--- title: "NIS2-Umsetzungsfristen: Zeitplan und Bußgelder" date: 2026-06-02T09:10:00+02:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/nis2-umsetzungsfristen-zeitplan-und-bußgelder" section: "Entries: Articles" --- ### Kri­ti­scher Zeit­plan [\#](#kritischer-zeitplan "Kritischer Zeitplan") #### Pha­se 1: Bereits aktiv (seit 6. Dezem­ber 2025) [\#](#phase-1-bereits-aktiv-seit-6-dezember-2025 "Phase 1: Bereits aktiv (seit 6. Dezember 2025)") **Was gilt jetzt sofort:** - Mel­de­pflich­ten für Sicher­heits­ver­stö­ße (72h an BSI) - Bestim­mung der Geschäfts­ent­füh­rungs-Kon­takts (bis wann?) - Erken­nung betrof­fe­ner Ein­rich­tun­gen (bin ich betroffen?) #### Pha­se 2: Über­gangs­frist (6. Juni 2026) [\#](#phase-2-%C3%BCbergangsfrist-6-juni-2026 "Phase 2: Übergangsfrist (6. Juni 2026)") **Frist: 6 Mona­te nach In-Kraft-Treten** Was muss bis dahin umge­setzt sein: - \[ \] **Risi­ko­ana­ly­se durch­ge­führt** (wel­che Daten sind kri­tisch? Wel­che Sys­te­me sind ausfallkritisch?) - \[ \] **Ers­te Sicher­heits­maß­nah­men imple­men­tiert** (Patch-Manage­ment, Mitarbeiter-Schulung) - \[ \] **Inci­dent Respon­se Plan doku­men­tiert** (wer macht was im Notfall?) - \[ \] **Busi­ness Con­ti­nui­ty Plan vor­han­den** (wie lan­ge kann Aus­fall dauern?) - \[ \] **Back­up-Stra­te­gie defi­niert** (wo wer­den Daten gesi­chert? Wie oft?) **Ist-Zustand:** Sie müs­sen ​“ange­mes­se­ne Maß­nah­men” begon­nen haben. Nicht per­fekt, aber auf dem Weg. #### Pha­se 3: Voll­stän­di­ge Com­pli­ance (6. Dezem­ber 2026) [\#](#phase-3-vollst%C3%A4ndige-compliance-6-dezember-2026 "Phase 3: Vollständige Compliance (6. Dezember 2026)") **Frist: 12 Mona­te nach In-Kraft-Treten** Was muss jetzt voll­stän­dig umge­setzt sein: - \[ \] **Alle ange­mes­se­nen Maß­nah­men implementiert** - \[ \] **IT-Sicher­heits-Kon­zept dokumentiert** - \[ \] **Alle Sys­te­me gepatcht und aktualisiert** - \[ \] **Mit­ar­bei­ter geschult** (jähr­lich) - \[ \] **Reco­very-Tests durch­ge­führt** (und dokumentiert) - \[ \] **Zer­ti­fi­zie­rung oder Audit abge­schlos­sen** (optio­nal, aber empfohlen) - \[ \] **Risi­ko-Manage­ment-Frame­work aktiv** **Ist-Zustand:** Voll­stän­di­ge Com­pli­ance. Behör­den begin­nen Inspektionen. --- ### Buß­geld-Staf­fel [\#](#bu%C3%9Fgeld-staffel "Bußgeld-Staffel") #### Wesent­li­che Ein­rich­tun­gen [\#](#wesentliche-einrichtungen "Wesentliche Einrichtungen") Ver­stoßGeld­bu­ßeBei­spiel\*\*Leich­te Ver­stö­ße\*\* (z. B. unvoll­stän­di­ge Dokumentation)100.000 – 1.000.000 EURAudit-Plan nicht aktualisiert\*\*Mitt­le­re Ver­stö­ße\*\* (z. B. Patch-Manage­ment unzureichend)1.000.000 – 5.000.000 EUR50% der Sys­te­me nicht aktualisiert\*\*Schwe­re Ver­stö­ße\*\* (z. B. kei­ne Backups)Bis zu 10.000.000 EUR oder 2% UmsatzKei­ne Off­line-Back­ups vorhanden#### Wich­ti­ge Ein­rich­tun­gen [\#](#wichtige-einrichtungen "Wichtige Einrichtungen") Ver­stoßGeld­bu­ßeBei­spiel\*\*Leich­te Verstöße\*\*50.000 – 500.000 EUREin­zel­ner Mit­ar­bei­ter nicht geschult\*\*Mitt­le­re Verstöße\*\*500.000 – 3.000.000 EUR30% der Sys­te­me nicht gepatcht\*\*Schwe­re Verstöße\*\*Bis zu 7.000.000 EUR oder 1,4% UmsatzKei­ne Backups#### Beson­der­heit: Per­sön­li­che Haf­tung [\#](#besonderheit-pers%C3%B6nliche-haftung "Besonderheit: Persönliche Haftung") Die Geschäfts­füh­rung kann per­sön­lich haft­bar gemacht wer­den, falls: - Bekann­te Sicher­heits­lü­cken nicht beho­ben wurden - “Gross Negli­gence” (gro­be Fahr­läs­sig­keit) vorliegt - Spe­zi­fi­sche Anord­nun­gen nicht umge­setzt wurden --- ### Rea­lis­ti­sche Erwar­tun­gen: Sank­ti­ons-Sze­na­ri­os [\#](#realistische-erwartungen-sanktions-szenarios "Realistische Erwartungen: Sanktions-Szenarios") #### Sze­na­rio 1: Gutes Manage­ment, weni­ge Män­gel [\#](#szenario-1-gutes-management-wenige-m%C3%A4ngel "Szenario 1: Gutes Management, wenige Mängel") **Befund:** Ein­rich­tung hat Kon­zept, setzt um, aber ein­zel­ne Sys­te­me nicht gepatcht **Erwar­tung:** - Ver­war­nung - Auf­for­de­rung zur Nach­bes­se­rung (3 – 6 Monate) - Geld­bu­ße (optio­nal): 100.000 – 500.000 EUR #### Sze­na­rio 2: Laxes Manage­ment, sys­te­ma­ti­sche Män­gel [\#](#szenario-2-laxes-management-systematische-m%C3%A4ngel "Szenario 2: Laxes Management, systematische Mängel") **Befund:** Kei­ne Back­ups, kei­ne Schu­lung, kei­ne Audit **Erwar­tung:** - Geld­bu­ße: 2.500.000 – 5.000.000 EUR (wich­ti­ge Einrichtung) - Per­sön­li­che Haf­tung GF: möglich - Betrieb kann ein­ge­schränkt werden #### Sze­na­rio 3: Nach Sicher­heits­vor­fall [\#](#szenario-3-nach-sicherheitsvorfall "Szenario 3: Nach Sicherheitsvorfall") **Befund:** Ran­som­wa­re-Angriff + Unter­neh­men war nicht konform **Erwar­tung:** - Geld­bu­ße: Maximum - Straf­recht­li­che Ermitt­lun­gen (fahr­läs­sig ver­ur­sach­ter Schaden) - Zivil­kla­gen von Kunden/​Partnern --- ### Was Sie JETZT tun soll­ten (Dezem­ber 2025 — Juni 2026) [\#](#was-sie-jetzt-tun-sollten-dezember-2025-juni-2026 "Was Sie JETZT tun sollten (Dezember 2025 — Juni 2026)") #### Task 1: Zuge­hö­rig­keit klä­ren (Janu­ar 2026) [\#](#task-1-zugeh%C3%B6rigkeit-kl%C3%A4ren-januar-2026 "Task 1: Zugehörigkeit klären (Januar 2026)") - \[ \] Sind Sie eine wesent­li­che oder wich­ti­ge Einrichtung? - \[ \] Wel­che Sys­te­me sind betroffen? - \[ \] Doku­men­tie­ren Sie die Zuge­hö­rig­keit (für Audit) #### Task 2: Risi­ko-Ana­ly­se durch­füh­ren (Janu­ar – Febru­ar 2026) [\#](#task-2-risiko-analyse-durchf%C3%BChren-januar-februar-2026 "Task 2: Risiko-Analyse durchführen (Januar–Februar 2026)") - \[ \] Kri­ti­sche Daten identifizieren - \[ \] Kri­ti­sche Sys­te­me identifizieren - \[ \] RTO/RPO definieren - \[ \] Sicher­heits-Schwach­stel­len iden­ti­fi­zie­ren (Audit/​Pentest) #### Task 3: Maß­nah­men-Plan erstel­len (Febru­ar – März 2026) [\#](#task-3-ma%C3%9Fnahmen-plan-erstellen-februar-m%C3%A4rz-2026 "Task 3: Maßnahmen-Plan erstellen (Februar–März 2026)") - \[ \] Wel­che Maß­nah­men sind notwendig? - \[ \] Wer imple­men­tiert? Inter­ne IT oder extern? - \[ \] Was kos­tet es? (Bud­get) - \[ \] Wann wird es fer­tig? (Gantt-Dia­gramm) #### Task 4: Ers­te Maß­nah­men umset­zen (März – Juni 2026) [\#](#task-4-erste-ma%C3%9Fnahmen-umsetzen-m%C3%A4rz-juni-2026 "Task 4: Erste Maßnahmen umsetzen (März–Juni 2026)") - \[ \] Patch-Manage­ment starten - \[ \] Back­up-Kon­zept imple­men­tie­ren (Off­line-Back­ups) - \[ \] Schu­lung durchführen - \[ \] Inci­dent Respon­se Plan schreiben #### Task 5: Audit vor­be­rei­ten (Juli – Novem­ber 2026) [\#](#task-5-audit-vorbereiten-juli-november-2026 "Task 5: Audit vorbereiten (Juli–November 2026)") - \[ \] Inter­ner Audit durch­füh­ren (Gap-Ana­ly­se) - \[ \] Exter­ne Audi­to­ren kontaktieren - \[ \] Com­pli­ance-Doku­men­ta­ti­on sammeln - \[ \] Lücken schließen #### Task 6: Audit durch­füh­ren (Dezem­ber 2026) [\#](#task-6-audit-durchf%C3%BChren-dezember-2026 "Task 6: Audit durchführen (Dezember 2026)") - \[ \] Exter­ner Audit vor 6. Dezember - \[ \] Ergeb­nis: kon­form / mit Män­geln / nicht konform - \[ \] Män­gel-Besei­ti­gung (Reme­dia­ti­on) --- ### Bud­get-Pla­nung: Was kos­tet es? [\#](#budget-planung-was-kostet-es "Budget-Planung: Was kostet es?") #### Für wich­ti­ge Ein­rich­tung (50 – 250 MA, 10 – 50 Mio. EUR Umsatz) [\#](#f%C3%BCr-wichtige-einrichtung-50-250-ma-10-50-mio-eur-umsatz "Für wichtige Einrichtung (50–250 MA, 10–50 Mio. EUR Umsatz)") Maß­nah­meKos­ten\*\*Con­sul­ting / Risiko-Analyse\*\*20.000 – 50.000 EUR\*\*Hard­ware Air Gap Backup\*\*60.000 – 150.000 EUR\*\*EDR/­Se­cu­ri­ty-Soft­ware (jähr­lich)\*\*30.000 – 80.000 EUR\*\*Schulung/​Awareness\*\*10.000 – 30.000 EUR\*\*Audit (jähr­lich)\*\*20.000 – 50.000 EUR\*\*Verwaltung/​Dokumentation\*\*15.000 – 30.000 EUR\*\*TOTAL Jahr 1\*\*\*\*155.000 – 390.000 EUR\*\*\*\*TOTAL Jahr 2+ (lau­fend)\*\*\*\*90.000 – 240.000 EUR/​Jahr\*\*Das ist ein Invest­ment, aber güns­ti­ger als ein Ran­som­wa­re-Angriff (1.000.000+ EUR Schaden). --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Müs­sen wir bis Juni 2026 PER­FEKT kon­form sein?** Nein. Bis Juni reicht ​“ange­mes­se­ne Maß­nah­men im Gang”. Aber bis Dezem­ber 2026 muss es voll­stän­dig sein. **Was pas­siert, wenn wir bis Juni nicht anfangen?** For­mell: Nichts sofort. Prak­tisch: Bis Dezem­ber 2026 haben Sie wenig Zeit für Reme­dia­ti­on. Wenn Sie dann kon­trol­liert wer­den, sieht es schlecht aus. **Kön­nen Audi­to­ren nach Juni 2026 kommen?** Ja. Es gibt kei­ne Abkür­zung. Die Behör­den wer­den sys­te­ma­tisch kontrollieren. **Ist eine Selbst­er­klä­rung aus­rei­chend, oder brau­chen wir einen exter­nen Auditor?** Eine Selbst­er­klä­rung ist recht­lich aus­rei­chend. Ein exter­ner Audit ist nicht zwin­gend. ABER: Im Scha­dens­fall sieht eine exter­ne Bestä­ti­gung viel bes­ser aus vor Gericht/​Aufsichtsbehörde. ---