Zum Hauptinhalt springen
UmgesetztNIS2

NIS2 in Deutschland

Deutschland hat NIS2 durch das NIS2UmsuCG (KRITIS-Dachgesetz) umgesetzt. Das BSI ist die primäre Aufsichtsbehörde mit Bußgeldern bis zu 10 Mio. €.

Umsetzungsgesetz
NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
In Kraft
17. Oktober 2024
Zuständige Behörde
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Max. Bußgeld (Wesentliche)
€10 Mio. oder 2 % des weltweiten Jahresumsatzes
Max. Bußgeld (Wichtige)
€7 Mio. oder 1,4 % des weltweiten Jahresumsatzes
Vollständige Durchsetzung
März 2025

Wichtige Fristen

Gesetz in Kraft
17. Oktober 2024
Selbstregistrierungsfrist
17. Januar 2025
Vollständige Durchsetzung
1. März 2025

Zuständige Behörde

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Primäre NIS2-Aufsichtsbehörde für die meisten Sektoren
https://www.bsi.bund.de

Das BSI führt proaktive Prüfungen für Wesentliche Einrichtungen und reaktive Aufsicht für Wichtige Einrichtungen durch. Einrichtungen müssen sich über das BSI-Portal selbst registrieren.

Registrierungsprozess

Registrierung über die BSI-Meldeplattform unter meldeplattform.bsi.bund.de. Benötigt werden Handelsregisternummer, Sektoreinstufung und ein benannter Sicherheitskontakt.

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Wesentliche Anforderungen

  • 1Selbstregistrierung beim BSI innerhalb von 3 Monaten nach Eintreten der Betroffenheit
  • 2ISMS basierend auf ISO 27001 oder BSI IT-Grundschutz empfohlen
  • 324-Stunden-Frühwarnung an das BSI bei erheblichen Vorfällen
  • 472-Stunden-Vollmeldung mit Folgenabschätzung
  • 5Abschlussbericht innerhalb eines Monats
  • 6Persönliche Haftung der Geschäftsleitung für Compliance
  • 7Pflichtmäßige Lieferanten- und Lieferketten-Risikobewertungen
  • 8Multi-Faktor-Authentifizierung für den Fernzugriff erforderlich

Nationale Besonderheiten

Das KRITIS-Dachgesetz führt neben NIS2-Cybersicherheitspflichten physische Resilienzanforderungen für KRITIS-Betreiber ein
Deutschland hat den NIS2-Anwendungsbereich auf bestimmte mittelgroße Energie- und Wasserversorger unterhalb der EU-Schwellenwerte ausgeweitet
Bundesbehörden sind in der deutschen NIS2-Umsetzung eingeschlossen

Häufige Fragen zu NIS2 in Deutschland

Ist ISO 27001 in Deutschland Pflicht?
ISO 27001 ist nicht gesetzlich vorgeschrieben, wird aber vom BSI als Nachweismöglichkeit für die Erfüllung der Artikel-21-Sicherheitsmaßnahmen dringend empfohlen. BSI IT-Grundschutz ist eine gleichwertige Alternative.
Wer muss sich beim BSI registrieren?
Alle Wesentlichen und Wichtigen Einrichtungen gemäß NIS2UmsuCG müssen sich selbst registrieren. Dies umfasst Betreiber in den Bereichen Energie, Verkehr, Wasser, digitale Infrastruktur, Gesundheit, Banken und Finanzmärkte.
Sind kleinere deutsche Unternehmen betroffen?
Es gelten die Standardschwellenwerte (250+ Mitarbeiter oder 50 Mio. € Umsatz für Wesentliche Einrichtungen; 50+ Mitarbeiter oder 10 Mio. € für Wichtige Einrichtungen). Deutschland hat den Bereich für einige Energie- und Wassersektoren ausgeweitet.

Bereit für die NIS2-Compliance?

Nutzen Sie unsere kostenlosen Tools, um Ihren NIS2-Status zu prüfen und eine Lückenanalyse durchzuführen.

🎯 Anwendungsbereichsprüfung📊 Lückenanalyse