Fachartikel

NIS-2 Richtlinie und ISO 27001 — Was deutsche Unternehmen wissen müssen

Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Rund 30.000 Unternehmen in Deutschland müssen seitdem neue Pflichten in der Informationssicherheit erfüllen: Risikomanagement, Vorfallsmeldung, BSI-Registrierung und persönliche Haftung der Geschäftsführung. Wer noch kein ISMS hat, befindet sich faktisch bereits in einer Compliance-Lücke.

Die gute Nachricht: ISO 27001 liefert exakt das Framework, das NIS-2 verlangt. Wer bereits zertifiziert ist, hat den Großteil der Anforderungen erfüllt. Wer jetzt aufbaut, schließt zwei Lücken gleichzeitig — NIS-2-Compliance und ein international anerkanntes Zertifikat.

Status Mai 2026: Registrierungsfrist abgelaufen

Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Nur rund 11.500 der geschätzt 29.500 betroffenen Unternehmen haben sich fristgerecht registriert. Mehr als die Hälfte ist bereits im Verzug.

Bußgelder: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Neu: persönliche Haftung der Geschäftsführung für Cyberrisiken (§ 38 BSIG).

Was ist NIS-2?

Definition

Die NIS-2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) definiert verbindliche Mindeststandards für Cybersicherheit in der EU. Sie löst die NIS-1-Richtlinie von 2016 ab und erweitert den Kreis der betroffenen Unternehmen massiv — von ~4.500 auf ~30.000 allein in Deutschland.

Nationale Umsetzung: Das NIS2UmsuCG novelliert das BSI-Gesetz (BSIG) grundlegend. Verabschiedet am 13.11.2025, Bundesrat am 21.11.2025, in Kraft seit 06.12.2025.

Zeitstrahl

DatumMeilensteinBedeutung
Jan 2023NIS-2-Richtlinie in Kraft (EU)18 Monate Umsetzungsfrist
Okt 2024Umsetzungsfrist abgelaufenDeutschland überschreitet Frist
06.12.2025NIS2UmsuCG in KraftKeine Übergangsfrist — sofort gültig
06.01.2026BSI-Portal freigeschaltetRegistrierung und Vorfallsmeldung
06.03.2026Registrierungsfrist abgelaufen~11.500 von 29.500 registriert
Jan 2026EU-Kommission: VereinfachungsvorschlagEntlastung für ~6.200 Kleinunternehmen

Wer ist betroffen?

Entscheidend sind zwei Kriterien: Unternehmensgröße und Sektor.

KategorieSchwellenwertAnzahl in DEMax. Bußgeld
Besonders wichtige Einrichtungenab 250 MA oder >50 Mio. € Umsatz5.000–10.00010 Mio. € / 2 % Umsatz
Wichtige Einrichtungenab 50 MA oder >10 Mio. € Umsatz~25.0007 Mio. € / 1,4 % Umsatz
KRITIS-BetreiberGrößenunabhängig~4.50010 Mio. € / 2 % Umsatz

Die 18 Sektoren

Hohe Kritikalität (Anlage 1)

Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, IT-Dienste (B2B), Öffentliche Verwaltung, Weltraum

Weitere kritische Sektoren (Anlage 2)

Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung

Indirekte Betroffenheit: Lieferketten-Effekt

Auch wenn Ihr Unternehmen nicht direkt unter NIS-2 fällt — wenn Sie Lieferant oder IT-Dienstleister eines betroffenen Unternehmens sind, werden dessen NIS-2-Pflichten an Sie weitergereicht. Viele mittelständische Zulieferer unterschätzen diesen Effekt. Ein ISO 27001-Zertifikat ist hier der stärkste Nachweis.

Die 10 Kernmaßnahmen (§ 30 BSIG)

1
Risikoanalyse und Sicherheitskonzepte — Systematisches Risikomanagement für IT-Systeme und Prozesse
2
Bewältigung von Sicherheitsvorfällen — Incident-Response-Prozesse, Notfallpläne, Wiederherstellung
3
Business Continuity Management — Backup-Management, Disaster Recovery, Krisenmanagement
4
Sicherheit der Lieferkette — Risikobewertung von Lieferanten und IT-Dienstleistern
5
Sicherheit bei Erwerb, Entwicklung und Wartung — Secure Development Lifecycle, Schwachstellenmanagement
6
Bewertung der Wirksamkeit — Regelmäßige Überprüfung und Tests der Sicherheitsmaßnahmen
7
Cyberhygiene und Schulung — Awareness-Programme, Schulungen für alle Mitarbeitenden
8
Kryptografie — Verschlüsselungskonzepte, Schlüsselmanagement
9
Zugriffskontrolle und Personalmanagement — Identity Management, MFA, Berechtigungskonzepte
10
Multi-Faktor-Authentifizierung und sichere Kommunikation — MFA, verschlüsselte Sprach-/Video-/Textkommunikation

Meldepflichten bei Sicherheitsvorfällen

FristWasAn wen
24 StundenErstmeldung — Verdacht auf erheblichen VorfallBSI über BSI-Portal
72 StundenKonkretisierung — erste Bewertung, Schwere, AuswirkungenBSI über BSI-Portal
30 TageAbschlussbericht — Ursache, Maßnahmen, Lessons LearnedBSI über BSI-Portal

ISO 27001 = der Standardweg zur NIS-2-Compliance

Warum ISO 27001?

NIS-2 verlangt ein Informationssicherheits-Managementsystem (ISMS) — genau das, was ISO 27001 definiert. Die 10 Kernmaßnahmen des § 30 BSIG lassen sich 1:1 auf die Annex-A-Controls der ISO 27001:2022 mappen. Wer ISO 27001 hat, hat die NIS-2-Maßnahmen im Wesentlichen bereits implementiert.

NIS-2 Kernmaßnahme (§ 30)ISO 27001:2022 EntsprechungAbdeckung
1. RisikoanalyseKap. 6.1 + 8.2 (Risikobewertung und -behandlung)Vollständig
2. VorfallsbewältigungA.5.24–5.28 (Incident Management)Vollständig
3. Business ContinuityA.5.29–5.30 (BCM), A.8.13–8.14 (Backup)Vollständig
4. Lieferketten-SicherheitA.5.19–5.22 (Supplier Relations)Vollständig
5. Sichere EntwicklungA.8.25–8.31 (Secure Development)Vollständig
6. WirksamkeitsbewertungKap. 9 (Monitoring, Audits, Management Review)Vollständig
7. Cyberhygiene + SchulungA.6.3 (Awareness), Kap. 7.2–7.3 (Kompetenz)Vollständig
8. KryptografieA.8.24 (Kryptografie)Vollständig
9. ZugriffskontrolleA.5.15–5.18, A.8.2–8.5 (Access Control)Vollständig
10. MFA + sichere KommunikationA.8.5 (MFA), A.5.14 (Informationstransfer)Vollständig
BSI-Registrierung + MeldepflichtenNicht in ISO 27001 — muss separat umgesetzt werdenZusätzlich
Geschäftsleitungshaftung (§ 38)Kap. 5 (Leadership) — deckt Verantwortung, nicht HaftungTeilweise

Ergebnis: 10 von 10 Kernmaßnahmen werden durch ISO 27001 vollständig abgedeckt. Nur die BSI-spezifischen Pflichten (Registrierung, 24h-Meldung, Geschäftsleitungshaftung) müssen zusätzlich organisiert werden — das sind Prozessfragen, keine Systemfragen.

TISAX und NIS-2 — Automotive-Unternehmen

Automotive-Zulieferer kennen TISAX bereits — und profitieren doppelt:

🔗 TISAX basiert auf ISO 27001

Der VDA ISA-Katalog baut auf ISO 27001 auf. Wer TISAX-geprüft ist, hat die meisten NIS-2-Maßnahmen bereits umgesetzt — nur die BSI-Registrierung und Meldepflichten kommen hinzu.

🏭 Verarbeitendes Gewerbe = NIS-2-Sektor

Automotive-Zulieferer fallen als „Verarbeitendes Gewerbe" unter Anlage 2 — ab 50 MA oder 10 Mio. € direkt betroffen. IQI berät beide Seiten: IATF 16949 + TISAX + NIS-2.

Rechtskataster als NIS-2-Compliance-Nachweis

NIS-2 erweitert die regulatorischen Pflichten massiv. Ein Rechtskataster dokumentiert systematisch, welche Anforderungen für Ihr Unternehmen gelten und wie der Erfüllungsgrad ist — genau der Nachweis, den das BSI bei Prüfungen verlangt.

Persönliche Haftung der Geschäftsführung

§ 38 BSIG: Pflichten der Geschäftsleitung

Die Geschäftsleitung ist persönlich verantwortlich für die Umsetzung und Überwachung der NIS-2-Maßnahmen. Das ist keine delegierbare IT-Aufgabe — die Geschäftsführung muss die Maßnahmen billigen und deren Umsetzung überwachen.

Pflichtschulung: Geschäftsleiter müssen regelmäßig an Schulungen zur Informationssicherheit teilnehmen. Auch Aufsichtsräte sind betroffen.

Der IQI-Weg zur NIS-2-Compliance

1
Betroffenheitsprüfung — Fällt Ihr Unternehmen unter NIS-2? Größe, Sektor, Lieferketten-Abhängigkeiten. BSI-Betroffenheitstool + IQI-Bewertung.
2
Gap-Analyse — Wo stehen Sie? Systematischer Abgleich Ihrer aktuellen Sicherheitsmaßnahmen mit den 10 Kernmaßnahmen des § 30.
3
ISMS aufbauen / erweiternISO 27001-konformes ISMS als Fundament. IQI begleitet Aufbau, Dokumentation und Schulung.
4
BSI-Registrierung + Meldeprozesse — Registrierung im BSI-Portal, Incident-Response-Prozess für 24h/72h/30-Tage-Meldekette.
5
Rechtskataster + Compliance-Dokumentation — Alle NIS-2-Pflichten im Rechtskataster erfasst, Erfüllungsgrad dokumentiert.
6
Internes Audit + Zertifizierung — IQI führt interne Audits durch, begleitet die ISO 27001-Zertifizierung und stellt NIS-2-Konformität sicher.

Häufige Fragen

Reicht ISO 27001 allein für NIS-2?

Fast. ISO 27001 deckt alle 10 Kernmaßnahmen des § 30 ab. Zusätzlich müssen Sie die BSI-Registrierung, die 24h-Meldepflicht und die Geschäftsleitungsschulung separat organisieren — das sind Prozess- und Governance-Aufgaben, kein Systemumbau.

Bin ich als Zulieferer betroffen?

Möglicherweise ja. Direkt, wenn Sie in einem der 18 Sektoren tätig sind und die Schwellenwerte überschreiten. Indirekt, wenn Sie Lieferant oder IT-Dienstleister eines NIS-2-betroffenen Unternehmens sind — diese müssen die Sicherheit ihrer Lieferkette nachweisen und werden Nachweise von Ihnen verlangen.

Was passiert wenn ich mich nicht registriert habe?

Die Registrierungsfrist ist am 6. März 2026 abgelaufen. Wer nicht registriert ist, begeht bereits eine Compliance-Verletzung. Holen Sie die Registrierung über das BSI-Portal sofort nach. Das BSI kann Bußgelder verhängen und Prüfungen anordnen.

Hilft TISAX bei NIS-2?

Ja. TISAX basiert auf ISO 27001 und deckt damit die 10 Kernmaßnahmen ab. TISAX-geprüfte Automotive-Zulieferer müssen nur die BSI-spezifischen Pflichten (Registrierung, Meldeprozesse, Geschäftsleitungsschulung) ergänzen.

Wie hilft IQI bei NIS-2?

IQI begleitet den gesamten Weg: Betroffenheitsprüfung → Gap-Analyse → ISMS-Aufbau (ISO 27001) → BSI-Registrierung → Rechtskataster → internes Audit → Zertifizierungsbegleitung. Seit über 25 Jahren, in 20+ Branchen.

NIS-2 + ISO 27001: Die Kernaussagen

  • In Kraft seit 06.12.2025 — keine Übergangsfrist, sofort gültig
  • ~30.000 Unternehmen in 18 Sektoren ab 50 MA oder 10 Mio. € betroffen
  • ISO 27001 deckt alle 10 Kernmaßnahmen des § 30 BSIG vollständig ab
  • 24h-Meldepflicht bei erheblichen Sicherheitsvorfällen
  • Persönliche Haftung der Geschäftsführung (§ 38 BSIG)
  • Bußgelder bis 10 Mio. € oder 2 % des weltweiten Umsatzes
  • TISAX-Unternehmen haben den Großteil bereits — nur BSI-Pflichten ergänzen
  • Lieferketten-Effekt: Auch nicht direkt Betroffene brauchen Nachweise

NIS-2-Compliance durch ISO 27001?

IQI begleitet Betroffenheitsprüfung, ISMS-Aufbau, Rechtskataster und Zertifizierung — seit über 25 Jahren.

NIS-2-Beratung anfragen