NIS2-Richtlinie & Cyberversicherung

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie für Netz- und Informationssicherheit. Sie wurde am 6. Dezember 2025 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht überführt. Kernstück der Umsetzung ist das novellierte Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Im Vergleich zur Vorgänger-Richtlinie NIS1 erweitert NIS2 den Anwendungsbereich massiv: Statt bisher nur rund 4.500 Betreiber kritischer Infrastrukturen (KRITIS) sind nun etwa 30.000 Unternehmen aus 18 Wirtschaftssektoren betroffen. Die Richtlinie verfolgt einen gefahrenübergreifenden Ansatz (All-Gefahren-Ansatz) und verlangt Maßnahmen, die dem Stand der Technik entsprechen. Ziel ist ein einheitlich hohes Cybersicherheitsniveau im gesamten europäischen Binnenmarkt.

Die Unterschiede zwischen NIS1 und NIS2 sind erheblich. Der Geltungsbereich hat sich von wenigen Tausend KRITIS-Betreibern auf über 30.000 Unternehmen vervielfacht. Die Sektorenzahl stieg von 7 auf 18 - neu hinzugekommen sind unter anderem Abwasserwirtschaft, Weltraum, öffentliche Verwaltung, Lebensmittelproduktion, Chemie, Post- und Kurierdienste sowie das produzierende Gewerbe. Die Bußgelder wurden drastisch verschärft: Statt kaum sanktionierter Verstöße drohen nun bis zu 10 Millionen Euro. Die Geschäftsführerhaftung wurde erstmals explizit gesetzlich verankert - ein Novum in der deutschen Cybersicherheitsregulierung. Die Meldepflichten sind deutlich strenger: Erstmeldung innerhalb von 24 Stunden statt bisher unbestimmter Fristen. Und die 10 Mindestmaßnahmen nach § 30 BSIG definieren erstmals konkret, was Unternehmen technisch und organisatorisch umsetzen müssen.

NIS2 unterscheidet zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Die Einordnung hängt von zwei Kriterien ab: dem Wirtschaftssektor und der Unternehmensgröße. Besonders wichtige Einrichtungen sind Unternehmen in Sektoren der Anlage 1 (hohe Kritikalität) ab 250 Mitarbeitern oder ab 50 Millionen Euro Umsatz bei einer Bilanzsumme über 43 Millionen Euro. Wichtige Einrichtungen sind Unternehmen in allen 18 Sektoren ab 50 Mitarbeitern oder ab 10 Millionen Euro Jahresumsatz. Größenunabhängig betroffen sind Betreiber von qualifizierten Vertrauensdiensten, TLD-Registries, DNS-Diensten, Telekommunikationsanbieter und Betreiber kritischer Anlagen. Wichtig: Auch kleinere Unternehmen können über den Lieferketten-Effekt betroffen sein, wenn sie als Zulieferer für regulierte Unternehmen tätig sind. Das BSI bietet eine Online-Betroffenheitsprüfung an, die eine erste Einschätzung liefert. Unternehmen müssen die Betroffenheit selbst prüfen - das BSI nimmt keine automatische Prüfung vor.

NIS2 erfasst 18 Wirtschaftssektoren, aufgeteilt in 11 Sektoren mit hoher Kritikalität und 7 sonstige kritische Sektoren. Die 11 wesentlichen Sektoren (Anlage I) sind: 1. Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff), 2. Transport (Luft, Schiene, Schifffahrt, Straße), 3. Bankwesen (Kreditinstitute), 4. Finanzmarktinfrastruktur (Handelsplätze, zentrale Gegenparteien), 5. Gesundheit (Gesundheitsdienstleister, Labore, Pharmazeutik, Medizingeräte), 6. Trinkwasser (Wasserversorgung), 7. Abwässer (Abwasserentsorgung), 8. Digitale Infrastruktur (Internet-Knoten, DNS, TLD-Registries, Cloud-Provider, Rechenzentren, CDNs, Vertrauensdienste, Telekommunikation), 9. ICT-Dienstleistungsmanagement (Managed Services, Managed Security Services), 10. Öffentliche Verwaltung, 11. Weltraum (Bodeninfrastruktur). Die 7 wichtigen Sektoren (Anlage II) sind: 12. Post- und Kurierdienste, 13. Abfallwirtschaft, 14. Chemie (Herstellung, Produktion, Vertrieb von Chemikalien), 15. Lebensmittel (Produktion, Verarbeitung, Großhandel), 16. Verarbeitendes Gewerbe (Medizinprodukte, Maschinen, Fahrzeuge, elektrische und elektronische Geräte), 17. Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), 18. Forschung (Forschungseinrichtungen). Sonderfall: Für Finanzunternehmen gilt vorrangig DORA (Digital Operational Resilience Act) mit noch schärferen Anforderungen an das IKT-Risikomanagement.

Bei erheblichen Sicherheitsvorfällen verlangt NIS2 einen dreistufigen Meldeprozess über das BSI-Portal. Die Frühwarnung (Erstmeldung) muss innerhalb von 24 Stunden nach Kenntnis des Vorfalls erfolgen - sie soll eine erste Einschätzung liefern, ob der Vorfall vermutlich auf eine rechtswidrige oder böswillige Handlung zurückgeht. Die Detailmeldung (Folgemeldung) ist innerhalb von 72 Stunden fällig und enthält eine erste Bewertung des Vorfalls, seine Schwere und Auswirkungen sowie Kompromittierungsindikatoren. Der Abschluss- oder Fortschrittsbericht muss spätestens nach einem Monat vorliegen und umfasst eine ausführliche Beschreibung des Vorfalls, die Ursachenanalyse, ergriffene Maßnahmen und grenzüberschreitende Auswirkungen. Wichtig: Verstöße gegen die Meldepflichten können separat mit Bußgeldern von bis zu 500.000 Euro geahndet werden - pro verpasster Frist. Tipp: Integrieren Sie die Meldepflichten in Ihren Incident-Response-Plan und führen Sie regelmäßige Tabletop-Exercises durch, um die 24-Stunden-Frist sicher einhalten zu können.

Die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) war bis zum 6. März 2026 verpflichtend - drei Monate nach Inkrafttreten des NIS2UmsuCG. Stand März 2026 haben sich laut BSI-Daten erst rund 38,5 % der betroffenen Unternehmen registriert. Die Nichtregistrierung kann mit Bußgeldern von bis zu 500.000 Euro geahndet werden. Der Registrierungsprozess verläuft zweistufig: Im ersten Schritt wird ein Zugang über „Mein Unternehmenskonto“ (MUK) eingerichtet, wofür ein ELSTER-Organisationszertifikat benötigt wird. Im zweiten Schritt erfolgt die eigentliche Registrierung im BSI-Portal. Dort werden unter anderem eine 24/7-erreichbare NIS2-Kontaktstelle, Angaben zu Sektor und Branche, die Einrichtungsart (besonders wichtig oder wichtig), betroffene EU-Länder und gegebenenfalls öffentlich erreichbare IP-Adressbereiche abgefragt. Änderungen an den Registrierungsdaten müssen unverzüglich, spätestens innerhalb von zwei Wochen, nachgemeldet werden. Unternehmen, die sich noch nicht registriert haben, sollten umgehend handeln.

Die persönliche Geschäftsführerhaftung ist eine der einschneidendsten Neuerungen von NIS2. Nach § 38 BSIG müssen Geschäftsführer und Vorstände die NIS2-Maßnahmen nicht nur umsetzen, sondern deren Umsetzung aktiv überwachen. Sie haften persönlich für Schäden, die durch Pflichtverletzungen entstehen - auch bei leichter Fahrlässigkeit, also bereits bei Sorgfaltspflichtverletzungen. Besonders kritisch: Die Business Judgment Rule gilt hier nicht, und ein vertraglicher Haftungsverzicht ist gesetzlich ausgeschlossen (§ 38 Abs. 2 S. 3 BSIG). Weder Gesellschaftsvertrag noch Entlastungsbeschlüsse können die Geschäftsführung von dieser Haftung befreien. Im Streitfall trägt der Geschäftsführer die Darlegungslast - er muss nachweisen, dass er seinen Überwachungspflichten nachgekommen ist. Der Schadensbegriff umfasst direkte Schäden durch Cyberangriffe, Regressansprüche Dritter, Bußgelder nach § 65 BSIG, Wiederherstellungskosten und bezifferbare Reputationsschäden. Für die Geschäftsleitung gilt: Cybersicherheit ist keine delegierbare IT-Aufgabe, sondern Chefsache. Die Geschäftsführung muss zudem persönlich an Cybersicherheitsschulungen teilnehmen.

Das Bußgeldregime nach § 65 BSIG ist gestaffelt und richtet sich nach der Einrichtungskategorie. Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes - es gilt der jeweils höhere Betrag. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes. Verstöße gegen Meldepflichten (24h-Erstmeldung, 72h-Folgemeldung, 30-Tage-Abschlussbericht) werden separat mit bis zu 500.000 Euro pro Verstoß geahndet. Die Nichtregistrierung beim BSI kann ebenfalls bis zu 500.000 Euro kosten. Weitere sanktionierte Verstöße umfassen die Behinderung von BSI-Kontrollen, falsche oder unvollständige Angaben, die Nichtbefolgung von Anordnungen und Verstöße gegen Nachweispflichten. Zusätzlich zu den Bußgeldern können Behörden operative Maßnahmen anordnen - bei besonders wichtigen Einrichtungen auch die vorübergehende Untersagung von Leitungsfunktionen. Die Kombination aus hohen Bußgeldern und persönlicher Haftung macht NIS2 zur schärfsten Cybersicherheitsregulierung in der deutschen Geschichte.

Angesichts der persönlichen Haftung nach § 38 BSIG gewinnt die D&O-Versicherung (Directors & Officers) für Geschäftsführer betroffener Unternehmen massiv an Bedeutung. Eine D&O-Versicherung kann Vermögensschäden abdecken, die durch Fahrlässigkeit bei der Überwachung der NIS2-Maßnahmen entstehen - dazu gehören Abwehrkosten bei Haftungsansprüchen, Schadensersatzforderungen und in bestimmten Fällen auch Regressansprüche. Allerdings gibt es wichtige Einschränkungen: Vorsätzliche Verstöße sind grundsätzlich nicht versicherbar, und die Deckung von Bußgeldern ist rechtlich umstritten und tarifabhängig. Geschäftsführer sollten ihre bestehende D&O-Police dahingehend prüfen lassen, ob NIS2-bezogene Haftungsszenarien ausreichend abgedeckt sind. Die Kombination aus D&O-Versicherung für die persönliche Absicherung der Geschäftsführung und einer Cyberversicherung für das Unternehmen selbst bildet die optimale Verteidigungslinie gegen NIS2-Risiken.

Eine Cyberversicherung ist zwar keine explizite NIS2-Pflicht, wird aber zum strategisch unverzichtbaren Baustein des geforderten Risikomanagements. Sie erfüllt gleich mehrere NIS2-Anforderungen gleichzeitig: Risikoübertragung als anerkanntes Element des Risikomanagements nach § 30 BSIG - die bewusste Übertragung finanzieller Risiken auf einen Versicherer ist eine der vier klassischen Risikobehandlungsoptionen. Notfall- und Krisenmanagement durch Assistance-Leistungen - die 24/7-Notfall-Hotline mit IT-Forensikern und Krisenberatern unterstützt direkt bei der Bewältigung von Sicherheitsvorfällen (Mindestmaßnahme 2). Business Continuity durch finanzielle Absicherung bei Betriebsunterbrechung und Datenschutzverletzungen (Mindestmaßnahme 3). Unterstützung bei der Einhaltung der 24-Stunden-Meldepflicht durch erfahrene IT-Forensiker, die den Vorfall schnell klassifizieren können. Viele Versicherer bieten zudem präventive Services an - von Sicherheits-Audits über Mitarbeiterschulungen bis zu Vulnerability-Scans - die direkt auf NIS2-Compliance einzahlen. Unternehmen, die NIS2-konforme Sicherheitsmaßnahmen nachweisen können, profitieren häufig von günstigeren Versicherungsprämien - ein positiver Compliance-Kreislauf.

Die Kosten für die NIS2-Umsetzung variieren je nach Ausgangslage und Unternehmensgröße erheblich. Für ein KMU mit 50 bis 100 Mitarbeitern ohne bisherige strukturierte Sicherheitsmaßnahmen ist mit folgenden Größenordnungen zu rechnen: Gap-Analyse und Konzeption einmalig 5.000 bis 15.000 Euro, Dokumentation (Richtlinien, Prozesse) 3.000 bis 8.000 Euro einmalig plus 1.000 bis 2.000 Euro jährlich, technische Maßnahmen (MFA, Verschlüsselung, Backup) 5.000 bis 20.000 Euro einmalig plus 2.000 bis 5.000 Euro jährlich, Schulungen 2.000 bis 5.000 Euro einmalig und 1.500 bis 3.000 Euro jährlich, Penetrationstests 3.000 bis 8.000 Euro jährlich. Optional, aber empfohlen: ein externer Informationssicherheitsbeauftragter (ISB) für 16.800 bis 30.000 Euro jährlich - deutlich günstiger als eine interne Vollzeitstelle (80.000 bis 120.000 Euro). Insgesamt liegen die Kosten im ersten Jahr bei 15.000 bis 48.000 Euro ohne und bei 32.000 bis 78.000 Euro mit externem ISB. Zum Vergleich: Die durchschnittlichen Kosten eines Ransomware-Angriffs auf ein KMU liegen bei 50.000 bis 500.000 Euro. Der Verhältnismäßigkeitsgrundsatz nach § 30 Abs. 1 BSIG berücksichtigt dabei die Größe des Unternehmens - kleinere Betriebe müssen weniger aufwendige Maßnahmen implementieren.

Prüfen Sie mit der BSI-Betroffenheitsprüfung, ob Ihr Unternehmen unter NIS2 fällt - und zwar sowohl direkt als auch indirekt über die Lieferkette. Falls Sie sich noch nicht registriert haben, holen Sie die BSI-Registrierung umgehend nach - die Frist lief am 6. März 2026 ab, Verstöße werden mit bis zu 500.000 Euro geahndet. Führen Sie eine Gap-Analyse Ihrer aktuellen IT-Sicherheitsmaßnahmen gegen die 10 Mindestmaßnahmen nach § 30 BSIG durch. Stellen Sie sicher, dass Ihre Geschäftsführung an Cybersicherheitsschulungen teilnimmt - das ist eine persönliche Pflicht, keine Empfehlung. Bauen Sie einen Incident-Response-Plan auf, der die 24-Stunden-Meldefrist berücksichtigt. Prüfen Sie Ihre Lieferantenverträge auf IT-Sicherheitsklauseln. Dokumentieren Sie alle Maßnahmen lückenlos für mögliche BSI-Audits. Prüfen Sie Ihre D&O-Versicherung auf NIS2-Deckung. Schließen Sie eine Cyberversicherung als finanzielles Sicherheitsnetz und Compliance-Instrument ab. Nutzen Sie unseren Vergleichsrechner, um die passende Cyberversicherung zu finden, die Ihre NIS2-Compliance unterstützt.