NIS2-Richtlinie: Pflichten, deutsche Umsetzung und Personalbedarf

Ja. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Die Pflichten sind im neu gefassten BSI-Gesetz (BSIG) verankert und gelten seitdem unmittelbar für alle betroffenen Einrichtungen. Auch die gesetzliche Registrierungsfrist beim BSI ist bereits im März 2026 abgelaufen; wer sich noch nicht registriert hat, sollte das unverzüglich über das BSI-Portal nachholen, denn eine verspätete Registrierung bleibt möglich und ist allemal besser als gar keine. Unternehmen, die ihre Betroffenheit bisher nicht geprüft haben, sollten dies jetzt tun — etwa mit der Betroffenheitsprüfung des BSI — und parallel klären, wer die Umsetzung personell verantwortet.

NIS2 erfasst Einrichtungen in 18 kritischen Sektoren — von Energie, Verkehr, Gesundheit und digitaler Infrastruktur bis zu Chemie, Lebensmitteln, verarbeitendem Gewerbe und digitalen Diensten. Innerhalb dieser Sektoren gilt grundsätzlich die Größenschwelle von 50 Mitarbeitenden oder mehr als 10 Mio. € Jahresumsatz. Das deutsche Recht unterscheidet besonders wichtige Einrichtungen (ab 250 Mitarbeitenden oder über 50 Mio. € Umsatz sowie KRITIS-Betreiber) und wichtige Einrichtungen (ab 50 Mitarbeitenden oder über 10 Mio. € Umsatz). Einzelne Einrichtungstypen sind unabhängig von der Größe erfasst. Der Gesetzgeber rechnet mit rund 30.000 betroffenen Einrichtungen in Deutschland — darunter viele Mittelständler, die bisher nicht reguliert waren und ihre Betroffenheit individuell prüfen sollten.

Erhebliche Sicherheitsvorfälle müssen nach Artikel 23 der NIS2-Richtlinie in einem dreistufigen Verfahren gemeldet werden: eine Frühwarnung innerhalb von 24 Stunden nach Kenntnis, eine vollständige Meldung mit erster Bewertung innerhalb von 72 Stunden und ein Abschlussbericht spätestens einen Monat nach der Meldung. In Deutschland ist das BSI die zuständige Meldestelle. Diese Fristen sind in der Praxis nur einzuhalten, wenn Detektion, Bewertung und Meldeprozesse vorab etabliert sind — also ein funktionierendes Incident-Response-Team mit klaren Eskalationswegen existiert, intern oder über einen Dienstleister. Genau hier zeigt sich der Personalbedarf am deutlichsten: Ohne SOC-Kapazität und definierte Verantwortliche wird aus der 24-Stunden-Frist im Ernstfall schnell ein vermeidbarer Compliance-Verstoß.

Die Leitungsorgane tragen nach Artikel 20 der NIS2-Richtlinie und § 38 BSIG eine ausdrückliche eigene Verantwortung: Sie müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und regelmäßig an Cybersicherheitsschulungen teilnehmen. Für Verstöße gegen diese Pflichten können sie verantwortlich gemacht werden — Cybersicherheit lässt sich also nicht vollständig an die IT-Abteilung delegieren. Hinzu kommt der Bußgeldrahmen für das Unternehmen, der je nach Kategorie bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes erreicht. Wie weit die persönliche Haftung im Einzelfall reicht, ist eine Frage für die Rechtsberatung. Organisatorisch klar ist: Geschäftsleitungen brauchen qualifizierte Verantwortliche — etwa einen CISO oder ISB — die Sicherheitslage und Maßnahmen berichtsfähig aufbereiten.

NIS2 schreibt keine konkreten Stellenprofile vor, aber die Pflichten lassen sich ohne definierte Rollen nicht erfüllen. In der Praxis bewährt hat sich ein Kern aus vier Funktionen: ein CISO oder Informationssicherheitsbeauftragter, der Strategie, ISMS und Berichterstattung an die Geschäftsleitung verantwortet; GRC-Manager für Richtlinien, Risikoanalysen, Audits und Lieferkettenanforderungen; SOC-Analysten beziehungsweise Incident-Responder für Detektion und die fristgerechten Meldungen; und Penetration Tester für die regelmäßige Wirksamkeitsprüfung der Maßnahmen. Je nach Größe können Rollen kombiniert oder teilweise extern vergeben werden — die Gesamtverantwortung bleibt jedoch im Unternehmen. NOBA Experts besetzt genau diese Security-Profile in Festanstellung und kennt die aktuellen Gehaltsbänder und Verfügbarkeiten im deutschen Markt.