NIS 2 Umsetzungsgesetz – Sektoren, Schwellenwerte und Pflichten
Überblick
Das NIS‑2‑Umsetzungsgesetz ist am 5. Dezember 2025 in Kraft getreten. Es erweitert die Pflichten für Unternehmen und Institutionen in zahlreichen Sektoren. Entscheidend sind klare Schwellenwerte für Mitarbeiterzahl, Umsatz und Bilanzsumme. Betreiber Kritischer Infrastrukturen gelten automatisch als „besonders wichtige Einrichtungen“.
Betroffene Sektoren
Das Gesetz betrifft insbesondere die Bereiche Energie, Gesundheit, Transport, Finanzwesen, digitale Infrastruktur und öffentliche Verwaltung. Auch weitere Sektoren wie Abfallwirtschaft, Lebensmittelproduktion und Forschung können unter die Regelungen fallen.
Schwellenwerte
Unternehmen werden abhängig von ihrer Größe und Tätigkeit eingestuft. Die Einstufung erfolgt nach folgenden Kriterien:
| Kategorie | Mitarbeiter | Umsatz | Bilanzsumme | Einstufungskriterium |
|---|---|---|---|---|
| Besonders wichtige Einrichtung | ≥ 250 | > 50 Mio. EUR | > 43 Mio. EUR | Entweder Mitarbeiterzahl erreicht oder beide Finanzschwellen erfüllt |
| Wichtige Einrichtung | ≥ 50 | > 10 Mio. EUR | > 10 Mio. EUR | Entweder Mitarbeiterzahl erreicht oder beide Finanzschwellen erfüllt |
| KRITIS-Betreiber | – | – | – | Automatisch „besonders wichtig“, unabhängig von Größe oder Umsatz |
Betreiber Kritischer Infrastrukturen werden unabhängig von diesen Schwellenwerten automatisch als „besonders wichtig“ eingestuft.
Pflichten
Alle betroffenen Einrichtungen müssen sich innerhalb von drei Monaten nach Einstufung registrieren. Sie sind verpflichtet, erhebliche Sicherheitsvorfälle in drei Stufen zu melden: eine erste Meldung innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Zudem müssen sie ein dokumentiertes Risikomanagement einführen und ihre Lieferkette absichern. Die Geschäftsleitung trägt ausdrücklich die Verantwortung für die Umsetzung.
Handlungsempfehlungen
Unternehmen sollten jetzt prüfen, ob sie die Schwellenwerte überschreiten. Falls dies der Fall ist, müssen sie die Registrierung vorbereiten und ihre Prozesse für die Meldung von Sicherheitsvorfällen festlegen. Ein strukturiertes Risikomanagement nach anerkannten Standards sollte zeitnah eingeführt werden. Darüber hinaus ist es wichtig, die Lieferkette zu überprüfen.