• Geschäftsführung über persönliche Haftung informiert

Risikomanagement

• Systematische Risikoanalyse dokumentiert
• Technische Maßnahmen umgesetzt (Verschlüsselung, Zugangskontrolle, Segmentierung)
• Organisatorische Maßnahmen definiert (Richtlinien, Zuständigkeiten, Prozesse)
• Business-Continuity-Plan erstellt und getestet

Incident Response

• Incident-Response-Plan vorhanden
• 24h-Meldeprozess ans BSI definiert
• Eskalationskette dokumentiert
• Notfallübung durchgeführt

Lieferkette

• Kritische Zulieferer identifiziert
• Sicherheitsbewertung der Zulieferer durchgeführt
• Vertragliche Vereinbarungen zur Cybersicherheit geschlossen

Schulung und Dokumentation

• Geschäftsführung geschult (Pflicht nach NIS2)
• Mitarbeiterschulungen durchgeführt und dokumentiert
• Alle Maßnahmen lückenlos dokumentiert

Häufige Fehler bei der NIS2 Umsetzung

“Das betrifft uns nicht.” Viele Unternehmen unterschätzen die Lieferkettenanforderung. Auch wer nicht direkt unter NIS2 fällt, kann über Kundenbeziehungen betroffen sein. Lesen Sie dazu: NIS2 und die Lieferkette.

“Das macht die IT-Abteilung.” Die Geschäftsführung kann die Verantwortung nicht delegieren. §38 NIS2UmsuCG verlangt die persönliche Genehmigung und Überwachung der Maßnahmen durch die Geschäftsleitung.

“Wir haben eine Firewall und Virenscanner.” NIS2 verlangt ein systematisches Risikomanagement in zehn Bereichen. Einzelne technische Maßnahmen reichen nicht aus. Es geht um Prozesse, Dokumentation und Nachweisbarkeit.

“Wir warten auf konkretere Vorgaben.” Das Gesetz gilt bereits. Das BSI kann jederzeit Audits anordnen. Warten ist keine Option.

Wie NIS2 und bestehende Standards zusammenspielen

Unternehmen, die bereits ein ISMS nach BSI Grundschutz oder ISO 27001 betreiben, haben einen Vorsprung. Viele NIS2-Anforderungen decken sich mit bestehenden Kontrollen. Trotzdem gibt es Anpassungsbedarf — insbesondere bei den Meldepflichten, der Lieferkettenbewertung und der dokumentierten Einbindung der Geschäftsführung.

Wer noch kein ISMS hat, sollte die NIS2 Umsetzung als Anlass nehmen, eines aufzubauen. Die Grundlagen dazu finden Sie in unserem Artikel NIS2 für den Mittelstand und in der NIS-2-Richtlinie einfach erklärt.

NIS2-Umsetzung für Hamburger Unternehmen

Hamburg ist Deutschlands größter Seehafen und ein Knotenpunkt für Logistik, Energie und maritime Wirtschaft. Hafenbetreiber, Terminalbetreiber und Energieversorger in der Region fallen direkt unter NIS2. Aber auch ihre Zulieferer — von der IT-Firma in Altona bis zum Ingenieurbüro in Harburg — brauchen NIS2-konforme Prozesse, wenn sie Aufträge behalten wollen. Unsere NIS2-Beratung in Hamburg führt Sie durch alle sieben Schritte — vor Ort in der Metropolregion.

Häufige Fragen (FAQ)

Welche Unternehmen sind von NIS2 betroffen?

NIS2 betrifft Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in 18 definierten Sektoren – darunter Energie, Gesundheit, IT-Dienstleister, verarbeitendes Gewerbe und Lebensmittel. Auch kleinere Unternehmen in der Lieferkette können betroffen sein.

Bis wann muss NIS2 umgesetzt sein?

Die EU-Richtlinie hätte bis Oktober 2024 in nationales Recht umgesetzt werden müssen. Deutschland arbeitet am NIS2-Umsetzungsgesetz (NIS2UmsuCG). Betroffene Unternehmen sollten jetzt mit der Umsetzung beginnen, um bei Inkrafttreten bereit zu sein.

Was sind die wichtigsten Maßnahmen nach NIS2?

§ 30 BSIG-neu nennt 10 Bereiche: Risikoanalyse, Incident Management, Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement, Schulungen, Kryptografie, Zugangskontrollen, Multi-Faktor-Authentifizierung und sichere Kommunikation.

Welche Strafen drohen bei NIS2-Verstößen?

Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Zusätzlich haften Geschäftsführer persönlich.

Wie hängen NIS2 und ISO 27001 zusammen?

NIS2 und ISO 27001 überschneiden sich stark. Wer bereits ein ISMS nach ISO 27001 betreibt, erfüllt viele NIS2-Anforderungen. Es bleiben aber NIS2-spezifische Pflichten wie Meldepflichten und Lieferkettensicherheit, die zusätzlich umgesetzt werden müssen.