Jun 26, 2026
17
Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland rechtsverbindlich – ohne Übergangsfrist, ohne Schonfrist. Für rund 30.000 Unternehmen bedeutet das: neue Pflichten im Bereich Cybersicherheit, persönliche Haftung der Geschäftsleitung und konkrete Anforderungen an die eingesetzte Software. Wer vertrauliche Dokumente in einem virtuellen Datenraum verwaltet, sollte jetzt genau hinschauen.
Was ist NIS2 – und warum betrifft es jetzt so viele?
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Cybersicherheitsverordnung, die die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 grundlegend überarbeitet und erweitert. Ihr Ziel: ein einheitlich hohes Schutzniveau für Netz- und Informationssysteme in der gesamten Europäischen Union.
Deutschland hatte die EU-Umsetzungsfrist im Oktober 2024 deutlich überschritten. Das nationale Umsetzungsgesetz – das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – wurde erst am 13. November 2025 vom Bundestag verabschiedet, am 21. November vom Bundesrat bestätigt und trat am 6. Dezember 2025 in Kraft. Eine Übergangsfrist sieht das Gesetz ausdrücklich nicht vor.
Der entscheidende Unterschied zur Vorgängerregelung: Wo früher rund 4.500 Organisationen unter BSI-Aufsicht standen, sind es heute schätzungsweise 29.500 bis 40.000 Unternehmen. NIS2 ist damit die größte regulatorische Verschiebung im deutschen Cyberrecht seit Einführung der DSGVO.
„Das NIS2UmsuCG kennt keine Schonfrist. Unternehmen, die auf eine Übergangsfrist gehofft haben, müssen jetzt handeln. Wer die zehn Maßnahmenbereiche aus § 30 liest, liest das Inhaltsverzeichnis eines Informationssicherheitsmanagementsystems.” — Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Wen trifft NIS2 konkret?
NIS2 unterscheidet zwischen zwei Kategorien: besonders wichtige Einrichtungen und wichtige Einrichtungen. Die Einstufung hängt von Branche, Unternehmensgröße und strategischer Bedeutung in der Lieferkette ab.
| Kategorie | Kriterien (Faustregel) | Beispielsektoren | Max. Bußgeld |
|---|---|---|---|
| Besonders wichtige Einrichtung | ≥ 250 Mitarbeiter oder ≥ 50 Mio. € Umsatz in kritischen Sektoren | Energie, Verkehr, Gesundheit, Bankwesen, digitale Infrastruktur | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtung | ≥ 50 Mitarbeiter oder ≥ 10 Mio. € Umsatz in weiteren Sektoren | Abfallwirtschaft, Lebensmittel, Maschinenbau, Post- & Kurierdienste, Forschung | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
Quelle: NIS2UmsuCG, § 30 BSIG-neu; eigene Zusammenfassung
Wichtig für Unternehmen, die formal unter den Schwellenwerten liegen: Auch sie können faktisch betroffen sein. NIS2 verpflichtet größere Einrichtungen ausdrücklich dazu, ihre Lieferanten und Dienstleister auf die Einhaltung von Sicherheitsstandards zu prüfen. Wer als Zulieferer in kritische Lieferketten eingebunden ist, wird von seinen Auftraggebern entsprechende Nachweise verlangen müssen – unabhängig von der eigenen Größe.
Ob ein Unternehmen betroffen ist, lässt sich über das BSI-Registrierungsportal unter muk.bsi.bund.de klären. Die offizielle Registrierungsfrist ist am 6. März 2026 abgelaufen. Wer noch nicht registriert ist, sollte dies unverzüglich nachholen – eine verspätete Registrierung ist deutlich besser als gar keine.
Die zehn Mindestanforderungen nach § 30 BSIG
Das Herzstück des Gesetzes ist der Katalog von zehn technischen und organisatorischen Mindestmaßnahmen. Sie müssen dem Stand der Technik entsprechen und gefahrenübergreifend konzipiert sein – also nicht nur Hackerangriffe abdecken, sondern auch Ausfälle, Naturkatastrophen oder menschliches Versagen.
| # | Maßnahme | Relevanz für VDR-Nutzer |
|---|---|---|
| 1 | Risikoanalyse und Sicherheit der Informationssysteme | Hoch – VDR-Systeme müssen in die Risikobetrachtung einbezogen werden |
| 2 | Bewältigung von Sicherheitsvorfällen (Incident Response) | Hoch – dokumentierte Reaktionsprozesse bei Datenvorfällen im VDR |
| 3 | Business Continuity Management inkl. Backup | Mittel – Verfügbarkeit kritischer Dokumente im Katastrophenfall |
| 4 | Sicherheit der Lieferkette (Supply Chain Security) | Hoch – VDR-Anbieter zählt als kritischer Dienstleister |
| 5 | Sicherheit bei Entwicklung und Pflege von IT-Systemen | Mittel – gilt für selbst entwickelte Integrationslösungen |
| 6 | Richtlinien zur Bewertung der Wirksamkeit von Maßnahmen | Mittel – Audit-Logs des VDR können als Nachweis dienen |
| 7 | Grundlegende Cyberhygiene und Schulungen | Mittel – Nutzerschulungen für den VDR-Umgang |
| 8 | Kryptografie und Verschlüsselung | Hoch – Ende-zu-Ende-Verschlüsselung im VDR ist Pflicht |
| 9 | Personalsicherheit, Zugangskontrollen, Asset Management | Hoch – granulare Berechtigungen und Zugriffssteuerung im VDR |
| 10 | Multi-Faktor-Authentifizierung (MFA) | Hoch – MFA-Pflicht für alle VDR-Zugänge zu sensiblen Daten |
Quelle: § 30 Abs. 2 BSIG-neu; eigene Bewertung der Relevanz für VDR-Nutzer
Auffällig: Sechs der zehn Punkte berühren direkt den Betrieb oder die Auswahl eines virtuellen Datenraums. Wer also vertrauliche Unterlagen in einem VDR verwaltet – sei es für Due-Diligence-Prozesse, M&A-Transaktionen oder regulatorische Prüfungen – der hat hier unmittelbaren Handlungsbedarf.
Meldepflichten: 24 Stunden sind wenig Zeit
Eine der einschneidendsten Neuerungen sind die gestuften Meldepflichten bei erheblichen Sicherheitsvorfällen. Sie gelten ab dem Moment, in dem ein Unternehmen Kenntnis von einem Vorfall hat – nicht ab dem Zeitpunkt der vollständigen Analyse.
„Ein einziger Sicherheitsvorfall, der personenbezogene Daten betrifft, löst gleich zwei Meldepflichten aus: Die DSGVO verlangt eine Meldung binnen 72 Stunden an die Datenschutzaufsichtsbehörde, NIS2 eine Frühwarnung innerhalb von 24 Stunden an das BSI. Wer keinen integrierten Vorfallsreaktions-Workflow hat, wird bei beiden Fristen scheitern.” — Dr. Thiébaut Devergranne, Legiscope
| Stufe | Frist | Inhalt der Meldung |
|---|---|---|
| Frühwarnung | Innerhalb von 24 Stunden | Erste Einschätzung: Art des Vorfalls, mögliche rechtswidrige Handlungen, grenzüberschreitende Auswirkungen |
| Erstmeldung | Innerhalb von 72 Stunden | Aktualisierte Bewertung inkl. Schweregrad, Auswirkungen, erste Indicators of Compromise |
| Abschlussbericht | Innerhalb eines Monats | Vollständige Analyse, ergriffene Maßnahmen, Ursachen, Wiederherstellungsschritte |
Quelle: NIS2UmsuCG, § 32 BSIG-neu
Meldungen gehen über das BSI-Portal unter muk.bsi.bund.de. Betrifft ein Vorfall zusätzlich personenbezogene Daten, läuft parallel die 72-Stunden-Meldefrist nach DSGVO – an die zuständige Datenschutzaufsichtsbehörde. Beide Prozesse müssen aufeinander abgestimmt sein, sonst drohen Verstöße gegen gleich zwei Regelwerke gleichzeitig.
Wie ein virtueller Datenraum bei der NIS2-Compliance hilft
Ein virtueller Datenraum ist kein Compliance-Tool im engeren Sinne – aber er kann ein zentraler Baustein einer NIS2-konformen Sicherheitsarchitektur sein. Entscheidend ist, welche Funktionen er mitbringt und wie er in die Gesamtstruktur eingebettet wird.
Moderne VDR-Lösungen bieten typischerweise Merkmale, die direkt auf NIS2-Anforderungen einzahlen. Granulare Zugriffsrechte auf Ordner- und Dokumentenebene, kombiniert mit Multi-Faktor-Authentifizierung, erfüllen die Anforderungen aus Maßnahme 9 und 10 des § 30 BSIG direkt. Die vollständige Protokollierung aller Zugriffe, Downloads und Aktivitäten liefert die Dokumentation, die NIS2 für die Wirksamkeitsbewertung verlangt – und im Streitfall oder bei einer BSI-Prüfung sind lückenlose Audit-Logs das entscheidende Argument.
Hochwertige VDR-Anbieter arbeiten mit Ende-zu-Ende-Verschlüsselung und erfüllen damit Maßnahme 8 des Katalogs. Als Nachweis für Cloud-Dienste empfiehlt das BSI mindestens eine ISO-27001-Zertifizierung, besser noch eine Bestätigung nach dem BSI C5-Anforderungskatalog.
Da NIS2 ausdrücklich das Risikomanagement gegenüber Dienstleistern vorschreibt, sollte jeder VDR-Anbieter als kritischer Dienstleister behandelt und auf Sicherheitsnachweise geprüft werden. Ein Auftragsverarbeitungsvertrag nach DSGVO ist ohnehin Pflicht – NIS2 fügt die Pflicht zur aktiven Risikobeurteilung des Anbieters hinzu.
Kurzum: Ein sorgfältig ausgewählter und richtig konfigurierter Datenraum kann mehrere NIS2-Anforderungen gleichzeitig abdecken. Welche Sicherheitsstandards ein Datenraum grundsätzlich erfüllen sollte, erläutert unser Ratgeber zur Datenraumsicherheit. Einen strukturierten Anbietervergleich bietet unsere Auswahlhilfe für virtuelle Datenräume.
Worauf bei der VDR-Auswahl unter NIS2 achten?
Nicht jeder VDR ist automatisch NIS2-tauglich. Die folgende Übersicht zeigt, welche Kriterien bei der Anbieterauswahl unter dem neuen Rechtsrahmen besonders wichtig sind.
| Kriterium | NIS2-Relevanz | Worauf achten? |
|---|---|---|
| Serverstandort | Hoch | Hosting in Deutschland oder EU; Datenverarbeitung außerhalb der EU erhöht das Compliance-Risiko |
| Zertifizierungen | Hoch | ISO 27001 als Mindeststandard; BSI C5 für Cloud-Dienste empfehlenswert |
| Multi-Faktor-Authentifizierung | Pflicht | MFA muss für alle Nutzerkonten erzwingbar sein, nicht nur optional schaltbar |
| Verschlüsselung | Pflicht | TLS 1.2+ bei Übertragung, AES-256 im Ruhezustand; idealerweise Ende-zu-Ende |
| Audit-Logs | Hoch | Lückenlose, manipulationssichere Protokollierung aller Zugriffe und Aktionen |
| Auftragsverarbeitungsvertrag (AVV) | Pflicht | Schriftlicher AVV nach Art. 28 DSGVO; Anbieter muss eigene Sicherheitsstandards nachweisen |
| Incident-Response des Anbieters | Hoch | Wie schnell meldet der Anbieter Sicherheitsvorfälle? Passt das zu Ihrer 24h-Frühwarnpflicht? |
| Berechtigungsverwaltung | Hoch | Granulare Rechtevergabe auf Dokumentenebene; flexible Benutzerrollen |
Eigene Zusammenfassung auf Basis der NIS2-Anforderungen nach § 30 BSIG-neu
Wer die Kosten im Blick behalten möchte, findet aktuelle Richtwerte und Modelle auf unserer Seite zu den Datenraum-Preisen 2026.
Bußgelder und Haftung: Was droht bei Verstößen?
NIS2 hat eine für deutsche Unternehmen neue Dimension eingeführt: die persönliche Haftung der Geschäftsleitung. Verstöße können nicht mehr an die IT-Abteilung delegiert werden. Geschäftsführer und Vorstandsmitglieder haften persönlich, wenn sie ihrer Überwachungspflicht nicht nachgekommen sind. Im Extremfall ist sogar ein Berufsverbot möglich.
| Einrichtungstyp | Maximales Bußgeld | Weitere BSI-Maßnahmen |
|---|---|---|
| Besonders wichtige Einrichtung | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | Verbindliche Anordnungen, öffentliche Bekanntmachung des Verstoßes, Entzug von Zertifizierungen |
| Wichtige Einrichtung | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes | Verbindliche Anordnungen, öffentliche Bekanntmachung des Verstoßes |
| Nicht registriertes Unternehmen | Eigenständiger Bußgeldtatbestand | Registrierungsanordnung, Aufsichtsmaßnahmen – unabhängig vom Sicherheitsniveau |
Quelle: NIS2UmsuCG, §§ 60–65 BSIG-neu; Bundesamt für Sicherheit in der Informationstechnik
Das BSI hat angekündigt, die Einhaltung der Registrierungspflichten aktiv zu überprüfen. Unternehmen sollten nicht darauf warten, vom BSI angeschrieben zu werden – das passiert in aller Regel nicht. Die Initiative liegt beim Unternehmen selbst.
Fazit
NIS2 ist keine bürokratische Pflichtübung, sondern ein struktureller Einschnitt in die Art, wie Unternehmen mit digitaler Sicherheit umgehen müssen. Für Nutzer virtueller Datenräume ergibt sich daraus eine doppelte Aufgabe: den eigenen Betrieb NIS2-konform aufstellen und den gewählten VDR-Anbieter auf seine Sicherheitseigenschaften prüfen.
Die gute Nachricht: Ein moderner, sorgfältig konfigurierter Datenraum kann einen erheblichen Teil der technischen NIS2-Anforderungen abdecken – vorausgesetzt, man wählt den richtigen Anbieter und schließt die nötigen Verträge. Wer jetzt handelt, ist nicht nur compliant, sondern schafft auch intern Klarheit über Zuständigkeiten, Dokumentationspflichten und Reaktionswege im Ernstfall.
Kurzcheckliste: NIS2 und virtueller Datenraum
- Betroffenheitsprüfung durchgeführt und rechtssicher dokumentiert (Sektor + Schwellenwerte)?
- BSI-Registrierung abgeschlossen (muk.bsi.bund.de) – oder nachgeholt?
- VDR-Anbieter auf ISO 27001 / BSI C5 / DSGVO-Konformität geprüft?
- Auftragsverarbeitungsvertrag (AVV) mit VDR-Anbieter schriftlich geschlossen?
- Multi-Faktor-Authentifizierung für alle VDR-Zugänge aktiviert?
- Audit-Logs aktiviert und regelmäßige Überprüfung eingeplant?
- Interner Incident-Response-Prozess definiert (24h-Frühwarnung an BSI)?
- DSGVO- und NIS2-Meldeprozesse aufeinander abgestimmt?
- Geschäftsleitung über persönliche NIS2-Haftung informiert?
- Lieferanten und Dienstleister auf Einhaltung von Sicherheitsstandards geprüft?
Neue Artikel
Mai 25, 2026
Datensicherheit: Definition, Maßnahmen und Beispiele – einfach erklärt
Mai 25, 2026
Was sind Kollaborationstools? Definition, Arten und sichere Lösungen für Teams
Apr 14, 2026
Datenraum für Startups: Wie virtuelle Datenräume Gründern helfen, Kapital zu beschaffen und sicher zu skalieren