Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist, ohne Schonfrist. Wer in einem der 18 betroffenen Sektoren tätig ist und die Schwellenwerte erreicht, muss jetzt handeln: BSI-Registrierung nachholen, zehn Risikomanagement-Pflichten nach §30 BSIG umsetzen und eine Meldekette für Sicherheitsvorfälle aufbauen. Diese Anleitung gibt dir einen konkreten Umsetzungs-Fahrplan – vom Entscheidungsbaum über die BSI-Registrierung bis zur persönlichen Geschäftsführer-Haftung nach §38 BSIG.

Voraussetzungen

Gültige Steuernummer und ELSTER-Zugangsdaten der Organisation (nicht nur persönliches ELSTER-Zertifikat)
Unternehmensangaben bereit: Handelsregisternummer, Mitarbeiterzahl (VZÄ), Jahresumsatz und Bilanzsumme des letzten Geschäftsjahres
Klarheit über den eigenen NIS2-Sektor (Anhang I oder II des NIS2UmsuCG)
Benannte Kontaktperson Cybersicherheit mit 24/7-Erreichbarkeit (Name, Telefon, E-Mail)
Bestandsaufnahme bestehender Sicherheitsmaßnahmen für die Gap-Analyse
Incident-Response-Kontaktliste (IT-Dienstleister, Anwalt, Cyber-Versicherer)
Zeitbudget: ca. 3 Tage für Registrierung und Gap-Analyse; Gesamtprojekt 4–12 Wochen je nach Unternehmensgröße
Budget für erste Quick-Wins: realistisch 5.000–30.000 EUR je nach Ausgangslage

Schritt 1: Bist du überhaupt betroffen? – Entscheidungsbaum

Bevor du in die Umsetzung investierst, kläre die Betroffenheit verbindlich. Der Entscheidungsbaum folgt drei Stufen:

BETROFFENHEITSPRÜFUNG NIS2 (§28 BSIG)
=======================================

Frage 1: Ist dein Unternehmen in einem der 18 NIS2-Sektoren tätig?
  NEIN --> Grundsätzlich nicht betroffen.
           ABER: Zulieferer-Kaskade prüfen (§30 Abs. 2 Nr. 4 BSIG)!
           Wenn dein Kunde NIS2-betroffen ist, wirst du vertraglich
           zur Einhaltung verpflichtet werden.
  JA   --> weiter mit Frage 2

Frage 2: Erfüllt dein Unternehmen MINDESTENS EINE dieser Bedingungen?
  a) >= 50 Vollzeitäquivalent-Mitarbeiter
  b) Jahresumsatz >= 10 Mio. EUR
  c) Bilanzsumme >= 10 Mio. EUR
  NEIN --> Unter dem Schwellenwert. Ausnahme:
           DNS-Resolver, TLD-Registry, Trust Services -> immer betroffen
  JA   --> NIS2-betroffen! weiter mit Frage 3

Frage 3: Einordnung Kritikalität (bestimmt Bußgeldrahmen):
  Sektor Anhang I (Energie, Transport, Banken, Gesundheit,
  Trinkwasser, Abwasser, digitale Infrastruktur, IKT-B2B,
  öffentliche Verwaltung, Weltraum, Finanzmarkt)
    --> Besonders wichtige Einrichtung (bwE)
    --> Bußgeld bis 10 Mio. EUR oder 2 % Weltjahresumsatz
  Sektor Anhang II (Post/Kurier, Abfall, Chemie, Lebensmittel,
  verarbeitendes Gewerbe/Maschinenbau, digitale Dienste, Forschung)
    --> Wichtige Einrichtung (wE)
    --> Bußgeld bis 7 Mio. EUR oder 1,4 % Umsatz

Achtung Fallstrick: „Wir haben nur 30 Mitarbeiter" reicht nicht als Entlastung. Es genügt eine Schwelle – also Umsatz oder Mitarbeiter. Wer im verarbeitenden Gewerbe tätig ist und 11 Mio. EUR Umsatz macht, ist betroffen – auch mit 35 Mitarbeitern.

Kategorie	Schwelle	Beispielsektoren	Bußgeld max.
Besonders wichtige Einrichtung	≥ 50 MA oder ≥ 10 Mio. EUR + Anhang-I-Sektor	Energie, Gesundheit, Banken, Transport	10 Mio. EUR / 2 % Umsatz
Wichtige Einrichtung	≥ 50 MA oder ≥ 10 Mio. EUR + Anhang-II-Sektor	Maschinenbau, Chemie, Lebensmittel, Forschung	7 Mio. EUR / 1,4 % Umsatz
Nur Registrierungsverstoß	Beides oben, aber keine Registrierung	alle Sektoren	5 Mio. EUR

Schritt 2: BSI-Registrierung – zweistufig und konkret

Die Registrierungsfrist war der 6. März 2026. Falls du noch nicht registriert bist: Sofortige Nachregistrierung ist möglich und signalisiert dem BSI Kooperationswillen. Vollständige Nichtregistrierung ist das riskanteste Signal, das du senden kannst.

Stufe A: ELSTER-Organisationszertifikat beantragen

Wichtig: Viele Unternehmen haben nur ein persönliches ELSTER-Zertifikat. Du brauchst das Organisationszertifikat unter „Mein Unternehmenskonto" (MUK). Das dauert 2–5 Werktage – starte damit sofort.

Schritt A1: ELSTER-Portal öffnen
  URL: https://www.elster.de/eportal/start

Schritt A2: "Mein Unternehmenskonto (MUK)" aufrufen
  --> "Organisation registrieren" wählen

Schritt A3: Pflichtdaten eingeben
  - Steuernummer der Organisation
  - ELSTER-Zugangsdaten (falls bereits vorhanden)
  - Firmenname + Adresse

Schritt A4: Zertifikat herunterladen
  - Dauer: ca. 2–5 Werktage per Post/Download
  - Sicher aufbewahren (passwortgeschützte .pfx/.p12-Datei)

Stufe B: BSI-Portal-Registrierung

Schritt B1: BSI-Portal aufrufen
  URL: https://portal.bsi.bund.de
  (Portal freigeschaltet seit 6. Januar 2026)

Schritt B2: Login mit ELSTER-Organisationszertifikat

Schritt B3: Unternehmensprofil anlegen – Pflichtfelder:
  - Firmenname und Handelsregisternummer
  - Sektor (Anhang I oder II NIS2UmsuCG genau angeben)
  - Unternehmensgröße: Mitarbeiterzahl (VZÄ), Jahresumsatz, Bilanzsumme
  - Kontaktperson Cybersicherheit (Name, E-Mail, Telefon)
  - 24/7-Notfallkontakt (muss wirklich rund um die Uhr erreichbar sein!)
  - Technischer Ansprechpartner (kann identisch mit Notfallkontakt sein)

Schritt B4: Registrierung abschließen und Bestätigung speichern

Notfall-Meldung ohne Registrierung (für akute Vorfälle, wenn die Registrierung noch nicht abgeschlossen ist):

https://mip2.bsi.bund.de/de/meldungen/meldung-ohne-registrierung-erstellen/?meldestelle=10&formular=32

Schritt 3: Gap-Analyse – die 10 §30-Pflichten bewerten

§30 Abs. 2 BSIG definiert zehn Risikomanagement-Pflichten. Bewerte für jede Pflicht den Ist-Zustand ehrlich. Die folgende Tabelle dient als Arbeitsvorlage:

#	Pflicht nach §30 Abs. 2 BSIG	Vorhanden?	Dokumentiert?
1	Risikoanalyse & Sicherheitskonzept	J / N	J / N
2	Incident Management / Incident Response Plan	J / N	J / N
3	Betriebskontinuität (BCM), Backup & Disaster Recovery	J / N	J / N
4	Lieferkettensicherheit (Zulieferer-SLAs)	J / N	J / N
5	Sichere Systementwicklung & -beschaffung	J / N	J / N
6	Wirksamkeitsbewertung (Audits, Pentests)	J / N	J / N
7	Schulungen & Security Awareness	J / N	J / N
8	Kryptographie & Verschlüsselung	J / N	J / N
9	Personalsicherheit, Asset-Management & IAM/Zugriffskontrolle	J / N	J / N
10	MFA & gesicherte Kommunikation	J / N	J / N

Synergien nutzen: Viele Maßnahmen erfüllen mehrere Pflichten gleichzeitig. Die Anleitung zur Einführung von MFA deckt Pflicht 10 ab und stärkt gleichzeitig Pflicht 9 (Zugriffskontrolle). Ein dokumentierter Notfallplan ist Pflicht 2 (Incident Management) und gleichzeitig die Grundlage für die gesetzliche Meldekette. 3-2-1-Backup ist der Kern von Pflicht 3. ISO 27001 oder BSI IT-Grundschutz stützt gleich mehrere Pflichten mit einem einzigen Nachweisrahmen.

Schritt 4: Quick-Wins – die wichtigsten Maßnahmen sofort starten

Nicht alles ist gleich dringend. Diese fünf Maßnahmen bringen sofortigen Compliance-Effekt bei überschaubarem Aufwand:

MFA überall aktivieren (Pflicht 10 + 9): Microsoft Entra ID / Conditional Access, Duo Security oder FIDO2-Token (YubiKey). Anleitung: MFA & Conditional Access in Microsoft 365.
3-2-1-Backup sicherstellen (Pflicht 3): Drei Kopien, zwei verschiedene Medien, eine Off-Site. Tools: Veeam Backup & Replication, Acronis Cyber Protect. Backup-Wiederherstellung regelmäßig testen und dokumentieren.
Incident Response Plan schriftlich fixieren (Pflicht 2): Wen rufst du bei Ransomware an? In welcher Reihenfolge? Wer entscheidet über Abschaltung? Der Plan muss vor dem Vorfall existieren, nicht danach.
Asset-Inventar anlegen (Pflicht 9): Alle IT-Assets (Hardware, Software, Cloud-Dienste) erfassen. Ohne Inventar ist keine sinnvolle Risikoanalyse möglich.
Lieferantenverträge prüfen (Pflicht 4): Enthält dein IT-Dienstleister-Vertrag Sicherheits-SLAs? §30 Abs. 2 Nr. 4 BSIG verlangt, dass du Sicherheitsanforderungen vertraglich an Zulieferer weitergibst. Rechtsbeistand hinzuziehen.

Schritt 5: Meldekette aufbauen – 24 h / 72 h / 1 Monat

Bei einem erheblichen Vorfall tickt die Uhr ab dem Moment der Kenntnis – nicht ab dem Zeitpunkt des Angriffs. Wer intern erst stundenlang analysiert und dabei die 24-Stunden-Frist verpasst, verstößt bereits gegen das Melderecht.

Was ist ein erheblicher Vorfall? Schwerwiegende Betriebsstörung, finanzielle Verluste oder erheblicher Schaden Dritter. Konkreter Schwellenwert für IT/TK-Dienste: Schaden ab 500.000 EUR oder ab 5 % Jahresumsatz (niedrigerer Wert gilt). Ransomware mit Betriebsausfall zählt dazu. Geblockte Phishing-Mails nicht.

Vorlage: 24-Stunden-Frühwarnung

BSI-MELDUNG STUFE 1: 24-Stunden-Frühwarnung
Meldekanal: https://portal.bsi.bund.de (MIP)
Alternativ ohne Registrierung: https://mip2.bsi.bund.de/de/meldungen/meldung-ohne-registrierung-erstellen/
---------------------------------------------
Datum/Uhrzeit Kenntnisnahme:    [TT.MM.JJJJ HH:MM]
Einstufung erheblicher Vorfall: JA / NEIN / UNKLAR
Kurzbeschreibung (max. 500 Z.): [Was ist passiert – knapp und sachlich]
Verdacht auf vorsätzl. Handlung: JA / NEIN / UNKLAR
Grenzüberschreitende Auswirkung: JA / NEIN / UNKLAR
Erster Eindämmungsschritt:       [z. B. betroffene Systeme isoliert]
Ansprechpartner:                 [Name, Telefon, E-Mail]

WICHTIG: Schnelligkeit > Vollständigkeit.
Unvollständige Meldung ist besser als verspätete Meldung!

Vorlage: 72-Stunden-Vorfallsbericht

BSI-MELDUNG STUFE 2: 72-Stunden-Vorfallsbericht
(Ergänzung zur Frühwarnung, innerhalb 72 h nach Kenntnisnahme)
---------------------------------------------
Bestätigung/Korrektur Einstufung: [Aktueller Status]
Schweregrad:                       HOCH / MITTEL / NIEDRIG + Begründung
Betroffene Systeme/Dienste:        [Auflistung]
Indicators of Compromise (IOCs):   [Hashes, IPs, Domains – soweit bekannt]
Aktuelle Mitigationsmaßnahmen:     [Was wurde bisher getan]
Geschätzte Auswirkung:             [finanziell, operativ, Datenverlust]

Vorlage: 1-Monat-Abschlussbericht

BSI-MELDUNG STUFE 3: Abschlussbericht (innerhalb 1 Monat)
(Pflicht, sobald Stufe-1-Meldung ausgelöst wurde – kein Abbruch möglich)
---------------------------------------------
Finale Vorfallsbeschreibung:         [vollständig]
Root Cause Analysis:                 [Ursache, Einfallsvektor]
Chronologie:                         [Zeitstrahl Entdeckung bis Behebung]
Umgesetzte Abhilfemaßnahmen:         [technisch + organisatorisch]
Verbleibende Restrisiken:            [falls vorhanden]
Lessons Learned:                     [Was wird künftig anders gemacht]
Grenzüberschreitende Auswirkungen:   [falls relevant]

Achtung DSGVO-Doppelpflicht: Bei Vorfällen mit personenbezogenen Daten gelten beide Meldepflichten parallel: BSI nach §32 BSIG (24 h / 72 h / 1 Monat) und die zuständige Landesdatenschutzbehörde nach Art. 33 DSGVO (72 Stunden). Die Behörden sind verschieden – eine Meldung reicht nicht für beide.

Schritt 6: Geschäftsführer-Haftung nach §38 BSIG verstehen und begrenzen

§38 BSIG ist die einschneidendste Neuerung für den Mittelstand. Die wichtigsten Fakten im Überblick:

Der Geschäftsführer muss die §30-Maßnahmen persönlich billigen und deren Umsetzung überwachen.
Die Schulungspflicht (mindestens alle 3 Jahre, Teilnahme dokumentieren) ist nicht delegierbar – auch nicht an den IT-Leiter oder externen CISO.
Ein vertraglicher Haftungsverzicht durch Gesellschafter ist gesetzlich ausdrücklich verboten.
Bei schuldhafter Pflichtverletzung haftet der GF mit dem Privatvermögen gegenüber der eigenen Gesellschaft.
D&O- und Cyber-Versicherung ersetzen die Haftung nicht, begrenzen aber den Schaden.

Enthaftungsstrategie – was wirklich hilft:

Gap-Analyse dokumentiert durchführen und Ergebnis schriftlich festhalten.
Maßnahmenplan mit Prioritäten, Verantwortlichen und Deadlines erstellen.
Jede umgesetzte Maßnahme mit Datum und Nachweis archivieren (Confluence, SharePoint, Notion).
GF-Schulungsnachweis alle 3 Jahre erneuern und aufbewahren.
Externen Informationssicherheitsbeauftragten (ISB) als operative Unterstützung beauftragen – die strategische Verantwortung bleibt beim GF.
Für besonders wichtige Einrichtungen: Nachweis der §30-Umsetzung bis Dezember 2028 gegenüber dem BSI erbringen (Maßnahmen selbst sind aber ab sofort Pflicht).

Troubleshooting / Typische Fehler

„ELSTER-Login schlägt fehl im BSI-Portal" – Ursache: Persönliches ELSTER-Zertifikat statt Organisationszertifikat verwendet. Fix: Unter elster.de/eportal das Organisationszertifikat über „Mein Unternehmenskonto" neu beantragen (2–5 Werktage einkalkulieren).
„Wir wissen nicht, ob wir Anhang I oder II zugeordnet werden" – Ursache: Mischbetrieb in mehreren Sektoren. Fix: Die strengere Kategorie gilt. Im Zweifel Rechtsberatung hinzuziehen; BSI-NIS-2-Starterpaket enthält Sektor-Zuordnungshilfe.
„Unser IT-Dienstleister kümmert sich um alles" – Ursache: Missverständnis über §38-Pflichten. Fix: Der GF muss persönlich billigen und überwachen – das ist nicht delegierbar. Schriftliche Nachweise vom Dienstleister einholen, aber GF bleibt verantwortlich.
„Die 24-Stunden-Frist ist verstrichen, bevor wir intern klar waren" – Ursache: Interne Abstimmungsrunden vor der BSI-Meldung. Fix: Meldung sofort absetzen, auch wenn Analyse unvollständig ist. „Verdacht auf erheblichen Vorfall" reicht als Einstufung.
„ISO 27001 haben wir – reicht das für NIS2?" – Ursache: Verwechslung von ISMS-Standard und gesetzlicher Compliance. Fix: ISO 27001 ist ein anerkannter Nachweisrahmen, aber keine vollständige NIS2-Erfüllung. BSI-Registrierung, §38-GF-Pflichten und die dreistufige Meldekette sind eigenständig zu erfüllen.
„Wir sind Zulieferer eines NIS2-Unternehmens, aber selbst nicht betroffen" – Ursache: §30 Abs. 2 Nr. 4 BSIG-Kaskade nicht bekannt. Fix: Betroffene Kunden werden NIS2-Sicherheitsanforderungen vertraglich an euch weitergeben. Maßnahmen frühzeitig dokumentieren.

Häufige Fragen

Gilt NIS2 auch für uns als Zulieferer mit nur 30 Mitarbeitern?

Direkt nach NIS2UmsuCG seid ihr unter dem Schwellenwert und formal nicht betroffen. Jedoch verpflichtet §30 Abs. 2 Nr. 4 BSIG eure Kunden (NIS2-betroffene Einrichtungen), Sicherheitsstandards vertraglich an euch als Zulieferer weiterzugeben. Faktisch müssen viele kleinere Zulieferer NIS2-Anforderungen über Vertragsklauseln erfüllen – auch ohne direkte Gesetzespflicht.

Die Registrierungsfrist 6. März 2026 ist abgelaufen – was jetzt?

Sofortige Nachregistrierung unter portal.bsi.bund.de. Das BSI wertet späte Registrierung als Kooperationswillen positiv, während vollständige Nichtregistrierung ein erhebliches Bußgeldrisiko darstellt (bis 5 Mio. EUR allein für den Registrierungsverstoß). Es gibt aktuell noch keine Bußgeldbescheide wegen verspäteter Registrierung – aber der rechtliche Stichtag war der 6. März 2026.

Was genau ist ein „erheblicher Vorfall", der gemeldet werden muss?

Ein Vorfall gilt als erheblich bei schwerwiegenden Betriebsstörungen, finanziellen Verlusten oder erheblichem Schaden Dritter. Konkreter Schwellenwert für IT/TK-Dienste: Schaden ab 500.000 EUR oder ab 5 % Jahresumsatz – der niedrigere Wert gilt. Ransomware mit Betriebsausfall, mehrstündiger DDoS oder kompromittierte Admin-Konten zählen dazu. Geblockte Phishing-Mails nicht.

Kann der GF die NIS2-Haftung auf den IT-Leiter oder externen CISO delegieren?

Nein. §38 BSIG statuiert nicht delegierbare persönliche Pflichten: Billigung der Maßnahmen, Überwachung der Umsetzung und persönliche Schulungsteilnahme. Ein externer ISB oder CISO kann bei der Umsetzung helfen und dokumentieren – die strategische Verantwortung und persönliche Haftung verbleibt beim GF. §38 verbietet zudem den vertraglichen Haftungsverzicht durch Gesellschafter ausdrücklich.

Muss der Abschlussbericht auch eingereicht werden, wenn der Vorfall schnell behoben wurde?

Ja, wenn der Vorfall als erheblich eingestuft und die 24-Stunden-Frühwarnung ausgelöst wurde, ist der vollständige Drei-Stufen-Prozess verbindlich. Es gibt keine Möglichkeit, nach der Frühwarnung den Prozess abzubrechen. Der Abschlussbericht ist innerhalb eines Monats nach Kenntnisnahme einzureichen – unabhängig davon, wie schnell das System wieder lief.

Was kosten NIS2-Maßnahmen realistisch im Mittelstand?

Für ein Unternehmen mit 50–200 Mitarbeitern, das bereits grundlegende IT-Sicherheit betreibt, sind 5.000–15.000 EUR für Gap-Analyse, Dokumentation und erste Quick-Wins realistisch. Unternehmen mit erheblichem Nachholbedarf müssen mit 20.000–50.000 EUR und mehr rechnen. Ein Bußgeld von 7–10 Mio. EUR macht jede Investition rentabel.

Fazit

NIS2 ist keine theoretische Bedrohung mehr – das Gesetz gilt, die Pflichten sind sofort verbindlich und die Geschäftsführerhaftung ist persönlich und nicht delegierbar. Die gute Nachricht: Wer strukturiert vorgeht, profitiert doppelt. Eine belastbare IT-Sicherheitsarchitektur schützt nicht nur vor Bußgeldern, sondern vor allem vor den echten Kosten eines erfolgreichen Cyberangriffs. Starte jetzt mit dem Entscheidungsbaum, hole die BSI-Registrierung nach, führe die Gap-Analyse durch und setze die drei wichtigsten Quick-Wins um – MFA, Backup und Notfallplan. Der Rest ist Dokumentation und Kontinuität.

Weiterführende Anleitungen und Quellen

Offizielle Quellen: BSI NIS-2-Starterpaket | BSI-Portal (Registrierung & Meldung) | BSI MIP2 – Meldung ohne Registrierung