Warum wissen viele Unternehmen nicht, dass sie betroffen sind?

Viele Unternehmen betrachten ausschließlich die eigene Gesellschaft. Das NIS-2-Umsetzungsgesetz berücksichtigt jedoch häufig auch verbundene Unternehmen und Konzernstrukturen. Dadurch können Unternehmen in den Anwendungsbereich fallen, obwohl sie die relevanten Schwellenwerte isoliert betrachtet nicht überschreiten würden.

Welche Chancen ergeben sich aus NIS-2?

Unternehmen können NIS-2 nutzen, um ihre Cyber-Resilienz nachhaltig zu stärken, Informationssicherheitsstrukturen zu professionalisieren, Governance-Prozesse zu verbessern und das Vertrauen von Kunden, Geschäftspartnern, Investoren und Aufsichtsorganen zu erhöhen. Richtig umgesetzt kann NIS-2 damit zu einem Wettbewerbsvorteil werden.

Welche Pflichten bringt NIS-2 für Unternehmen mit sich?

NIS-2 verlangt unter anderem ein wirksames Risikomanagement für Cybersicherheit, technische und organisatorische Sicherheitsmaßnahmen, Meldeprozesse für Sicherheitsvorfälle, regelmäßige Überprüfungen der Wirksamkeit sowie eine aktive Einbindung der Unternehmensleitung in die Steuerung von Cyberrisiken.

Welche Risiken bestehen bei einer verspäteten Umsetzung?

Neben möglichen aufsichtsrechtlichen Maßnahmen und Bußgeldern drohen operative Risiken durch Cyberangriffe, Sicherheitsvorfälle oder Ausfälle kritischer Geschäftsprozesse. Zudem können Geschäftspartner, Banken, Versicherer oder Kunden zunehmend Nachweise über die Einhaltung anerkannter Sicherheitsstandards verlangen.

Welche Verantwortung trägt die Geschäftsleitung?

Die Geschäftsleitung ist nach NIS-2 ausdrücklich für die Überwachung und Steuerung von Cybersicherheitsrisiken verantwortlich. Cybersicherheit wird damit zu einer Managementaufgabe. Entscheidungen, Zuständigkeiten und Maßnahmen müssen nachvollziehbar dokumentiert und regelmäßig überprüft werden.

Wie viele Unternehmen haben sich bereits beim BSI registriert?

Bis zum Ablauf der Registrierungsfrist im März 2026 hatten sich rund 11.500 Unternehmen beim BSI registriert. Gemessen an den geschätzt rund 30.000 betroffenen Einrichtungen entspricht dies lediglich etwa 38,5 Prozent.

Wie viele Unternehmen sind in Deutschland von NIS-2 betroffen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass rund 29.500 Unternehmen und Organisationen in Deutschland unter die NIS-2-Regulierung fallen. Damit erweitert sich der Kreis der betroffenen Unternehmen gegenüber der bisherigen KRITIS-Regulierung erheblich.

BDO
Insights
Digitalisierung | KI
Sechs Monate NIS-2-Umsetzungsgesetz: NIS-2 in Deutschland: Zwischen regulatorischem Druck und strat

Aktuelles

Datum: June 5, 2026

Sechs Monate NIS-2-Umsetzungsgesetz: NIS-2 in Deutschland: Zwischen regulatorischem Druck und strategischer Chance

Q: Wer ist von NIS-2 betroffen?

Von NIS-2 betroffen sind Unternehmen und Organisationen aus insgesamt 18 definierten Sektoren, darunter Energie, Gesundheit, Verkehr, digitale Infrastruktur, IT-Dienstleistungen, produzierendes Gewerbe und Forschung. Maßgeblich sind neben der Branche auch Unternehmensgröße, Umsatz, Bilanzsumme sowie mögliche Konzernverflechtungen.

Am 6. Juni 2026 ist das deutsche NIS-2-Umsetzungsgesetz seit sechs Monaten in Kraft. Mit der Umsetzung der europäischen NIS-2-Richtlinie haben sich die Anforderungen an Cybersicherheit, Risikomanagement und Governance grundlegend verschärft. Ziel ist es, die digitale Resilienz kritischer und wichtiger Einrichtungen nachhaltig zu stärken und Unternehmen besser gegen Cyberangriffe, IT-Ausfälle und Störungen digitaler Lieferketten zu schützen.

Die Zwischenbilanz fällt jedoch gemischt aus: Während viele Unternehmen erste Maßnahmen angestoßen haben, bestehen weiterhin erhebliche Unsicherheiten bei der Betroffenheitsprüfung sowie der praktischen Umsetzung der gesetzlichen Anforderungen.

NIS-2 betrifft deutlich mehr Unternehmen als viele vermuten

Eine der größten Veränderungen durch das NIS-2-Umsetzungsgesetz ist die massive Ausweitung des Anwendungsbereichs. Statt bislang rund 4.500 KRITIS-Unternehmen fallen heute nach Erhebungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) ca. 29.500 Unternehmen und Organisationen unter die NIS-2- Vorgaben.

Betroffen sind Unternehmen aus insgesamt 18 Sektoren, darunter Energie, Gesundheit, Transport, digitale Infrastruktur, IT-Dienstleistungen, produzierendes Gewerbe, Lebensmittelwirtschaft, Forschung sowie zahlreiche weitere Bereiche. Entscheidend sind dabei nicht nur die Branche, sondern auch Unternehmensgröße, Konzernstrukturen und wirtschaftliche Verflechtungen. Gerade an diesem Punkt entstehen in der Praxis erhebliche Unsicherheiten.

Warum viele Unternehmen ihre NIS-2-Betroffenheit falsch einschätzen

Aus zahlreichen Betroffenheitsanalysen zeigt sich, dass viele Unternehmen weiterhin davon ausgehen, nicht unter die Regulierung zu fallen. Häufig basiert diese Einschätzung auf einer isolierten Betrachtung der eigenen Gesellschaft.

Tatsächlich verlangt das Gesetz jedoch in vielen Fällen eine konsolidierte Betrachtung von Unternehmensgruppen. Mitarbeiterzahlen, Umsätze und Bilanzsummen können konzernweit zugerechnet werden. Dadurch geraten auch Unternehmen in den Anwendungsbereich, die für sich betrachtet deutlich unter den relevanten Schwellenwerten liegen würden.

Die Betroffenheitsprüfung entwickelt sich dadurch zunehmend zu einer rechtlichen, organisatorischen und technischen Einzelfallbewertung.

Nur rund 38 Prozent der betroffenen Unternehmen haben sich rechtzeitig registriert

Wie groß die Unsicherheit tatsächlich ist, zeigt ein detaillierter Blick auf die Registrierungszahlen.

Zwei Wochen vor Fristablauf am 6. März 2026 lag die Zahl bei weniger als 5.000 Registrierungen. Bis zum Ablauf der gesetzlichen Registrierungsfrist am 6. März 2026 hatten sich lediglich rund 11.500 Unternehmen beim BSI registriert. Dies entspricht etwa 38,5 Prozent der geschätzt rund 29.500 betroffenen Einrichtungen. Bis Anfang April stieg die Zahl der Registrierungen auf rund 15.500 an, was knapp über 50 % entspricht.

Die Gründe hierfür sind u.a.:

Unsicherheit über die eigene Betroffenheit,
fehlende interne Zuständigkeiten,
unzureichende Ressourcen,
Unterschätzung der Cyberbedrohungslage,
fehlende Verzahnung von IT, Compliance, Recht und Management.

Für viele Unternehmen besteht daher weiterhin akuter Handlungsbedarf.

NIS-2 macht Cybersicherheit zur Managementaufgabe

Eine zentrale Neuerung der Regulierung liegt in der ausdrücklichen Verankerung der Verantwortung auf Leitungsebene.

Cybersicherheit wird nicht länger ausschließlich als Aufgabe der IT-Abteilung verstanden. Geschäftsleitungen müssen Risiken aktiv steuern, Sicherheitsmaßnahmen überwachen, Schulungen sicherstellen und die Umsetzung dokumentieren. Verstöße können erhebliche aufsichtsrechtliche Konsequenzen und Bußgelder nach sich ziehen.

Damit etabliert NIS-2 einen grundlegenden Kulturwandel:

Informationssicherheit wird zu einem Governance-Thema und damit zu einem festen Bestandteil unternehmerischer Verantwortung.

Unternehmen benötigen künftig ein belastbares Zusammenspiel zwischen Geschäftsführung, Informationssicherheit, IT, Datenschutz, Compliance, Risikomanagement und Rechtsabteilung.

Warum NIS-2 mehr ist als eine Compliance-Pflicht

Trotz des regulatorischen Drucks sollte NIS-2 nicht ausschließlich als zusätzliche Verpflichtung betrachtet werden.

Die Richtlinie zwingt Unternehmen dazu, sich strukturiert mit ihren kritischen Geschäftsprozessen, Abhängigkeiten, Lieferketten und digitalen Risiken auseinanderzusetzen. Viele Organisationen nutzen diese Erkenntnisse bereits, um bestehende Sicherheitsstrukturen grundlegend zu modernisieren.

Zu den strategischen Vorteilen zählen insbesondere:

Höhere Resilienz gegenüber Cyberangriffen

Angesichts einer zunehmend professionalisierten Cyber-Bedrohungslage gewinnen belastbare Sicherheitsarchitekturen und -mechanismen erheblich an Bedeutung. Insbesondere mittelständische Unternehmen geraten zunehmend in den Fokus von Angreifern. Das BSI berichtet, dass ein Großteil der gemeldeten Sicherheitsvorfälle kleine und mittlere Unternehmen betrifft.

Stärkung von Kunden- und Partnervertrauen

Informationssicherheit wird zunehmend zu einem Wettbewerbsfaktor. Geschäftspartner, Auftraggeber, Banken, Investoren und Versicherer erwarten heute belastbare Nachweise über den Umgang mit Cyberrisiken.

Professionalisierung von Governance und Risikomanagement

Die Umsetzung von NIS2 fördert klare Verantwortlichkeiten, dokumentierte Prozesse und eine stärkere Integration von Risiken in unternehmerische Entscheidungen.

Bessere Vorbereitung auf weitere regulatorische Anforderungen

NIS2 steht nicht isoliert. Unternehmen sehen sich zunehmend mit weiteren Anforderungen aus DORA, dem Cyber Resilience Act (CRA), Datenschutzrecht, Lieferkettenanforderungen und branchenspezifischen Sicherheitsstandards konfrontiert.

Wer heute ein wirksames Informationssicherheitsmanagement etabliert, schafft die Grundlage für zukünftige Compliance-Anforderungen.

Was Unternehmen jetzt tun sollten

Sechs Monate nach Inkrafttreten des Gesetzes ist der richtige Zeitpunkt für eine ehrliche Standortbestimmung.

Unternehmen sollten insbesondere folgende Fragen beantworten:

Wurde die eigene NIS-2-Betroffenheit rechtlich belastbar geprüft?
Sind Konzern- und Beteiligungsstrukturen korrekt berücksichtigt?
Wurden die gesetzlichen Anforderungen an Risikomanagement und Governance analysiert?
Existieren klare Verantwortlichkeiten auf Managementebene?
Sind Melde- und Reaktionsprozesse definiert?
Werden bestehende Sicherheitsmaßnahmen regelmäßig überprüft und weiterentwickelt?

Wer diese Fragen noch nicht beantworten kann, sollte kurzfristig handeln.

Die wichtigsten Erkenntnisse auf einen Blick

Rund 29.500 Unternehmen in Deutschland fallen unter NIS-2.
Bis März 2026 hatten sich nur rund 11.500 Unternehmen beim BSI registriert.
Die Betroffenheitsprüfung gehört nach wie vor zu den größten Herausforderungen.
Konzernstrukturen und Zurechnungsfragen führen häufig zu Fehleinschätzungen.
NIS-2 macht Cybersicherheit zur Verantwortung der Geschäftsleitung.
Unternehmen sollten NIS-2 nicht nur als Compliance-Pflicht, sondern als Chance zur Stärkung ihrer Resilienz und Wettbewerbsfähigkeit verstehen.

Fazit: Die eigentliche NIS-2-Transformation beginnt jetzt
Sechs Monate nach Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes zeigt sich, dass viele Unternehmen noch am Anfang ihrer Umsetzung stehen.
Die niedrige Registrierungsquote und die weiterhin verbreitete Unsicherheit bei der Betroffenheitsprüfung verdeutlichen den bestehenden Handlungsbedarf. Gleichzeitig wird immer deutlicher, dass NIS2 weit über reine Regulierung hinausgeht.
Unternehmen, die die Anforderungen strategisch nutzen, können ihre Cyber-Resilienz stärken, Risiken reduzieren, das Vertrauen von Stakeholdern erhöhen und ihre Wettbewerbsfähigkeit langfristig stärken und sichern.
NIS2 ist deshalb nicht nur eine Compliance-Aufgabe. Es ist ein Transformationsprojekt für die digitale Widerstandsfähigkeit von Unternehmen.

Wie BDO Unternehmen bei NIS2 unterstützt

BDO begleitet Unternehmen interdisziplinär bei der Umsetzung der NIS2-Anforderungen – von der Betroffenheitsprüfung über Governance- und Compliance-Fragen bis hin zur technischen Umsetzung von Informationssicherheits- und Cybersecurity-Maßnahmen.

Unsere Expertinnen und Experten aus den Bereichen Wirtschaftsprüfung, Risikomanagement, Informationssicherheit und Cybersecurity unterstützen Unternehmen dabei, regulatorische Anforderungen rechtssicher umzusetzen und gleichzeitig nachhaltige Mehrwerte für Organisation und das individuelle Geschäftsmodell zu schaffen.