Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft und stellt rund 29.500 Unternehmen in Deutschland vor neue Herausforderungen. Du fragst dich, was das für dein Unternehmen bedeutet und wo du überhaupt anfangen sollst? Keine Sorge. Dieser Leitfaden führt dich Schritt für Schritt durch alles, was du wissen musst – von der Betroffenheitsprüfung bis zum Aufbau eines anforderungsgerechten Informationssicherheitsmanagementsystems (ISMS).
Das Wichtigste zuerst: Was ist NIS2 und warum kann es zur Herausforderung werden?
Die NIS2-Richtlinie ist die Antwort der EU auf die wachsende Bedrohung durch Cyberangriffe. Sie erweitert den Kreis der betroffenen Unternehmen massiv und verschärft die Anforderungen an die IT-Sicherheit erheblich. Das Ziel: die Cyberresilienz in kritischen Sektoren zu stärken.
Für Geschäftsführer bedeutet das vor allem eines: Cybersicherheit ist jetzt Chefsache. Bei Verstößen haftet die Geschäftsleitung persönlich.
Wer ist von NIS2 betroffen? „Besonders wichtige“ vs. „wichtige“ Einrichtungen
Ob dein Unternehmen betroffen ist, hängt von zwei Kriterien ab: der Branche und der Unternehmensgröße. NIS2 unterscheidet dabei zwischen zwei Kategorien:
| Kategorie | Schwellenwerte (mindestens eines muss zutreffen) | Beispiele für Sektoren |
| Besonders wichtige Einrichtungen | ≥ 250 Mitarbeiter ODER > 50 Mio. € Umsatz & > 43 Mio. € Bilanz | u.a. Energie, Verkehr, Banken, Gesundheitswesen, Digitale Infrastruktur, Öffentliche Verwaltung |
| Wichtige Einrichtungen | ≥ 50 Mitarbeiter ODER > 10 Mio. € Umsatz/Bilanz | u.a. Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Anbieter |
Wichtig: Auch wenn du diese Schwellenwerte nicht erreichst, kannst du als Zulieferer eines betroffenen Unternehmens indirekt in die Pflicht genommen werden. Eine genaue Prüfung ist daher unerlässlich.
Der Startschuss ist gefallen: Das BSI-Portal ist live – so gehst du vor
Seit dem 6. Januar 2026 ist das offizielle BSI-Portal zur NIS2-Registrierung online. Das ist dein Startsignal. Die Registrierung muss voraussichtlich bis März 2026 erfolgen. Aber keine Panik, der Prozess ist zweistufig angelegt.
Schritt 1: „Mein Unternehmenskonto“ (MUK) jetzt einrichten
Bevor du dich im BSI-Portal registrieren kannst, benötigst du ein MUK-Konto. Dieses basiert auf der bekannten ELSTER-Authentifizierung. Unser Tipp: Erledige das sofort, um später keinen Zeitdruck zu bekommen. Hier geht es zur Anleitung für das MUK.
Schritt 2: Registrierung im BSI-Portal
Sobald dein MUK-Konto steht, kannst du die eigentliche Registrierung als NIS2-Unternehmen im BSI-Portal durchführen. Dieses Portal wird deine zentrale Anlaufstelle für alle NIS2-Themen sein, von der Meldung von Sicherheitsvorfällen bis hin zu wichtigen Lageberichten.
Zusätzliche Hilfe vom BSI: Das BSI bietet kostenlose Kick-off-Webinare an, in denen das Portal live vorgestellt wird. Die Termine und die Anmeldung findest du auf der Veranstaltungsseite des BSI.
Deine Roadmap zur NIS2-Compliance: Unser 5-Phasen-Plan
Du weißt nicht, wo du anfangen sollst? Das ist das häufigste Problem. Wir haben einen praxiserprobten 5-Phasen-Plan entwickelt, der dich strukturiert und pragmatisch ans Ziel bringt.
Phase 1: Vorprüfung Betroffenheitsanalyse
Ziel: Eindeutig klären, ob und wie dein Unternehmen von NIS2 betroffen ist.
Vorgehen: Wir analysieren deinen Sektor, deine Unternehmensgröße und deine Position in der Lieferkette. Das Ergebnis ist ein klarer Bericht, der dir zeigt, ob du handeln musst.
Phase 2: GAP-Analyse
Ziel: Die Lücken zwischen deinem aktuellen Sicherheitsniveau und den NIS2-Anforderungen aufdecken.
Vorgehen: In einer systematischen Soll-Ist-Analyse vergleichen wir deine Prozesse, Richtlinien und technischen Maßnahmen mit den gesetzlichen Vorgaben. Du erhältst einen detaillierten Bericht mit priorisierten Handlungsempfehlungen.
Phase 3: Ergebnispräsentation & Sensibilisierung
Ziel: Die Geschäftsführung ins Boot holen und die nächsten Schritte festlegen.
Vorgehen: In einem Management-Workshop präsentieren wir die Ergebnisse der GAP-Analyse. Wir übersetzen technische Befunde in verständliche Geschäftsrisiken und zeigen einen klaren Fahrplan auf.
Phase 4: Geschäftsführungsschulung
Ziel: Die gesetzliche Schulungspflicht erfüllen und die Leitungsebene für Cyberrisiken fit machen.
Vorgehen: Wir führen eine maßgeschneiderte Schulung durch, die auf die spezifischen Risiken deines Unternehmens eingeht und die persönliche Verantwortung der Geschäftsführung beleuchtet.
Phase 5: ISMS-Aufbau
Ziel: Ein nachhaltiges System zur Steuerung der Informationssicherheit implementieren.
Vorgehen: Basierend auf der GAP-Analyse bauen wir ein anforderungsgerechtes Informationssicherheitsmanagementsystem (ISMS) auf. Dabei hast du die Wahl:
- Pragmatischer Ansatz: Umsetzung der NIS2-Mindestanforderungen für eine schnelle Compliance.
- Zertifizierbarer Ansatz: Aufbau eines umfassenden ISMS nach dem international anerkannten Standard ISO 27001.
Fazit: Starte jetzt, nicht irgendwann
Die NIS2-Richtlinie ist keine ferne Zukunftsmusik mehr, sondern gelebte Realität. Die Registrierungsfristen laufen, und die Anforderungen sind klar definiert. Der Schlüssel zum Erfolg liegt darin, jetzt einen strukturierten Prozess zu starten, anstatt in Panik zu verfallen.
Beginne mit den ersten, einfachen Schritten: Richte dein MUK-Konto ein und prüfe deine Betroffenheit. Unsere detaillierte NIS2-Compliance-Roadmap kann dir dabei als perfekter Leitfaden dienen.
Unsicher, wo du anfangen sollst?
Quellen und weiterführende Links:
•BSI-Portal zur NIS2-Registrierung