---
title: "NIS2 einfach erklärt: Wer ist betroffen und was muss ich tun?"
date: 2026-01-07T09:20:00+01:00
author: FAST LTA
canonical_url: "https://www.fast-lta.de//de/blog/nis2-einfach-erklärt-wer-ist-betroffen-und-was-muss-ich-tun"
section: "Entries: Articles"
---
### NIS2 vs. NIS2UmsuCG: Was ist der Unter­schied? [\#](#nis2-vs-nis2umsucg-was-ist-der-unterschied "NIS2 vs. NIS2UmsuCG: Was ist der Unterschied?")

**NIS2:** Die EU-Richt­li­nie (gül­tig in allen EU-Län­dern) **NIS2UmsuCG:** Die deut­sche Umset­zung der Richt­li­nie (gül­tig ab 6. Dezem­ber 2025)

Die Inhal­te sind prak­tisch iden­tisch. Die NIS2UmsuCG inte­griert die NIS2-Vor­ga­ben ins deut­sche Recht (im neu­en §30 BSIG).

---

### Wer ist betrof­fen? Die Schwel­len­wer­te [\#](#wer-ist-betroffen-die-schwellenwerte "Wer ist betroffen? Die Schwellenwerte")

NIS2 unter­schei­det zwi­schen **wesent­li­chen** und **wich­ti­gen** Einrichtungen.

#### Wesent­li­che Ein­rich­tun­gen (höhe­re Anfor­de­run­gen) [\#](#wesentliche-einrichtungen-h%C3%B6here-anforderungen "Wesentliche Einrichtungen (höhere Anforderungen)")

**SEK­TOR: ENERGIE**

- Elek­tri­zi­täts­ver­sor­gungs­un­ter­neh­men (&gt; 750.000 Kunden)
- Gas­ver­sor­gungs­un­ter­neh­men (&gt; 300.000 Kunden)
- Hei­zungs- und Küh­lungs­un­ter­neh­men (&gt; 500.000 Kunden)

**SEK­TOR: VERKEHR**

- Eisen­bahn­un­ter­neh­men (wenn kri­ti­sche Infrastruktur)
- Stra­ßen­trans­port­un­ter­neh­men (&gt; 500 Fahrzeuge)
- Luft­fahrt­un­ter­neh­men
- Schiff­fahrt­un­ter­neh­men

**SEK­TOR: BANKENSEKTOR**

- Alle Ban­ken (unab­hän­gig von Größe)

**SEK­TOR: FINANZMARKTINFRASTRUKTUR**

- Bör­sen, Clearinghäuser

**SEK­TOR: GESUNDHEITSWESEN**

- Kran­ken­häu­ser (alle, unab­hän­gig von Größe!)
- Ein­satz­leit­stel­len (Leit­stel­le für Notrufe)

**SEK­TOR: TRINKWASSER**

- Ver­sor­gungs­un­ter­neh­men (&gt; 50.000 Ein­woh­ner versorgt)

**SEK­TOR: DIGI­TA­LE INFRASTRUKTUR**

- Cloud-Anbie­ter (z. B. AWS, Micro­soft Azure)
- DNS-Betrei­ber
- Con­tent Deli­very Net­works (CDNs)
- Inter­net­austauch-Punk­te (IXPs)

**SEK­TOR: DIGI­TA­LE DIENSTE**

- Online-Markt­plät­ze (z. B. eBay, Amazon)
- Such­ma­schi­nen (z. B. Google)
- Sozia­le Medi­en (z. B. Meta, TikTok)

#### Wich­ti­ge Ein­rich­tun­gen (mode­ra­te Anfor­de­run­gen) [\#](#wichtige-einrichtungen-moderate-anforderungen "Wichtige Einrichtungen (moderate Anforderungen)")

**All­ge­mei­ne Schwellenwerte:**

- > 50 Mit­ar­bei­ter UND &gt; 10 Mil­lio­nen EUR Jahresumsatz/​Jahresbilanzsumme

**ODER sek­tor­ab­hän­gig größenunabhängig:**

- Alle Post- und Paketdienste
- Alle Tele­kom­mu­ni­ka­ti­ons­an­bie­ter
- Alle Abfall­wirt­schafts­un­ter­neh­men
- Vie­le wei­te­re spe­zia­li­sier­te Sek­to­ren (Che­mie, Nah­rungs­mit­tel, etc.)

**Im Klar­text:** Die meis­ten mit­tel­stän­di­schen Unter­neh­men und grö­ße­re KMUs fal­len unter ​“wich­ti­ge Einrichtungen”.

#### WICH­TIG: Kom­mu­nen sind AUS­GE­NOM­MEN! [\#](#wichtig-kommunen-sind-ausgenommen "WICHTIG: Kommunen sind AUSGENOMMEN!")

Die NIS2UmsuCG hat eine kri­ti­sche Ausnahmeklausel:

- **Behör­den der Bun­des­ebe­ne:** Unter­lie­gen dem BSIG-neu (§14a) — nicht NIS2UmsuCG
- **Behör­den der Län­der:** Unter­lie­gen dem BSIG-neu — nicht NIS2UmsuCG
- **Kom­mu­nen (Städ­te, Gemein­den, Land­krei­se):** AUS­GE­NOM­MEN von NIS2UmsuCG

Das bedeu­tet: Rat­haus­per­so­nal, städ­ti­sche IT, Kin­der­gär­ten, Schu­len (kom­mu­nal) sind NICHT von NIS2UmsuCG betroffen.

(Sie kön­nen aber von ande­ren Geset­zen betrof­fen sein — z. B. KRI­TIS-Dach­ge­setz, wenn sie kri­ti­sche Infra­struk­tur betreiben.)

---

### Wel­che Anfor­de­run­gen gel­ten? [\#](#welche-anforderungen-gelten "Welche Anforderungen gelten?")

#### Für wesent­li­che Ein­rich­tun­gen [\#](#f%C3%BCr-wesentliche-einrichtungen "Für wesentliche Einrichtungen")

Umfas­sen­de Sicherheitsmaßnahmen:

1. **Risi­ko­ma­nage­ment** (§30 BSIG-neu, A1 – A5)
2. **Inci­dent Respon­se und Busi­ness Con­ti­nui­ty** (A6 – A9)
3. **Cyber­si­cher­heits-Schu­lung** (A10)
4. **Kryp­to­gra­phi­sche Maß­nah­men** (A11)
5. **Iden­ti­täts­ma­nage­ment und Zugriffs­kon­trol­le** (A12 – A14)
6. **Sicher­heit bei Lie­fer­ket­ten** (A15 – A16)
7. **Sicher­heit in der Soft­ware­ent­wick­lung** (A17 – A18)
8. **Inci­dent Report­ing an Behör­den** (72h an BSCI)
9. **Zer­ti­fi­zie­rung oder Audit** (optio­nal, aber empfohlen)

#### Für wich­ti­ge Ein­rich­tun­gen [\#](#f%C3%BCr-wichtige-einrichtungen "Für wichtige Einrichtungen")

Ver­ein­fach­te, aber immer noch sub­stan­zi­el­le Maßnahmen:

1. **Risi­ko­ma­nage­ment** (Basis)
2. **Inci­dent Respon­se und Busi­ness Con­ti­nui­ty** (Back­up, Recovery)
3. **Cyber­si­cher­heits-Schu­lung**
4. **Grund­le­gen­de Maß­nah­men** (Zugriffs­kon­trol­le, Kryp­to­gra­phie, Patch-Management)
5. **Inci­dent Report­ing** (72h an BSI)

**In der Pra­xis:** Die wich­tigs­ten Maß­nah­men sind:

- Off­line-Back­ups (Ran­som­wa­re-Schutz)
- Patch-Manage­ment (Schwach­stel­len schließen)
- Mit­ar­bei­ter-Schu­lung (Phis­hing reduzieren)
- Inci­dent Respon­se Plan (wer macht was im Ernstfall?)
- Audit/​Zertifizierung (ISO 27001 ist ein guter Start)

---

### Buß­gel­der: Was pas­siert, wenn ich nicht mit­ma­che? [\#](#bu%C3%9Fgelder-was-passiert-wenn-ich-nicht-mitmache "Bußgelder: Was passiert, wenn ich nicht mitmache?")

**Für Wesent­li­che Einrichtungen:**

- Geld­bu­ße: bis zu **10 Mil­lio­nen EUR** oder **2% des welt­wei­ten Jah­res­um­sat­zes** (höhe­rer Wert)
- Per­sön­li­che Haf­tung: Geschäfts­füh­rer kön­nen haft­bar gemacht wer­den (sie­he Arti­kel ​“NIS2 per­sön­li­che Haftung”)

**Für Wich­ti­ge Einrichtungen:**

- Geld­bu­ße: bis zu **7 Mil­lio­nen EUR** oder **1,4% des welt­wei­ten Jah­res­um­sat­zes** (höhe­rer Wert)
- Per­sön­li­che Haf­tung: Geschäfts­füh­rer kön­nen haft­bar gemacht werden

**Bei­spiel:** Ein Mit­tel­ständ­ler mit 100 MA und 20 Mio. EUR Umsatz fällt unter ​“wich­ti­ge Einrichtungen”:

- Buß­geld-Maxi­mum: 7 Mio. EUR oder 1,4% × 20 Mio. = 280.000 EUR
- Höhe­re Sum­me: 7 Mio. EUR (Rea­lis­ti­sche Stra­fen lie­gen deut­lich unter dem Maxi­mum, aber die Abschre­ckung ist real.)

---

### Zeit­plan: Wann muss ich was umset­zen? [\#](#zeitplan-wann-muss-ich-was-umsetzen "Zeitplan: Wann muss ich was umsetzen?")

DatumAkti­on\*\*6. Dezem­ber 2025\*\*NIS2UmsuCG tritt in Kraft\*\*6. Juni 2026\*\*Betrof­fe­ne Ein­rich­tun­gen müs­sen ​„ange­mes­se­ne Maß­nah­men” umge­setzt haben\*\*6. Dezem­ber 2026\*\*Voll­stän­di­ge Com­pli­ance erforderlich\*\*Danach\*\*Regel­mä­ßi­ge Über­prü­fung und Auditierung**Was bedeu­tet das praktisch?**

- Sie haben 6 Mona­te Zeit, um Maß­nah­men zu planen
- Sie haben 12 Mona­te Zeit, um sie umzusetzen
- Nach 12 Mona­ten wird die Com­pli­ance geprüft (BSI Inspek­tio­nen möglich)

---

### Ers­te Schrit­te: Was Sie jetzt tun soll­ten [\#](#erste-schritte-was-sie-jetzt-tun-sollten "Erste Schritte: Was Sie jetzt tun sollten")

#### Schritt 1: Prü­fen Sie Ihren Sta­tus [\#](#schritt-1-pr%C3%BCfen-sie-ihren-status "Schritt 1: Prüfen Sie Ihren Status")

- \[ \] Sind Sie eine ​“wesent­li­che” oder ​“wich­ti­ge” Einrichtung?
- \[ \] Fällt Ihr Unter­neh­men unter die Schwellenwerte?
- \[ \] Sind Sie eine Behör­de oder Kom­mu­ne (Aus­nah­me)?

#### Schritt 2: Risi­ko-Assess­ment durch­füh­ren [\#](#schritt-2-risiko-assessment-durchf%C3%BChren "Schritt 2: Risiko-Assessment durchführen")

- \[ \] Wel­che Daten sind kritisch?
- \[ \] Wel­che Sys­te­me sind ausfallkritisch?
- \[ \] Wo sind Schwach­stel­len? (Secu­ri­ty Audit / Pentest)

#### Schritt 3: Maß­nah­men pla­nen [\#](#schritt-3-ma%C3%9Fnahmen-planen "Schritt 3: Maßnahmen planen")

- \[ \] Back­up-Kon­zept erstel­len (off­line, Hard­ware Air Gap)
- \[ \] Patch-Manage­ment-Pro­zess dokumentieren
- \[ \] Inci­dent Respon­se Plan schreiben
- \[ \] Schu­lung für Mit­ar­bei­ter organisieren

#### Schritt 4: Umset­zen [\#](#schritt-4-umsetzen "Schritt 4: Umsetzen")

- \[ \] Hardware/​Software beschaffen
- \[ \] Sys­te­me konfigurieren
- \[ \] Pro­zes­se dokumentieren
- \[ \] Tests durchführen

#### Schritt 5: Audit/​Zertifizierung [\#](#schritt-5-audit-zertifizierung "Schritt 5: Audit/Zertifizierung")

- \[ \] ISO 27001 anstre­ben (optio­nal, aber empfohlen)
- \[ \] Inter­ner oder exter­ner Audit durchführen
- \[ \] Com­pli­ance dokumentieren

---

### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen")

**Gilt NIS2 auch für uns, wenn wir &lt; 50 MA haben?** Nein, es sei denn, Sie ope­rie­ren in einem Spe­zi­al­sekk­tor (z. B. Tele­komu­ni­ka­ti­on). Aber: Allein unter NIS2UmsuCG nicht betrof­fen heißt nicht ​“sicher vor Cyberattacken”.

**Sind Kom­mu­nen wirk­lich ausgenommen?** Ja, Kom­mu­nen sind vom NIS2UmsuCG EXPLI­ZIT AUS­GE­NOM­MEN. Sie müs­sen aber dem BSIG-neu fol­gen (§14a) und even­tu­ell dem KRI­TIS-Dach­ge­setz (wenn kri­ti­sche Infrastruktur).

**Was ist, wenn ich nicht kon­form bin — wird es sofort abgestraft?** Nein. Die Behör­den wer­den wahr­schein­lich zunächst Audits durch­füh­ren und Unter­neh­men auf­for­dern, Maß­nah­men umzu­set­zen. Aber: Wie­der­holt nicht-kon­for­me Ver­hal­ten führt zu Bußgeldern.

**Reicht ISO 27001 aus?** ISO 27001 ist ein guter Start und deckt vie­le NIS2-Anfor­de­run­gen ab. Aber es ist nicht 1:1 äqui­va­lent. Sie soll­ten ISO 27001 + NIS2-spe­zi­fi­sche Anfor­de­run­gen kombinieren.

---