NIS2 in Deutschland: das Umsetzungsgesetz erklärt

10 min LesezeitAktualisiert am 4. Juli 2026

NIS2 ist die europäische Cybersicherheitsrichtlinie, die in Deutschland über das NIS2-Umsetzungsgesetz in Kraft gesetzt wird. Schätzungen zufolge sind rund 30.000 deutsche Unternehmen betroffen, ein Vielfaches der bisherigen KRITIS-Regulierung, darunter viele Mittelständler, die nie zuvor unter Cybersicherheitsrecht fielen. Dieser Leitfaden erklärt, wer betroffen ist, was das Gesetz verlangt, und was das konkret für Ihr Logging und Monitoring bedeutet.

Von der Richtlinie zum NIS2-Umsetzungsgesetz

NIS2 (Richtlinie (EU) 2022/2555) ist die Nachfolgerin der ersten NIS-Richtlinie. Deutschland setzt sie mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) um, im Kern einer umfassenden Novelle des BSI-Gesetzes (BSIG). Das Gesetz wurde im Dezember 2025 verkündet und ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist für die Sicherheitsmaßnahmen.

Das heißt: Die Pflichten gelten jetzt. Die dreimonatige Registrierungsfrist beim BSI ist im März 2026 abgelaufen; wer betroffen ist und sich noch nicht registriert oder die Maßnahmen noch nicht umgesetzt hat, sollte das nicht auf die lange Bank schieben, sondern priorisiert nachholen.

Die größte Verschiebung gegenüber der bisherigen Rechtslage: Die KRITIS-Regulierung erfasste einzelne kritische Anlagen ab Schwellenwerten. NIS2 erfasst ganze Sektoren nach Unternehmensgröße und zieht damit einen erheblichen Teil des deutschen Mittelstands in die Pflicht.

Bin ich betroffen?

Das Gesetz kennt zwei Kategorien mit unterschiedlicher Aufsicht und unterschiedlichen Bußgeldern:

  • Besonders wichtige Einrichtungen: große Unternehmen in Sektoren wie Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Weltraum, sowie KRITIS-Betreiber.
  • Wichtige Einrichtungen: mittlere und große Unternehmen unter anderem in Post- und Kurierdiensten, Abfallwirtschaft, Chemie, Lebensmitteln, verarbeitendem Gewerbe (darunter Medizinprodukte und Elektronik), bei digitalen Diensten und in der Forschung.

Die Größenschwelle liegt in der Basis bei etwa 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Kleinere Unternehmen können dennoch betroffen sein, etwa als einziger Anbieter eines wesentlichen Dienstes. Es gilt außerdem eine Registrierungspflicht beim BSI; die reguläre Frist dafür (drei Monate nach Inkrafttreten) ist im März 2026 abgelaufen, Nachzügler sollten die Registrierung umgehend nachholen.

Im Zweifel: Das BSI stellt eine offizielle NIS-2-Betroffenheitsprüfung online bereit, mit der Sie in wenigen Minuten prüfen, ob und in welcher Kategorie Ihr Unternehmen betroffen ist.

Die Pflichten: Risikomanagement nach Stand der Technik

Kern des Gesetzes sind verhältnismäßige technische und organisatorische Maßnahmen nach dem Stand der Technik, um die Risiken für Ihre Netz- und Informationssysteme zu beherrschen. Die Richtlinie nennt ausdrücklich unter anderem:

  • Risikoanalyse und Sicherheitskonzepte;
  • Bewältigung von Sicherheitsvorfällen: erkennen, analysieren, eindämmen, wiederherstellen, und all das belegen können;
  • Betriebskontinuität, Backups und Krisenmanagement;
  • Sicherheit der Lieferkette;
  • Sicherheit bei Entwicklung, Beschaffung und Wartung;
  • Verfahren zur Messung der Wirksamkeit der Maßnahmen;
  • Cyberhygiene und Schulungen;
  • Kryptografie und, wo angemessen, Verschlüsselung;
  • Zugriffskontrolle, Personalsicherheit und Asset-Management;
  • Multi-Faktor-Authentifizierung und gesicherte Kommunikation.

Neu ist die persönliche Verantwortung der Geschäftsleitung: Sie muss die Maßnahmen billigen, ihre Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Bei grober Pflichtverletzung droht die persönliche Haftung.

Für KRITIS-Betreiber gilt zusätzlich bereits heute die Pflicht zu Systemen zur Angriffserkennung (§ 8a BSIG): eine ausdrückliche gesetzliche Anforderung an Protokollierung, Detektion und Reaktion, die das BSI in einer Orientierungshilfe konkretisiert hat.

Die Meldepflicht: 24 Stunden, 72 Stunden, ein Monat

Erhebliche Sicherheitsvorfälle melden Sie an das BSI, in drei Stufen:

  1. Binnen 24 Stunden: eine Erstmeldung mit einer ersten Einschätzung, ob ein rechtswidriger oder böswilliger Akt vorliegt und ob grenzüberschreitende Auswirkungen möglich sind.
  2. Binnen 72 Stunden: eine vollständige Meldung mit einer ersten Bewertung von Schweregrad und Auswirkungen sowie, soweit vorhanden, Kompromittierungsindikatoren (IOCs).
  3. Binnen eines Monats: ein Abschlussbericht mit detaillierter Beschreibung des Vorfalls, der mutmaßlichen Ursache, der ergriffenen Maßnahmen und etwaiger grenzüberschreitender Auswirkungen.

Diese Fristen sind kurz. Wer erst nach einem Vorfall anfängt, Logs zu sammeln, verpasst sie: Binnen 24 Stunden etwas Belastbares über böswilliges Handeln zu sagen setzt voraus, dass die relevanten Logs bereits vorliegen, durchsuchbar sind, und dass die Detektion den Vorfall überhaupt bemerkt hat.

Aufsicht, Bußgelder und Haftung

Zentrale Aufsichts- und Meldebehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Besonders wichtige Einrichtungen unterliegen proaktiver Aufsicht (Nachweise und Prüfungen), wichtige Einrichtungen reaktiver Aufsicht (nach Hinweisen oder Vorfällen).

Die Bußgelder liegen auf DSGVO-Niveau:

  • besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes;
  • wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes.

Daneben kann die Aufsicht verbindliche Anweisungen erteilen; die Geschäftsleitung haftet bei grober Verletzung ihrer Billigungs- und Überwachungspflichten persönlich.

Was das konkret für Logging und Monitoring bedeutet

Logging und Monitoring tauchen in fast jeder Pflicht auf: Ohne die richtigen Logs können Sie keinen Vorfall erkennen, keine 24-Stunden-Meldung begründen und keinen Abschlussbericht schreiben. Praktisch heißt das:

Logs zentralisieren

Logs von Servern, Netzwerkgeräten, Identity-Providern, Cloud-Diensten und Anwendungen gehören in ein durchsuchbares System. Einen Vorfall über zehn Einzelsysteme hinweg zu rekonstruieren gelingt nicht binnen 72 Stunden.

Lang genug aufbewahren, nachweisbar

Das Gesetz nennt keine feste Frist; der Maßstab ist, dass Sie Vorfälle untersuchen und melden können. Üblich sind 6 bis 18 Monate, mit einer durchsuchbaren Hot-Ebene und einem günstigeren Archiv. Dokumentieren Sie Ihre Entscheidung und Begründung, genau danach fragt eine Aufsichtsbehörde.

In Echtzeit überwachen, nicht rückwirkend

Die Meldefristen setzen voraus, dass Sie Vorfälle sehen, während sie passieren. Das verlangt Detektionsregeln auf Ihren Logs (fehlgeschlagene Anmeldungen, ungewöhnliches Verhalten, verdächtige Netzwerkverbindungen) und Alarmierung, die einen Menschen rechtzeitig erreicht, ohne im Fehlalarm unterzugehen. Für KRITIS-Betreiber ist genau das mit der Pflicht zu Systemen zur Angriffserkennung schon heute ausdrücklich vorgeschrieben.

Einen Audit-Trail führen

Wer hat wann was getan, auch in Ihrer Logging-Plattform selbst? Ein manipulationssicherer Audit-Trail stützt sowohl Ihre Meldungen als auch Ihre Rechenschaft gegenüber der Aufsicht.

Das ist die Seite, die LogPulse abdeckt: zentralisiertes Log-Management mit konfigurierbarer Aufbewahrung, über 50 eingebaute Detektionen mit MITRE-ATT&CK-Zuordnung, risikobasierte Alarmierung, die eine Handvoll echter Vorfälle liefert statt tausender Meldungen, und Compliance-Berichte, die Detektionen und Daten NIS2-Anforderungen zuordnen. Alle Daten bleiben in der EU (GCP Amsterdam), was Verarbeitungsverträge und die Rechenschaft gegenüber der Aufsicht erheblich vereinfacht.

Schritt für Schritt: so gehen Sie es an

  1. Betroffenheit klären mit der offiziellen BSI-Betroffenheitsprüfung, einschließlich der Kategorie.
  2. Geschäftsleitung einbinden: Sie trägt die persönliche Verantwortung und muss den Ansatz billigen.
  3. Risikoanalyse durchführen und kritische Systeme und Lieferanten identifizieren.
  4. Logging zentralisieren und Detektion aufbauen: das Fundament sowohl der Risikomanagement- als auch der Meldepflichten.
  5. Den Meldeprozess üben: Wer informiert binnen 24 Stunden das BSI, und mit welchen Informationen?
  6. Alles dokumentieren: Maßnahmen, Entscheidungen, Aufbewahrungsfristen, Übungen. Compliance, die Sie nicht belegen können, existiert für eine Aufsichtsbehörde nicht.

Mehr dazu, wie LogPulse die Logging-, Detektions- und Berichtsseite abdeckt: NIS2-Compliance mit LogPulse, oder starten Sie kostenlos und richten Sie Ihre ersten Detektionen noch heute ein.

Häufig gestellte Fragen

Was ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG)?
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) setzt die europäische NIS2-Richtlinie in deutsches Recht um, im Kern durch eine umfassende Novelle des BSI-Gesetzes (BSIG). Es ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist für die Maßnahmen, und führt die Kategorien "besonders wichtige Einrichtungen" und "wichtige Einrichtungen" ein, mit Risikomanagement-Pflichten, einer dreistufigen Meldepflicht, einer Registrierungspflicht beim BSI und persönlichen Pflichten der Geschäftsleitung.
Ist mein Unternehmen von NIS2 betroffen?
NIS2 gilt für mittlere und große Unternehmen (ab etwa 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz) in den regulierten Sektoren, von Energie, Transport, Gesundheit und digitaler Infrastruktur bis Post, Abfall, Chemie, verarbeitendem Gewerbe und digitalen Diensten. Insgesamt betrifft das in Deutschland Schätzungen zufolge rund 30.000 Unternehmen, ein Vielfaches der bisherigen KRITIS-Regulierung. Das BSI bietet eine offizielle Online-Betroffenheitsprüfung an.
Was ist der Unterschied zwischen KRITIS und NIS2?
Die KRITIS-Regulierung erfasst Betreiber kritischer Anlagen ab bestimmten Schwellenwerten und verlangt von ihnen bereits heute unter anderem Systeme zur Angriffserkennung. NIS2 ist deutlich breiter: Sie erfasst ganze Sektoren nach Unternehmensgröße statt nur einzelne Anlagen. KRITIS-Betreiber bleiben eine eigene, strenger regulierte Kategorie innerhalb des neuen Rahmens.
Wie lange müssen Logs unter NIS2 aufbewahrt werden?
Weder die Richtlinie noch das deutsche Umsetzungsgesetz nennen eine feste Aufbewahrungsfrist. Der Maßstab ist risikobasiert: lang genug, um Vorfälle zu erkennen, zu untersuchen und zu melden, einschließlich des Abschlussberichts nach einem Monat. In der Praxis üblich sind 6 bis 18 Monate, oft aufgeteilt in eine durchsuchbare Hot-Ebene und ein günstigeres Archiv.
Macht LogPulse mein Unternehmen NIS2-konform?
Nein, kein Produkt macht Sie von allein konform. LogPulse deckt aber die Logging-, Detektions- und Monitoring-Seite der Pflichten ab: zentralisiertes Log-Management mit konfigurierbarer Aufbewahrung, Echtzeit-Detektionen mit MITRE-ATT&CK-Zuordnung, Incident-Workflows, die die 24- und 72-Stunden-Meldungen mit Belegen unterfüttern, und Compliance-Berichte, die Detektionen NIS2-Anforderungen zuordnen. Alle Daten bleiben in der EU (GCP Amsterdam).

Logging und Monitoring, auf einer EU-gehosteten Engine

Zentralisieren, aufbewahren und überwachen Sie Ihre Logs mit KI-gestützter Suche und einem risikobasierten SIEM, DSGVO-konform und in der EU gehostet. Starten Sie kostenlos.

Kostenlos starten

Wir verwenden Cookies, um den Site-Verkehr zu analysieren und Ihre Erfahrung zu verbessern. Ohne Ihre Einwilligung werden keine Cookies gesetzt. Datenschutzerklärung