NIS2 für E-Mail in DACH — NIS2UmsuCG, NISG 2026 und §38 BSIG-neu
Vertiefung zur NIS2-Umsetzung in Deutschland (NIS2UmsuCG seit 6. Dezember 2025, BGBl. I 2025/301, OHNE Übergangsfrist) und Österreich (NISG 2026 ab 1. Oktober 2026, BGBl. I Nr. 94/2025). Behandelt alle zehn Buchstaben von Art. 21 Abs. 2 zeichengenau mit E-Mail-Praxis-Mapping, die §38 BSIG-neu Geschäftsführerhaftung mit PERSÖNLICHER Haftung (nicht delegierbar, Verzicht nichtig, Pflicht-Schulung alle drei Jahre), die dreistufige Meldekette (24h Frühwarnung / 72h Vorfallsmeldung / 1 Monat Abschlussbericht), die BSI-Registrierung Schritt für Schritt über Mein Unternehmenskonto (MUK ELSTER) und portal.bsi.bund.de plus die Schweizer indirekte Betroffenheit über die NIS2-Lieferketten-Anforderung Art. 21 Abs. 2 lit. d.
NIS2-Richtlinie EU 2022/2555 — die EU-Mutter-Norm aller DACH-Umsetzungen
Die "Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union" — kurz NIS2 — ist die zentrale EU-Cybersicherheitsregulierung. Sie ersetzt die NIS1 von 2016 und erweitert den Anwendungsbereich drastisch. Die Richtlinie ist seit 16. Januar 2023 in Kraft; die Umsetzungsfrist in nationales Recht endete am 17. Oktober 2024. Deutschland setzte sie ab 6. Dezember 2025 als NIS2UmsuCG um, Österreich folgt am 1. Oktober 2026 mit dem NISG 2026.
NIS2 — die zentralen Strukturelemente
| Element | Inhalt | Praxis |
|---|---|---|
| Anwendungsbereich | 18 Sektoren in zwei Kategorien — besonders wichtige Einrichtungen (Essential Entities) und wichtige Einrichtungen (Important Entities) | Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Digitale Infrastruktur, Postdienste, Chemikalien, Lebensmittel, Verarbeitendes Gewerbe etc. |
| Größenschwellen | Mittlere und große Unternehmen — kleine Unternehmen nur bei expliziter Sektorzuordnung | Besonders wichtig: ab 250 Mitarbeiter ODER 50 Mio. EUR Umsatz UND 43 Mio. EUR Bilanzsumme — Wichtig: ab 50 Mitarbeiter ODER 10 Mio. EUR Umsatz UND 10 Mio. EUR Bilanz |
| Maßnahmen-Katalog | Art. 21 Abs. 2 mit zehn verpflichtenden Buchstaben (a)-(j) | Risikoanalyse, Bewältigung, Betrieb, Lieferkette, Wartung, Bewertung, Cyberhygiene, Kryptografie, Personalsicherheit, MFA |
| Meldepflicht | Dreistufig — 24h Frühwarnung, 72h Vorfallsmeldung, 1 Monat Abschlussbericht | Schwerwiegende Vorfälle an nationale Cybersecurity-Behörde (BSI, Bundesamt für Cybersicherheit AT) |
| Sanktionen | Bußgelder bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz (essential) — 7 Mio. EUR oder 1,4 % (important) | Direkt am Unternehmen — PLUS persönliche Geschäftsführerhaftung in DE über §38 BSIG-neu |
| Lieferketten-Anforderung | Art. 21 Abs. 2 lit. d — Sicherheit der Lieferkette einschließlich unmittelbarer Anbieter und Diensteanbieter | Vertragliche Weitergabe der Anforderungen an Lieferanten (auch in Drittländern wie der Schweiz) |
Quelle: EUR-Lex CELEX:32022L2555 (englisch, deutsch, alle EU-Sprachfassungen) und buzer.de/21_NIS2.htm für die deutsche Sprachfassung mit den zehn Buchstaben zeichengenau (Abruf 25. Mai 2026).
NIS2UmsuCG Deutschland — in Kraft seit 6. Dezember 2025 OHNE Übergangsfrist
Das "Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit" (NIS2UmsuCG) ist als BGBl. I 2025/301 am 6. Dezember 2025 in Kraft getreten — ohne Übergangsfrist. Alle Pflichten gelten sofort. Das Gesetz ändert in erster Linie das BSI-Gesetz (BSIG) und ergänzt es um die §§30 ff. BSIG-neu — die Risikomanagement-Pflichten — sowie §38 BSIG-neu mit der persönlichen Geschäftsführerhaftung.
NIS2UmsuCG — die Eckdaten für betroffene Unternehmen
| Aspekt | Regelung | Konsequenz |
|---|---|---|
| Inkrafttreten | 6. Dezember 2025 (BGBl. I 2025/301) | OHNE Übergangsfrist — alle Pflichten gelten sofort |
| Betroffene Unternehmen | Rund 29.500 in Deutschland (vorher 4.500 unter KRITIS) | Drastische Erweiterung — viele Unternehmen erstmals von Cybersicherheits-Regulierung erfasst |
| Aufsichtsbehörde | Bundesamt für Sicherheit in der Informationstechnik (BSI) | Registrierungsportal portal.bsi.bund.de aktiv seit 6. Januar 2026 |
| Registrierungsfrist | Besonders wichtige Einrichtungen: bis 6. März 2026 — wichtige Einrichtungen: unverzüglich | Eintrag über Mein Unternehmenskonto (MUK) mit ELSTER-Organisationszertifikat |
| Nachweis Sicherheitsmaßnahmen | Innerhalb von 2 Jahren — bis ca. Dezember 2027 | Dokumentierter Nachweis aller §30 BSIG-neu Maßnahmen gegenüber BSI |
| Bußgelder | Essential: bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz — Important: bis 7 Mio. EUR oder 1,4 % | Auf das Unternehmen gerichtet — PLUS §38 BSIG-neu persönliche Haftung der Geschäftsführung |
Sektor-Übersicht — wer ist betroffen? Besonders wichtige Einrichtungen (höhere Anforderungen, höhere Bußgelder) umfassen Energie (Strom, Öl, Gas, Wasserstoff), Verkehr (Luft, Schiene, Straße, Wasser), Bankwesen und Finanzmarktinfrastrukturen, Gesundheitswesen (Krankenhäuser, Labore, Pharma), Trinkwasser und Abwasser, Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren) sowie die öffentliche Verwaltung. Wichtige Einrichtungen umfassen Post- und Kurierdienste, Abfallbewirtschaftung, Chemikalien, Lebensmittelproduktion, Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Kfz) und digitale Dienste (Online-Marktplätze, Suchmaschinen, Social Networks). KRITIS-Betreiber sind unabhängig von der Größe erfasst. Quelle: BGBl. I 2025/301 und BSI NIS-2-Starterpaket.
NISG 2026 Österreich — in Kraft ab 1. Oktober 2026 mit Bundesamt für Cybersicherheit
Das österreichische NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) wurde am 12. Dezember 2025 vom Nationalrat beschlossen und am 23. Dezember 2025 als BGBl. I Nr. 94/2025 publiziert. Es tritt am 1. Oktober 2026 in Kraft — etwa zehn Monate später als das deutsche Pendant. Rund 4.000 Organisationen in Österreich sind betroffen. Inhaltlich übernimmt das NISG 2026 die NIS2-Richtlinie EU 2022/2555 weitgehend wortgleich — die zehn Buchstaben aus Art. 21 Abs. 2 gelten identisch.
NISG 2026 — die österreichischen Eckdaten
| Aspekt | Regelung | Konsequenz |
|---|---|---|
| Publikation | BGBl. I Nr. 94/2025, ausgegeben am 23. Dezember 2025 | Beschluss durch Nationalrat am 12. Dezember 2025 |
| Inkrafttreten | 1. Oktober 2026 | Etwa 10 Monate Vorlaufzeit ab Publikation |
| Betroffene Organisationen | Rund 4.000 in Österreich | Deutlich weniger als DE (29.500) aufgrund kleinerer Wirtschaft |
| Aufsichtsbehörde | Bundesamt für Cybersicherheit, Sitz Wien — dem Bundesminister für Inneres nachgeordnet, organisatorisch außerhalb der Generaldirektion für öffentliche Sicherheit | Neu gegründet, analog zum BSI in Deutschland |
| Registrierungsfrist | 3 Monate nach Inkrafttreten — bis 31. Dezember 2026 | Pflicht-Eintrag für Essential und Important Entities |
| Bußgelder | EU-Rahmen: bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz (essential) | Strafrahmen identisch zur EU-Richtlinie |
| Anwendungsbereich | Übernimmt NIS2-Sektoren der EU-Richtlinie | Identische 18 Sektoren wie in DE |
Cross-DACH-Konsequenz für österreichische Unternehmen mit deutschen Kunden: Ab 1.10.2026 müssen österreichische Unternehmen sowohl das NISG 2026 als auch — bei deutschen Kunden über die NIS2-Lieferketten-Anforderung — faktisch die NIS2UmsuCG-Standards einhalten. Die guten Nachrichten: Die Maßnahmen-Kataloge sind identisch (NIS2 Art. 21 Abs. 2 a-j wortgleich übernommen). Eine einmalige Implementierung von SPF + DKIM + DMARC + TLS 1.2+ + MTA-STS + DANE deckt beide Regelwerke gleichzeitig ab. Quelle: RIS BGBl. I Nr. 94/2025.
NIS2 Art. 21 Abs. 2 (a)-(j) — alle zehn Buchstaben zeichengenau mit E-Mail-Praxis-Mapping
Art. 21 Abs. 2 listet zehn verpflichtende Risikomanagement-Maßnahmen mit den Buchstaben (a) bis (j). Die folgende Tabelle zitiert den deutschen Sprachfassungs-Originaltext aus buzer.de zeichengenau und mappt jede Buchstabe auf die E-Mail-Praxis.
Art. 21 Abs. 2 (a)-(j) — Maßnahmen-Katalog mit E-Mail-Mapping
| Buchst. | Originaltext (zeichengenau) | E-Mail-Praxis-Mapping |
|---|---|---|
| lit. a | Risikoanalyse-Konzepte und Konzepte für die Sicherheit von Informationssystemen | Dokumentierte E-Mail-Security-Policy, BIMI als Marken-Risikoanalyse, ARC-SEG als Bedrohungserkennung. Siehe Kap. 00 Einführung, Kap. 08 BIMI |
| lit. b | Bewältigung von Sicherheitsvorfällen | Incident-Response-Plan mit BEC/DMARC-Spike/DNS-Hijacking/Zertifikats-Notfall-Szenarien, dokumentierte Eskalationskette, getestete Trockenübungen |
| lit. c | Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement | MX-Redundanz mit primärem und sekundärem MX, geographisch verteilte Backup-Mailserver, dokumentierte Wiederherstellungs-Playbooks |
| lit. d | Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern | Verträge mit E-Mail-Providern (Microsoft 365, Google Workspace, deutsche Hoster), Verträge mit Alias-Anbietern (SimpleLogin, addy.io), Verträge mit SEG-Anbietern (Hornetsecurity-Proofpoint), Register of Information analog DORA Art. 28 |
| lit. e | Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen | DNSSEC für E-Mail-Domains, Patch-Management der Mailserver, quartalsweise DKIM-Schlüsselrotation, CVE-Monitoring, sicherer DKIM-Selektor-Lifecycle. Siehe Kap. 03 DKIM, Kap. 09 DNS-Sicherheit |
| lit. f | Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen | Quartalsweise Wolf-Agents-Scans mit Score-Historie, DMARC-Report-Auswertung, jährliche Penetration-Tests, dokumentiertes Review-Log |
| lit. g | Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit | Phishing-Awareness-Training (mindestens jährlich), Geschäftsführer-Schulungen alle 3 Jahre (Pflicht §38 BSIG-neu), interne Best-Practice-Dokumentation |
| lit. h | Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung | TLS 1.2+ Pflicht, MTA-STS Enforce, DANE/TLSA, DKIM-Signaturen, S/MIME / PGP für besondere Kategorien Art. 9 DSGVO. Siehe Kap. 06 MTA-STS, Kap. 07 SMTP-TLS |
| lit. i | Personalsicherheit, Konzepte für die Zugriffskontrolle und Verwaltung von Anlagen | RBAC für E-Mail-Admin-Konten, Zero-Trust-Konzepte, IAM-Integration mit M365/Google Workspace, geräte- und standortbasierte Zugriffsregeln |
| lit. j | Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherter Notfallkommunikationssysteme innerhalb der Einrichtung | SPF + DKIM + DMARC als Domain-Authentifizierung (BSI TR-03182), MFA auf allen E-Mail-Konten (Hardware-Token wie FIDO2 für Admin-Konten), S/MIME-Signaturen, Out-of-Band-Verifikation für kritische Anweisungen |
Konzept-Klarheit Buchstaben-Drift: Die deutsche Sprachfassung der EU-Richtlinie verwendet Buchstaben (a)-(j). Die deutsche Umsetzung in §30 BSIG-neu nutzt dagegen Nummern 1-10 mit identischen Inhalten in identischer Reihenfolge. Eine Audit-Dokumentation, die "NIS2 Nr. 8 Kryptografie" sagt, ist genauso korrekt wie "NIS2 lit. h Kryptografie" — wichtig ist die zeichengenaue Wiedergabe des Inhalts. Quelle: buzer.de/21_NIS2.htm (EU-Richtlinie) + buzer.de/30_BSIG.htm (deutsche Umsetzung).
NIS2-Massnahmennachweis-Vorlage — wie Sie die Art. 21 Abs. 2 lit. a-j bis Dezember 2027 dokumentieren
Bis zum 17. Oktober 2027 muessen alle NIS2-Einrichtungen einen vollstaendigen Massnahmennachweis zu Art. 21 Abs. 2 lit. a-j erbringen — das ist der erste EU-weite Stichtag fuer den Wirksamkeits-Nachweis. Die folgende Pflicht-Vorlage zeigt pro Buchstabe die konkrete Dokumentations-Empfehlung mit Wolf-Agents-Scan-Cross-Referenz. Neun von zehn Pflicht-Buchstaben sind direkt mit einer technischen Wolf-Agents-Scan-Pipeline + ergaenzender organisatorischer Dokumentation abdeckbar — nur lit. i (Personalsicherheit + Anlagenmanagement) ist primaer organisatorisch.
Massnahmennachweis-Vorlage pro Buchstabe (zeichengenau nach buzer.de/21_NIS2.htm)
| NIS2 Art. 21 Abs. 2 | Konkrete Dokumentations-Empfehlung | Wolf-Agents-Anker |
|---|---|---|
| lit. a Risikoanalyse | Email-Bedrohungsanalyse (Phishing, BEC, Spoofing, Malware-Anhaenge, Lieferketten-Manipulation) als jaehrlich aktualisiertes Dokument; Penetrationstest fuer Mail-Infrastruktur alle zwei Jahre; Bedrohungs-Cluster aus dem Bedrohungs-Kapitel als Bewertungs-Raster | Wolf-Agents-Scan-Ergebnis als technische Baseline + Cross-Welle-Synthese aus Sektion 10 Kapitel-Index |
| lit. b Bewaeltigung von Sicherheitsvorfaellen | Incident-Response-Plan (IRP) mit Email-spezifischen Playbooks; jaehrlicher Tabletop-Test mit Protokoll; DMARC-Aggregate-Report-Auswertungs-Routine (woechentlich) mit Eskalations-Matrix | DMARC-Reports + Incident-Test-Vorlage aus Index-Sektion 12b Audit-Belegmappe |
| lit. c Aufrechterhaltung des Betriebs (Backup-Management + Krisenmanagement) | Mail-Server-Backup-Strategie (taegliche Snapshots der Postfaecher, Konfigurations-Backups MTA + Anti-Spam); Disaster-Recovery-Plan mit RTO/RPO-Zielen fuer Mail-Verfuegbarkeit; redundante MX-Records bei zwei Providern | Wolf-Agents-MX-Inventar + Cross-Welle Kapitel 1 MX-Infrastruktur |
| lit. d Sicherheit der Lieferkette (Empirik 69 KRITISCH!) | Vertraege mit Mail-Provider (M365, Google Workspace, Hornetsecurity-Proofpoint, Hosted-Mailcow) mit dokumentierten Sicherheits-SLAs; EU Data Boundary-Bestaetigung fuer Microsoft Ireland Operations + Google Cloud EU; Privacy-Alias-Anbieter (SimpleLogin-Proton, addy.io, Apple Hide My Email) als Souveraen-Optionen dokumentieren | Cross-Welle Kapitel 11 Alias-Strategie + R4-Wellen-Anker (Hornetsecurity-Proofpoint 8.12.2025 + SimpleLogin-Proton 8.4.2022) |
| lit. e Erwerb + Entwicklung + Wartung + Schwachstellenmanagement | Patch-Management-Plan fuer MTA-Software (Postfix/Exim/Mailcow) + Anti-Spam-Komponenten (Rspamd) mit dokumentierten Patch-Cycles; DKIM-Schluessel-Rotations-Plan alle 3 Monate; quartalsweise DNSSEC-Status-Check; jaehrliche TLS-1.3-Modernisierungspruefung | Wolf-Agents-Quartals-Scan + Wartungs-Protokoll-Vorlage aus Index-Sektion 12b |
| lit. f Bewertung der Wirksamkeit | Quartalsweise Wolf-Agents-Scan mit Vorher-Nachher-Vergleich; jaehrliche externe Penetrationstest-Auswertung; DMARC-Aggregate-Report-Auswertungs-Statistik (Anzahl Reports, fehlerhafte Sender, Trends) | Wolf-Agents-Note-A-Tracking ueber 4 Quartale als zentraler Wirksamkeits-Beleg |
| lit. g Cyberhygiene + Schulungen | Mitarbeiter-Phishing-Tests halbjaehrlich (z. B. Sosafe oder vergleichbar); jaehrliche Pflichtschulung Email-Sicherheit; §38-BSIG-neu-Geschaeftsfuehrungs-Schulung alle 3 Jahre (Pflicht); Awareness-Quartals-Newsletter | kein direkter Wolf-Agents-Anker (organisatorisch) — Cross-Verweis Bedrohungs-Kapitel |
| lit. h Kryptografie + Verschluesselung | TLS 1.2+ Pflicht fuer SMTP + MTA-STS Enforce + DANE/TLSA fuer Server mit DNSSEC; E2E-Verschluesselung (S/MIME oder PGP) fuer Art. 9 DSGVO-Daten; KIM-Pflicht im Gesundheitswesen; CA/B-SC-085v2-DNSSEC-Pflicht-Vorbereitung fuer 15.3.2026 | Wolf-Agents-TLS-Check + DANE-Verifikation + DNSSEC-Status pro Domain |
| lit. i Personalsicherheit + Zugriffskontrolle + Anlagenmanagement | Joiner-Mover-Leaver-Prozess mit dokumentierter Konto-Aktivierung/-Deaktivierung; rollenbasierte Zugriffsrechte (Postfach-Vollzugriff strikt limitiert); 4-Augen-Prinzip fuer DNS-Aenderungen; physische Sicherung Mail-Server (falls eigene Infrastruktur) | organisatorisch — kein direkter Wolf-Agents-Anker |
| lit. j Multi-Faktor-Authentifizierung + gesicherte Sprach-/Video-/Textkommunikation | MFA-Pflicht fuer ALLE Postfach-Logins (Webmail + IMAP + SMTP-Auth); SPF + DKIM + DMARC p=reject fuer ALLE produktiven Domains als Pflicht-Setup; Audit-Log MFA-Erfolge/-Fehlschlaege quartalsweise | Wolf-Agents-SPF/DKIM/DMARC-Scan + MFA-Audit-Log separat |
Pflicht-Format fuer die Massnahmennachweis-Mappe: Eine Mappe pro Buchstabe a-j (digital oder physisch) mit (1) Dokumentations-Auszug der konkreten Massnahme, (2) Wolf-Agents-Scan-Beleg (PDF mit Zeitstempel), (3) Verantwortlichen mit Datum und Unterschrift, (4) Aufbewahrungs-Frist (mindestens bis 17. Oktober 2027 plus zwei weitere Audit-Zyklen, also bis ca. 2031). Die Mappe ist im Audit ohne weitere Recherche uebergabefaehig. 9 von 10 Buchstaben sind mit Wolf-Agents-Scan-Cross-Referenz abdeckbar — nur lit. i (Personalsicherheit + Anlagenmanagement) ist rein organisatorisch.
Empirik-69-Hinweis fuer lit. d: Die korrekte EU-NIS2-Reihenfolge (verifiziert via buzer.de/21_NIS2.htm) hat lit. d fuer „Sicherheit der Lieferkette“ und lit. e fuer „Erwerb + Entwicklung + Wartung + Schwachstellenmanagement“ — NICHT umgekehrt! Eine Massnahmennachweis-Mappe, die externe Email-Provider (z. B. Hornetsecurity-Proofpoint, Microsoft Ireland Operations CTPP) unter lit. e statt lit. d fuehrt, ist im strengen Sinn fehlerhaft. Quelle: Cross-Welle-Empirik 69 (siehe Sektion 4 Tabelle und Kapitel-Index Sektion 10 Cross-Welle-Synthese).
§38 BSIG-neu — Geschäftsführerhaftung PERSÖNLICH und nicht delegierbar
§38 BSIG-neu ist die schärfste Norm des NIS2UmsuCG. Sie schreibt die persönliche Haftung der Leitungsorgane für die Umsetzung und Überwachung der Cybersicherheits-Maßnahmen fest — mit dem Privatvermögen. Diese Haftung ist nicht delegierbar; ein Verzicht ist nichtig; ein vertraglicher Haftungsausschluss explizit verboten. Pflicht zur persönlichen Schulung in Cybersicherheit mindestens alle drei Jahre.
§38 BSIG-neu — die fünf zentralen Tatbestände
| Tatbestand | Regelung | Praxis-Konsequenz |
|---|---|---|
| 1. Haftungsumfang | Persönlich mit Privatvermögen — sowohl Umsetzung als auch Überwachung der Risikomanagement-Maßnahmen | Direkter Zugriff auf das Privatvermögen bei Verstoß; D&O-Versicherung muss um NIS2-Deckungsbaustein erweitert werden |
| 2. Delegations-Verbot | Nicht delegierbar — die Pflicht bleibt beim Leitungsorgan | Eine Delegation an CISO oder IT-Leitung entlastet NICHT — die Geschäftsführung bleibt verantwortlich für die Überwachung des Vollzugs |
| 3. Verzicht-Verbot | Verzicht ist nichtig — vertraglicher Haftungsausschluss explizit verboten | Klauseln im Geschäftsführer-Anstellungsvertrag, die die NIS2-Haftung ausschließen, sind unwirksam |
| 4. Schulungspflicht | Persönliche Schulung in Cybersicherheit mindestens alle drei Jahre | Schulungsbestätigungen dokumentieren (Datum, Inhalte, Anbieter); Refresh-Termine im Kalender setzen |
| 5. Doppel-Sanktion | Sanktion gegen das Unternehmen (bis 10 Mio. EUR / 2 %) UND persönlich gegen die Person | Die Unternehmens-Sanktion entlastet die GF nicht — beide Sanktionen können kumuliert verhängt werden |
Konkretes E-Mail-Haftungs-Szenario: Eine Unternehmensdomain hat keinen DMARC-Record oder nur p=none. Angreifer missbrauchen die Domain für eine Phishing-Welle gegen Kunden. Ein Kunde überweist 250.000 EUR auf ein Betrüger-Konto und klagt das Unternehmen auf Schadenersatz wegen mangelnder Sorgfalt. Parallel meldet der Kunde den Vorfall an die Aufsichtsbehörde. Die Aufsichtsbehörde stellt fest: DMARC p=reject ist seit Jahren als Stand der Technik dokumentiert (BSI TR-03182), kostenlos und in Minuten umsetzbar. Die Nicht-Umsetzung ist objektiv fahrlässig. §38 BSIG-neu greift — die Geschäftsführung haftet persönlich. Eine D&O-Versicherung deckt diesen Fall nur, wenn der NIS2-Deckungsbaustein vereinbart ist; ansonsten erstreckt sich die Haftung auf das Privatvermögen. Quelle: buzer.de/38_BSIG.htm.
§38 BSIG-neu Geschaeftsfuehrerhaftung — drei KMU-Praxis-Szenarien mit Bussgeld-Berechnung
§38 BSIG-neu hat fuer KMU-Geschaeftsfuehrungen die Haftungs-Realitaet fundamental veraendert. Die folgenden drei Praxis-Szenarien zeigen, wie sich die persoenliche Haftung in konkreten Schadenshoehen niederschlaegt — plus Compliance-Implementierungs-Kosten als Vorher-Nachher-Vergleich. Jedes Szenario kombiniert NIS2-Bussgeld-Risiko, DSGVO-Bussgeld-Risiko und §38-BSIG-neu-Privatvermoegens-Haftung. Die Berechnung zeigt: Compliance-Implementierung ist immer billiger als ein einziger Vorfall.
§38 BSIG-neu Haftungs-Cascade — Geschäftsführer-Verantwortung mit 3 KMU-Praxis-Cases
Decision-Tree der §38 BSIG-neu Geschäftsführer-Haftung mit 4 Entscheidungs-Stufen: NIS2-Anwendung, Email-Security-Pflicht (lit. j+h+e), Pflicht-Schulung alle 3 Jahre, Schadens-Eingetreten. Plus 3 KMU-Praxis-Cases mit konkreter Bußgeld-Berechnung (Phishing 250k / BEC 5k Datensätze / versäumte NIS2-Registrierung). NIS2-Strafrahmen essential 10 Mio EUR / 2 % vs important 7 Mio EUR / 1,4 %.
Drei KMU-Praxis-Szenarien mit konkreter Bussgeld-Berechnung
| Szenario | Ausgangslage | Haftungs-Cascade | Vorher-Nachher-Vergleich |
|---|---|---|---|
| 1. Kunde-Phishing-Schaden 250.000 EUR durch fehlende DMARC | KMU mit 80 Mitarbeitern, Umsatz 18 Mio. EUR jaehrlich (NIS2-Important). Keine DMARC-Policy oder nur p=none. Angreifer faelscht Absender-Adresse, taeuscht Kunde, der 250.000 EUR auf Betruegerkonto ueberweist. Kunde klagt + meldet Aufsichtsbehoerde. | (1) Direkte Schadenersatz-Forderung Kunde 250.000 EUR; (2) NIS2-Bussgeld Important bis 7 Mio. EUR / 1,4 % Welt-Umsatz (rechnerisch 252.000 EUR aufwaerts); (3) §38-BSIG-neu Geschaeftsfuehrer persoenlich-unbegrenzt; (4) Reputations-Schaden mit Folgenden Auftragsverlusten | Compliance-Kosten DMARC + SPF + DKIM Setup ca. 3.000-8.000 EUR Erstaufwand + 1.500 EUR Jaehrlich Wartung. Ratio 1:100+ |
| 2. Datenleck via BEC-Angriff (Business Email Compromise) | KMU mit 200 Mitarbeitern, Umsatz 50 Mio. EUR jaehrlich (NIS2-Essential). Geschaeftsfuehrer-Postfach kompromittiert ueber Phishing-Mail. Angreifer liest 6 Wochen Postfach + exfiltriert Kunden- und Mitarbeiterdaten (5.000 Datensaetze, davon 200 Art-9-Gesundheitsdaten). | (1) DSGVO Art. 33 72h-Meldepflicht + Art. 34 Benachrichtigung Betroffener; (2) DSGVO-Bussgeld bis 20 Mio. EUR / 4 % Welt-Umsatz (rechnerisch 2 Mio. EUR aufwaerts); (3) NIS2-Vorfallsmeldung 24h/72h/1M + Bussgeld Essential bis 10 Mio. EUR / 2 % Welt-Umsatz (rechnerisch 1 Mio. EUR aufwaerts); (4) §38-BSIG-neu Geschaeftsfuehrer persoenlich-unbegrenzt; (5) zivilrechtliche Schadenersatzklagen betroffener Personen | Compliance-Kosten MFA-Erzwingung + Privileged-Mailbox-Schutz + Mitarbeiter-Phishing-Schulungen ca. 15.000-30.000 EUR Erstaufwand + 5.000 EUR Jaehrlich. Ratio 1:100+ |
| 3. Versaeumte NIS2-Registrierung Essential bis 6.3.2026 | KMU mit 120 Mitarbeitern, Umsatz 40 Mio. EUR, Bauunternehmen im KRITIS-Sektor Verkehr/Bau (NIS2-Essential). Geschaeftsfuehrer hat NIS2-Pflicht uebersehen, keine Registrierung beim BSI bis 6.3.2026 erfolgt. BSI prueft proaktiv 8 Wochen spaeter. | (1) NIS2-Bussgeld Essential bis 10 Mio. EUR / 2 % Welt-Umsatz (rechnerisch 800.000 EUR aufwaerts); (2) §38-BSIG-neu Geschaeftsfuehrer persoenlich-unbegrenzt; (3) Reputations-Schaden mit B2B-Auftragsverlusten; (4) Nachholpflicht-Verfahren + zwangsweise BSI-Audit auf Kosten des Unternehmens | Compliance-Kosten NIS2-Registrierung Vorbereitung + IT-Audit + Massnahmen-Implementierung ca. 30.000-60.000 EUR Erstaufwand + 10.000 EUR Jaehrlich. Ratio 1:13+ |
D&O-Versicherung als zweite Verteidigungslinie: Klassische D&O-Versicherungspolicen vor 2025 enthalten den NIS2-Deckungsbaustein in der Regel NICHT — er muss explizit nachverhandelt werden. Empfohlene Deckungs-Module: (1) NIS2-Bussgeld-Deckung fuer das Unternehmen, (2) §38-BSIG-neu-Privatvermoegens-Schutz fuer die Geschaeftsfuehrung, (3) Cyber-Vorfall-Selbstbehalts-Klausel-Pruefung, (4) Rueckwirkungs-Klausel fuer NIS2-Pflicht-Verstoesse aus 2025-2026. Bei Vertragsverlaengerung 2026: D&O-Police explizit auf NIS2-Konformitaet pruefen lassen. Die Versicherungsbranche reagiert auf die NIS2-Realitaet — neue Policen mit dediziertem NIS2-Modul sind seit Mitte 2025 marktverfuegbar.
Geschaeftsfuehrungs-Schulungspflicht alle drei Jahre: §38 BSIG-neu verlangt eine persoenliche Schulung der Geschaeftsfuehrung in Cybersicherheit mindestens alle drei Jahre — dokumentiert mit Datum, Inhalten, Anbieter, Pruefungs-Bestaetigung. Empfohlene Schulungsanbieter: BSI-akkreditierte Trainer (z. B. ueber das BSI-Starterpaket), HiSolutions AG (DACH-Spezialist NIS2-Beratung), TUEV SUED Cybersecurity Assessment, secunet (BSI-Partner mit SINA-Erfahrung). Pflicht-Dokumentation: Schulungs-Bestaetigung mit Lerninhalten, Pruefung, Refresh-Termin im Kalender ein Jahr vor Frist. Quelle: buzer.de/38_BSIG.htm.
Sanktionsrahmen und dreistufige Meldepflicht — 24h / 72h / 1 Monat
NIS2 etabliert ein gestaffeltes Sanktions- und Meldesystem. Bußgelder können das Unternehmen empfindlich treffen — bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen, bis 7 Mio. EUR oder 1,4 % bei wichtigen Einrichtungen. Die dreistufige Meldekette für signifikante Vorfälle umfasst Frühwarnung binnen 24 Stunden, Vorfallsmeldung binnen 72 Stunden und Abschlussbericht binnen 1 Monat.
Sanktionsrahmen — Essential vs. Important Entities
| Kategorie | Maximales Bußgeld absolut | Maximales Bußgeld als Prozentsatz | Maßgeblich |
|---|---|---|---|
| Besonders wichtige Einrichtungen (Essential) | 10 Mio. EUR | 2 % des weltweiten Jahresumsatzes | Der höhere Betrag |
| Wichtige Einrichtungen (Important) | 7 Mio. EUR | 1,4 % des weltweiten Jahresumsatzes | Der höhere Betrag |
| Geschäftsführungs-Sanktion §38 BSIG-neu | kumulativ zur Unternehmens-Sanktion | Persönliche Haftung mit Privatvermögen | Zusätzlich |
Meldepflicht bei signifikanten Vorfällen — die dreistufige Meldekette
| Stufe | Frist | Inhalt |
|---|---|---|
| 1. Frühwarnung | 24 Stunden ab Kenntnis | Erstinformation an BSI über portal.bsi.bund.de — Hinweis auf möglicherweise rechtswidriges Handeln und auf grenzüberschreitende Auswirkungen |
| 2. Vorfallsmeldung | 72 Stunden ab Kenntnis | Schweregrad, Auswirkungen auf betroffene Dienste, Anzahl betroffener Nutzer, ergriffene Gegenmaßnahmen — aktualisiert die Frühwarnung |
| 3. Abschlussbericht | 1 Monat nach Vorfallsmeldung | Detaillierte Beschreibung, Ursachenanalyse, ergriffene Abhilfemaßnahmen, grenzüberschreitende Auswirkungen |
E-Mail-spezifische Meldepflicht-Trigger: Die dreistufige Meldekette greift bei E-Mail-Vorfällen, wenn diese die Verfügbarkeit oder Integrität von Netz- und Informationssystemen erheblich beeinträchtigen. Typische Beispiele: BEC mit Datenabfluss (Angreifer hat Postfächer gelesen und personenbezogene Daten exfiltriert — meldepflichtig nach NIS2 PLUS DSGVO Art. 33), DNS-Hijacking mit MX-Manipulation und umgeleiteten Mails (Integritätsverlust der Kommunikationsinfrastruktur), großflächige Phishing-Kampagne über die eigene Domain mit Reputationsschaden, Zertifikats-Notfall mit längerer MTA-STS-Enforce-Blockierung. Stellen Sie sicher, dass Ihr Incident Manager BSI-Portal-Zugangsdaten griffbereit hat und ein Offline-Kommunikationskanal verfügbar ist — E-Mail kann im Vorfall kompromittiert sein.
BSI-Registrierung Schritt für Schritt — MUK ELSTER → portal.bsi.bund.de → Incident-Kanal
Der Registrierungsprozess umfasst vier Schritte und benötigt eine vorhandene oder neu zu erstellende ELSTER-Organisationskonto-Verbindung über das Mein Unternehmenskonto (MUK). Die Freischaltung kann mehrere Werktage dauern — beginnen Sie frühzeitig, insbesondere wenn die Registrierungsfrist 6. März 2026 für besonders wichtige Einrichtungen noch offen ist.
Vier-Schritte-Registrierung am BSI-Portal
- Schritt 1 — Mein Unternehmenskonto (MUK) erstellen. Voraussetzung für die BSI-Registrierung ist ein MUK auf mein-unternehmenskonto.de. MUK nutzt ELSTER-Organisationszertifikate zur Authentifizierung, ist aber ein eigenständiger Dienst. Falls Ihr Unternehmen noch kein MUK besitzt, erstellen Sie es jetzt. Die Freischaltung kann mehrere Werktage dauern.
- Schritt 2 — BSI-Portal-Anmeldung. Melden Sie sich mit Ihrem MUK-Konto am BSI-Portal portal.bsi.bund.de an. Wählen Sie den Registrierungsprozess für NIS2-Einrichtungen. Das Portal ist seit dem 6. Januar 2026 aktiv.
- Schritt 3 — Unternehmensdaten und Sektor-Zuordnung. Geben Sie Ihre Unternehmensdaten an, ordnen Sie sich dem korrekten Sektor zu (Energie, Verkehr, Gesundheit, Finanzen, Wasser, Digitale Infrastruktur etc.) und benennen Sie verantwortliche Kontaktpersonen. Mindestens eine Kontaktstelle für das BSI ist Pflicht.
- Schritt 4 — Incident-Reporting-Kanal einrichten. Richten Sie einen funktionierenden Meldekanal für Sicherheitsvorfälle ein. Die Meldekette muss 24/7 erreichbar sein, da die Erstmeldung innerhalb von 24 Stunden erfolgen muss. Vorausgefüllte Meldeformulare und ein Offline-Kommunikationskanal (Telefon, Signal, internes Chat-System) sind empfehlenswert.
BSI-NIS-2-Starterpaket als offizielle Schritt-für-Schritt-Anleitung: Das BSI bietet unter bsi.bund.de/DE/Themen/Regulierung-und-Warnung/NIS-2-Regulierung ein offizielles Starterpaket mit detaillierten Anleitungen, Checklisten und FAQ. Für österreichische Unternehmen ab 1.10.2026: Analoger Prozess beim Bundesamt für Cybersicherheit Wien (in Aufbau, dem Innenministerium nachgeordnet).
DACH-Compliance-Vergleich DE + AT + CH — der operationale Konvergenz-Hebel
Konzerne mit DACH-Töchtern müssen drei parallele Compliance-Regelwerke synchronisieren — NIS2UmsuCG in Deutschland (in Kraft seit 6.12.2025, OHNE Übergangsfrist), NISG 2026 in Österreich (in Kraft ab 1.10.2026, Registrierungsfrist 31.12.2026) und ISG + revDSG in der Schweiz (ISG in Kraft seit 1.1.2024, revDSG seit 1.9.2023). Die folgende Matrix vergleicht 9 Kriterien Seite an Seite — Gesetz, Inkrafttreten, betroffene Unternehmen, Aufsichtsbehörde, Strafrahmen Essential und Important, Meldepflichten, Registrierungs-Portal und -frist. Konvergenz-Hebel: eine zentrale technische Implementierung erfüllt alle drei Rechtsräume.
DACH-Compliance-Matrix DE + AT + CH — der operationale Konvergenz-Hebel
Vergleichs-Matrix mit 9 Dimensionen × 3 Ländern: Gesetz, Inkrafttreten, Betroffene, Aufsicht, Strafrahmen Essential, Strafrahmen Important/revDSG, Meldepflicht, Registrierungs-Portal, Registrierungsfrist. NIS2UmsuCG DE 6.12.2025 (OHNE Übergangsfrist) + NISG 2026 AT 1.10.2026 + CH ISG 1.1.2024 + revDSG.
Schweiz: indirekte NIS2-Betroffenheit über Art. 21 Abs. 2 lit. d Lieferkette
Die NIS2-Richtlinie gilt für die Schweiz nicht direkt — die Schweiz ist kein EU-Mitglied. Stattdessen gilt das schweizerische Informationssicherheitsgesetz (ISG) seit 1. Januar 2024. Indirekt sind Schweizer Unternehmen mit EU-Kunden jedoch von der NIS2-Lieferketten-Anforderung Art. 21 Abs. 2 lit. d betroffen — EU-Auftraggeber müssen die Sicherheit ihrer Schweizer Lieferanten nachweisen.
CH-Compliance-Triade: ISG + indirekte NIS2 + revDSG
| Regelwerk | Status | E-Mail-Konsequenz |
|---|---|---|
| ISG (Informationssicherheitsgesetz) | Seit 1. Januar 2024 in Kraft | KRITIS-Pflichten in der Schweiz, BACS als Aufsichtsbehörde unter ncsc.admin.ch |
| ISG-Meldepflicht | Seit 1. April 2025 aktiv | 24-Stunden-Meldepflicht für Cyberangriffe auf kritische Infrastrukturen an das BACS |
| ISG-Bußen | Seit 1. Oktober 2025 aktiv | Bußen bis CHF 100.000 bei Verstoß gegen Meldepflicht — auf das Unternehmen gerichtet |
| NIS2 indirekt über Art. 21 Abs. 2 lit. d | Faktische Anwendung über EU-Auftraggeber | EU-regulierte Unternehmen geben NIS2-Anforderungen vertraglich an Schweizer Lieferanten weiter — SPF, DKIM, DMARC, TLS, MTA-STS, DANE faktisch Pflicht |
| revDSG (offiziell DSG, Stand 1.9.2023) | Seit 1. September 2023 | Datenschutzrechtliche Anforderungen — siehe Deep-Dive 1 DSGVO + DACH Sektion 6 |
Praxisregel für Schweizer Unternehmen: Eine ISG-konforme E-Mail-Sicherheit reicht in der Praxis nicht aus, wenn Sie EU-Kunden haben. Über die NIS2-Lieferketten-Indirektion müssen Sie faktisch die NIS2-Standards erfüllen, weil Ihre EU-Auftraggeber das von Ihnen vertraglich verlangen werden. SPF + DKIM + DMARC + TLS + MTA-STS + DANE als BSI-Stand-der-Technik bilden den gemeinsamen Nenner zwischen ISG und NIS2 — eine einmalige Implementierung deckt beide ab. Die Cross-Welle-Konsistenz zu R4-Wellen (Hornetsecurity-Proofpoint-Tochter seit 8.12.2025, SimpleLogin-Proton seit 8.4.2022, addy.io-Rebrand 9.8.2023) ist auch bei Schweizer Souveränitäts-Auswahlentscheidungen relevant.
DACH-NIS2-Synchronisations-Matrix — wie DE + AT + CH gleichzeitig auditierbar werden
Konzerne mit Toechtern in mehreren DACH-Rechtsraeumen muessen die NIS2-Pflichten parallel in drei Stufen erfuellen: deutsche NIS2UmsuCG seit 6. Dezember 2025 OHNE Uebergangsfrist (~29.500 Unternehmen), oesterreichische NISG 2026 ab 1. Oktober 2026 (~4.000 Organisationen), Schweizer indirekte Betroffenheit ueber lit. d Lieferkette plus direktes ISG seit 1. Januar 2024. Die folgende Matrix konsolidiert alle 5 Dimensionen (Inkrafttreten / Aufsichtsbehoerde / Strafrahmen / Meldepflichten / Registrierungs-Portal) fuer eine zentrale Konzern-Compliance-Strategie.
DACH-NIS2-Synchronisations-Matrix (Stand 25.5.2026, zeichengenau)
| Dimension | DE — NIS2UmsuCG | AT — NISG 2026 | CH — ISG + indirekt NIS2 |
|---|---|---|---|
| Inkrafttreten + Anzahl Betroffener | 6. Dezember 2025 (BGBl. I 2025/301) OHNE Uebergangsfrist; ~29.500 Unternehmen | 1. Oktober 2026 (BGBl. I Nr. 94/2025 publiziert 23.12.2025); ~4.000 Organisationen | ISG seit 1. Januar 2024 + indirekt NIS2 ueber lit. d fuer CH-Lieferanten mit EU-Kunden |
| Aufsichtsbehoerde + Sitz | Bundesamt fuer Sicherheit in der Informationstechnik (BSI), Bonn | Bundesamt fuer Cybersicherheit, Wien (dem Bundesminister fuer Inneres nachgeordnet) — neugegruendete Behoerde im Aufbau | Bundesamt fuer Cybersicherheit (BACS), Bern — ncsc.admin.ch |
| Strafrahmen Essential | bis 10 Mio. EUR oder 2 % Welt-Umsatz (jeweils hoeher) + §38-BSIG-neu Geschaeftsfuehrer persoenlich-unbegrenzt | analog EU-NIS2 bis 10 Mio. EUR oder 2 % Welt-Umsatz; persoenliche Haftung wird im OeIRG (oesterreichisches Internationales Privatrecht) plus AT-GmbH-Recht abgebildet | CH-ISG-Bussen bis CHF 100.000 (Unternehmen) bei Verstoss gegen 24h-Meldepflicht; revDSG-Bussen bis CHF 250.000 auf natuerliche Personen (GF, DSB) |
| Strafrahmen Important | bis 7 Mio. EUR oder 1,4 % Welt-Umsatz (jeweils hoeher) | analog EU-NIS2 bis 7 Mio. EUR oder 1,4 % Welt-Umsatz | nicht direkt anwendbar — CH-Lieferanten-Bewertung erfolgt ueber EU-Auftraggeber-Vertraege |
| Meldepflichten | dreistufig 24h Fruehwarnung + 72h Vorfallsmeldung + 1 Monat Schlussbericht ueber portal.bsi.bund.de | analog DE dreistufig 24h/72h/1M ueber Bundesamt-Portal (in Aufbau, voraussichtlich ab 1.10.2026 produktiv) | 24-Stunden-Meldepflicht an BACS seit 1.4.2025 (CH-ISG-spezifisch fuer Cyberangriffe auf kritische Infrastrukturen) — direkter BACS-Meldekanal, kein zentrales Portal |
| Registrierungs-Portal + Frist | portal.bsi.bund.de seit 6. Januar 2026; Essential-Frist 6. Maerz 2026; Important nach individuellem Stichtag | Bundesamt-Portal in Aufbau (voraussichtlich ab 1.10.2026); Registrierungsfrist 31. Dezember 2026 (3 Monate nach Inkrafttreten) | kein zentrales Registrierungs-Portal — BACS-Meldung direkt bei Vorfall; ISG-Compliance wird vom Unternehmen selbst dokumentiert; EU-NIS2-Lieferanten-Anforderungen werden vertraglich vom EU-Auftraggeber abgefragt |
| Geschaeftsfuehrungs-Haftung | §38 BSIG-neu PERSOENLICH + Privatvermoegen + nicht delegierbar + Verzicht nichtig + Pflicht-Schulung alle 3 Jahre | AT-GmbH-Recht / AT-AktG plus NISG-Aufsichts-Bussen (in Konkretisierung) — sectorrechtlich teils §25 GmbHG | CH-OR-Verantwortlichkeit (Art. 754 OR) + revDSG-Bussen CHF 250.000 auf natuerliche Personen + Art. 271 StGB als Anti-CLOUD-Act-Anker |
DACH-Konzern-Compliance-Strategie in drei Phasen:
- Phase 1 (sofort, Stand 25.5.2026): Deutsche Tochter / Niederlassung registriert sich beim BSI-Portal (Frist Essential 6.3.2026 war bereits abgelaufen, Nachholverfahren mit BSI besprechen). CH-Tochter / Partner dokumentiert ISG-Compliance + bereitet Lieferanten-Bewertungen ueber EU-Auftraggeber-Vertraege vor.
- Phase 2 (bis 1.10.2026): Oesterreichische Tochter bereitet NISG-2026-Registrierung vor (Sektor-Zuordnung, Verantwortliche, Incident-Kanal). Konzern-weite Email-Security-Standards (SPF + DKIM + DMARC
p=reject+ MTA-STS Enforce + DANE + DNSSEC) werden harmonisiert. - Phase 3 (bis 31.12.2026): Oesterreichische Registrierung beim Bundesamt-Portal abgeschlossen. Konsolidierte Konzern-Audit-Belegmappe (analog Index-Sektion 12b) vorbereitet. Geschaeftsfuehrungs-Schulung nach §38 BSIG-neu (DE) plus AT/CH-Aequivalente dokumentiert.
Empirik-69-Hinweis fuer die DACH-Matrix: Die Lieferketten-Sicherheit nach NIS2 Art. 21 Abs. 2 lit. d (NICHT lit. e!) ist der konzern-rechtlich wichtigste Synchronisations-Anker — EU-Auftraggeber muessen die Sicherheit ihrer CH-Lieferanten nachweisen, was de facto eine NIS2-konforme Email-Sicherheit auch in der Schweiz erzwingt. Die Wolf-Agents-Note-A-Konfiguration ist der einfachste und transparenteste Nachweis ueber alle drei Rechtsraeume hinweg. Cross-Verweis Index-Sektion 10 Cross-Welle-Synthese-Tabelle + Index-Sektion 9b Konvergenz-Hebel-Mapping fuer die technische Maximal-Coverage.
Quellen-Cross-Referenz: recht.bund.de (NIS2UmsuCG) + ris.bka.gv.at (NISG 2026) + fedlex.admin.ch (ISG) + ncsc.admin.ch (BACS) — alle WebFetch-etabliert in R5-Content-Wave plus R5-Quality-Re-Verifikation.
Quellen — 18 verifizierte NIS2-, DACH- und Aufsichts-Belege (Stand 25. Mai 2026)
Häufig gestellte Fragen
Wann genau gilt das NIS2UmsuCG in Deutschland und wer ist betroffen?
Das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) ist als BGBl. I 2025/301 am 6. Dezember 2025 in Kraft getreten — OHNE Übergangsfrist. Alle Pflichten gelten sofort. Rund 29.500 Unternehmen in Deutschland sind betroffen (vorher etwa 4.500 unter KRITIS-Regime). Die Schwellen: besonders wichtige Einrichtungen ab 250 Mitarbeitern ODER 50 Mio. EUR Umsatz UND 43 Mio. EUR Bilanzsumme in 18 Sektoren (Energie, Verkehr, Gesundheit, Finanzen, Wasser, Digitale Infrastruktur etc.); wichtige Einrichtungen ab 50 Mitarbeitern ODER 10 Mio. EUR Umsatz UND 10 Mio. EUR Bilanzsumme. KRITIS-Betreiber sind unabhängig von der Größe erfasst. Aufsichtsbehörde ist das BSI; das Registrierungsportal portal.bsi.bund.de ist seit dem 6. Januar 2026 aktiv. Registrierungsfrist für besonders wichtige Einrichtungen: bis zum 6. März 2026.
Was sagt §38 BSIG-neu zur Geschäftsführerhaftung konkret?
§38 BSIG-neu regelt die persönliche Haftung der Leitungsorgane unmissverständlich: Geschäftsführer haften persönlich mit ihrem Privatvermögen für die Umsetzung UND die Überwachung der Risikomanagement-Maßnahmen nach §30 BSIG-neu. Diese Haftung ist nicht delegierbar — auch wenn ein CISO oder eine IT-Leitung im operativen Vollzug eingesetzt wird, bleibt die Pflicht zur Überwachung beim Leitungsorgan. Ein Verzicht auf die Haftung ist nichtig; ein vertraglicher Haftungsausschluss explizit verboten. Außerdem besteht eine Pflicht zur persönlichen Schulung in Cybersicherheit mindestens alle drei Jahre. Konkretes Beispiel mit E-Mail-Bezug: Wenn eine Domain ohne DMARC-Enforcement für Phishing missbraucht wird und dadurch ein Kunde geschädigt wird, kann der Geschäftsführer persönlich haftbar gemacht werden — DMARC ist ein dokumentierter Stand-der-Technik-Schutz nach BSI TR-03182.
Welche zehn Buchstaben hat NIS2 Art. 21 Abs. 2 und welche sind E-Mail-relevant?
NIS2 Art. 21 Abs. 2 listet zehn Buchstaben (a) bis (j) als verpflichtende Risikomanagement-Maßnahmen: (a) Risikoanalyse-Konzepte und Sicherheit der Informationssysteme; (b) Bewältigung von Sicherheitsvorfällen; (c) Aufrechterhaltung des Betriebs mit Backup-Management und Wiederherstellung; (d) Sicherheit der Lieferkette; (e) Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen einschließlich Management und Offenlegung von Schwachstellen; (f) Konzepte und Verfahren zur Bewertung der Wirksamkeit; (g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen; (h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung; (i) Personalsicherheit, Zugriffskontrolle und Anlagenmanagement; (j) Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation. E-Mail-relevant sind insbesondere lit. a (E-Mail-Risikoanalyse, BIMI, ARC-SEG), lit. e (DKIM-Schlüsselrotation, DNSSEC, externe Anbieter-Wartung), lit. h (TLS, MTA-STS, DANE, S/MIME) und lit. j (SPF/DKIM/DMARC, MFA auf E-Mail-Konten). Quelle zeichengenau: buzer.de/21_NIS2.htm.
Wann gilt NISG 2026 in Österreich und wie unterscheidet es sich vom NIS2UmsuCG?
Das NISG 2026 wurde am 12. Dezember 2025 vom Nationalrat beschlossen und am 23. Dezember 2025 als BGBl. I Nr. 94/2025 publiziert. Es tritt am 1. Oktober 2026 in Kraft — etwa zehn Monate später als das deutsche NIS2UmsuCG. Rund 4.000 Organisationen in Österreich sind betroffen. Aufsichtsbehörde ist das neu gegründete Bundesamt für Cybersicherheit mit Sitz in Wien, das dem Bundesminister für Inneres nachgeordnet, aber organisatorisch außerhalb der Generaldirektion für öffentliche Sicherheit angesiedelt ist — analog zum BSI in Deutschland. Die Registrierungsfrist beträgt drei Monate nach Inkrafttreten — bis zum 31. Dezember 2026. Bußgelder orientieren sich am EU-Rahmen mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Inhaltlich übernimmt das NISG 2026 die NIS2-Richtlinie EU 2022/2555 weitgehend wortgleich — die zehn Buchstaben aus Art. 21 Abs. 2 gelten identisch.
Welche Meldefristen gelten bei E-Mail-bezogenen NIS2-Vorfällen?
NIS2 etabliert ein dreistufiges Meldesystem für signifikante Vorfälle: (1) Frühwarnung binnen 24 Stunden ab Kenntnis — Erstinformation an das BSI über portal.bsi.bund.de mit Angabe, ob der Vorfall auf rechtswidriges Handeln zurückzuführen sein könnte und ob grenzüberschreitende Auswirkungen möglich sind; (2) Vorfallsmeldung binnen 72 Stunden mit Schweregrad, betroffenen Diensten, Anzahl betroffener Nutzer und ergriffenen Gegenmaßnahmen — aktualisiert die Frühwarnung; (3) Abschlussbericht binnen 1 Monat mit detaillierter Beschreibung, Ursachenanalyse, ergriffenen Abhilfemaßnahmen und grenzüberschreitenden Auswirkungen. Bei E-Mail-Vorfällen sind Meldepflicht-Trigger insbesondere BEC mit Datenverlust, DNS-Hijacking mit MX-Manipulation, großflächige Phishing-Kampagnen über die eigene Domain und Zertifikats-Notfälle mit MTA-STS-Enforce-Blockierung. Stellen Sie sicher, dass Ihr Incident Manager BSI-Portal-Zugangsdaten griffbereit hat und die Meldeformulare kennt.
Wie funktioniert die BSI-Registrierung Schritt für Schritt?
Der Registrierungsprozess hat vier Schritte. Schritt 1: Mein Unternehmenskonto (MUK) auf mein-unternehmenskonto.de erstellen — MUK nutzt ELSTER-Organisationszertifikate zur Authentifizierung, ist aber ein eigenständiger Dienst. Die Freischaltung kann mehrere Werktage dauern. Schritt 2: Mit MUK-Konto am BSI-Portal portal.bsi.bund.de anmelden und den Registrierungsprozess für NIS2-Einrichtungen wählen. Schritt 3: Unternehmensdaten eingeben, Sektor-Zuordnung wählen und verantwortliche Kontaktpersonen benennen (mindestens eine Kontaktstelle für das BSI). Schritt 4: Funktionierenden Incident-Reporting-Kanal einrichten — die Meldekette muss 24/7 erreichbar sein, da die Erstmeldung innerhalb von 24 Stunden erfolgen muss. Das BSI bietet ein "NIS-2-Starterpaket" mit detaillierter Schritt-für-Schritt-Anleitung unter bsi.bund.de/DE/Themen/Regulierung-und-Warnung/NIS-2-Regulierung an.
Sind Schweizer Unternehmen indirekt von NIS2 betroffen?
Ja, über die Supply-Chain-Indirektion. NIS2 Art. 21 Abs. 2 lit. d verlangt von EU-regulierten Unternehmen, dass sie die Sicherheit ihrer Lieferkette nachweisen — einschließlich Schweizer Auftragnehmer und IT-Dienstleister. Wenn ein EU-Auftraggeber NIS2-pflichtig ist, gibt er die Anforderungen vertraglich an seine Schweizer Lieferanten weiter. Das bedeutet faktisch: Schweizer Unternehmen mit EU-Kunden müssen die NIS2-Standards für E-Mail-Sicherheit (SPF, DKIM, DMARC, TLS, MTA-STS, DANE) erfüllen, auch wenn die Schweiz selbst kein EU-Mitglied ist und NIS2 nicht direkt anwendbar gilt. Zusätzlich gilt in der Schweiz das ISG (seit 1.1.2024) mit Meldepflicht-Bußen bis CHF 100.000 (seit 1.10.2025). Aufsichtsbehörde: BACS — Bundesamt für Cybersicherheit Schweiz unter ncsc.admin.ch.
Wie steht Ihre Domain bei NIS2 für E-Mail in DACH?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.