Artikel vom 2. Juni 2026
NIS2-Umsetzungsfristen: Zeitplan und Bußgelder
Kritischer Zeitplan #
Phase 1: Bereits aktiv (seit 6. Dezember 2025) #
Was gilt jetzt sofort:
- Meldepflichten für Sicherheitsverstöße (72h an BSI)
- Bestimmung der Geschäftsentführungs-Kontakts (bis wann?)
- Erkennung betroffener Einrichtungen (bin ich betroffen?)
Phase 2: Übergangsfrist (6. Juni 2026) #
Frist: 6 Monate nach In-Kraft-Treten
Was muss bis dahin umgesetzt sein:
- [ ] Risikoanalyse durchgeführt (welche Daten sind kritisch? Welche Systeme sind ausfallkritisch?)
- [ ] Erste Sicherheitsmaßnahmen implementiert (Patch-Management, Mitarbeiter-Schulung)
- [ ] Incident Response Plan dokumentiert (wer macht was im Notfall?)
- [ ] Business Continuity Plan vorhanden (wie lange kann Ausfall dauern?)
- [ ] Backup-Strategie definiert (wo werden Daten gesichert? Wie oft?)
Ist-Zustand: Sie müssen “angemessene Maßnahmen” begonnen haben. Nicht perfekt, aber auf dem Weg.
Phase 3: Vollständige Compliance (6. Dezember 2026) #
Frist: 12 Monate nach In-Kraft-Treten
Was muss jetzt vollständig umgesetzt sein:
- [ ] Alle angemessenen Maßnahmen implementiert
- [ ] IT-Sicherheits-Konzept dokumentiert
- [ ] Alle Systeme gepatcht und aktualisiert
- [ ] Mitarbeiter geschult (jährlich)
- [ ] Recovery-Tests durchgeführt (und dokumentiert)
- [ ] Zertifizierung oder Audit abgeschlossen (optional, aber empfohlen)
- [ ] Risiko-Management-Framework aktiv
Ist-Zustand: Vollständige Compliance. Behörden beginnen Inspektionen.
Bußgeld-Staffel #
Wesentliche Einrichtungen #
| Verstoß | Geldbuße | Beispiel |
|---|---|---|
| **Leichte Verstöße** (z. B. unvollständige Dokumentation) | 100.000 – 1.000.000 EUR | Audit-Plan nicht aktualisiert |
| **Mittlere Verstöße** (z. B. Patch-Management unzureichend) | 1.000.000 – 5.000.000 EUR | 50% der Systeme nicht aktualisiert |
| **Schwere Verstöße** (z. B. keine Backups) | Bis zu 10.000.000 EUR oder 2% Umsatz | Keine Offline-Backups vorhanden |
Wichtige Einrichtungen #
| Verstoß | Geldbuße | Beispiel |
|---|---|---|
| **Leichte Verstöße** | 50.000 – 500.000 EUR | Einzelner Mitarbeiter nicht geschult |
| **Mittlere Verstöße** | 500.000 – 3.000.000 EUR | 30% der Systeme nicht gepatcht |
| **Schwere Verstöße** | Bis zu 7.000.000 EUR oder 1,4% Umsatz | Keine Backups |
Besonderheit: Persönliche Haftung #
Die Geschäftsführung kann persönlich haftbar gemacht werden, falls:
- Bekannte Sicherheitslücken nicht behoben wurden
- “Gross Negligence” (grobe Fahrlässigkeit) vorliegt
- Spezifische Anordnungen nicht umgesetzt wurden
Realistische Erwartungen: Sanktions-Szenarios #
Szenario 1: Gutes Management, wenige Mängel #
Befund: Einrichtung hat Konzept, setzt um, aber einzelne Systeme nicht gepatcht
Erwartung:
- Verwarnung
- Aufforderung zur Nachbesserung (3 – 6 Monate)
- Geldbuße (optional): 100.000 – 500.000 EUR
Szenario 2: Laxes Management, systematische Mängel #
Befund: Keine Backups, keine Schulung, keine Audit
Erwartung:
- Geldbuße: 2.500.000 – 5.000.000 EUR (wichtige Einrichtung)
- Persönliche Haftung GF: möglich
- Betrieb kann eingeschränkt werden
Szenario 3: Nach Sicherheitsvorfall #
Befund: Ransomware-Angriff + Unternehmen war nicht konform
Erwartung:
- Geldbuße: Maximum
- Strafrechtliche Ermittlungen (fahrlässig verursachter Schaden)
- Zivilklagen von Kunden/Partnern
Was Sie JETZT tun sollten (Dezember 2025 — Juni 2026) #
Task 1: Zugehörigkeit klären (Januar 2026) #
- [ ] Sind Sie eine wesentliche oder wichtige Einrichtung?
- [ ] Welche Systeme sind betroffen?
- [ ] Dokumentieren Sie die Zugehörigkeit (für Audit)
Task 2: Risiko-Analyse durchführen (Januar – Februar 2026) #
- [ ] Kritische Daten identifizieren
- [ ] Kritische Systeme identifizieren
- [ ] RTO/RPO definieren
- [ ] Sicherheits-Schwachstellen identifizieren (Audit/Pentest)
Task 3: Maßnahmen-Plan erstellen (Februar – März 2026) #
- [ ] Welche Maßnahmen sind notwendig?
- [ ] Wer implementiert? Interne IT oder extern?
- [ ] Was kostet es? (Budget)
- [ ] Wann wird es fertig? (Gantt-Diagramm)
Task 4: Erste Maßnahmen umsetzen (März – Juni 2026) #
- [ ] Patch-Management starten
- [ ] Backup-Konzept implementieren (Offline-Backups)
- [ ] Schulung durchführen
- [ ] Incident Response Plan schreiben
Task 5: Audit vorbereiten (Juli – November 2026) #
- [ ] Interner Audit durchführen (Gap-Analyse)
- [ ] Externe Auditoren kontaktieren
- [ ] Compliance-Dokumentation sammeln
- [ ] Lücken schließen
Task 6: Audit durchführen (Dezember 2026) #
- [ ] Externer Audit vor 6. Dezember
- [ ] Ergebnis: konform / mit Mängeln / nicht konform
- [ ] Mängel-Beseitigung (Remediation)
Budget-Planung: Was kostet es? #
Für wichtige Einrichtung (50 – 250 MA, 10 – 50 Mio. EUR Umsatz) #
| Maßnahme | Kosten |
|---|---|
| **Consulting / Risiko-Analyse** | 20.000 – 50.000 EUR |
| **Hardware Air Gap Backup** | 60.000 – 150.000 EUR |
| **EDR/Security-Software (jährlich)** | 30.000 – 80.000 EUR |
| **Schulung/Awareness** | 10.000 – 30.000 EUR |
| **Audit (jährlich)** | 20.000 – 50.000 EUR |
| **Verwaltung/Dokumentation** | 15.000 – 30.000 EUR |
| **TOTAL Jahr 1** | **155.000 – 390.000 EUR** |
| **TOTAL Jahr 2+ (laufend)** | **90.000 – 240.000 EUR/Jahr** |
Das ist ein Investment, aber günstiger als ein Ransomware-Angriff (1.000.000+ EUR Schaden).
Häufige Fragen #
Müssen wir bis Juni 2026 PERFEKT konform sein? Nein. Bis Juni reicht “angemessene Maßnahmen im Gang”. Aber bis Dezember 2026 muss es vollständig sein.
Was passiert, wenn wir bis Juni nicht anfangen? Formell: Nichts sofort. Praktisch: Bis Dezember 2026 haben Sie wenig Zeit für Remediation. Wenn Sie dann kontrolliert werden, sieht es schlecht aus.
Können Auditoren nach Juni 2026 kommen? Ja. Es gibt keine Abkürzung. Die Behörden werden systematisch kontrollieren.
Ist eine Selbsterklärung ausreichend, oder brauchen wir einen externen Auditor? Eine Selbsterklärung ist rechtlich ausreichend. Ein externer Audit ist nicht zwingend. ABER: Im Schadensfall sieht eine externe Bestätigung viel besser aus vor Gericht/Aufsichtsbehörde.