Wer prüft NIS2? BSI-Aufsicht, Prüfverfahren und Sanktionen

Inhalt in Kürze

• Das BSI ist seit Dezember 2025 die zentrale Aufsichtsbehörde für NIS2 in Deutschland und überwacht rund 29.000 Unternehmen.
• Besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht mit jederzeit möglichen Audits. Wichtige Einrichtungen werden anlassbezogen geprüft.
• Bei Verstößen drohen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes — plus persönliche Geschäftsführerhaftung.
• Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Rund 18.500 Unternehmen haben sie verpasst.

Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland. Die Schonfrist ist vorbei. Das BSI hat angekündigt, nach Ablauf der Registrierungsfrist aktiv zu prüfen — und durchzusetzen. Für Geschäftsführer wird die Frage „Wer prüft NIS2?" damit sehr konkret.

Das BSI als zentrale NIS2-Aufsichtsbehörde

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zuständige Behörde. Es überwacht, ob Unternehmen die Anforderungen des NIS2-Umsetzungsgesetzes einhalten. Das BSI hat dabei deutlich mehr Befugnisse als unter dem alten IT-Sicherheitsgesetz.

Konkret darf das BSI:

• Audits und Prüfungen anordnen — auch ohne konkreten Anlass bei besonders wichtigen Einrichtungen
• Nachweise und Dokumentation anfordern (Sicherheitskonzepte, Risikoanalysen, Vorfallspläne)
• Vor-Ort-Prüfungen durchführen oder durch beauftragte Dritte durchführen lassen
• Anweisungen erteilen, wenn Mängel festgestellt werden
• Bußgelder verhängen bei Nichteinhaltung

Wesentliche vs. wichtige Einrichtungen: Der entscheidende Unterschied

Das NIS2-Umsetzungsgesetz teilt betroffene Unternehmen in zwei Kategorien ein. Diese Einteilung bestimmt, wie intensiv das BSI prüft — und wie hoch die Strafen ausfallen.

Wie läuft eine NIS2-Prüfung ab?

Das BSI setzt auf einen mehrstufigen Ansatz. Die Prüftiefe hängt von der Kategorie Ihres Unternehmens ab.

1. Registrierung: Unternehmen mussten sich bis 6. März 2026 beim BSI registrieren — mit Kontaktdaten, IP-Adressbereichen und Sektorenzuordnung. Wer das versäumt hat, wird vom BSI identifiziert und nachregistriert.
2. Nachweispflicht: Besonders wichtige Einrichtungen müssen regelmäßig nachweisen, dass sie die NIS2-Anforderungen umsetzen. Dazu gehören Risikoanalysen, Sicherheitskonzepte und Notfallpläne.
3. Audit oder Vor-Ort-Prüfung: Das BSI kann Audits durch eigene Prüfer oder beauftragte Dritte anordnen. Die Prüfung umfasst technische und organisatorische Maßnahmen.
4. Mängelbeseitigung: Bei festgestellten Lücken setzt das BSI Fristen zur Nachbesserung. Bleiben Mängel bestehen, folgen Anweisungen und Bußgelder.
5. Sanktionen: Bei anhaltender Nichteinhaltung drohen Bußgelder, öffentliche Bekanntmachung und — im Extremfall — ein vorübergehendes Verbot der Geschäftsführungstätigkeit.

Aus der Praxis: NIS2 betrifft auch die Lieferkette

Viele KMU glauben, NIS2 gehe sie nichts an. Das ist ein Irrtum. Wer für ein direkt betroffenes Unternehmen zuliefert, wird über die Lieferkette indirekt einbezogen — und muss Sicherheitsnachweise erbringen.

Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen — aber aufgrund der Lieferkette ein wichtiger Bestandteil der Unternehmen sind, die unter das Gesetz fallen.

Nils OehmichenDatenschutzberater bei frag.hugo

In der Praxis bedeutet das: Große Auftraggeber verlangen von ihren Zulieferern vertragliche Zusicherungen zur IT-Sicherheit. Wer diese nicht liefern kann, verliert Aufträge — ganz ohne BSI-Prüfung.

NIS2-Sanktionen: Was bei Verstößen droht

Die Strafen sind deutlich schärfer als unter dem alten IT-Sicherheitsgesetz. Das NIS2-Umsetzungsgesetz kennt mehrere Sanktionsstufen:

Bußgelder:

• Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
• Verstöße gegen Registrierungs- und Meldepflichten: bis zu 500.000 €

Weitere Sanktionen:

• Öffentliche Bekanntmachung von Verstößen (Naming and Shaming)
• Anordnung konkreter Sicherheitsmaßnahmen mit Fristsetzung
• Persönliche Haftung der Geschäftsleitung mit Privatvermögen
• Im Extremfall: vorübergehendes Tätigkeitsverbot für Geschäftsführer

Mehr zur persönlichen Haftung lesen Sie in unserem Artikel NIS2-Geschäftsführerhaftung: Persönliches Risiko verstehen.

NIS2-Registrierung: Die Frist ist abgelaufen

Das BSI-Portal für die NIS2-Registrierung wurde am 6. Januar 2026 aktiviert. Die Frist lief drei Monate später ab — am 6. März 2026. Nach BSI-Schätzungen haben rund 18.500 der 29.000 betroffenen Unternehmen diese Frist verpasst.

Prüfen Sie mit dem kostenlosen NIS2-Betroffenheitscheck des BSI, ob Ihr Unternehmen unter die Richtlinie fällt. Oder nutzen Sie unseren NIS2-Betroffenheitscheck für eine persönliche Einschätzung.

So bereiten Sie sich auf eine NIS2-Prüfung vor

• Betroffenheit klären. Fallen Sie unter NIS2? Prüfen Sie Sektor, Mitarbeiterzahl und Umsatz. Auch als Zulieferer können Sie betroffen sein.
• Beim BSI registrieren. Falls noch nicht geschehen — holen Sie die Registrierung sofort nach.
• Risikoanalyse durchführen. Identifizieren Sie Bedrohungen, Schwachstellen und kritische Geschäftsprozesse systematisch.
• Sicherheitsmaßnahmen dokumentieren. Das BSI fordert Nachweise. Ohne Dokumentation ist jede Maßnahme wertlos.
• Meldeprozesse einrichten. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Richten Sie klare Abläufe ein.
• Geschäftsleitung einbinden. NIS2 ist Chefsache. Die Geschäftsführung muss Sicherheitsmaßnahmen genehmigen und überwachen — und haftet persönlich.

Einen vollständigen Fahrplan finden Sie in unserem Artikel NIS2-Umsetzung Schritt für Schritt.

NIS2-Prüfung für Hamburger Unternehmen

Hamburg ist als Wirtschaftsstandort mit Hafen, Logistik, Luftfahrt und Energiewirtschaft besonders stark von NIS2 betroffen. Nicht nur die großen Infrastrukturbetreiber fallen unter das Gesetz — auch hunderte KMU-Zulieferer in der Metropolregion müssen Sicherheitsnachweise erbringen.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) arbeitet bei der NIS2-Umsetzung eng mit dem BSI zusammen. Als NIS2-Beratung in Hamburg kennen wir die Anforderungen an Hamburger Unternehmen genau — vom Hafendienstleister bis zum IT-Zulieferer.

Häufige Fragen (FAQ)

Wer ist die Aufsichtsbehörde für NIS2 in Deutschland?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichtsbehörde. Es überwacht rund 29.000 betroffene Unternehmen, kann Audits anordnen, Nachweise anfordern und Vor-Ort-Prüfungen durchführen.

Wie hoch sind die Bußgelder bei NIS2-Verstößen?

Für besonders wichtige Einrichtungen drohen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Mio. Euro oder 1,4 % des Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen bei NIS2?

Besonders wichtige Einrichtungen (z. B. Energie, Gesundheit, Digitale Infrastruktur) unterliegen einer proaktiven Aufsicht — das BSI kann jederzeit ohne Anlass prüfen. Wichtige Einrichtungen werden erst bei konkreten Anhaltspunkten oder nach gemeldeten Vorfällen geprüft.

Bis wann mussten sich Unternehmen beim BSI für NIS2 registrieren?

Die Registrierungsfrist lief am 6. März 2026 ab — drei Monate nach Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025. Rund 18.500 Unternehmen haben diese Frist nach BSI-Schätzungen verpasst.

Können Geschäftsführer bei NIS2-Verstößen persönlich haften?

Ja. Das NIS2-Umsetzungsgesetz sieht eine persönliche Haftung der Geschäftsleitung vor. Bei Pflichtverletzungen in der Cybersicherheit können Geschäftsführer mit ihrem Privatvermögen haften — unabhängig davon, ob das Unternehmen als besonders wichtige oder wichtige Einrichtung eingestuft ist.