NIS-2 Pflichten, Fristen und Umsetzung

von | 06.07.2026

NIS-2 Richtlinie für Stadtwerke und kommunale Eigenbetriebe

Cyberangriffe auf Stadtwerke, Wasserversorger und kommunale Betriebe haben in den letzten Jahren stark zugenommen. Ein einziger Vorfall kann die Strom- oder Wasserversorgung einer ganzen Region treffen. Genau hier setzt NIS-2 an. Die EU-Richtlinie hebt die Anforderungen an die Cybersicherheit deutlich an und macht aus einem freiwilligen Thema eine gesetzliche Pflicht. Betroffen sind weit mehr Organisationen als bei der Vorgängerregelung, darunter viele Stadtwerke und kommunale Eigenbetriebe.

Die wichtigste Frist ist dabei bereits verstrichen: Die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) war bis zum 06.03.2026 fällig. Schätzungen zufolge haben rund 61 Prozent der pflichtigen Einrichtungen sie noch nicht erledigt. Die gute Nachricht ist: Mit einem klaren Plan lässt sich die Umsetzung auch jetzt noch geordnet nachholen.

NIS-2 im DACH-Raum: der rechtliche Rahmen

NIS-2 ist eine EU-Richtlinie. Jedes Land setzt sie in eigenes nationales Recht um. Im DACH-Raum ergibt sich folgendes Bild:

  • Deutschland: Die Umsetzung erfolgt über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das BSI-Gesetz (BSIG) neu fasst. Es gilt seit dem 06.12.2025 ohne Übergangsfrist. Aufsicht und zentrale Meldestelle ist das BSI.
  • Österreich: Die Umsetzung läuft über das Netz- und Informationssystemsicherheitsgesetz (NISG). Zentrale Stelle ist das Bundesministerium für Inneres gemeinsam mit dem nationalen Computer-Notfallteam.
  • Schweiz: Als Nicht-EU-Land ist die Schweiz nicht direkt an NIS-2 gebunden. Über das revidierte Informationssicherheitsgesetz (ISG) gilt jedoch eine Meldepflicht für Betreiber kritischer Infrastrukturen, begleitet vom Bundesamt für Cybersicherheit (BACS).

Im Kern verlangt NIS-2 überall dasselbe: Ein belastbares Risikomanagement, schnelle Meldewege bei Vorfällen, eine klare Verantwortung der Leitung und einen Nachweis, dass die Maßnahmen wirken.

Wer ist von NIS-2 betroffen?

NIS-2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Maßgeblich sind Sektor und Größe. In Deutschland regelt das der § 28 BSIG. Für den kommunalen Bereich heißt das vor allem:

  • Stadtwerke und kommunale Eigenbetriebe in den Sektoren Energie, Wasser, Abwasser, ÖPNV oder Abfall. Betroffen sind in der Regel Betriebe ab 50 Mitarbeitenden oder mehr als 10 Mio. EUR Jahresumsatz.
  • Kommunalverwaltungen sind in der Bundesregelung nicht automatisch direkt erfasst. Sie geraten aber über die Lieferkette in die Pflicht, etwa wenn sie IT-Dienstleister oder betroffene Betriebe beauftragen.
  • Betreiber kritischer Anlagen (KRITIS) unterliegen zusätzlichen Pflichten, darunter einem gesonderten Nachweis nach § 39 BSIG.

Wichtig: Die Einstufung hängt nicht von einer Benachrichtigung durch eine Behörde ab. Jede Organisation muss selbst prüfen, ob sie betroffen ist.

Die wichtigsten Pflichten der NIS-2

Wer betroffen ist, muss mehrere Pflichten erfüllen. Sie greifen ineinander und sind keine einmalige Aufgabe, sondern dauerhaft zu pflegen.

Registrierung beim BSI (§ 33)

Betroffene Einrichtungen müssen sich beim BSI registrieren und eine Kontaktstelle benennen. Die Frist dafür war der 06.03.2026. Wer nicht registriert ist, handelt bereits ordnungswidrig. Der erste Schritt aus dem Verzug ist daher die Nachholung der Registrierung.

Risikomanagement mit zehn Maßnahmen (§ 30)

Das Herzstück der NIS-2 ist ein technisches und organisatorisches Risikomanagement. Der § 30 BSIG nennt dafür zehn Maßnahmenbereiche, darunter:

  • Risikoanalyse
  • Bewältigung von Sicherheitsvorfällen
  • Backup- und Notfallmanagement
  • Sicherheit in der Lieferkette
  • Zugriffskontrolle und Mehr-Faktor-Authentifizierung
  • Verschlüsselung

Die Maßnahmen müssen zur Größe und Gefährdung der Einrichtung passen.

Meldepflichten in drei Stufen (§ 32)

Sicherheitsvorfälle müssen schnell gemeldet werden. NIS-2 sieht drei Stufen vor:

  • Erstmeldung innerhalb von 24 Stunden
  • Bewertung nach 72 Stunden
  • Abschlussmeldung nach einem Monat

Der häufigste Stolperstein in der Praxis ist nicht der gute Wille, sondern die Uhrzeit. Ein Vorfall trifft oft nachts oder am Wochenende. Ohne vorbereiteten Prozess und eine rund um die Uhr erreichbare Kontaktstelle verstreicht die Frist im Krisenmodus.

Haftung der Geschäftsleitung (§ 38)

NIS-2 macht Cybersicherheit zur Chefsache, und zwar wörtlich. Die Geschäftsleitung muss die Risikomaßnahmen billigen, ihre Umsetzung überwachen und sich regelmäßig schulen lassen. Diese Pflicht ist nicht delegierbar. Bei Verstößen haftet die Leitung persönlich.

Sanktionen (§ 65)

Verstöße können teuer werden. Für besonders wichtige Einrichtungen sieht der § 65 BSIG Bußgelder von bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen liegt der Rahmen niedriger, ist aber ebenfalls spürbar.

Du bist Dir unsicher, ob und wie NIS-2 Dein Stadtwerk betrifft? Lass uns sprechen. Unverbindlich und kostenfrei.

NIS-2 umsetzen: von der Pflicht zum Projekt

Die einzelnen Pflichten wirken überschaubar. In Summe sind sie ein Projekt mit vielen Beteiligten: Geschäftsführung, Informationssicherheit, IT, OT, Datenschutz und oft externe Dienstleister. Genau hier scheitern viele Vorhaben nicht am Wissen, sondern an der Organisation.

Für die Umsetzung haben sich zwei Wege bewährt, je nach Ausgangslage:

  • Pfad Regulär: Die Einrichtung ist fristgerecht registriert. Der Fokus liegt auf der sauberen Umsetzung der zehn Maßnahmen und dem Nachweis.
  • Pfad Verzug: Die Frist wurde verpasst. Dann gilt: zuerst die Notfall-Registrierung, danach Sofortmaßnahmen wie Mehr-Faktor-Authentifizierung, Logging und ein Offline-Backup.

In beiden Fällen hilft eine klare Projektstruktur. Sie macht aus einer unübersichtlichen Pflicht eine Reihe konkreter, delegierbarer Aufgaben mit Verantwortung, Frist und Ergebnis.

Der NIS-2-Projektplan: 9 Pakete, 71 Aufgaben

Damit Du nicht bei null anfängst, gibt es einen fertigen Projektplan für die NIS-2-Umsetzung. Er ist auf Stadtwerke und kommunale Eigenbetriebe zugeschnitten und kostenlos erhältlich.

  • 9 Pakete von der Registrierung bis zum Management Review
  • 71 Aufgaben, jede mit Verantwortung, Frist und Ergebnis
  • 9 Meilensteine über rund 11 Monate
  • Startcheckliste für die ersten 14 Tage
  • Zwei Pfade für Regulär und Verzug

factro: Projektmanagement made in Germany

Eine Pflicht mit persönlicher Haftung und Nachweisanforderungen braucht ein Werkzeug, das Verantwortung und Fortschritt sichtbar macht. factro ist eine Projektmanagement-Software aus Deutschland und für genau diese Aufgabe geeignet.

In einem factro Projekt wird jede Aufgabe klar verteilt: eine Person trägt die Verantwortung, eine die Ausführung. So ist die Zuständigkeit jederzeit eindeutig.

Über den Projektstrukturbaum, die Tabelle, das Gantt-Diagramm und das Kanban-Board hast Du immer den passenden Blick auf den Stand. Die Meilensteine liefern auf Knopfdruck einen Statusbericht für Geschäftsführung und Aufsichtsrat. Einen externen Auditor bindest Du als Gast ein, ohne Daten aus der Hand zu geben.

Beim Thema Datenschutz ist factro kompromisslos: Die Software ist 100 Prozent Made in Germany, wird auf deutschen Servern in Frankfurt und Nürnberg gehostet und ist DSGVO- sowie BDSG-neu-konform. Ein Auftragsverarbeitungsvertrag (AVV) ist möglich.

Die Bedienung ist bewusst einfach gehalten, sodass auch weniger technikaffine Beschäftigte ohne Schulung direkt starten. Bei Fragen erreichst Du persönliche Ansprechpersonen im Support kostenfrei.

Hat Dir dieser Artikel gefallen? Gerne kannst Du den Beitrag hier bewerten:
[Anzahl: 1 Durchschnitt: 5]

Vivien-Jana Gaida

Vivien-Jana Gaida recherchiert und schreibt für den factro Blog über aktuelle Tools und Trends. Nach ersten Erfahrungen beim Handelsblatt und der Wirtschaftswoche, ist sie nun Teil des Marketing-Teams bei factro. Auf dem factro Blog teilt sie ihr Fachwissen über die moderne Arbeitswelt, Digitalisierung, Projektmanagement- und Collaboration-Software.