Reglyze
NIS 2 Deutschland — Anwendungsbereich

Wesentliche und wichtige Einrichtungen: Sind Sie von NIS 2 betroffen?

Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft und erlaesst das BSI-Gesetz neu (BSIG 2025). Es weitet den Kreis der regulierten Organisationen auf rund 29.500 Einrichtungen aus. Diese Seite erklaert, wie Sie bestimmen, ob Ihre Organisation eine besonders wichtige oder eine wichtige Einrichtung ist — und was daraus folgt.

Keine allgemeine Uebergangsfrist

Anders als in Frankreich oder Italien gibt es in Deutschland keine allgemeine Uebergangsfrist: Die Pflichten nach § 30 BSIG binden ab Inkrafttreten. Die Registrierung beim BSI war fuer bereits am 6.12.2025 betroffene Einrichtungen bis zum 6. Maerz 2026 faellig (§ 33 BSIG).

Besonders wichtige vs. wichtige Einrichtungen

Das BSIG 2025 unterscheidet zwei Klassen mit unterschiedlicher Aufsichtsintensitaet. Die Risikomanagement-Pflichten nach § 30 gelten fuer beide; die Aufsicht unterscheidet sich.

Besonders wichtige Einrichtungen
Grosse Einrichtungen in Sektoren hoher Kritikalitaet (Anhang I) — z. B. Energie, Trinkwasser, Transport, Gesundheit, digitale Infrastruktur. Laufende, anlasslose Aufsicht durch das BSI (§ 61 BSIG): Vor-Ort-Pruefungen, Sicherheitsaudits und Auskunftsverlangen sind jederzeit moeglich.
Wichtige Einrichtungen
Mittlere Einrichtungen in Anhang-I-Sektoren sowie Einrichtungen der Anhang-II-Sektoren (u. a. verarbeitendes Gewerbe, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, digitale Anbieter). Nur anlassbezogene Aufsicht (§ 62 BSIG) — ausgeloest durch konkrete Anhaltspunkte.

Groessenkriterium und KRITIS

  • Schwelle „mittel“ (Einstieg in den Anwendungsbereich): ab 50 Beschaeftigten ODER mehr als 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme.
  • Schwelle „gross“ (in Anhang-I-Sektoren in der Regel besonders wichtig): ab 250 Beschaeftigten oder mehr als 50 Mio. EUR Umsatz (bzw. 43 Mio. EUR Bilanzsumme).
  • Groessenunabhaengig betroffen: bestimmte Anbieter wie DNS-Diensteanbieter, TLD-Registries, Cloud-, Rechenzentrums- und Managed-Service-Provider sowie Vertrauensdiensteanbieter — unabhaengig von Mitarbeiterzahl und Umsatz.
  • KRITIS (§ 31 BSIG): KRITIS-Betreiber tragen zusaetzliche Pflichten oberhalb der § 30-Basis — dreijaehrliche Nachweise (§ 39) und Systeme zur Angriffserkennung. NIS 2 ersetzt KRITIS nicht, sondern erweitert den Kreis darum herum.

Drei typische Faelle

Stadtwerk / Energieversorger mit 180 Beschaeftigten

Betroffen — besonders wichtige Einrichtung

Energieversorgung ist ein Anhang-I-Sektor hoher Kritikalitaet. Eine Einrichtung dieser Groesse ist eine besonders wichtige Einrichtung: laufende, anlasslose Aufsicht durch das BSI (§ 61), Registrierungspflicht bis 6.3.2026 und die § 30-Massnahmen ab sofort.

Maschinenbauer mit 90 Beschaeftigten, 18 Mio. EUR Umsatz

Betroffen — wichtige Einrichtung

Verarbeitendes Gewerbe faellt unter Anhang II. Oberhalb der Schwelle (50 MA / 10 Mio. EUR) ist das Unternehmen eine wichtige Einrichtung: § 30-Pflichten, Registrierung beim BSI und anlassbezogene Aufsicht (§ 62).

Managed-Service-Provider / Rechenzentrum mit 30 Beschaeftigten

Betroffen — groessenunabhaengig

Anbieter digitaler Infrastruktur und verwalteter IT-Dienste sind unabhaengig von der Mitarbeiterzahl betroffen. Auch ein kleiner deutscher MSP ist in der Regel erfasst und traegt Lieferketten-Pflichten gegenueber seinen regulierten Kunden.

Pflichten und Fristen auf einen Blick

  • 6.12.2025: NIS2UmsuCG in Kraft — die § 30-Pflichten binden unmittelbar.
  • 6.3.2026: Registrierungsfrist beim BSI (§ 33) fuer bereits betroffene Einrichtungen — ueber „Mein Unternehmenskonto“ + BSI-Meldeportal.
  • Meldepflichten: Erhebliche Sicherheitsvorfaelle sind binnen 24 Stunden (Fruehwarnung), 72 Stunden (Meldung) und einem Monat (Abschlussbericht) an das CERT-Bund zu melden.
  • Bussgelder (§ 65 BSIG): bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen), bis zu 7 Mio. EUR oder 1,4 % (wichtige Einrichtungen). Die Geschaeftsleitung haftet persoenlich (§ 38) — umsetzen, ueberwachen, schulen.

Haeufige Fragen

Was ist das NIS2UmsuCG und seit wann gilt es?
Das NIS-2-Umsetzungs- und Cybersicherheitsstaerkungsgesetz (NIS2UmsuCG) ist Deutschlands NIS-2-Umsetzung, in Kraft seit dem 6. Dezember 2025. Artikel 1 erlaesst das BSI-Gesetz neu (BSIG 2025); aeltere Paragraphenzitate (z. B. § 8a, § 8b a.F.) sind ueberholt. Es gibt keine allgemeine Uebergangsfrist — die Pflichten nach § 30 binden ab Inkrafttreten.
Was ist der Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen?
Besonders wichtige Einrichtungen (grosse Einrichtungen in Sektoren hoher Kritikalitaet, Anhang I) unterliegen einer laufenden, anlasslosen Aufsicht durch das BSI (§ 61 BSIG). Wichtige Einrichtungen (mittlere Einrichtungen in Anhang-I-Sektoren sowie Einrichtungen der Anhang-II-Sektoren) unterliegen nur einer anlassbezogenen Aufsicht (§ 62 BSIG). Die Risikomanagement-Pflichten nach § 30 gelten fuer beide.
Welches Groessenkriterium gilt fuer die NIS-2-Betroffenheit?
Grundsaetzlich sind Einrichtungen ab der Schwelle „mittel“ betroffen: mindestens 50 Beschaeftigte ODER mehr als 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. „Grosse“ Einrichtungen (ab 250 Beschaeftigten oder 50 Mio. EUR Umsatz) in Anhang-I-Sektoren sind in der Regel besonders wichtige Einrichtungen. Bestimmte Anbieter (z. B. DNS-, TLD-, Cloud- und Rechenzentrumsbetreiber, Vertrauensdiensteanbieter) sind groessenunabhaengig betroffen.
Bis wann muss ich mich beim BSI registrieren?
Bis zum 6. Maerz 2026 — drei Monate nach Inkrafttreten (§ 33 BSIG) fuer alle bereits am 6.12.2025 betroffenen Einrichtungen. Die Registrierung laeuft ueber „Mein Unternehmenskonto“ und das BSI-Meldeportal. Eine verspaetete oder unterlassene Registrierung ist selbst eine Ordnungswidrigkeit.
Ist NIS 2 dasselbe wie KRITIS?
Nein. KRITIS-Betreiber (§ 31 BSIG) tragen zusaetzliche Pflichten oberhalb der allgemeinen § 30-Basis — dreijaehrliche Nachweise (§ 39) und Systeme zur Angriffserkennung. NIS 2 weitet den Kreis auf rund 29.500 Einrichtungen aus; KRITIS bleibt eine kleinere, strenger regulierte Teilmenge.

Betroffenheit pruefen und die § 30-Massnahmen umsetzen

Reglyze fuehrt Sie in unter einer Stunde durch ein NIS-2-Scoping und ein Gap-Assessment gegen die Massnahmen aus Artikel 21(2) / § 30 BSIG — mit transparenten Preisen in Euro und KI-gestuetzter Dokumentenerstellung. EU-Hosting (Hetzner, Deutschland).

Reglyze ist eine SaaS-Plattform fuer NIS-2-Compliance und ersetzt keine qualifizierte Rechtsberatung. Verbindliche Auskuenfte erteilt das BSI unter bsi.bund.de.