NIS 2 Deutschland — FAQ
NIS 2 in Deutschland — häufige Fragen
Kurze, mit Paragraphen belegte Antworten zum NIS2UmsuCG (BSIG 2025, in Kraft seit 6.12.2025): Betroffenheit, Fristen, Maßnahmen, Registrierung, Meldepflichten und Bußgelder.
Was ist das NIS2UmsuCG und seit wann gilt es?
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist Deutschlands NIS-2-Umsetzung, in Kraft seit dem 6. Dezember 2025. Artikel 1 erlässt das BSI-Gesetz neu (BSIG 2025); ältere Paragraphenzitate (§ 8a, § 8b a.F.) sind überholt. Es gibt keine allgemeine Übergangsfrist — die Pflichten nach § 30 binden ab Inkrafttreten.
Bin ich von NIS 2 betroffen?
Grundsätzlich ab der Schwelle „mittel“: mindestens 50 Beschäftigte ODER mehr als 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme, sofern Sie in einem Anhang-I- oder Anhang-II-Sektor tätig sind. Große Einrichtungen (ab 250 Beschäftigten / 50 Mio. EUR) in Anhang-I-Sektoren sind in der Regel besonders wichtige Einrichtungen. Bestimmte Anbieter (DNS, TLD, Cloud, Rechenzentren, Vertrauensdienste) sind größenunabhängig betroffen. Insgesamt rund 29.500 Einrichtungen.
Was ist der Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen?
Besonders wichtige Einrichtungen unterliegen einer laufenden, anlasslosen Aufsicht durch das BSI (§ 61 BSIG). Wichtige Einrichtungen unterliegen nur einer anlassbezogenen Aufsicht (§ 62 BSIG). Die Risikomanagement-Pflichten nach § 30 gelten für beide.
Welche Maßnahmen muss ich umsetzen?
§ 30 Abs. 2 BSIG verlangt geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen in zehn Bereichen — u. a. Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, Lieferkettensicherheit, Wirksamkeitsbewertung, Schulungen, Kryptographie, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Der IT-Grundschutz des BSI ist die etablierte Umsetzungsmethodik.
Bis wann muss ich mich beim BSI registrieren?
Bis zum 6. März 2026 — drei Monate nach Inkrafttreten (§ 33 BSIG) für alle bereits am 6.12.2025 betroffenen Einrichtungen. Die Registrierung läuft in zwei Schritten über „Mein Unternehmenskonto“ und das BSI-Meldeportal. Eine verspätete Registrierung ist selbst eine Ordnungswidrigkeit.
Welche Meldefristen gelten bei einem Sicherheitsvorfall?
Erhebliche Sicherheitsvorfälle sind dem BSI in drei Stufen zu melden (§ 32 BSIG): Frühwarnung binnen 24 Stunden, bewertende Meldung binnen 72 Stunden und Abschlussmeldung binnen eines Monats — jeweils ab Kenntnis des Vorfalls.
Wie hoch sind die Bußgelder?
Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag) für besonders wichtige Einrichtungen, bis zu 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen — Obergrenzen nach § 65 BSIG. Die Geschäftsleitung trägt nach § 38 eine persönliche Verantwortung (umsetzen, überwachen, schulen) und kann bei schuldhafter Verletzung persönlich haften.
Ist NIS 2 dasselbe wie KRITIS?
Nein. KRITIS-Betreiber (§ 31 BSIG) tragen zusätzliche Pflichten oberhalb der allgemeinen § 30-Basis — dreijährliche Nachweise (§ 39) und Systeme zur Angriffserkennung. NIS 2 weitet den Kreis auf rund 29.500 Einrichtungen aus; KRITIS bleibt eine kleinere, strenger regulierte Teilmenge.
Warum eine Plattform, die nicht „aus Deutschland“ ist?
Reglyze ist EU-native, wird in Deutschland gehostet (Hetzner, Falkenstein) und bildet das deutsche Recht ab (NIS2UmsuCG / BSIG 2025, § 30-Maßnahmen, BSI-Registrierung, § 32-Meldungen). Der Mehrwert ist EU-Datenresidenz plus Länder-Tiefe für DE, FR, IT und weitere Märkte — relevant für Konzerne und MSPs mit Einrichtungen in mehreren Mitgliedstaaten.