Compliance-Verantwortliche mit Checkliste neben grauen Serverschränken in einem Rechenzentrum, ein Techniker zeigt auf eine verschlossene Stahltür mit Kartenleser

NIS2 und KRITIS-Dachgesetz: Zwei Fristen, eine Chefsache

Cybersicherheit ist 2026 in Deutschland von einer IT-Aufgabe zur persönlichen Pflicht der Geschäftsleitung geworden. Zwei Gesetze gelten parallel, mit getrennten Behörden, Pflichten und Fristen.

Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 ohne Übergangsfrist für rund 29.500 bis über 30.000 Unternehmen, das KRITIS-Dachgesetz ergänzt es seit dem 6. März 2026 um den physischen Schutz kritischer Anlagen, mit Registrierungspflicht beim BBK ab dem 17. Juli 2026. Dieser Artikel erklärt, welche der beiden Fristen dich trifft, was die persönliche Haftung nach Paragraf 38 BSIG konkret bedeutet, wie hoch die Bußgelder ausfallen und wie du Nachweise von der Registrierung bis zum Audit sauber aufsetzt.

Zusammenfassung

Deutschland hat 2026 zwei getrennte, aber verzahnte Regelwerke in Kraft gesetzt. Das NIS2-Umsetzungsgesetz regelt die digitale Cybersicherheit und gilt seit dem 6. Dezember 2025 ohne Übergangsfrist für rund 29.500 bis über 30.000 Unternehmen ab 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz in 18 Sektoren, die Registrierung läuft über das BSI und endete regulär am 6. März 2026. Das KRITIS-Dachgesetz regelt den physischen und organisatorischen Schutz kritischer Anlagen, ist seit dem 6. März 2026 in Kraft und verlangt von rund 1.300 bis 2.000 Betreibern eine Registrierung beim BBK ab dem 17. Juli 2026. Der größte Bruch zur alten Rechtslage ist die persönliche Haftung der Geschäftsleitung nach Paragraf 38 BSIG: Billigung, Überwachung und Schulung sind nicht delegierbar, ein Haftungsverzicht ist gesetzlich ausgeschlossen. Bei Verstößen drohen besonders wichtigen Einrichtungen Bußgelder bis 10 Mio. Euro oder 2 Prozent des Weltumsatzes, wichtigen Einrichtungen bis 7 Mio. Euro oder 1,4 Prozent, dazu beim KRITIS-Dachgesetz bis 1 Mio. Euro. Die Meldepflicht ist dreistufig: 24 Stunden, 72 Stunden, ein Monat. Versorger, Stadtwerke und Industrieunternehmen sollten beide Gesetze als Governance- und Datenthema behandeln, nicht als reines IT-Projekt.

Zwei Gesetze, zwei Fristen: Was 2026 gilt

Deutschland hat 2026 zwei getrennte, aber verzahnte Regelwerke in Kraft gesetzt. Das NIS2-Umsetzungsgesetz regelt die digitale Cybersicherheit, das KRITIS-Dachgesetz den physischen und organisatorischen Schutz kritischer Anlagen. Wer betroffen ist, muss beide Logiken auseinanderhalten, denn sie haben unterschiedliche Behörden, Pflichten und Fristen.

6. Dez. 2025
NIS2UmsuCG in Kraft
ohne Übergangsfrist, Registrierung beim BSI
6. März 2026
KRITIS-Dachgesetz in Kraft
physische Resilienz, Aufsicht über das BBK
17. Juli 2026
BBK-Registrierung startet
für Betreiber kritischer Anlagen
6. März 2026
BSI-Registrierungsfrist NIS2
reguläre Frist für betroffene Einrichtungen
18
regulierte Sektoren NIS2
von Energie bis verarbeitendes Gewerbe
bis 10 Mio. €
Bußgeld-Obergrenze NIS2
oder 2 Prozent des Weltumsatzes

Der Unterschied liegt nicht nur im Datum. NIS2 adressiert IT- und Netzwerksicherheit, das Dachgesetz die Zutrittskontrolle, den Perimeterschutz und die Betriebskontinuität. Das NIS2-Umsetzungsgesetz wurde am 6. Dezember 2025 verkündet und gilt seitdem ohne Übergangsfrist, die reguläre BSI-Registrierungsfrist endete am 6. März 2026. Das KRITIS-Dachgesetz wurde am 29. Januar 2026 vom Bundestag beschlossen, am 6. März 2026 vom Bundesrat gebilligt und ist seitdem in Kraft, betroffene Betreiber müssen sich ab dem 17. Juli 2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren.

Das KRITIS-Dachgesetz ist das Gesetz zur Stärkung der physischen Resilienz kritischer Anlagen. Es verpflichtet Betreiber, die mindestens 500.000 Personen versorgen, zu Schutzmaßnahmen gegen physische Bedrohungen, zu einem Resilienzkonzept und zur Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ab dem 17. Juli 2026.

Wer betroffen ist: Sektoren und Schwellenwerte

Die zentrale Frage lautet nicht mehr ob, sondern wie stark ein Unternehmen betroffen ist. NIS2 erfasst rund 29.500 bis über 30.000 Unternehmen ab 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz in 18 Sektoren und teilt sie in zwei Klassen mit unterschiedlich strengen Pflichten. Das KRITIS-Dachgesetz greift enger und knüpft an die Versorgung kritischer Größenordnungen an.

Zwei Kolleginnen prüfen am Besprechungstisch eines Versorgungsunternehmens gedruckte Regulierungsdokumente und eine Sektoren-Checkliste, eine Hand auf einem Ordner mit Farbreiter
Der erste Schritt ist die Betroffenheitsprüfung: Sektor und Schwellenwert entscheiden, ob ein Unternehmen unter NIS2, unter das KRITIS-Dachgesetz oder unter beide Regelwerke fällt.

NIS2 unterscheidet zwei Einrichtungsklassen mit unterschiedlich strengen Pflichten. Besonders wichtige Einrichtungen umfassen unter anderem Energie, Transport, Banken, Gesundheit, Trinkwasser, Abwasser und digitale Infrastruktur. Wichtige Einrichtungen umfassen unter anderem Post und Kurier, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe und Forschung. Das KRITIS-Dachgesetz betrifft enger gefasst rund 1.300 bis 2.000 Betreiber kritischer Anlagen, maßgeblich ist hier die Versorgung von mindestens 500.000 Personen.

Besonders wichtige Einrichtungen
Energie, Transport, Banken, Gesundheit
Trinkwasser, Abwasser, digitale Infrastruktur
Strengste Pflichten und höchste Bußgeldstufe
Wichtige Einrichtungen
Post und Kurier, Abfall, Chemie, Lebensmittel
Verarbeitendes Gewerbe und Forschung
Pflichten in abgestufter, aber verbindlicher Form

Viele Versorger, Stadtwerke und Netzbetreiber fallen unter beide Regime zugleich, einmal über NIS2 für die IT-Seite und einmal über das KRITIS-Dachgesetz für die physische Anlage. Genau diese Doppelbetroffenheit macht die saubere Einordnung pro Standort und Schwellenwert so wichtig. Wer hier früh prüft, weiß, welche Behörde welche Nachweise erwartet.

Geschäftsführerhaftung: Cybersicherheit wird Chefsache

Der größte Bruch zur alten Rechtslage ist die persönliche Verantwortung der Geschäftsleitung. Nach Paragraf 38 BSIG müssen Geschäftsführer die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und selbst an Schulungen teilnehmen, und sie haften ihrer Einrichtung für schuldhaft verursachte Schäden. Cybersicherheit ist damit kein Thema mehr, das sich vollständig an die IT-Abteilung delegieren lässt.

Was die Geschäftsleitung selbst tun muss
Risikomanagementmaßnahmen billigen
Umsetzung laufend überwachen
An Schulungen persönlich teilnehmen
Was nicht mehr geht
Billigung und Überwachung delegieren
Haftung vertraglich ausschließen
Mit pauschalen Satzungsklauseln absichern

Billigung, Überwachung und Schulung sind ausdrücklich nicht delegierbar. Ein Haftungsverzicht ist gesetzlich ausgeschlossen, pauschale Klauseln in Satzungen schützen nicht. Die Geschäftsleitung muss die Ergebnisse der Risikoanalyse persönlich freigeben und dokumentieren. Wie sich diese Verantwortung in konkrete, BSI-konforme Prozesse übersetzen lässt, ordnet innobu im Leitfaden zur BSI-konformen Integration ein.

Warum das die Aufstellung verändert: Solange Cybersicherheit als reines IT-Thema galt, ließ sie sich in der Hierarchie nach unten reichen. Mit Paragraf 38 BSIG liegt die Verantwortung dokumentiert bei der Geschäftsleitung, und ohne nachweisbare Schulung und Freigabe entsteht ein persönliches Haftungsrisiko. Das verschiebt Cybersicherheit von der Technik auf die Führungsebene, dauerhaft und nicht nur einmalig zur Frist.

Bußgelder und Durchsetzung: Bis 10 Mio. Euro

Verstöße können teuer werden, und das BSI prüft 2026 bereits aktiv. Besonders wichtigen Einrichtungen drohen Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis 7 Mio. Euro oder 1,4 Prozent. Maßgeblich ist jeweils der höhere der beiden Beträge.

Einordnung Bußgeld-Obergrenze Umsatzbezug
Besonders wichtige Einrichtungen (NIS2) bis 10 Mio. Euro oder 2 Prozent des Weltumsatzes
Wichtige Einrichtungen (NIS2) bis 7 Mio. Euro oder 1,4 Prozent des Weltumsatzes
Betreiber kritischer Anlagen (KRITIS-Dachgesetz) bis 1 Mio. Euro für Verstöße gegen physische Resilienzpflichten

Bei NIS2 gilt jeweils der höhere der beiden Beträge, also Euro-Deckel oder Umsatzanteil. Verstöße gegen die physischen Resilienzpflichten des KRITIS-Dachgesetzes sind davon getrennt mit Bußgeldern bis 1 Mio. Euro bewehrt. Wer die Registrierung versäumt, riskiert nicht nur das Bußgeld, sondern steht zusätzlich im Fokus der Aufsicht. Die beiden Bußgeldsysteme bleiben getrennt: Die hohen NIS2-Beträge betreffen die digitale Cybersicherheit über das BSI, die 1 Mio. Euro des Dachgesetzes die physische Resilienz über das BBK.

Vorsicht bei der versäumten Registrierung: Wer die BSI-Frist für NIS2 oder die BBK-Registrierung ab dem 17. Juli 2026 verstreichen lässt, riskiert Bußgelder und rückt zugleich in den Prüffokus. Das BSI hat bereits Aufsichtsverfahren angekündigt. Die Registrierung ist die formale Eintrittskarte, ohne sie greifen Nachweis- und Meldepflichten ins Leere und das Haftungsrisiko der Geschäftsleitung steigt.

Der Pflichtenkatalog: Von der Registrierung bis zum Audit

NIS2-Compliance ist kein Einzelschritt, sondern ein wiederkehrender Kreislauf aus Registrierung, Risikomanagement, Meldewegen und Nachweisen. Wer die Kette einmal sauber aufsetzt, erfüllt die laufenden Pflichten deutlich leichter. Der Pfad lässt sich in fünf aufeinander aufbauende Schritte gliedern.

Flussdiagramm des NIS2-Compliance-Pfads in fünf Schritten von der Prüfung der Betroffenheit über die Registrierung beim BSI und das Risikomanagement bis zu Meldewegen und laufenden Nachweisen und Audits
Der NIS2-Compliance-Pfad in fünf Schritten: von der Prüfung der Betroffenheit über die Registrierung beim BSI und das Risikomanagement bis zu den Meldewegen und den laufenden Nachweisen und Audits.

Die Registrierung erfolgt beim BSI für NIS2 beziehungsweise beim BBK für das KRITIS-Dachgesetz, jeweils mit betreiber- und anlagenbezogenen Angaben. Darauf folgen Risikomanagement, Sicherheitskonzepte, Notfall- und Backup-Management sowie die Lieferkettensicherheit. Der dritte Block ist die dreistufige Meldepflicht: eine Erstmeldung binnen 24 Stunden, eine inhaltliche Meldung binnen 72 Stunden und eine Abschlussmeldung binnen eines Monats, eingereicht über das BSI-Meldeportal.

Wichtig

Die Meldefristen laufen ab Kenntnis eines erheblichen Sicherheitsvorfalls und sind eng getaktet. Wer Erstmeldung, inhaltliche Meldung und Abschlussmeldung nicht vorbereitet hat, verliert im Ernstfall wertvolle Stunden. Deshalb gehört der Meldeweg vor den ersten Vorfall etabliert, nicht erst danach.

Was Unternehmen jetzt tun sollten

Versorger, Stadtwerke und Industrieunternehmen sollten NIS2 und das KRITIS-Dachgesetz als Governance- und Datenthema behandeln, nicht als reines IT-Projekt. Wer Betroffenheit, Lieferketten und Nachweise jetzt strukturiert, vermeidet Haftungsrisiken und ist bei der ersten Prüfung lieferfähig.

Kleines Team im Betriebsraum eines Stadtwerks bespricht gedruckte Prozesskarten und Ordner, im Hintergrund ein Zutrittskontrollpanel und ein verschlossener Anlagenschrank
NIS2 und das KRITIS-Dachgesetz treffen die digitale und die physische Seite zugleich. Wer Prozesse, Zutrittskontrolle und Nachweise gemeinsam plant, erfüllt beide Regelwerke ohne doppelten Aufwand.

  1. Betroffenheit und Fristen prüfen

    Prüfe die Betroffenheit pro Sektor und Schwellenwert und behalte beide Fristen im Blick, die BSI-Registrierung für NIS2 und die BBK-Registrierung ab dem 17. Juli 2026. Viele Standorte fallen unter beide Regime zugleich.

  2. Risikomanagement und Lieferkette aufbauen

    Baue Risikomanagement, Lieferkettensicherheit und Meldewege als nachweisbare Prozesse auf, nicht nur als Dokumente. Sicherheitskonzepte, Notfall- und Backup-Management müssen im Ernstfall greifen und belegbar sein.

  3. Geschäftsleitung einbinden und schulen

    Binde die Geschäftsleitung früh ein, denn Billigung, Überwachung und Schulung sind nach Paragraf 38 BSIG nicht delegierbar. Die Freigabe der Risikoanalyse gehört dokumentiert, der Haftungsverzicht ist ausgeschlossen.

  4. Datenarchitektur auf Audits ausrichten

    Gestalte Datenarchitektur und Protokollierung so, dass Audits und Vorfallmeldungen ohne Bruch belegbar sind. Saubere Logs und klare Verantwortlichkeiten machen aus der Pflicht eine geordnete, wiederholbare Routine.

Wichtig

NIS2 und das KRITIS-Dachgesetz sind 2026 zwei Fristen mit einer gemeinsamen Wurzel: nachweisbare Governance. Wer Betroffenheit, Risikomanagement und Meldewege jetzt strukturiert, schützt die Geschäftsleitung vor persönlicher Haftung. Dieselbe saubere Datenbasis trägt auch KI-Sicherheit und Datenschutz und macht die Investition über mehrere Pflichten hinweg wertvoll.

Weiterführende Informationen

BSI-konforme KI-Integration: Leitfaden für Unternehmen KI-Sicherheit und Datenschutz in Deutschland Ethik und rechtliche KI-Compliance: Leitfaden EU AI Act: Hochrisiko-Fristen und Digital Omnibus 2026 BSI: NIS-2-Umsetzungsgesetz in Kraft, Pressemitteilung Taylor Wessing: KRITIS-Dachgesetz, Registrierungspflicht ab Juli 2026 Rödl & Partner: NIS-2, neue Pflichten für Unternehmen

Häufig gestellte Fragen

Was ist der Unterschied zwischen NIS2 und dem KRITIS-Dachgesetz? +

Das NIS2-Umsetzungsgesetz regelt die digitale Cybersicherheit, also IT- und Netzwerksicherheit, Risikomanagement und Meldepflichten, und die Registrierung läuft über das BSI. Das KRITIS-Dachgesetz regelt den physischen und organisatorischen Schutz kritischer Anlagen, also Zutrittskontrolle, Perimeterschutz und Betriebskontinuität, und die Registrierung läuft über das BBK. NIS2 gilt seit dem 6. Dezember 2025, das KRITIS-Dachgesetz seit dem 6. März 2026.

Wer ist von NIS2 in Deutschland betroffen? +

NIS2 erfasst rund 29.500 bis über 30.000 Unternehmen ab 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz in 18 Sektoren. Es unterscheidet besonders wichtige Einrichtungen, etwa Energie, Transport, Banken, Gesundheit und digitale Infrastruktur, von wichtigen Einrichtungen, etwa Post und Kurier, Abfall, Chemie, Lebensmittel und verarbeitendes Gewerbe. Das KRITIS-Dachgesetz betrifft enger gefasst rund 1.300 bis 2.000 Betreiber kritischer Anlagen.

Haftet die Geschäftsführung persönlich nach NIS2? +

Ja. Nach Paragraf 38 BSIG muss die Geschäftsleitung die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und selbst an Schulungen teilnehmen, und sie haftet ihrer Einrichtung für schuldhaft verursachte Schäden. Billigung, Überwachung und Schulung sind ausdrücklich nicht delegierbar. Ein Haftungsverzicht ist gesetzlich ausgeschlossen, pauschale Klauseln in Satzungen schützen nicht.

Wie hoch sind die Bußgelder bei NIS2-Verstößen? +

Besonders wichtigen Einrichtungen drohen Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis 7 Mio. Euro oder 1,4 Prozent. Maßgeblich ist jeweils der höhere der beiden Beträge. Verstöße gegen die physischen Resilienzpflichten des KRITIS-Dachgesetzes sind zusätzlich mit Bußgeldern bis 1 Mio. Euro bewehrt.

Welche Fristen gelten für die Registrierung 2026? +

Für NIS2 gilt das Umsetzungsgesetz seit dem 6. Dezember 2025 ohne Übergangsfrist, die reguläre BSI-Registrierungsfrist endete am 6. März 2026. Beim KRITIS-Dachgesetz beginnt die Registrierung beim BBK ab dem 17. Juli 2026. Die dreistufige Meldepflicht sieht eine Erstmeldung binnen 24 Stunden, eine inhaltliche Meldung binnen 72 Stunden und eine Abschlussmeldung binnen eines Monats vor.