Ist mein SaaS-Startup im Anwendungsbereich von NIS2?

Es kommt darauf an, was du baust, nicht wie du dich nennst. Reines B2C-SaaS in einem nicht gelisteten Sektor bleibt meist außen vor. B2B-SaaS, das als Managed Service Provider, Managed Security Service Provider, Cloud-Computing-Dienst, Rechenzentrum oder Content Delivery Network agiert, fällt über die Kategorie digitale Infrastruktur in den Anwendungsbereich, sobald 50 Beschäftigte oder EUR 10 Mio. Umsatz erreicht sind.

Ich habe die BSI-Frist am 6. März 2026 verpasst. Was jetzt?

Eine nachträgliche Registrierung über portal.bsi.bund.de ist weiterhin möglich und dringend zu empfehlen. Die Nichtregistrierung ist ein eigenständiger Bußgeldtatbestand. Das BSI signalisiert den Wechsel von Outreach zu Aufsichtsmaßnahmen nach § 64 BSIG; wer auf ein Auskunftsverlangen mit einer Registrierung in der Hand antwortet, steht deutlich besser da als wer abwartet.

Was passiert, wenn mein Geschäftsführer die Schulungspflicht nach § 38 BSIG ignoriert?

§ 38 Abs. 3 BSIG macht die regelmäßige Cybersicherheitsschulung zur persönlichen Pflicht jedes Geschäftsleitungsmitglieds. Sie ist nicht an IT oder Compliance delegierbar. Eine Verletzung führt zu persönlicher Innenhaftung gegenüber der Gesellschaft nach allgemeinen gesellschaftsrechtlichen Regeln (z. B. § 43 GmbHG) für daraus entstehende Schäden.

Wie schnell muss ich einen Sicherheitsvorfall melden?

§ 32 BSIG sieht eine dreistufige Kadenz für erhebliche Sicherheitsvorfälle vor: Frühwarnung an das BSI binnen 24 Stunden nach Kenntnis, Folgemeldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Die Frist beginnt mit Kenntnis, dass der Vorfall die Erheblichkeitsschwelle nach § 32 Abs. 1 BSIG überschreitet, nicht erst nach Abschluss der internen Triage des technischen Sachverhalts.

Wir liegen unter 50 Beschäftigten und EUR 10 Mio. Umsatz. Sind wir sicher?

Nicht automatisch. Die Größenausnahme entfällt bei qualifizierten Vertrauensdiensten, TLD-Registries, DNS-Anbietern und Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste. Auch die Alleinanbieter-Klausel (§ 28 Abs. 7 BSIG) und Lieferkettendruck durch in Anwendungsbereich liegende Kunden können dich erfassen.

Compliance

NIS2 für deutsche Startups: Wer registrieren muss, was zu tun ist, was es kostet

NIS2 gilt seit 6. Dezember 2025. Die BSI-Registrierungsfrist (6. März 2026) ist abgelaufen. Hier das Scoping- und Maßnahmenplaybook für Founder.

Immo Ait Stapelfeld·Rechtsanwalt·27. April 2026·7 Min. Lesezeit

Zusammenfassung

Das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit 6. Dezember 2025 in Kraft. Betroffene Einrichtungen mussten sich bis zum 6. März 2026 beim BSI registrieren; nach Berichten von April 2026 haben rund 18.500 der geschätzt 30.000 erfassten Unternehmen die Frist verfehlt, und das BSI signalisiert den Wechsel von Outreach zu Aufsichtsmaßnahmen nach § 64 BSIG. Besonders wichtige Einrichtungen drohen Bußgelder bis EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes nach § 65 BSIG, wichtige Einrichtungen bis EUR 7 Mio. oder 1,4 %. § 38 BSIG verpflichtet die Geschäftsleitung persönlich zur Billigung und Überwachung der Risikomanagementmaßnahmen samt nicht delegierbarer Schulungspflicht.

NIS2 ist seit 6. Dezember 2025 geltendes deutsches Recht. Die Frist zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete am 6. März 2026. Sie ist verstrichen. Berichte von April 2026 beziffern die Lücke zwischen erfassten Unternehmen (rund 30.000) und registrierten auf rund 18.500. Das BSI signalisiert den Wechsel von Outreach zu Aufsichtsmaßnahmen nach § 64 BSIG. Wer als Startup im Anwendungsbereich liegt oder liegen könnte, entscheidet jetzt nicht mehr ob, sondern in welcher Reihenfolge.

NIS2UmsuCG

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz setzt die Richtlinie (EU) 2022/2555 in deutsches Recht um. Es überschreibt das BSI-Gesetz und verpflichtet rund 30.000 deutsche Einrichtungen aus 18 Sektoren zu Risikomanagement, Registrierung und Vorfallmeldung.

NIS2 ist nicht das alte IT-Sicherheitsgesetz mit ein paar neuen Sektoren. Der Kreis regulierter Unternehmen wächst in Deutschland von rund 4.500 auf rund 30.000. Cybersicherheit wird durch § 38 BSIG zur Geschäftsleiterpflicht mit persönlicher Haftung. Auf EU-Ebene gilt die Richtlinie seit Januar 2023; Deutschland hat die Umsetzung erst Ende 2025 abgeschlossen.

Bist du im Anwendungsbereich?

Die Prüfung erfolgt in drei Schritten. Im Anwendungsbereich liegt nur, wer alle drei erfüllt: Tätigkeit in einem Sektor nach Anlage 1 oder Anlage 2 BSIG, Überschreiten der Größenschwelle, keine Sonderausnahme.

Entscheidungsbaum

Liegt dein Startup im Anwendungsbereich von NIS2?

Fällt deine Tätigkeit in einen der 18 Sektoren der Anlage 1 (hohe Kritikalität) oder Anlage 2 (sonstige kritisch) BSIG — z. B. digitale Infrastruktur, ICT-B2B-Service-Management, Online-Marktplätze, Lebensmittel, Herstellung medizinischer oder elektronischer Geräte, Forschung, Postdienste?

Bei einem typischen Startup in Berlin oder München sind nicht die Größenschwellen das Problem, sondern die Sonderfälle.

Erster Sonderfall: die digitale Infrastruktur in Anlage 1. Erfasst sind Cloud-Computing-Anbieter, Rechenzentrumsbetreiber, Content Delivery Networks und DNS-Anbieter. Zweiter Sonderfall: die neue Kategorie ICT-B2B-Service-Management, die Managed Service Provider (MSPs) und Managed Security Service Provider (MSSPs) erfasst. Die MSP/MSSP-Definition stellt darauf ab, ob du die ICT-Umgebung des Kunden aktiv verwaltest (Administration, Monitoring, Wartung), nicht darauf, ob du dich SaaS nennst. Reines B2B-SaaS, das der Kunde selbst betreibt, fällt grundsätzlich nicht unter MSP. Je näher du an „wir betreiben deine Cloud, deine Endpoints oder deinen Security-Stack" rückst, desto näher rückst du an NIS2.

Dritter Sonderfall: die größenunabhängige Liste in § 28 Abs. 7 BSIG. Qualifizierte Vertrauensdienste (z. B. eIDAS-Anbieter), TLD-Registries, DNS-Diensteanbieter und Anbieter elektronischer Kommunikationsdienste sind unabhängig von Mitarbeiterzahl oder Umsatz im Anwendungsbereich, neben weiteren in der Norm benannten Kategorien. Ein Zwei-Personen-eIDAS-Startup wird dadurch genauso reguliert wie ein 5.000-Personen-Telco.

Vierter Sonderfall: die Lieferkette. § 30 Abs. 2 lit. d BSIG verlangt von erfassten Einrichtungen ein eigenes Lieferketten-Risikomanagement; sie erfüllen diese Pflicht, indem sie ihre Sicherheitsanforderungen vertraglich auf ihre Lieferanten herunterreichen. Die Pflicht trifft dich nicht direkt aus dem Gesetz, sondern indirekt aus dem Vertrag, mit der gleichen praktischen Wirkung. Das gängige Muster in der deutschen Startup-Praxis ist, dass Lieferantenfragebögen regulierter Käufer seit Inkrafttreten des Gesetzes deutlich länger geworden sind und unvorbereitete SaaS-Anbieter früher im Procurement aussortiert werden.

Was du jetzt tun musst

Drei Pflichtenkreise sind aktiv, nicht einer. Die Registrierung ist der sichtbarste, aber kleinste.

Registrierung nach § 33 BSIG. Das Portal liegt unter portal.bsi.bund.de. Login über „Mein Unternehmenskonto" (MUK), das wiederum ein ELSTER-Organisationszertifikat voraussetzt. Wer ELSTER noch nicht eingerichtet hat, plant ein bis zwei Wochen ein. Das Formular fragt Sektor, Größe, EU-Mitgliedstaaten der Tätigkeit, zuständige Aufsichtsbehörden, einen 24/7-Vorfallkontakt und öffentliche IP-Bereiche in CIDR-Notation ab. Änderungen sind binnen zwei Wochen nachzumelden (§ 33 Abs. 5 BSIG).

Risikomanagement nach § 30 BSIG. Hier liegt die eigentliche Arbeit. § 30 Abs. 2 BSIG verlangt einen All-Gefahren-Ansatz mit zehn Mindestmaßnahmen. Die Umsetzungskurve ist steiler, als Founder vermuten.

Checkliste

Die zehn Mindestmaßnahmen nach § 30 Abs. 2 BSIG

0/10

Vorfallmeldung nach § 32 BSIG. Die Meldekadenz ist für unterbesetzte Teams unerbittlich. Bei einem erheblichen Sicherheitsvorfall schuldest du dem BSI eine Frühwarnung binnen 24 Stunden ab Kenntnis, eine Folgemeldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats. „Erheblich" ist in § 32 Abs. 1 BSIG definiert und folgt der EU-Richtlinie: Betriebsstörung, finanzieller Schaden oder Schaden für andere natürliche oder juristische Personen.

Was es kostet, wer haftet

§ 65 BSIG sieht tatbestandsspezifische Höchstmaße vor. Die Spitzenwerte EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen) und EUR 7 Mio. oder 1,4 % (wichtige Einrichtungen) gelten für die schwersten Verstöße, jeweils mit der „je nachdem, was höher"-Regel. Weniger schwere Verstöße tragen niedrigere tatbestandsspezifische Obergrenzen. Die Nichtregistrierung ist ein eigenständiger Bußgeldtatbestand, das Versäumen der § 32-Fristen ein weiterer, das Unterlassen der § 30-Maßnahmen ein dritter.

Der härtere Hebel sitzt in § 38 BSIG. Die Geschäftsleitung muss die Risikomanagementmaßnahmen persönlich billigen, ihre Umsetzung überwachen und regelmäßig an Cybersicherheitsschulungen teilnehmen. Die Schulungspflicht ist ausdrücklich nicht delegierbar. § 38 BSIG selbst begründet keinen direkten Haftungsanspruch. Die Haftung läuft über das allgemeine Gesellschaftsrecht: Eine § 38-Pflichtverletzung ist eine Sorgfaltspflichtverletzung der Geschäftsleitung, die bei der GmbH die Innenhaftung nach § 43 GmbHG auslöst (bzw. § 93 AktG bei der AG). Die Pflicht ist gesetzlich, die Haftung abgeleitet. In der Praxis heißt das: D&O-Police auf NIS2-Deckung prüfen und Schulungsnachweise archivieren.

Reihenfolge in der Praxis

Wer die Frist verpasst hat, arbeitet sich am sinnvollsten in dieser Reihenfolge ab: Registrierung zuerst, dann § 30-Baseline, dann § 32-Tabletop. Die Registrierung ist administrativ und beseitigt das einfachste Vollstreckungsziel. Die § 30-Baseline braucht Wochen für Design und Monate für Umsetzung; mit der Arbeit eine Woche nach Registrierung zu beginnen, ist normal. Die § 32-Kadenz setzt funktionierende Incident-Response-Runbooks voraus; die parallel zur § 30-Arbeit aufzubauen, funktioniert.

Die meisten Gründer unterschätzen, wie viel Arbeit dem BSI-Portal vorgelagert ist. Das wiederkehrende Muster sieht so aus: Das Unternehmen weiß, dass es „wahrscheinlich erfasst" ist, niemand hat die § 28-BSIG-Prüfung dokumentiert, die § 38-Schulung ist nicht terminiert, und ein Lieferantenfragebogen eines regulierten Kunden blockiert einen Sales-Zyklus. Die Antwort auf den Fragebogen wird zur Forcing Function für den Rest. Das ist okay. Nutze die Forcing Function und arbeite den Pflichtenkreis von dort aus rückwärts ab.

Unterm Strich

Das NIS2UmsuCG ist in Kraft, die BSI-Frist ist verstrichen, und die Vollzugsphase läuft. Wer als Startup in einem der 18 Sektoren tätig ist und 50 Beschäftigte oder EUR 10 Mio. Umsatz überschreitet, ist mindestens wichtige Einrichtung. Lieber spät als nie registrieren, die § 30-Maßnahmen in das bestehende Sicherheitsprogramm integrieren statt parallel aufbauen, die § 38-Schulung auf die nächste Geschäftsleitungsagenda setzen. Schlechte Umsetzung kostet siebenstellig nach § 65 BSIG; gute Umsetzung kostet vor allem Zeit.

Wenn dein Produkt zugleich vom Cyber Resilience Act oder vom AI Act erfasst ist, lohnt eine frühe Abstimmung der Sicherheitsprogramme. Die § 30 BSIG-Maßnahmen, die CRA-Anhang-I-Anforderungen und das AI-Act-Risikomanagement überlappen bewusst; eine einzige Sicherheitsleitlinie kann alle drei tragen, wenn sie von Anfang an dafür geschrieben ist.

Rechtsquellen

§§ 28 BSIG — Anwendungsbereich und Schwellenwerte für besonders wichtige und wichtige Einrichtungen
§§ 30 BSIG — Risikomanagementmaßnahmen (All-Gefahren-Ansatz, zehn technische und organisatorische Mindestmaßnahmen)
§§ 32 BSIG — Meldepflichten gegenüber dem BSI
§§ 33 BSIG — Registrierungspflicht; Aktualisierung binnen zwei Wochen
§§ 38 BSIG — Pflichten der Geschäftsleitung zur Billigung und Überwachung der Risikomanagementmaßnahmen, nicht delegierbare Schulungspflicht, persönliche Innenhaftung
§§ 65 BSIG — Bußgelder, abgestuft nach Einrichtungsklassifikation
§Richtlinie (EU) 2022/2555 — NIS2-Richtlinie (Anhang I, Anhang II), umgesetzt durch das NIS2UmsuCG
§§ 43 GmbHG — Geschäftsführerhaftung als zivilrechtliche Auffangnorm zu § 38 BSIG
•BSI-Geschäftsleitungsschulung (NIS-2-Schulung, 2026) — Das BSI veröffentlicht ein eigenes Curriculum und Anleitungspapier zur § 38 Abs. 3 Schulungspflicht; abrufbar über die NIS-2-Infopakete.
•BSI-Schritt-für-Schritt-Anleitung Registrierung portal.bsi.bund.de (mit MUK/ELSTER) — Die offizielle BSI-Registrierungsanleitung erläutert den ELSTER-Organisationszertifikat-Pfad und die einzugebenden Daten.

Häufige Fragen

Ist mein SaaS-Startup im Anwendungsbereich von NIS2?: Es kommt darauf an, was du baust, nicht wie du dich nennst. Reines B2C-SaaS in einem nicht gelisteten Sektor bleibt meist außen vor. B2B-SaaS, das als Managed Service Provider, Managed Security Service Provider, Cloud-Computing-Dienst, Rechenzentrum oder Content Delivery Network agiert, fällt über die Kategorie digitale Infrastruktur in den Anwendungsbereich, sobald 50 Beschäftigte oder EUR 10 Mio. Umsatz erreicht sind.
Ich habe die BSI-Frist am 6. März 2026 verpasst. Was jetzt?: Eine nachträgliche Registrierung über portal.bsi.bund.de ist weiterhin möglich und dringend zu empfehlen. Die Nichtregistrierung ist ein eigenständiger Bußgeldtatbestand. Das BSI signalisiert den Wechsel von Outreach zu Aufsichtsmaßnahmen nach § 64 BSIG; wer auf ein Auskunftsverlangen mit einer Registrierung in der Hand antwortet, steht deutlich besser da als wer abwartet.
Was passiert, wenn mein Geschäftsführer die Schulungspflicht nach § 38 BSIG ignoriert?: § 38 Abs. 3 BSIG macht die regelmäßige Cybersicherheitsschulung zur persönlichen Pflicht jedes Geschäftsleitungsmitglieds. Sie ist nicht an IT oder Compliance delegierbar. Eine Verletzung führt zu persönlicher Innenhaftung gegenüber der Gesellschaft nach allgemeinen gesellschaftsrechtlichen Regeln (z. B. § 43 GmbHG) für daraus entstehende Schäden.
Wie schnell muss ich einen Sicherheitsvorfall melden?: § 32 BSIG sieht eine dreistufige Kadenz für erhebliche Sicherheitsvorfälle vor: Frühwarnung an das BSI binnen 24 Stunden nach Kenntnis, Folgemeldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Die Frist beginnt mit Kenntnis, dass der Vorfall die Erheblichkeitsschwelle nach § 32 Abs. 1 BSIG überschreitet, nicht erst nach Abschluss der internen Triage des technischen Sachverhalts.
Wir liegen unter 50 Beschäftigten und EUR 10 Mio. Umsatz. Sind wir sicher?: Nicht automatisch. Die Größenausnahme entfällt bei qualifizierten Vertrauensdiensten, TLD-Registries, DNS-Anbietern und Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste. Auch die Alleinanbieter-Klausel (§ 28 Abs. 7 BSIG) und Lieferkettendruck durch in Anwendungsbereich liegende Kunden können dich erfassen.

Siehe auch

Weiterlesen

Ist dein Startup im Anwendungsbereich von NIS2?

30 Minuten. Wir prüfen Sektor, Größe und die Sonderfälle der digitalen Infrastruktur, die SaaS-Anbieter unabhängig von der Mitarbeiterzahl erfassen.

Gespräch buchen