Die NIS2-Richtlinie ist in Deutschland angekommen – und zwar ohne Übergangsfristen. Seit dem 6. Dezember 2025 ist das novellierte BSI-Gesetz in Kraft (BSI). Für Online-Händler bedeutet das: Neue Pflichten bei Cybersicherheit, Meldewesen und Lieferkettenkontrolle gelten ab sofort. Rund 29.000 Unternehmen in Deutschland sind betroffen (BSI). Wer die Anforderungen nicht erfüllt, riskiert empfindliche Bußgelder – und die Geschäftsführung haftet persönlich. In diesem Artikel erfahren Sie, was NIS2 für Ihren Online-Shop bedeutet und wie Sie die Umsetzung angehen. Handeln Sie jetzt – denn die gesetzlichen Fristen laufen bereits.
NIS2 in Deutschland – Status quo und Fristen
Nach langer Verzögerung hat Deutschland die EU-Richtlinie NIS2 (Network and Information Security Directive 2) in nationales Recht umgesetzt. Das NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 als novelliertes BSI-Gesetz in Kraft (BSI). Damit gelten die neuen Cybersicherheitspflichten ohne Übergangsfristen – betroffene Unternehmen müssen die Anforderungen sofort erfüllen.
Betroffene Unternehmen müssen sich bis zum 6. März 2026 beim BSI registrieren (BSI). Diese Frist ist verbindlich. Die Registrierung erfolgt über das BSI-Portal und umfasst Angaben zur Unternehmensgröße, zum Sektor und zu den Kontaktdaten für Sicherheitsvorfälle.
Anders als bei vielen EU-Verordnungen gibt es bei NIS2 keine Übergangsfristen (BSI). Die Pflichten zur Umsetzung von Sicherheitsmaßnahmen, zur Meldung von Vorfällen und zur Registrierung gelten unmittelbar. Für Online-Händler heißt das: Jetzt handeln, nicht abwarten.
Die NIS2-Richtlinie erweitert den Anwendungsbereich gegenüber der Vorgängerrichtlinie NIS1 erheblich. Während NIS1 nur wenige Sektoren wie Energie und Verkehr erfasste, bezieht NIS2 deutlich mehr Branchen ein – darunter digitale Infrastrukturen, Cloud-Dienste und eben auch Online-Marktplätze. Für den E-Commerce-Sektor ist das ein Paradigmenwechsel: Cybersicherheit ist keine freiwillige Maßnahme mehr, sondern eine gesetzliche Pflicht mit konkreten Sanktionen.
Sind Sie betroffen? Kriterien für Online-Händler
Die NIS2-Richtlinie erfasst Unternehmen anhand von Größenkriterien und Sektorzugehörigkeit. Online-Marktplätze sind im Anhang II der EU-Richtlinie als „wichtige Einrichtungen“ (Important Entities) klassifiziert (EU NIS2 Directive). Ob Ihr Unternehmen betroffen ist, hängt von folgenden Schwellenwerten ab:
| Kriterium | Wichtige Einrichtung | Besonders wichtige Einrichtung |
|---|---|---|
| Mitarbeiter | Ab 50 | Ab 250 |
| Jahresumsatz | Ab 10 Mio. EUR | Ab 50 Mio. EUR |
| Bilanzsumme | Ab 10 Mio. EUR | Ab 43 Mio. EUR |
| Bußgeldrahmen | Bis 7 Mio. EUR | Bis 10 Mio. EUR |
Entscheidend ist: Bereits eines der Größenkriterien (Mitarbeiter oder Umsatz/Bilanzsumme) genügt, um in den Anwendungsbereich zu fallen (NIS2). Online-Händler, die einen B2B-Marktplatz betreiben oder als digitaler Dienstleister agieren, sind besonders häufig betroffen. Auch Unternehmen, die kritische Lieferketten bedienen, können unabhängig von ihrer Größe erfasst werden.
Selbst wenn Ihr Unternehmen die Größenschwellen nicht erreicht: Wenn Sie als Zulieferer für NIS2-pflichtige Unternehmen agieren, können Sie indirekt betroffen sein. Die Anforderungen an Lieferkettensicherheit betreffen die gesamte Wertschöpfungskette.
Die 10 Mindestmaßnahmen nach Artikel 21
Artikel 21 der NIS2-Richtlinie definiert zehn Mindestmaßnahmen, die alle betroffenen Unternehmen umsetzen müssen (EU NIS2 Directive). Für Online-Shops haben wir diese Anforderungen praxisnah aufbereitet:
- Risikoanalyse und Sicherheitskonzepte: Systematische Bewertung der IT-Risiken Ihres Online-Shops, einschließlich Bedrohungsmodellierung und Schwachstellenanalyse
- Behandlung von Sicherheitsvorfällen: Dokumentierte Prozesse für Erkennung, Analyse, Eindämmung und Wiederherstellung bei Sicherheitsvorfällen
- Business Continuity und Krisenmanagement: Notfallpläne für den Weiterbetrieb Ihres Shops bei Cyberangriffen, einschließlich Backup-Strategien
- Sicherheit in der Lieferkette: Bewertung und Überwachung der Cybersicherheit Ihrer Dienstleister, Hosting-Provider und Schnittstellen-Partner
- Sicherheit bei Erwerb, Entwicklung und Wartung: Sichere Softwareentwicklung nach Security-by-Design-Prinzipien
- Bewertung der Wirksamkeit: Regelmäßige Überprüfung und Tests der implementierten Sicherheitsmaßnahmen
- Cyberhygiene und Schulungen: Regelmäßige Schulungen für alle Mitarbeiter zu Cybersicherheit und aktuellen Bedrohungen
- Kryptografie und Verschlüsselung: Angemessene Verschlüsselung für Daten in Transit und at Rest – besonders relevant für Kundendaten im E-Commerce
- Zugangskontrolle und Asset-Management: Multi-Faktor-Authentifizierung, Zugriffsbeschränkungen und vollständige Inventarisierung aller IT-Assets
- Sichere Kommunikation: Verschlüsselte Kommunikationskanäle und Notfall-Kommunikationssysteme
Die Umsetzung dieser Maßnahmen erfordert einen risikobasierten Ansatz – das heißt, die Maßnahmen müssen proportional zu den identifizierten Risiken sein. Ein professionelles Hosting mit integrierten Sicherheitsmaßnahmen deckt bereits mehrere dieser Anforderungen ab.
Besonders für Online-Shops sind die Anforderungen an Kryptografie und Verschlüsselung sowie Zugangskontrolle von hoher Relevanz. Kundendaten, Zahlungsinformationen und Bestellhistorien müssen sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden. Multi-Faktor-Authentifizierung für administrative Zugänge zum Shop-Backend sollte als Mindeststandard betrachtet werden. Wer unsicher ist, welche Maßnahmen Priorität haben, kann über unsere Kontaktseite eine individuelle Ersteinschätzung anfragen.
Persönliche Haftung der Geschäftsführung
Eine der einschneidendsten Neuerungen der NIS2-Umsetzung in Deutschland: Die Geschäftsführung haftet persönlich für die Einhaltung der Cybersicherheitspflichten. § 38 des novellierten BSI-Gesetzes regelt die Verantwortlichkeit der Leitungsorgane (Greenberg Trauig).
Überwachungspflicht
Die Geschäftsführung muss die Umsetzung der Cybersicherheitsmaßnahmen aktiv überwachen und genehmigen.
Schulungspflicht
Geschäftsführer müssen selbst an Cybersicherheitsschulungen teilnehmen, um Risiken bewerten zu können.
Haftungsrisiko
Bei Pflichtverletzung drohen persönliche Haftung und Bußgelder – unabhängig von der Unternehmenshaftung.
Die persönliche Haftung kann nicht auf Mitarbeiter oder externe Dienstleister delegiert werden. Geschäftsführer und Vorstände müssen sich aktiv mit der Cybersicherheitsstrategie ihres Unternehmens befassen. Eine professionelle Beratung hilft, die persönlichen Haftungsrisiken zu minimieren.
Meldepflichten bei Sicherheitsvorfällen
NIS2 führt ein dreistufiges Meldesystem für Sicherheitsvorfälle ein. Online-Händler müssen erhebliche Sicherheitsvorfälle innerhalb strenger Fristen dem BSI melden (BSI):
| Meldung | Frist | Inhalt |
|---|---|---|
| Erstmeldung | 24 Stunden | Art des Vorfalls, erste Einschätzung, betroffene Systeme |
| Folgemeldung | 72 Stunden | Aktualisierte Bewertung, Schweregrad, Auswirkungen |
| Abschlussbericht | 1 Monat | Detaillierte Analyse, Ursache, ergriffene Maßnahmen |
Die 24-Stunden-Frist für die Erstmeldung ist besonders anspruchsvoll (BSI). Sie setzt voraus, dass Ihr Unternehmen Sicherheitsvorfälle überhaupt zeitnah erkennen kann. Ohne professionelles Monitoring und automatisierte Alarmierung ist das kaum zu leisten. Ein dokumentierter Incident-Response-Plan ist daher unverzichtbar.
Erstellen Sie jetzt einen Incident-Response-Plan mit klaren Zuständigkeiten und Kommunikationswegen. Testen Sie den Plan regelmäßig durch Übungen. So können Sie im Ernstfall die 24-Stunden-Frist einhalten.
Lieferkettensicherheit im E-Commerce
Ein zentraler Aspekt der NIS2-Richtlinie ist die Sicherheit in der Lieferkette (EU NIS2 Directive). Für Online-Händler bedeutet das: Sie müssen nicht nur Ihre eigene IT-Infrastruktur absichern, sondern auch die Cybersicherheit Ihrer Dienstleister und Partner bewerten und überwachen.
Im E-Commerce umfasst die digitale Lieferkette typischerweise:
- Hosting-Provider: Ist Ihr Server-Hosting nach aktuellen Sicherheitsstandards zertifiziert?
- Payment-Anbieter: Erfüllen Ihre Zahlungsdienstleister PCI-DSS und NIS2-Anforderungen?
- ERP-Schnittstellen: Sind Ihre Systemanbindungen gegen unbefugten Zugriff geschützt?
- Logistik-Partner: Wie sicher sind die digitalen Schnittstellen zu Ihren Versanddienstleistern?
- Marketing-Tools: Erfüllen Drittanbieter-Integrationen die Sicherheitsanforderungen?
- Shop-System-Anbieter: Werden Sicherheitsupdates zeitnah eingespielt?
Die Bewertung der Lieferkettensicherheit und Risikomanagement in der gesamten Wertschöpfungskette erfordert vertragliche Vereinbarungen mit Ihren Dienstleistern, regelmäßige Audits und ein dokumentiertes Lieferanten-Risikomanagement. Eine professionelle Beratung hilft, die kritischen Schwachstellen zu identifizieren.
In der Praxis bedeutet das: Fordern Sie von Ihren Hosting-Providern, Payment-Anbietern und Logistik-Partnern Nachweise über deren Sicherheitsmaßnahmen an. Vereinbaren Sie vertraglich, dass Sicherheitsvorfälle, die Ihre Daten betreffen könnten, unverzüglich gemeldet werden. Und prüfen Sie regelmäßig, ob Ihre Schnittstellen nach aktuellen Sicherheitsstandards konfiguriert sind. Der Aufwand mag zunächst hoch erscheinen, doch er schützt Ihr Unternehmen vor kaskadenartigen Sicherheitsvorfällen, bei denen eine Schwachstelle bei einem Dienstleister Ihren gesamten Shop gefährdet.
Praktische Umsetzung – Ihre NIS2-Checkliste
Die NIS2-Umsetzung mag komplex erscheinen, lässt sich aber in konkrete Schritte unterteilen. Hier ist Ihre detaillierte Checkliste für die wichtigsten Maßnahmen:
- Betroffenheitsanalyse durchführen: Prüfen Sie anhand der Größen- und Sektorkriterien, ob Ihr Unternehmen unter NIS2 fällt
- BSI-Registrierung bis 6. März 2026 abschließen: Registrieren Sie sich fristgerecht über das BSI-Portal
- Risikoanalyse erstellen: Identifizieren und bewerten Sie alle IT-Risiken Ihres Online-Shops systematisch
- Incident-Response-Plan aufsetzen: Definieren Sie Prozesse, Zuständigkeiten und Kommunikationswege für den Ernstfall
- Lieferketten-Audit durchführen: Bewerten Sie die Sicherheit aller Dienstleister und Schnittstellen-Partner
- Sicherheitsmaßnahmen implementieren: Verschlüsselung, Zugangskontrolle, Backup-Strategie, sicheres Hosting
- Geschäftsführung einbinden: Cybersicherheitsschulungen für die Leitungsebene organisieren
- Monitoring einrichten: Automatisierte Erkennung von Sicherheitsvorfällen mit Alarmierung
- Mitarbeiter schulen: Regelmäßige Cyberhygiene-Schulungen für alle Mitarbeiter durchführen
- Dokumentation erstellen: Alle Maßnahmen, Prozesse und Entscheidungen lückenlos dokumentieren
Als E-Commerce-Agentur mit Schwerpunkt auf sicherer Infrastruktur unterstützen wir Sie bei der NIS2-Umsetzung. Von der Betroffenheitsanalyse über die technische Implementierung bis zum laufenden Monitoring – wir begleiten Sie durch den gesamten Prozess.
Die NIS2-Umsetzung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Sicherheitsmaßnahmen müssen regelmäßig überprüft, aktualisiert und an neue Bedrohungen angepasst werden. Ein erfahrener Partner für Beratung und Hosting stellt sicher, dass Ihr Shop dauerhaft NIS2-konform bleibt.
Besonders in Kombination mit modernen Sicherheitsarchitekturen wie Zero Trust und den grundlegenden IT-Sicherheitsmaßnahmen für E-Commerce ergibt sich ein umfassender Schutz für Ihren Online-Shop. Die SEO-Optimierung sollte dabei nicht vernachlässigt werden – denn ein sicherer Shop wird von Suchmaschinen positiv bewertet.
Dieser Artikel basiert auf: BSI (Bundesamt für Sicherheit in der Informationstechnik) – NIS2-Umsetzungsgesetz und BSI-Gesetz, EU NIS2-Richtlinie (Richtlinie (EU) 2022/2555), Greenberg Trauig – Analyse der Haftungsregelungen nach § 38 BSI-Gesetz. Die regulatorischen Anforderungen können sich durch weitere Durchführungsverordnungen und BSI-Leitlinien ändern. Stand: Februar 2026.
Das novellierte BSI-Gesetz ist seit dem 6. Dezember 2025 in Kraft (BSI). Es gibt keine Übergangsfristen – alle Pflichten gelten ab sofort. Die Registrierung beim BSI muss bis zum 6. März 2026 erfolgen.
Online-Marktplätze sind im Anhang II der NIS2-Richtlinie als „wichtige Einrichtungen“ klassifiziert (EU NIS2 Directive). Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz in relevanten Sektoren fallen unter die Richtlinie. Auch kleinere Unternehmen können als Teil der Lieferkette betroffen sein.
Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Zusätzlich haftet die Geschäftsführung persönlich nach § 38 BSI-Gesetz (Greenberg Trauig). Eine frühzeitige Beratung hilft, Risiken zu minimieren.
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Erstmeldung an das BSI gemeldet werden (BSI). Innerhalb von 72 Stunden folgt eine aktualisierte Bewertung, nach einem Monat ein ausführlicher Abschlussbericht. Professionelles Monitoring erleichtert die rechtzeitige Erkennung.
Wir unterstützen bei der Betroffenheitsanalyse, implementieren technische Sicherheitsmaßnahmen, bieten sicheres Hosting mit Monitoring und begleiten die NIS2-konforme Absicherung Ihrer E-Commerce-Infrastruktur. Unsere Beratung umfasst den gesamten Umsetzungsprozess.