NIS2.
Wer ist betroffen —
und wie umsetzen?
NIS2 betrifft „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren — darunter Energie, Gesundheit, digitale Infrastruktur und das verarbeitende Gewerbe (Maschinenbau, Automotive) — typischerweise ab 50 Mitarbeitenden oder 10 Mio € Umsatz. Pflicht sind Risikomanagement nach Art. 21, Lieferkettensicherheit, Meldepflichten (Frühwarnung binnen 24 h) und die persönliche Haftung der Geschäftsleitung. Viele Anforderungen lassen sich in der CI/CD-Pipeline automatisieren: SBOM, Security-Scans, signierte Artefakte.
Wesentliche vs. wichtige Einrichtungen
NIS2 erfasst insgesamt 18 Sektoren: elf Sektoren „hoher Kritikalität“ (Anhang I der Richtlinie) und sieben „sonstige kritische Sektoren“ (Anhang II). Ob ein Unternehmen als wesentliche oder wichtige Einrichtung gilt, entscheidet die Kombination aus Sektor und Unternehmensgröße — und diese Einstufung ist kein Etikett, sondern bestimmt Aufsichtsregime und Bußgeldrahmen:
Dahinter steht die sogenannte Size-Cap-Regel: Erfasst werden grundsätzlich mittlere und große Unternehmen — ab 50 Mitarbeitenden oder mehr als 10 Mio € Jahresumsatz. Kleinst- und Kleinunternehmen bleiben außen vor, sofern sie nicht zu den größenunabhängig erfassten Anbietern gehören. Der praktische Unterschied der beiden Kategorien: Wesentliche Einrichtungen unterliegen proaktiver Aufsicht mit anlassunabhängigen Prüfungen und Bußgeldern bis 10 Mio € oder 2 % des weltweiten Jahresumsatzes; wichtige Einrichtungen werden reaktiv — also anlassbezogen — beaufsichtigt, mit Bußgeldern bis 7 Mio € oder 1,4 %. Die Pflichten nach Art. 21 sind für beide Kategorien weitgehend identisch.
Wie ist der Stand des NIS2-Umsetzungsgesetzes in Deutschland?
Stand Juni 2026 gilt: Das deutsche NIS2-Umsetzungsgesetz ist in Kraft, die Pflichten gelten unmittelbar — eine Übergangsfrist für die Maßnahmen nach Art. 21 gibt es nicht. Der Weg dorthin war lang: Die EU-Richtlinie ist seit Anfang 2023 in Kraft, die Frist zur nationalen Umsetzung lief am 17. Oktober 2024 ab. Deutschland hat sie deutlich gerissen — der erste Entwurf des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) scheiterte Ende 2024 am Bruch der Regierungskoalition, und die EU-Kommission leitete wegen der ausbleibenden Umsetzung ein Vertragsverletzungsverfahren ein. Erst Ende 2025 hat der Bundestag das Gesetz beschlossen; mit dem Inkrafttreten Anfang 2026 wurde das BSI-Gesetz umfassend novelliert.
Für betroffene Unternehmen bedeutet das dreierlei. Erstens: Selbst-Identifikation — anders als bei KRITIS verschickt keine Behörde Bescheide; jedes Unternehmen muss seine Betroffenheit eigenständig feststellen und dokumentieren. Das BSI stellt dafür eine Online-Betroffenheitsprüfung bereit. Zweitens: Registrierung beim BSI innerhalb von drei Monaten. Drittens: Nachweisbare Umsetzung der Risikomanagement-Maßnahmen — die Geschäftsleitung muss sie billigen, überwachen und haftet bei Versäumnissen persönlich.
Wer jetzt erst startet, sollte nicht auf weitere behördliche Konkretisierungen warten: Der Aufbau von Risikomanagement, Meldeprozessen und Lieferketten-Nachweisen dauert erfahrungsgemäß Monate. Die pragmatische Reihenfolge — Betroffenheitsprüfung dokumentieren, Gap-Analyse gegen Art. 21, Meldewege aufsetzen, dann die technischen Maßnahmen automatisieren — beschreiben die folgenden Abschnitte.
Welche Pflichten verlangt NIS2 konkret?
Artikel 21 verlangt zehn Maßnahmenbereiche als Mindeststandard: Risikoanalyse und Sicherheitskonzepte, Incident-Handling, Business Continuity mit Backup- und Krisenmanagement, Lieferkettensicherheit, Sicherheit in Entwicklung und Beschaffung, Wirksamkeitsbewertung der Maßnahmen, Cyberhygiene und Schulungen, Kryptografie, Personalsicherheit mit Zugriffskontrolle sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation. Dazu kommt die gestaffelte Meldepflicht nach Artikel 23:
Erste Meldung an das BSI nach Kenntnis eines erheblichen Sicherheitsvorfalls — mit Verdacht auf Ursache (z. B. rechtswidriger Eingriff) und möglicher grenzüberschreitender Wirkung.
Detaillierte Bewertung des Vorfalls: Schweregrad, Auswirkungen auf den Betrieb, Kompromittierungsindikatoren (IoCs). Aktualisiert die Frühwarnung.
Ausführliche Beschreibung von Ursache, getroffenen Gegenmaßnahmen und verbleibenden Risiken. Bei andauernden Vorfällen zunächst ein Fortschrittsbericht.
Beispiel Maschinenbau: Ein Hersteller von Verpackungsanlagen mit 120 Mitarbeitenden fällt als verarbeitendes Gewerbe unter die „wichtigen Einrichtungen“ — die Schwellenwerte (≥ 50 MA) sind klar überschritten. Verschlüsselt Ransomware die Leitrechner der Montagelinie, läuft ab Kenntnis die 24-Stunden-Frist für die Frühwarnung an das BSI, parallel zur technischen Eindämmung. Wer Meldewege, Verantwortliche und Vorlagen erst im Ernstfall sucht, reißt die Frist fast zwangsläufig.
Wichtig für Zulieferer: Auch ein Unternehmen unter den Schwellenwerten bekommt die Anforderungen über Verträge weitergereicht, sobald ein betroffener Kunde seine Lieferkette nach Art. 21 absichern muss — SBOM, Schwachstellenmanagement und Security-Nachweise werden dann zur Einkaufsbedingung.
Wie setzt man NIS2 in der CI/CD-Pipeline um?
Die Anforderungen an sichere Entwicklung, Lieferkette und Nachweisbarkeit lassen sich am wirksamsten als automatische Quality Gates in der CI/CD-Pipeline verankern: SBOM-Generierung, Dependency- und Code-Scans, Secrets-Prüfung, signierte Artefakte und revisionssichere Deployment-Protokolle. So entsteht der Compliance-Nachweis bei jedem Release — statt durch ein manuelles Audit einmal im Jahr.
pipeline (NIS2-Gates, vereinfacht) ├── 01 sbom-generate CycloneDX-SBOM pro Build-Artefakt erzeugen ├── 02 sca-scan Abhängigkeiten gegen CVE-Datenbanken prüfen ├── 03 sast Statische Analyse des eigenen Codes ├── 04 secrets-check Keine Zugangsdaten im Repository ├── 05 sign-artifacts Artefakte signieren, Build-Provenance ablegen └── 06 audit-log Deployment revisionssicher protokollieren
Wie die Gates auf die gesetzlichen Pflichten einzahlen, zeigt das Mapping — jede Zeile verbindet eine Art.-21-Maßnahme mit ihrer technischen Umsetzung in der Pipeline:
Entscheidend ist die Gate-Strategie: SBOM, Dependency-Scan und Secrets-Check laufen bei jedem Commit und brechen den Build bei kritischen Funden hart ab; tiefergehende Analysen wie DAST oder Container-Image-Audits nightly. Die SBOM wird dabei nicht als PDF abgelegt, sondern maschinenlesbar (CycloneDX oder SPDX) pro Artefakt versioniert — genau das, was betroffene Kunden von ihren Zulieferern zunehmend vertraglich einfordern. Wie das praktisch aussieht, zeigt unsere Anleitung SBOM erstellen.
Der Nebeneffekt: Dieselben Pipeline-Gates bedienen auch den Cyber Resilience Act und IEC 62443 — wer die Nachweise einmal automatisiert, beantwortet Security-Fragebögen von Kunden und Auditoren aus der Pipeline heraus. Wie Comquent solche Gates einführt, beschreibt die Seite DevSecOps & Compliance.
Betroffenheit prüfen
Sektor und Schwellenwerte (Mitarbeiterzahl, Umsatz) gegen die NIS2-Kategorien abgleichen. Auch Zulieferer fallen häufig über die Lieferketten-Anforderungen indirekt unter NIS2.
Risikomanagement etablieren
Technische und organisatorische Maßnahmen nach Art. 21 umsetzen: Risikoanalyse, Incident-Handling, Backup/Krisenmanagement, Lieferkettensicherheit, Verschlüsselung, Zugriffskontrolle.
Lieferkette absichern
Security-Anforderungen an Software-Zulieferer stellen — SBOM, Schwachstellenmanagement und nachweisbare Build-Provenance werden zur Vertragsgrundlage.
In die CI/CD-Pipeline integrieren
SBOM-Generierung, Security-Scans (SCA, SAST), signierte Artefakte und revisionssichere Deployment-Protokolle als automatische Pipeline-Gates verankern — Compliance bei jedem Release statt einmal im Jahr.
Registrieren und Vorfälle melden
Bei der zuständigen Behörde (in Deutschland BSI) registrieren und die gesetzlichen Meldefristen für Sicherheitsvorfälle (Frühwarnung binnen 24 Stunden) in die Prozesse aufnehmen.
Was ist die NIS2-Richtlinie?
NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie erweitert den Kreis der betroffenen Unternehmen erheblich, verschärft die Sicherheitsanforderungen und führt Meldepflichten, Lieferkettensicherheit sowie die persönliche Haftung der Geschäftsleitung ein. In Deutschland wird sie über das NIS2-Umsetzungsgesetz in nationales Recht überführt.
Wer ist von NIS2 betroffen?
Betroffen sind „wesentliche" und „wichtige" Einrichtungen in 18 Sektoren — darunter Energie, Transport, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe (Maschinenbau, Automotive, Medizinprodukte), Chemie und Lebensmittel. Maßgeblich sind Sektor plus Schwellenwerte: ab 50 Mitarbeitenden oder 10 Mio € Jahresumsatz fällt ein Unternehmen meist unter NIS2. Über die Lieferkette sind oft auch kleinere Zulieferer indirekt betroffen.
Wer muss NIS2 erfüllen?
NIS2 erfüllen müssen alle Unternehmen, die als „wesentliche" oder „wichtige" Einrichtung eingestuft sind — also in einem der 18 Sektoren tätig sind und die Schwellenwerte der Size-Cap-Regel (ab 50 Mitarbeitende oder 10 Mio € Jahresumsatz) erreichen. Die Verantwortung liegt ausdrücklich bei der Geschäftsleitung: Sie muss die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und haftet bei Verstößen persönlich. Eine behördliche Aufforderung gibt es nicht — Unternehmen müssen ihre Betroffenheit selbst feststellen und sich beim BSI registrieren.
Welche Branchen betrifft NIS2?
NIS2 umfasst 18 Sektoren. Elf Sektoren hoher Kritikalität: Energie, Transport/Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Dazu sieben sonstige kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (u. a. Maschinenbau, Fahrzeugbau, Elektronik, Medizinprodukte), Anbieter digitaler Dienste und Forschung.
Wann bin ich NIS2-pflichtig?
Im Regelfall, wenn zwei Bedingungen zusammenkommen: Ihr Unternehmen ist in einem der 18 NIS2-Sektoren tätig und beschäftigt mindestens 50 Mitarbeitende oder erzielt über 10 Mio € Jahresumsatz. Unabhängig von der Größe pflichtig sind u. a. DNS-Anbieter, TLD-Registries, qualifizierte Vertrauensdiensteanbieter und KRITIS-Betreiber. Auch unterhalb der Schwellen kommen die Anforderungen oft an — vertraglich, als Zulieferer eines betroffenen Kunden über dessen Lieferkettenpflichten.
Ab wann gilt NIS2 in Deutschland?
Die EU-Richtlinie ist seit Anfang 2023 in Kraft, die Frist zur nationalen Umsetzung endete am 17. Oktober 2024. Deutschland hat das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erst Ende 2025 beschlossen; seit dem Inkrafttreten Anfang 2026 gelten die Pflichten unmittelbar und ohne Übergangsfrist. Betroffene Unternehmen müssen ihre Betroffenheit selbst feststellen, sich beim BSI registrieren und die Maßnahmen nach Art. 21 nachweisbar umsetzen.
Wie mache ich eine NIS2-Betroffenheitsprüfung?
Prüfen Sie in drei Schritten: 1) Fällt Ihr Unternehmen in einen der NIS2-Sektoren? 2) Überschreiten Sie die Schwellenwerte (≥ 50 MA oder ≥ 10 Mio € Umsatz)? 3) Sind Sie Zulieferer einer betroffenen Einrichtung? Wird eine Frage mit Ja beantwortet, ist eine detaillierte Bewertung der Pflichten nach Art. 21 erforderlich.
Welche Pflichten bringt NIS2 konkret?
Zentral sind Risikomanagement-Maßnahmen (Art. 21): Risikoanalyse, Incident-Handling, Business Continuity, Lieferkettensicherheit, sichere Entwicklung und Beschaffung, Verschlüsselung, Zugriffskontrolle und Schulungen. Hinzu kommen Meldepflichten mit einer Frühwarnung binnen 24 Stunden und die Registrierung bei der Behörde.
Was hat NIS2 mit DevOps und CI/CD zu tun?
Viele NIS2-Anforderungen lassen sich am wirksamsten in der CI/CD-Pipeline automatisieren: SBOM-Erstellung, Schwachstellen-Scans, signierte Artefakte, Build-Provenance und revisionssichere Deployment-Protokolle. So wird Sicherheit bei jedem Release nachgewiesen — statt durch manuelle Audits einmal jährlich. Genau hier setzt DevSecOps an.
Drohen bei NIS2-Verstößen Sanktionen?
Ja. NIS2 sieht erhebliche Bußgelder vor (für wesentliche Einrichtungen bis 10 Mio € oder 2 % des weltweiten Jahresumsatzes) sowie die persönliche Haftung der Geschäftsleitung. Das hebt Cybersicherheit von einer IT- auf eine Geschäftsführungsaufgabe.
Was ist der Unterschied zwischen NIS2 und dem Cyber Resilience Act?
NIS2 reguliert Organisationen: Betreiber kritischer und wichtiger Einrichtungen müssen ihre eigene IT und Lieferkette absichern. Der Cyber Resilience Act (CRA) reguliert Produkte: Hersteller von „Produkten mit digitalen Elementen" müssen Security über den Produktlebenszyklus nachweisen. In der Praxis überlappen beide bei SBOM und Schwachstellenmanagement — wer die Nachweise in der CI/CD-Pipeline automatisiert, bedient beide Regularien aus derselben Infrastruktur.
Welche Meldefristen gelten bei einem Sicherheitsvorfall?
NIS2 staffelt die Meldung an die Behörde in drei Stufen: Frühwarnung binnen 24 Stunden nach Kenntnis des erheblichen Vorfalls, detaillierte Vollmeldung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats. Diese Fristen sind nur haltbar, wenn Erkennung, Eskalationswege und Meldeformulare vor dem Ernstfall definiert und geübt sind.
Verwandte Artikel
SBOM erstellen: Software Supply Chain Security für CI/CD
Maschinenlesbare Stückliste automatisiert in der Pipeline erzeugen — CRA- und NIS2-konform.
Cyber Resilience Act im Maschinenbau
Was der CRA ab 2026 für Hersteller digitaler Produkte bedeutet.
DevSecOps für die Industrie & IEC 62443
Security-Gates und Zonen-Modell in industriellen CI/CD-Pipelines.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance