NIS2 in Deutschland: Wer betroffen ist und was gilt
Sie befinden sich: Home > News Archiv > Webmaster > NIS2 in Deutschland:...
Seit Dezember 2025 gilt in Deutschland das NIS2-Gesetz, und zwar ohne Übergangsfrist. Rund 30.000 Unternehmen müssen plötzlich strenge Sicherheitspflichten erfüllen, von Hostern bis zum Mittelstand. Wer betroffen ist und was jetzt zu tun ist.
Viele Seitenbetreiber und IT-Verantwortliche haben gehofft, der Termin würde sich noch einmal verschieben. Diese Hoffnung ist seit Dezember 2025 vom Tisch. Das deutsche NIS2-Gesetz ist in Kraft, und zwar ohne jede Übergangsfrist. Betroffene Unternehmen mussten ab dem ersten Tag strenge Sicherheitspflichten erfüllen.
Das Brisante daran: Der Kreis der Betroffenen ist riesig geworden. Rund 30.000 Unternehmen aus 18 Sektoren fallen nun darunter, darunter viele Mittelständler, aber auch Hoster, Rechenzentren und IT-Dienstleister. Und selbst wer nicht direkt betroffen ist, bekommt die Anforderungen oft über die Hintertür der Lieferkette aufgedrückt. Wer genau betroffen ist, welche Pflichten gelten und was Verstöße kosten, klären wir Schritt für Schritt.
Was steckt hinter NIS2?
Bevor wir zur Frage der Betroffenheit kommen, kurz die Einordnung. NIS2 ist eine EU-Richtlinie aus dem Jahr 2022, die ein einheitlich hohes Cybersicherheitsniveau in Europa schaffen soll. Jeder Mitgliedstaat musste sie in nationales Recht gießen.
In Deutschland geschieht das durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG, das vor allem das BSI-Gesetz reformiert. Deutschland war damit allerdings spät dran und verpasste die EU-Frist vom Oktober 2024 um mehr als ein Jahr, was sogar ein Vertragsverletzungsverfahren der EU-Kommission auslöste. Am Ende fiel die Umsetzung umso härter aus: Das Gesetz trat am 6. Dezember 2025 ohne Schonfrist in Kraft. Wer betroffen ist, war ab Tag eins in der Pflicht.
Wer ist betroffen?
Das ist die entscheidende Frage, und sie lässt sich an drei Kriterien festmachen: Sektor, Größe und Einstufung. Erst wenn alle drei zutreffen, greift das Gesetz unmittelbar.
Zunächst muss Ihr Unternehmen in einem der 18 regulierten Sektoren tätig sein. Anschließend entscheidet die Größe über die Einordnung in eine von zwei Kategorien:
| Einrichtungsart | Ab welcher Größe | Aufsicht durch das BSI | Bußgeld bis zu |
|---|---|---|---|
| Besonders wichtige Einrichtung | 250 Mitarbeiter oder 50 Mio. Euro Umsatz, in Sektoren hoher Kritikalität | proaktiv, mit aktiven Prüfungen | 10 Mio. Euro oder 2 Prozent Umsatz |
| Wichtige Einrichtung | 50 Mitarbeiter oder 10 Mio. Euro Umsatz | reaktiv, erst bei Anhaltspunkten | 7 Mio. Euro oder 1,4 Prozent Umsatz |
Wichtig dabei: Die beiden Größenkriterien gelten alternativ, eines reicht also schon aus. Bei Konzernstrukturen werden verbundene Unternehmen zusammengerechnet, und Mikro- sowie Kleinunternehmen unter 50 Mitarbeitern und unter 10 Millionen Euro Umsatz sind grundsätzlich befreit. Eine Besonderheit gilt aber gerade für unsere Zielgruppe.
Warum Hoster und IT-Dienstleister besonders betroffen sind
Viele aus der Webbranche gehen davon aus, NIS2 treffe nur klassische Versorger wie Strom- oder Wasserbetriebe. Das ist ein Trugschluss. Gerade digitale Dienstleister stehen mitten im Anwendungsbereich.
Zu den betroffenen digitalen Sektoren zählen unter anderem:
- Digitale Infrastruktur: Rechenzentren, Cloud-Anbieter, DNS-Dienste, Internet-Knotenpunkte, CDN-Netzwerke und die deutsche .de-Vergabestelle DENIC.
- IT-Dienstleistungsmanagement: Managed-Service-Provider und Managed-Security-Dienstleister, die Systeme für andere betreuen.
- Digitale Dienste: Online-Marktplätze, Suchmaschinen und soziale Netzwerke.
Für manche dieser Anbieter wie Hosting- und Cloud-Dienste gelten teils sogar abweichende Schwellenwerte, und TLD-Vergabestellen sind unabhängig von ihrer Größe erfasst. Wer also einen größeren Hosting-Betrieb, ein Rechenzentrum oder eine IT-Dienstleistung führt, sollte seine Betroffenheit dringend prüfen. Doch selbst kleinere Anbieter sind nicht automatisch außen vor.
Die Falle Lieferkette
Hier kommt der Punkt, der besonders kleine Agenturen und Freelancer überrascht. NIS2 wirkt über die Lieferkette weiter, und zwar mit voller Wucht.
Das Gesetz verpflichtet betroffene Unternehmen ausdrücklich, die Sicherheit ihrer Lieferkette zu gewährleisten. In der Praxis bedeutet das: Auch wenn Sie selbst nicht unter NIS2 fallen, werden Ihre NIS2-pflichtigen Kunden Sicherheitsnachweise, Audit-Rechte und Meldeklauseln in Ihre Verträge schreiben. Wer also Software, Cloud-Leistungen oder IT-Wartung für ein betroffenes Unternehmen erbringt und Zugang zu dessen Systemen hat, bekommt die Anforderungen vertraglich durchgereicht. Cybersicherheit wird damit zum harten Kriterium bei der Auftragsvergabe.
Die wichtigsten Pflichten im Ãœberblick
Steht die Betroffenheit fest, beginnt die eigentliche Arbeit. Das Gesetz verlangt im Kern vier Dinge, die Sie kennen müssen.
Die erste Pflicht ist die Registrierung beim BSI über dessen Online-Portal, für die Sie ein ELSTER-Organisationszertifikat benötigen. Die offizielle Frist lief bereits am 6. März 2026 ab, eine verspätete Registrierung ist aber weiter möglich und dringend ratsam. Die zweite Pflicht ist das Risikomanagement nach Paragraf 30, das technische und organisatorische Maßnahmen in zehn Bereichen verlangt, darunter:
- Risikoanalyse und Sicherheitskonzepte für die IT-Systeme.
- Backups, Notfallwiederherstellung und Krisenmanagement.
- Sicherheit der Lieferkette gegenüber Zulieferern.
- Schwachstellenmanagement bei Beschaffung, Entwicklung und Wartung.
- Schulungen, Verschlüsselung und Mehrfaktor-Authentifizierung.
Solche Maßnahmen sind kein Selbstzweck, denn aktiv ausgenutzte Sicherheitslücken sind längst Alltag, wie zuletzt die LiteSpeed-cPanel-Lücke auf Hosting-Servern gezeigt hat. Die dritte Pflicht betrifft die Meldung von Sicherheitsvorfällen, und die folgt einem strengen Zeitplan:
| Frist nach Kenntnis | Was zu übermitteln ist |
|---|---|
| 24 Stunden | eine erste Frühwarnung über den Vorfall |
| 72 Stunden | eine ausführlichere Meldung mit erster Bewertung |
| 1 Monat | ein Abschlussbericht mit Ursachen und Maßnahmen |
Die vierte Pflicht schließlich trifft die Chefetage direkt, und das macht NIS2 besonders ernst.
Die Geschäftsleitung haftet persönlich
Anders als bei vielen früheren Regeln können Geschäftsführer die Verantwortung hier nicht einfach delegieren. Das Gesetz nimmt sie persönlich in die Pflicht.
Die Geschäftsleitung muss die Risikomanagementmaßnahmen nicht nur billigen, sondern auch deren Umsetzung überwachen und sogar selbst Schulungen absolvieren. Bei grober Pflichtverletzung haftet sie persönlich, im Extremfall droht sogar eine Untersagung der Geschäftsleitung. Cybersicherheit ist damit endgültig Chefsache und kein reines IT-Thema mehr.
Was bei Verstößen droht
Die möglichen Strafen sind eine ganz andere Hausnummer als früher. Das alte IT-Sicherheitsgesetz sah maximal 100.000 Euro vor, NIS2 spielt in einer höheren Liga.
Besonders wichtige Einrichtungen riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei wichtigen Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 Prozent. Hinzu kommt die persönliche Haftung der Geschäftsleitung. Trotz dieser Dimension unterschätzen laut dem Cyber Security Report 2026 rund 48 Prozent der Unternehmen ihre Betroffenheit, bei umsatzstarken Kleinunternehmen sind es sogar 92 Prozent. Genau das macht eine nüchterne Prüfung so wichtig.
Was Sie jetzt tun sollten
Aus all dem ergibt sich eine klare Reihenfolge für die nächsten Schritte. Wer jetzt strukturiert vorgeht, vermeidet beim ersten Audit böse Überraschungen.
- Betroffenheit prüfen. Gleichen Sie Sektor und Größe ab und denken Sie an Konzern- und Lieferkettenbeziehungen. Die Betroffenheitsprüfung des BSI hilft als Orientierung, ist aber rechtlich nicht bindend, deshalb dokumentieren Sie Ihr Ergebnis selbst.
- Beim BSI registrieren. Holen Sie das ELSTER-Zertifikat und tragen Sie sich im Portal ein, auch wenn die Frist bereits verstrichen ist.
- IT-Bestand aufnehmen. Erfassen Sie alle Systeme, Berechtigungen und Abhängigkeiten, denn ohne diese Transparenz gibt es kein belastbares Risikomanagement.
- Maßnahmen umsetzen. Bauen Sie die zehn Bereiche aus Paragraf 30 auf und dokumentieren Sie sie nachvollziehbar.
- Meldeprozess einrichten. Stellen Sie organisatorisch sicher, dass Sie die Fristen von 24 und 72 Stunden sowie einem Monat einhalten können.
- Geschäftsleitung einbinden. Sorgen Sie für die nötigen Schulungen und die formale Freigabe der Maßnahmen.
Niemand muss dabei bei null anfangen, denn viele Bausteine sind aus anderen Standards bereits bekannt.
NIS2 und andere Vorgaben
Falls Sie schon ein Informationssicherheits-Managementsystem betreiben, haben Sie einen Vorsprung. Die Pflichten überschneiden sich mit etablierten Normen erheblich.
Ein bestehendes ISMS nach ISO 27001 deckt erfahrungsgemäß 70 bis 80 Prozent der NIS2-Anforderungen ab. Die verbleibenden Lücken betreffen vor allem die BSI-Registrierung, das gestufte Meldeverfahren und die Pflichten der Geschäftsleitung. NIS2 steht zudem nicht allein: Es ergänzt sich mit dem KRITIS-Dachgesetz für physische Resilienz, das seit März 2026 gilt, und mit dem Cyber Resilience Act für die Sicherheit von Produkten. Wer ein dauerhaftes Sicherheitssystem aufbaut, erfüllt damit gleich mehrere dieser Vorgaben.
Häufige Fragen
Rund um NIS2 tauchen immer wieder dieselben Fragen auf. Die wichtigsten beantworten wir hier.
Gilt NIS2 in Deutschland schon?
Ja. Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft, und zwar ohne Ãœbergangsfrist. Die Pflichten gelten seitdem unmittelbar.
Bin ich als kleiner Betrieb betroffen?
Unternehmen unter 50 Mitarbeitern und unter 10 Millionen Euro Umsatz sind grundsätzlich nicht direkt betroffen. Über die Lieferkette eines größeren Kunden oder als Sonderfall wie ein DNS-Anbieter können die Pflichten aber trotzdem greifen.
Reicht eine Zertifizierung nach ISO 27001?
Sie ist eine sehr gute Grundlage und deckt einen Großteil der Anforderungen ab. NIS2-spezifische Pflichten wie die BSI-Registrierung, das Meldeverfahren und die Geschäftsleitungspflichten müssen Sie aber zusätzlich erfüllen.
Sind Webhoster von NIS2 betroffen?
Ja, sofern sie die Größenschwellen erreichen. Hosting-, Cloud- und Rechenzentrumsdienste zählen zur digitalen Infrastruktur und damit zum Kern des Anwendungsbereichs, teils mit eigenen Schwellenwerten.
Was kostet ein Verstoß?
Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen. Hinzu kommt die persönliche Haftung der Geschäftsführung.
Das Fazit
NIS2 ist keine ferne Drohung mehr, sondern geltendes Recht mit scharfen Sanktionen und einem riesigen Anwendungsbereich. Für die Webbranche ist das besonders relevant, weil Hoster, Rechenzentren und IT-Dienstleister mitten im Fokus stehen und selbst kleine Zulieferer über die Lieferkette in die Pflicht geraten. Die gute Nachricht: Wer jetzt seine Betroffenheit prüft, sich registriert und ein solides Risikomanagement aufbaut, erfüllt nicht nur das Gesetz, sondern macht seine Systeme tatsächlich sicherer. Abwarten ist angesichts der Bußgelder und der persönlichen Haftung jedenfalls die schlechteste Option.
Wie gehen Sie mit NIS2 um?
Ist Ihr Unternehmen von NIS2 betroffen, und wie weit sind Sie mit der Umsetzung? Haben Sie sich schon beim BSI registriert, oder kämpfen Sie noch mit der Frage der Betroffenheit? Schreiben Sie Ihre Erfahrungen in die Kommentare. Gerade Berichte aus der Praxis, wie aufwendig die Umsetzung wirklich ist, helfen anderen Seitenbetreibern und Dienstleistern hier direkt weiter.
nis2 Übergangsfrist erfüllen sicherheitspflichten strenge gehofft
Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.
Neusten News in der Kategorie "Webmaster"
| • Passkeys statt Passwörter: Ratgeber für Webmaster Passwörter gelten als das schwächste Glied der Sicherheit. Passkeys so... |
| • CVE-2026-54420: LiteSpeed-cPanel-Lücke wird ausgenutzt Eine kritische Lücke im LiteSpeed-Plugin für cPanel wird bereits aktiv... |
| • Neuer KI-Bericht in der Google Search Console erklärt Seit Juni 2026 zeigt die Google Search Console endlich, wie oft Ihre S... |
| • llms.txt: Hype oder Pflicht für SEO und Webmaster? Kaum eine Datei wurde 2025 so gehypt wie llms.txt. Doch eine Analyse v... |
| • FAQ Rich Snippets sind weg: Schema jetzt entfernen? Jahrelang war FAQ-Schema ein einfacher Trick für mehr Platz in der Goo... |
| • Gmail lehnt Mails ab: SPF, DKIM und DMARC einrichten Seit Ende 2025 prallen Mails ohne saubere Authentifizierung an Gmail u... |
| • HTTP/2 Bomb: Webserver-Lücke trifft Apache und nginx Ein einzelner Heim-PC mit normaler Leitung genügt, um einen Webserver ... |
| • PHP 8.5 Upgrade: jetzt oder doch bei 8.4 bleiben? PHP 8.1 ist tot, PHP 8.2 läuft Ende 2026 aus, ein Upgrade steht also a... |
| • KI-Crawler blocken, zur Kasse bitten oder zulassen? GPTBot, ClaudeBot und PerplexityBot überziehen Webseiten mit Anfragen.... |
| • UpdraftPlus-Lücke löst Supply-Chain-Angriff aus Erst war es nur eine Lücke im Backup-Plugin UpdraftPlus. Dann gelangte... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.