Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 20251 ohne Schonfrist. Für viele Betriebe im Rhein-Main-Gebiet bedeutet das: Bei Nichtumsetzung besteht sofortiger Handlungsbedarf.
Seit der Verabschiedung durch den Bundestag am 13. November 2025 ist diese Wartezeit beendet2, und Betriebe stehen vor der komplexen Aufgabe, die neuen Cybersicherheitspflichten unverzüglich umzusetzen. Die neue Rechtslage trifft viele Unternehmen in Frankfurt und Rüsselsheim unvermittelt, weil bislang keine automatische Behördenbenachrichtigung für Aufmerksamkeit gesorgt hat.
Auch das Rhein-Main-Gebiet mit seinen wirtschaftsstarken Zentren ist von der Richtlinie in besonderem Maße betroffen, da die regulierten Sektoren viele der dort ansässigen Branchen direkt abdecken. riomar aus Wiesbaden begleitet Betriebe in dieser Region seit Jahren bei der Umsetzung anspruchsvoller IT-Projekte und kennt die konkreten Herausforderungen, mit denen Unternehmen aus Frankfurt, Rüsselsheim und Wiesbaden durch die NIS2-Pflicht konfrontiert sind. Mit dem neuen BSIG ist IT-Sicherheit erstmals für große Teile des Mittelstands Pflicht. Wer seine Betroffenheit noch nicht geprüft hat, sollte dies sofort tun – als ersten Schritt.
Jetzt kostenlos prüfen, ob NIS2 für dein Unternehmen gilt!
Was ist NIS2? Die neue Dimension der IT-Sicherheitspflicht
EU-Richtlinie 2022/2555: Von der alten NIS-Richtlinie zum deutschen Umsetzungsgesetz
Die NIS2-Richtlinie (offiziell: EU-Richtlinie 2022/2555 des Europäischen Parlaments und des Rates) ist die Nachfolgeregelung der NIS-Richtlinie von 2016 und bildet seit Dezember 2025 durch das deutsche Umsetzungsgesetz unmittelbar geltendes Recht. Die ursprüngliche NIS-Richtlinie hatte einen Rahmen für Cybersicherheit in Europa geschaffen, erfasste in der Praxis aber nur einen kleinen Kreis von Unternehmen aus dem Bereich klassischer kritischer Infrastruktur (u.a. Energie, Wasser, IT und Finanzwesen).
NIS2 geht in seinem Anwendungsbereich erheblich weiter und erstreckt die Cybersicherheitspflichten auf 18 gesellschaftlich relevante Sektoren3, mit deutlich verschärften Anforderungen und spürbar angehobenen Sanktionen. Für viele Betriebe in Frankfurt, Wiesbaden und Rüsselsheim ist NIS2 damit das erste Cybersicherheitsgesetz, das sie unmittelbar trifft und konkrete Maßnahmen verlangt.
Durch das neue BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), das durch das Umsetzungsgesetz grundlegend geändert wurde, werden betroffene Einrichtungen zu einem umfassenden Katalog technischer, operativer und organisatorischer Maßnahmen verpflichtet. Dieser Katalog umfasst Risikoanalysen, Notfall- und Krisenmanagement, strukturierte Zugangskontrollen und dokumentierte Meldeprozesse bei Sicherheitsvorfällen, die alle nachweisbar eingeführt werden müssen4.
Die Experten von riomar helfen Unternehmen, den Anforderungskatalog umzusetzen und eine praxistaugliche Sicherheitsstrategie zu entwickeln. ISO 27001 und BSI-Standards bieten dabei bewährte Orientierung, um alle Pflichten strukturiert zu erfüllen.
NIS2-Betroffenheit prüfen: Gilt das Gesetz für dein Unternehmen in Wiesbaden?
Größenschwellen und Sektorzugehörigkeit als entscheidende Kriterien
Anhand zweier zentraler Kriterien lässt sich die eigene Betroffenheit klären. Dazu gehören Unternehmensgröße und Branchenzugehörigkeit, die gemeinsam darüber entscheiden, ob das neue BSIG anwendbar ist. Grundsätzlich gilt das Gesetz für Einrichtungen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz beziehungsweise einer Jahresbilanzsumme von mindestens 10 Millionen Euro5, sofern sie einem der 18 regulierten Sektoren angehören.
Kleinere Betriebe sind in der Regel vom Anwendungsbereich ausgenommen, sofern sie keine essenziellen Dienste für das öffentliche Leben erbringen oder alleinige Anbieter bestimmter Leistungen in einem EU-Mitgliedstaat sind. Wir empfehlen Unternehmen in Wiesbaden, Frankfurt und Rüsselsheim, die eigene Betroffenheit als ersten Schritt sorgfältig zu klären, da Behörden keine automatischen Benachrichtigungen versenden und die Verantwortung allein bei der Unternehmensführung liegt.
Bist du „wichtig“ oder sogar „besonders wichtig“?
Grundlegend unterscheidet das Gesetz zwischen besonders wichtigen und wichtigen Einrichtungen, wobei sich die Kategorie nach der Unternehmensgröße und der sektoriellen Einordnung richtet und unmittelbare Auswirkungen auf die Strenge der BSI-Kontrollen hat. Besonders wichtige Einrichtungen müssen ihre Maßnahmenumsetzung früher nachweisen und werden durch das BSI aktiv überwacht, was einen deutlich höheren organisatorischen Vorlauf erfordert.
Betriebe, die sich bezüglich ihrer Einordnung unsicher sind, sollten diesen Status zeitnah klären, um Versäumnisse zu vermeiden, die später zu empfindlichen Sanktionen führen könnten. Übrigens: Auch Dienstleister und Zulieferer von NIS2-pflichtigen Einrichtungen können über vertragliche Pflichten in den Anwendungsbereich hineingezogen werden, ohne selbst direkt unter die Größenschwellen zu fallen6.
NIS2-Sektoren: Auch Wiesbaden, Frankfurt und Rüsselsheim im Fokus
Das Rhein-Main-Gebiet als Wirtschaftsraum mit besonderer Regulierungsdichte
Im Rhein-Main-Gebiet finden sich für viele der 18 regulierten Sektoren besonders viele betroffene Betriebe, darunter Unternehmen aus Finanzwesen, Gesundheit, digitaler Infrastruktur, Abfallwirtschaft und Logistik. Allein der Finanzsektor mit seinen zahlreichen Banken, Versicherungen und Finanzdienstleistern in Frankfurt gilt unter NIS2 als besonders wichtiger Sektor7, dessen Einrichtungen den strengsten Anforderungen unterliegen.
Behörden und öffentliche Einrichtungen in der Landeshauptstadt Wiesbaden werden durch das neue BSIG ebenfalls erfasst, was die regulatorische Reichweite der Richtlinie in der Region noch weiter ausdehnt. Fertigungs- und Produktionsbetriebe in Rüsselsheim sowie Unternehmen aus der Gesundheitsbranche in Frankfurt und Wiesbaden sollten deshalb besonders sorgfältig prüfen, ob sie dem Anwendungsbereich des neuen BSIG unterfallen.
Das Problem mit der Lieferkette
Ein häufig unterschätzter Aspekt der NIS2-Compliance ist die indirekte Betroffenheit über Lieferketten, die auch Unternehmen erfasst, die selbst keinem der regulierten Sektoren angehören. Auch Zulieferer und Dienstleister müssen vertraglich Sicherheitsmaßnahmen umsetzen. So werden die Anforderungen entlang der gesamten Wertschöpfungskette gewährleistet. Das BSI empfiehlt, Lieferanten systematisch nach ihrem Risikobeitrag zu klassifizieren und entsprechende Sicherheitsanforderungen in Lieferantenverträge aufzunehmen8. Gerade für den breiten Mittelstand in Wiesbaden, Frankfurt und Rüsselsheim öffnet sich hier eine neue Compliance-Dimension, für die riomar als regionaler IT-Partner praxisnahe Lösungen bereitstellt.
Jetzt mit den IT-Experten von riomar NIS2-Betroffenheit prüfen!
NIS2-Risikomanagement: Was Unternehmen in der Region Wiesbaden jetzt konkret einführen müssen
Technische und organisatorische Maßnahmen nach neuem BSIG
Das Herzstück der NIS2-Anforderungen bildet ein umfassendes Risikomanagement, das weit über punktuelle IT-Sicherheitsmaßnahmen hinausgeht und ein strukturiertes, dauerhaft dokumentiertes Sicherheitsprogramm für das gesamte Unternehmen vorschreibt. Betroffene Einrichtungen müssen eine vollständige Risikoanalyse durchführen, die alle relevanten IT-Systeme, Prozesse und Daten erfasst und auf Basis dieser Analyse geeignete Schutzmaßnahmen ableitet.
ISO 27001 oder die BSI-Standards 200-1 bis 200-39 gelten dabei als anerkannte Methoden, um die gesetzlichen Anforderungen strukturiert und nachweisbar zu erfüllen. riomar begleitet Unternehmen in Wiesbaden und der gesamten Rhein-Main-Region bei diesem Prozess, von der ersten Bestandsaufnahme bis zur vollständigen Dokumentation im Informationssicherheits-Managementsystem.
Das wird gefordert
Zu den konkreten Maßnahmen, die das BSIG vorschreibt, gehören Zugangskontrollsysteme mit Multi-Faktor-Authentifizierung, Netzwerksegmentierung, verschlüsselte Kommunikation sowie ransomware-sichere Backupkonzepte, die gemeinsam eine tiefgreifende technische Absicherung der IT-Infrastruktur gewährleisten sollen. Business-Continuity-Pläne müssen außerdem sicherstellen, dass der Betrieb auch nach einem schwerwiegenden Cyberangriff rasch wieder aufgenommen werden kann. Ergänzend dazu sind alle Maßnahmen in einer nachvollziehbaren Dokumentation festzuhalten.
Für Betriebe aus Frankfurt, Rüsselsheim und Wiesbaden bedeutet das eine grundlegende Überprüfung der bestehenden IT-Landschaft, die riomar im Rahmen einer strukturierten Gap-Analyse (Analyse zur Feststellung von Sicherheitslücken) systematisch durchführt und auswertet. Regelmäßige Security-Awareness-Schulungen für Mitarbeitende sind ebenfalls verpflichtend10, da der Mensch in der Sicherheitskette nach wie vor als häufigstes Einfallstor für erfolgreiche Cyberangriffe gilt.
NIS2-Meldepflichten: 24 Stunden, 72 Stunden, ein Monat
Drei verbindliche Fristen nach Kenntnis eines Sicherheitsvorfalls
Eine wichtige Neuerung von NIS2 sind die strikten Meldepflichten bei Sicherheitsvorfällen. Das dreistufige Verfahren startet sofort nach Bekanntwerden des Vorfalls.
Innerhalb von 24 Stunden muss eine Frühwarnung an das BSI erfolgen11, die erste Informationen über Art und Ausmaß des Vorfalls enthält und ohne Rücksicht auf Vollständigkeit zu übermitteln ist. Diese erste Frist stellt viele Unternehmen in Frankfurt, Wiesbaden und Rüsselsheim vor erhebliche Herausforderungen, weil interne Kommunikationswege und Eskalationsprozesse für solche Situationen oft nicht eingerichtet sind.
Innerhalb von 72 Stunden folgt die eigentliche Meldung, die eine erste Bewertung des Sicherheitsvorfalls und seiner Auswirkungen auf den Betrieb enthalten muss und über das BSI-Portal (https://mip2.bsi.bund.de/de/ ) eingereicht wird. Spätestens nach einem Monat ist schließlich ein vollständiger Abschlussbericht einzureichen, der den Vorfall umfassend beschreibt und alle getroffenen Gegenmaßnahmen dokumentiert. Das BSI-Portal ist seit dem 6. Januar 2026 freigeschaltet und dient als zentrale Meldestelle für alle registrierungspflichtigen Einrichtungen in Deutschland12.
NIS2 und die Geschäftsführerhaftung: Persönliche Verantwortung und Schulungspflicht
Warum NIS2 Chefsache ist
NIS2 macht Cybersicherheit zur echten Führungsaufgabe und zieht die Unternehmensleitung unmittelbar in die persönliche Verantwortung, die durch das neue BSIG rechtlich verbindlich festgelegt wurde. Die Leitungsorgane sind dazu verpflichtet, geeignete Maßnahmen zu ergreifen, deren Umsetzung aktiv zu überwachen und im Falle von Verstößen persönlich zu haften, ohne diese Verantwortung vollständig an die IT-Abteilung delegieren zu können13.
Für Geschäftsführerinnen und Geschäftsführer in Unternehmen aus Frankfurt, Wiesbaden und Rüsselsheim bedeutet das, dass Cybersicherheit dauerhaft auf der Führungsagenda stehen muss. Kommt es zu einem Sicherheitsvorfall und stellt das BSI fest, dass grundlegende Maßnahmen versäumt wurden, können die Leitungsorgane persönlich mit erheblichen Bußgeldern belegt werden.
Schulungen
Das BSI schreibt darüber hinaus eine verpflichtende Schulung der Geschäftsleitung vor, die mindestens vier Stunden innerhalb von drei Jahren umfassen muss14 und inhaltlich auf die individuelle Risikoexposition des jeweiligen Unternehmens abgestimmt sein soll.
Eine generische Online-Schulung erfüllt diese Anforderungen in der Regel nicht, da die BSI-Vorgaben eine unternehmensspezifische Risikoanalyse als Grundlage für die Schulungsinhalte voraussetzen. riomar bietet Führungskräften in Wiesbaden, Frankfurt und Rüsselsheim praxisnahe Schulungsformate an, die direkt auf die Sicherheitsrisiken und sektoriellen Anforderungen des jeweiligen Betriebs zugeschnitten sind.
NIS2-Supply-Chain: Auch deine Lieferanten sind jetzt in der Pflicht
Vertragliche Absicherung entlang der gesamten Wertschöpfungskette
Die Sicherheit der Lieferkette ist nach NIS2 ein integraler Bestandteil des gesetzlich vorgeschriebenen Risikomanagements und muss von betroffenen Einrichtungen aktiv gesteuert werden. Betroffene Unternehmen müssen ihre Zulieferer und Dienstleister auf Basis einer Risikobewertung klassifizieren und sie vertraglich zur Einhaltung bestimmter Sicherheitsstandards verpflichten, was regelmäßige Audits und Überprüfungen einschließt.
Das BSI empfiehlt, Sicherheitsanforderungen systematisch in Lieferantenverträge aufzunehmen und Verstöße mit klaren Konsequenzen zu verknüpfen, um die Integrität der gesamten Lieferkette dauerhaft zu gewährleisten15. Gerade für Unternehmen in Frankfurt und Wiesbaden, die häufig als Teil größerer Wertschöpfungsketten agieren, entsteht dadurch erheblicher vertraglicher und organisatorischer Mehraufwand, der frühzeitig angegangen werden sollte.
riomar als starker IT-Partner für deine NIS2-Umsetzung
Als Managed-Service-Provider ist riomar selbst Teil der Lieferkette seiner Kunden und setzt deshalb auf zertifizierte Sicherheitsprozesse, die den Anforderungen des neuen BSIG entsprechen. Unternehmen in Rüsselsheim, Frankfurt und Wiesbaden, die riomar als IT-Partner nutzen, können diese Partnerschaft in ihre eigene NIS2-Compliance-Dokumentation einbeziehen und gegenüber Auftraggebern sowie Behörden nachweisen. Wir stellen sicher, dass alle relevanten Sicherheitsstandards in der täglichen Arbeit eingehalten werden, sodass unsere Kunden auf eine solide und nachweisbare Sicherheitsgrundlage zählen und zurückgreifen können16.
NIS2-Bußgelder: Bis zu 10 Millionen Euro bei Verstößen
Empfindliche Strafen und Reputationsverluste auch für mittelständische Betriebe in der Rhein-Main-Region
Die Sanktionen, die das NIS2-Umsetzungsgesetz bei Verstößen vorsieht, sind erheblich und sollten von Unternehmen keinesfalls unterschätzt werden. Das BSIG sieht Geldbußen von mindestens 100.000 Euro bis hin zu 10 Millionen Euro vor, bei besonders wichtigen Einrichtungen sogar bis zu 2 Prozent des weltweiten Jahresumsatzes17.
Neben den direkten Geldstrafen drohen aber auch Reputationsschäden, die im gut vernetzten Wirtschaftsraum des Rhein-Main-Gebiets langfristig sogar noch schwerer wiegen können als eine einmalige Geldzahlung. Auftraggeber aus Frankfurt, Wiesbaden und Rüsselsheim werden künftig zunehmend prüfen, ob ihre Dienstleister und Zulieferer NIS2-konform aufgestellt sind, und fehlende Compliance kann dabei zum Verlust von Aufträgen führen18.
NIS2-Gap-Analyse jetzt anfragen, bevor Bußgelder drohen!
NIS2-Registrierung beim BSI: So meldest du dein Unternehmen an
Das BSI-Portal als zentrale Anlaufstelle für NIS2-Einrichtungen
Betroffene Unternehmen sind verpflichtet, sich innerhalb von drei Monaten nach Feststellung ihrer eigenen Betroffenheit beim BSI zu registrieren19, ohne dass hierfür eine externe Aufforderung abgewartet werden muss. Das BSI-Portal ist seit dem 6. Januar 2026 freigeschaltet und ermöglicht die Erstregistrierung sowie die spätere Meldung von Sicherheitsvorfällen über eine zentrale Plattform. Für die Registrierung sind unter anderem der Unternehmensname, die Rechtsform, die Branchenzugehörigkeit sowie die Kontaktdaten des zuständigen Sicherheitsverantwortlichen anzugeben. Das BSI empfiehlt außerdem, vorab ein Konto bei “Mein Unternehmenskonto” einzurichten, das als Grundlage für die spätere Portal-Registrierung dient und den Prozess erheblich vereinfacht.
Für Unternehmen aus Wiesbaden und der Region, die ihre Betroffenheit noch nicht geprüft oder sich noch nicht registriert haben, erhöht jeder weitere Monat das rechtliche Risiko, da das BSIG keine Toleranzzeiten vorsieht. Die Experten bei riomar begleiten Betriebe durch den gesamten Registrierungsprozess, klären offene Fragen zur Betroffenheit und stellen sicher, dass alle erforderlichen Angaben korrekt und vollständig beim BSI eingereicht werden. Die Registrierung ist der erste formale Schritt auf dem Weg zur NIS2-Compliance und legt gleichzeitig die Grundlage für alle weiteren gesetzlichen Pflichten und Meldewege20.
Wie riomar Unternehmen in Wiesbaden bei der NIS2-Umsetzung unterstützt
riomar bietet Unternehmen in Wiesbaden, Frankfurt und Rüsselsheim ein abgestimmtes Portfolio aus Managed Services und Cyber-Security-Leistungen an, das speziell auf die Anforderungen des neuen BSIG ausgerichtet ist. Den Ausgangspunkt bildet dabei eine umfassende Gap-Analyse, bei der der aktuelle Stand der IT-Sicherheit systematisch mit den NIS2-Anforderungen abgeglichen wird und konkrete Handlungsfelder identifiziert werden.
Auf dieser Grundlage entwickeln unsere IT-Experten einen individuellen Umsetzungsplan für dein Unternehmen, der Prioritäten setzt und die erforderlichen Maßnahmen in einer sinnvollen Reihenfolge einführt. Gerade für Betriebe aus Frankfurt und Wiesbaden, die bislang keine strukturierten Sicherheitskonzepte hatten, ist dieser erste Schritt oft die entscheidende Voraussetzung für eine nachhaltige Compliance.
Managed Cybersecurity
Ergänzend zur Gap-Analyse übernimmt riomar als Managed-Service-Provider laufende Sicherheitsaufgaben, sodass interne Teams entlastet werden und die gesetzlichen Anforderungen dauerhaft erfüllt bleiben. Zum Leistungsumfang gehören Endpoint-Protection, Netzwerkmonitoring, Security-Awareness-Trainings für Mitarbeitende sowie ein professionelles Incident-Response-Management, das im Ernstfall alle Meldeprozesse koordiniert und die gesetzlichen Fristen gegenüber dem BSI sicherstellt.
Unternehmen in der Region, die riomar als langfristigen IT-Partner einsetzen, profitieren von einer zentralisierten Sicherheitsverantwortung, die technische und organisatorische Anforderungen aus einer Hand abdeckt. riomar versteht NIS2-Compliance als dauerhaften Prozess, der fest in den Betriebsalltag integriert wird und Betriebe in Wiesbaden langfristig rechtssicher aufstellt.
NIS2: Jetzt handeln, bevor Bußgelder drohen
Die NIS2-Richtlinie ist seit dem 6. Dezember 2025 geltendes Recht mit konkreten Konsequenzen für alle betroffenen Unternehmen in Wiesbaden, Frankfurt und Rüsselsheim, die die Umsetzung weiter hinauszögern1. Fakt ist: Der richtige Zeitpunkt war eigentlich schon gestern. Es gibt keine Übergangsfristen, Unwissenheit schützt nicht vor Bußgeldern, und jeder Monat ohne klare Sicherheitsstrategie macht die Lage ungünstiger.
Betriebe, die die eigene Betroffenheit noch nicht geprüft haben, sollten dies jetzt umgehend nachholen und mit den gesetzlich vorgeschriebenen Maßnahmen beginnen, um Sanktionen zu vermeiden und die eigene IT-Sicherheit dauerhaft zu stärken.
riomar als dein starker IT-Partner in der Region Wiesbaden
riomar steht als erfahrener IT-Partner in Wiesbaden bereit, um Betriebe in der gesamten Region durch den NIS2-Umsetzungsprozess zu begleiten. Von der ersten Betroffenheitsanalyse über den Aufbau eines Informationssicherheits-Managementsystems bis hin zur Registrierung beim BSI bietet riomar alle notwendigen Leistungen aus einer Hand. Sprich jetzt mit dem riomar-Team in Wiesbaden und starte die NIS2-Umsetzung mit einem strukturierten Fahrplan, der deinen Betrieb rechtssicher und dauerhaft gut aufgestellt hält.
Jetzt riomar kontaktieren und NIS2-Umsetzung starten!
DISCLAIMER: Dieser Artikel stellt keine Rechtsberatung durch riomar dar!
Häufige Fragen zu NIS2 für dein Unternehmen in der Region Wiesbaden und Frankfurt
Was ist die NIS2-Richtlinie?
Die NIS2-Richtlinie ist die EU-Richtlinie 2022/2555 des Europäischen Parlaments und des Rates zur Cybersicherheit. In Deutschland ist sie durch das NIS-2-Umsetzungsgesetz am 6. Dezember 2025 ohne jede Übergangsfrist in Kraft getreten. Sie verpflichtet Unternehmen in 18 regulierten Sektoren zu umfassenden IT-Sicherheitsmaßnahmen, Meldepflichten bei Vorfällen und einer Registrierung beim BSI.
Ab wann gilt NIS2 in Deutschland?
Das NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten, ohne Übergangsfrist und ohne Schonfrist. Betroffene Unternehmen mussten die gesetzlichen Anforderungen ab diesem Datum unmittelbar erfüllen. Es gibt keine Toleranzzeiten für eine spätere Umsetzung.
Wer ist von NIS2 betroffen?
Von NIS2 betroffen sind Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von mindestens 10 Millionen Euro, sofern sie in einem der 18 regulierten Sektoren tätig sind. Auch Lieferanten und Dienstleister von NIS2-pflichtigen Einrichtungen können über vertragliche Anforderungen erfasst werden.
Gilt NIS2 auch für Unternehmen in Wiesbaden?
Ja. NIS2 gilt bundesweit und damit auch für Unternehmen in Wiesbaden, Frankfurt und Rüsselsheim. Im Rhein-Main-Gebiet sind besonders Betriebe aus dem Finanzsektor, dem Gesundheitswesen, der digitalen Infrastruktur, der Produktion und der Logistik betroffen.
Welche Fristen gelten bei der NIS2-Meldepflicht?
NIS2 schreibt drei verbindliche Fristen vor: Innerhalb von 24 Stunden muss eine Frühwarnung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgen. Innerhalb von 72 Stunden folgt die eigentliche Meldung mit einer ersten Vorfallsbewertung. Spätestens nach einem Monat ist ein vollständiger Abschlussbericht einzureichen.
Wie hoch sind die NIS2-Bußgelder?
Das BSIG sieht bei NIS2-Verstößen Geldbußen von mindestens 100.000 Euro bis zu 10 Millionen Euro vor. Für besonders wichtige Einrichtungen können die Strafen sogar bis zu 2 Prozent des weltweiten Jahresumsatzes betragen. Hinzu kommen mögliche Reputationsschäden und der Verlust von Aufträgen.
Wann muss ich mich beim BSI für NIS2 registrieren?
Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Feststellung ihrer Betroffenheit beim BSI registrieren. Das BSI-Portal dafür ist seit dem 6. Januar 2026 freigeschaltet. Es empfiehlt sich, vorab ein Konto bei “Mein Unternehmenskonto” einzurichten, um den Prozess zu vereinfachen.
Haftet die Geschäftsführung persönlich bei NIS2?
Ja. NIS2 sieht eine persönliche Haftung der Unternehmensleitung vor. Bei Verstößen können Geschäftsführerinnen und Geschäftsführer persönlich mit Bußgeldern belegt werden. Zudem schreibt das BSI eine verpflichtende Schulung von mindestens vier Stunden innerhalb von drei Jahren vor.
Müssen auch Lieferanten NIS2-konform sein?
Ja. NIS2-pflichtige Unternehmen müssen ihre Lieferanten und Dienstleister risikobewerten und vertraglich zur Einhaltung von Sicherheitsstandards verpflichten. IT-Dienstleister und Managed-Service-Provider stehen dabei besonders im Fokus, da über sie oft Zugang zu kritischen Systemen besteht.
Wie hilft riomar bei der NIS2-Umsetzung in Wiesbaden?
riomar begleitet Unternehmen in Wiesbaden und der Rhein-Main-Region mit einem vollständigen NIS2-Umsetzungsservice: Gap-Analyse, individueller Umsetzungsplan, Endpoint-Protection, Netzwerkmonitoring, Security-Awareness-Schulungen, Incident-Response-Management und Begleitung bei der BSI-Registrierung, alles aus einer Hand.
Quellen:
1 Bundesgesetzblatt: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, BGBl. 2025 I Nr. 301, 5. Dezember 2025. Primärquelle: https://www.recht.bund.de/bgbl/1/2025/301/VO.html
2 Bundesregierung.de: Umsetzung der NIS-2-Richtlinie beschlossen – Das Gesetz ist am 6. Dezember 2025 in Kraft getreten, 8. Dezember 2025. Primärquelle: https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174
3 ADVANT Beiten: NIS-2-Umsetzungsgesetz in Kraft – Neue Cybersicherheitspflichten für Unternehmen, Januar 2026. Primärquelle: https://www.advant-beiten.com/aktuelles/nis-2-umsetzungsgesetz-in-kraft-neue-cybersicherheitspflichten-fuer-unternehmen
4 BSI – Bundesamt für Sicherheit in der Informationstechnik: Cybersicherheitsrecht – NIS-2-Umsetzungsgesetz ab morgen in Kraft, Pressemitteilung 5. Dezember 2025. Primärquelle: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html
5 BSI – Bundesamt für Sicherheit in der Informationstechnik: NIS-2-Betroffenheitsprüfung – Schwellenwerte Mitarbeitende und Jahresumsatz, 2025/2026. Primärquelle: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html
6 BSI – Bundesamt für Sicherheit in der Informationstechnik: NIS-2-regulierte Unternehmen – Sektoren, Einrichtungstypen und Pflichten im Überblick, 2025/2026. Primärquelle: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
7 OpenKRITIS: NIS2-Umsetzungsgesetz in Deutschland – Überblick Sektoren, Einrichtungen und Anforderungen, 2025. Primärquelle: https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
8 Noerr: Cybersecurity Briefing Q4 2025 – NIS-2-Umsetzung in Deutschland tritt in Kraft, Dezember 2025. Primärquelle: https://www.noerr.com/de/insights/cybersecurity-briefing-q4-2025-nis2-umsetzung-in-deutschland-tritt-in-kraft
9,10 BSI – Bundesamt für Sicherheit in der Informationstechnik: BSI-Standard 200-3 – Risikoanalyse auf der Basis von IT-Grundschutz. Primärquelle: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html
11 BSI – Das NIS-2-Umsetzungsgesetz in der Bundesverwaltung. Primärquelle: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Sicherheitsberatung/Bund/NIS-2_Bundesverwaltung/NIS-2_Bundesverwaltung_node.html
12 BSI – Bundesamt für Sicherheit in der Informationstechnik: Cybersicherheitsrecht – NIS-2-Umsetzungsgesetz ab morgen in Kraft, Pressemitteilung 5. Dezember 2025. Primärquelle: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html
13 ADVANT Beiten: NIS-2-Umsetzungsgesetz in Kraft – Haftung der Leitungsorgane und Delegationsverbot, Januar 2026. Primärquelle: https://www.advant-beiten.com/aktuelles/nis-2-umsetzungsgesetz-in-kraft-neue-cybersicherheitspflichten-fuer-unternehmen
14 ADVANT Beiten: NIS-2-Umsetzungsgesetz in Kraft – Schulungspflicht Geschäftsleitung mindestens 4 Stunden alle 3 Jahre, Januar 2026. Primärquelle: https://www.advant-beiten.com/aktuelles/nis-2-umsetzungsgesetz-in-kraft-neue-cybersicherheitspflichten-fuer-unternehmen
15 Noerr: Cybersecurity Briefing Q4 2025 – Cyber-Supply-Chain-Sicherheit (C-SCRM) als integraler Bestandteil des NIS-2-Risikomanagements, Dezember 2025. Primärquelle: https://www.noerr.com/de/insights/cybersecurity-briefing-q4-2025-nis2-umsetzung-in-deutschland-tritt-in-kraft
16 BSI – Bundesamt für Sicherheit in der Informationstechnik: BSI-Standard 200-1 – Managementsysteme für Informationssicherheit (ISMS). Primärquelle: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-1-Managementsysteme-fuer-Informationssicherheit/bsi-standard-200-1-managementsysteme-fuer-informationssicherheit_node.html
17 OpenKRITIS: Bußgelder und Sanktionen NIS2/BSIG – Sanktionsvorschriften §65 BSIG, Bußgelder 100.000 € bis 10 Mio. €, 2025/2026. Primärquelle: https://www.openkritis.de/betreiber/bussgelder-kritis-bsig.html
18 Noerr: Cybersecurity Briefing Q4 2025 – Sanktionen und Durchsetzung nach NIS-2-Umsetzungsgesetz, Dezember 2025. Primärquelle: https://www.noerr.com/de/insights/cybersecurity-briefing-q4-2025-nis2-umsetzung-in-deutschland-tritt-in-kraft
19 BSI – Bundesamt für Sicherheit in der Informationstechnik: Zweiter Schritt zur NIS-2-Registrierung – BSI-Portal ab 6. Januar 2026 freigeschaltet, Pressemitteilung Januar 2026. Primärquelle: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260601_NIS2_BSI-Portal.html
20 BSI – Bundesamt für Sicherheit in der Informationstechnik: Cybersicherheitsrecht – NIS-2-Umsetzungsgesetz ab morgen in Kraft, Pressemitteilung 5. Dezember 2025. Primärquelle: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html