NIS-2 Richtlinien für Kanzleien – Alles was Anwälte jetzt wissen müssen
Das NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft und betrifft über 30.000 deutsche Unternehmen. Für Kanzleien bedeutet das neue Cybersicherheitspflichten, Registrierungsfristen und erhebliche Bußgeldrisiken. Dieser umfassende Leitfaden erklärt, wann Anwaltskanzleien betroffen sind und welche konkreten Schritte jetzt erforderlich sind.
Die neue Rechtslage: NIS-2-Umsetzungsgesetz ist Realität geworden
Nach monatelangen Verzögerungen ist es nun Realität: Das Gesetz „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" wurde allerdings erst über ein Jahr später im deutschen Bundestag beschlossen, am 13. November 2025. Das Gesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist in Kraft. Damit endet eine lange Phase der Ungewissheit, und für tausende deutsche Unternehmen – darunter auch Kanzleien – beginnt eine neue Ära der Cybersicherheitsregulierung.
Die Zahlen sprechen eine deutliche Sprache: Bislang waren rund 4.500 Organisationen reguliert. Mit NIS-2 steigt diese Zahl auf etwa 30.000. Diese massive Ausweitung des Anwendungsbereichs macht deutlich, dass die EU-Kommission und der deutsche Gesetzgeber Cybersicherheit als gesamtgesellschaftliche Aufgabe verstehen, die weit über klassische kritische Infrastrukturen hinausgeht.
Warum NIS-2 jetzt scharf geschaltet wurde
Die sicherheitspolitische Lage in Europa und darüber hinaus hat sich in den letzten Jahren deutlich verschärft. Der russische Angriffskrieg auf die Ukraine und der Terrorangriff der Hamas auf Israel zeigen, wie anfällig die Gesellschaft ist – auch im digitalen Raum. Wirtschaft und Verwaltung sehen sich zunehmend Angriffen durch Desinformation, Hacktivismus, Spionage und Sabotage ausgesetzt.
Laut aktuellen Zahlen entstanden allein in Deutschland im vergangenen Jahr durch Cyberangriffe Schäden in Höhe von 206 Milliarden Euro. Besonders alarmierend: Nur etwa 17 Prozent der künftig betroffenen Unternehmen haben bereits ausreichende Sicherheitsmaßnahmen getroffen.
Sind Kanzleien von NIS-2 betroffen? Eine differenzierte Analyse
Die Kernfrage für Anwaltskanzleien lautet: Fallen Rechtsdienstleistungen unter die NIS-2-Regulierung? Die Antwort ist komplex und hängt von verschiedenen Faktoren ab.
Der Grundsatz: Rechtsberatung ist nicht explizit erfasst
Rechtsberatung und klassische anwaltliche Dienstleistungen sind in den 18 Sektoren der NIS-2-Richtlinie nicht explizit aufgeführt. Diese umfassen Bereiche wie Energie, Transport, digitale Infrastruktur, Gesundheitswesen, Finanzdienstleistungen, öffentliche Verwaltung, Raumfahrt sowie andere kritische Sektoren.
Die meisten traditionellen Anwaltskanzleien, die ausschließlich Rechtsberatung, Prozessvertretung und klassische juristische Dienstleistungen anbieten, fallen daher in der Regel nicht unter die NIS-2-Bestimmungen – unabhängig von ihrer Größe.
Ausnahmen: Wann Kanzleien doch betroffen sein können
Es gibt jedoch wichtige Ausnahmen, die Kanzleien auf den Radar der NIS-2-Regulierung bringen können:
Betroffenheitsszenario | Beschreibung | Beispiele |
|---|---|---|
Digitale Dienste | Kanzleien, die Online-Plattformen oder digitale Marktplätze betreiben | Legal-Tech-Plattformen, Online-Rechtsberatung mit automatisierten Prozessen |
Öffentliche Verwaltung | Rechtsanwälte in leitenden Positionen öffentlicher Einrichtungen | Justiziar in Ministerien, Syndikusanwälte in öffentlichen Unternehmen |
Mischbetriebe | Kanzleien mit weiteren Geschäftsbereichen in regulierten Sektoren | Steuerberatung + Anwaltskanzlei, Unternehmensberatung mit Rechtsabteilung |
Konzernstrukturen | Teil eines Konzerns mit NIS-2-pflichtigen Unternehmen | Anwaltskanzlei als Tochter eines Energieunternehmens |
Die Größenschwellenwerte im Detail
Sollte eine Kanzlei doch in einen der regulierten Sektoren fallen, gelten folgende Schwellenwerte:
Kategorie | Mitarbeiterzahl | Jahresumsatz | Bilanzsumme |
|---|---|---|---|
Wichtige Einrichtungen | ≥ 50 Mitarbeiter | ≥ 10 Mio. Euro | ≥ 10 Mio. Euro |
Besonders wichtige Einrichtungen | ≥ 250 Mitarbeiter | ≥ 50 Mio. Euro | ≥ 43 Mio. Euro |
Quelle: NIS2-Umsetzungsgesetz Deutschland, OpenKRITIS
Die harte Deadline: Registrierungspflicht bis 6. März 2026
Für alle betroffenen Einrichtungen gilt eine kritische Frist: Bis zum 6. März 2026 müssen sich alle betroffenen Unternehmen offiziell beim BSI registriert haben. Wer diese Frist versäumt, setzt sich ab dem darauffolgenden Tag erheblichen Haftungsrisiken und Bußgeldgefahren aus.
Der Registrierungsprozess im Detail
Die NIS-2-Registrierung ist als zweistufiger, vollständig digitaler Prozess ausgestaltet. Im ersten Schritt muss die Organisation über „Mein Unternehmenskonto" auf ELSTER-Basis angebunden werden; dort werden die grundlegenden Unternehmensdaten erfasst, die anschließend in das BSI-Portal übernommen werden.
Wichtiger Hinweis für Last-Minute-Registrierungen: Ohne dieses Unternehmenskonto ist eine Registrierung beim BSI technisch nicht möglich – wer sich erst kurz vor dem 6. März mit dem Thema befasst, läuft somit in vermeidbare Zeitprobleme.
Im zweiten Schritt erfolgt die eigentliche Registrierung im BSI-Portal, das seit dem 6. Januar 2026 produktiv ist. Hier verlangt das BSI unter anderem Angaben zur Einordnung als wichtige oder besonders wichtige Einrichtung, zu Sektor und Branche, zur Unternehmensgröße, zu den betroffenen EU-Mitgliedstaaten, zu öffentlich erreichbaren IP-Adressbereichen sowie die Benennung einer 24/7 erreichbaren NIS-2-Kontaktstelle und einer fachkundigen Kontaktperson.
Aktuelle Registrierungsstatistik: Massive Unterdeckung
Die aktuellen Zahlen sind alarmierend: Laut BSI haben sich bislang erst rund 1.900 Einrichtungen registriert (Stand Feb. 2026). Das sind weniger als 10 % der verpflichteten Unternehmen in Deutschland. Diese massive Unterdeckung zeigt, dass viele Unternehmen das Risiko unterschätzen oder ihre Betroffenheitsanalyse aufschieben.
Cybersicherheit wird zur Chefsache: Die neuen Governance-Anforderungen
Eine der einschneidendsten Neuerungen der NIS-2-Regulierung betrifft die persönliche Verantwortung der Geschäftsleitung. Die NIS-2-Richtlinie macht Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung von Cyberrisiken schulen zu lassen.
Die Schulungspflicht für die Geschäftsleitung
Das BSI hat detaillierte Vorgaben für die obligatorische Geschäftsleitungsschulung entwickelt. Mit der Umsetzung der NIS-2-Richtlinie im BSIG steigen die Anforderungen an Unternehmen, ihre Cybersicherheitsmaßnahmen systematisch zu planen, umzusetzen und zu überwachen. Besonders im Fokus steht dabei die Verantwortung der Geschäftsleitung: Sie muss gewährleisten, dass Cybersicherheit integraler Bestandteil der Geschäfte des Unternehmens und des Risikomanagements ist. Diese besondere Verantwortung der Geschäftsleitungen ist gesetzlich vorgeschrieben, ebenso wie eine Schulungspflicht.
Die Schulung muss mindestens folgende Kernbereiche abdecken:
Schulungsbereich | Inhalte | Praxisbezug |
|---|---|---|
Regulatorische Grundlagen | NIS-2-Richtlinie, nationales Umsetzungsgesetz, BSI-Vorgaben | Konkrete Pflichten der Geschäftsleitung |
Risikomanagement | Identifikation, Bewertung und Steuerung von Cyberrisiken | Branchenspezifische Bedrohungsszenarien |
Governance | Organisatorische Maßnahmen, Reporting, Überwachung | Unternehmensspezifische Umsetzung |
Quelle: NIS-2-Geschäftsleitungsschulung, BSI
Persönliche Haftung der Geschäftsführung
Als Geschäftsführung haften Sie persönlich dafür, dass Ihr Unternehmen die Anforderungen der NIS2-Richtlinie und des BSI-Gesetzes einhält. Vorstand und Geschäftsführung müssen geeignete Sicherheitsmaßnahmen billigen, deren Umsetzung überwachen und sich regelmäßig berichten lassen – eine bloße Delegation an IT oder CISO reicht nicht aus.
Diese persönliche Haftung bedeutet konkret:
Geschäftsführer können bei Verstößen persönlich mit ihrem Privatvermögen haften
Fahrlässige oder vorsätzliche Pflichtverletzungen können strafrechtliche Konsequenzen haben
Die Geschäftsleitung muss aktiv und nachweisbar in die Cybersicherheit eingebunden sein
Eine reine Delegation an die IT-Abteilung reicht nicht aus
Die Bußgeldlandschaft: Empfindliche Sanktionen bei Verstößen
Die NIS-2-Regulierung kommt mit erheblichen Sanktionsrisiken. Die NIS-2 Richtlinie sieht, ähnlich wie die Datenschutz-Grundverordnung (DSGVO), Bußgelder in Millionenhöhe vor. Bei besonders wichtigen Einrichtungen können diese bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen.
Bußgeldrahmen im Detail
Einrichtungstyp | Maximales Bußgeld (fix) | Umsatzbezogenes Bußgeld | Anwendung |
|---|---|---|---|
Besonders wichtige Einrichtungen | 10 Millionen Euro | 2 % des weltweiten Jahresumsatzes | Höherer Betrag gilt |
Wichtige Einrichtungen | 7 Millionen Euro | 1,4 % des weltweiten Jahresumsatzes | Höherer Betrag gilt |
Spezielle Bußgeldtatbestände
Neben den allgemeinen Sanktionen gibt es spezielle Bußgeldtatbestände:
Wer die Registrierungspflicht versäumt, riskiert Geldbußen von bis zu 500.000 Euro
100.000 € Strafe allein für nicht erreichbare Ansprechpartner und bis zu 500.000 € für fehlende ISMS-Nachweise
Separate Sanktionen für Meldepflichtverstöße und Behinderung von BSI-Prüfungen
Die praktischen Anforderungen: Was betroffene Kanzleien umsetzen müssen
Sollte eine Kanzlei doch unter die NIS-2-Regulierung fallen, sind umfassende organisatorische und technische Maßnahmen erforderlich.
Kern-Compliance-Anforderungen
Kernpflichten umfassen ein ganzheitliches Risikomanagement, Vorfallmeldung (Early Warning innerhalb 24 Stunden, detaillierte Meldung innerhalb 72 Stunden, Abschlussbericht nach einem Monat), Lieferkettensicherheit, Business-Continuity-Konzepte, regelmäßige Schulungen der Geschäftsleitung, Kryptografie-Maßnahmen und umfassende Nachweispflichten.
Das dreistufige Melderegime
Schluss mit #FOMO – lassen Sie uns sprechen
Sie haben bis hierher gelesen – das zeigt echtes Interesse an der Zukunft Ihrer Kanzlei. Lassen Sie uns herausfinden, wie clever.legal Ihnen konkret weiterhilft.
Strategie-Gespräch vereinbarenExklusiv: Nur ein Partner pro Rechtsgebiet und Region.
Ein besonders kritischer Bereich ist die Vorfallmeldung. Das NIS-2-Gesetz führt ein dreistufiges Meldesystem ein:
Meldestufe | Zeitfrist | Inhalt | Adressat |
|---|---|---|---|
Early Warning | 24 Stunden | Erste Hinweise auf erheblichen Sicherheitsvorfall | BSI |
Detailmeldung | 72 Stunden | Ausführliche Analyse, betroffene Systeme, Auswirkungen | BSI |
Abschlussbericht | 1 Monat | Vollständige Aufarbeitung, Maßnahmen, Lessons Learned | BSI |
Risikomanagement und ISMS-Anforderungen
Betroffene Einrichtungen müssen ein systematisches Informationssicherheits-Managementsystem (ISMS) etablieren:
Risikoanalyse: Systematische Identifikation und Bewertung von Cyber-Bedrohungen
Maßnahmenkatalog: Technische und organisatorische Schutzmaßnahmen
Kontinuierliche Überwachung: Monitoring, Review und Anpassung
Dokumentation: Vollständige und auditierbare Nachweise
Schulungen: Regelmäßige Sensibilisierung aller Mitarbeiter
Legal-Tech und Cloud-Services: Besondere Herausforderungen für moderne Kanzleien
Auch wenn die meisten traditionellen Kanzleien nicht direkt von NIS-2 betroffen sind, ergeben sich indirekte Auswirkungen durch die zunehmende Digitalisierung der Rechtsbranche.
Legal-Tech-Plattformen im Fokus
Kanzleien, die Legal-Tech-Services entwickeln oder betreiben, könnten unter bestimmten Umständen als "Anbieter digitaler Dienste" eingestuft werden. Dies betrifft insbesondere:
Online-Rechtsberatungsplattformen mit automatisierten Prozessen
KI-gestützte Vertragsanalyse-Tools für externe Kunden
Digitale Marktplätze für Rechtsdienstleistungen
Cloud-basierte Mandantenverwaltungssysteme für andere Kanzleien
Cloud-Provider und Lieferkettenrisiken
Auch nicht-betroffene Kanzleien spüren indirekte Auswirkungen der NIS-2-Regulierung:
Erhöhte Cloud-Kosten: NIS-2-pflichtige Cloud-Provider geben Compliance-Kosten an Kunden weiter
Strengere SLAs: Anbieter fordern umfangreichere Sicherheitsnachweise
Verfügbarkeitsrisiken: Bei Compliance-Verstößen drohen Service-Unterbrechungen
Vertragliche Anpassungen: Neue Klauseln zu Cybersicherheit und Meldepflichten
Handlungsempfehlungen für Kanzleien: Ein Schritt-für-Schritt-Vorgehen
Schritt 1: Betroffenheitsanalyse durchführen
Jede Kanzlei sollte zunächst systematisch prüfen, ob sie unter die NIS-2-Regulierung fällt:
Prüfkriterium | Konkrete Fragen | Dokumentation |
|---|---|---|
Geschäftstätigkeit | Welche Dienstleistungen bietet die Kanzlei an? Gibt es digitale Services? | Aufstellung aller Geschäftsbereiche |
Sektorenzugehörigkeit | Fallen Tätigkeiten unter die 18 NIS-2-Sektoren? | Sektor-Mapping mit Begründung |
Konzernstruktur | Ist die Kanzlei Teil eines größeren Unternehmensverbunds? | Organigramm und Beteiligungsstrukturen |
Größenkriterien | Mitarbeiterzahl, Umsatz, Bilanzsumme | Aktuelle Unternehmenszahlen |
Schritt 2: Rechtssichere Dokumentation
Gerade weil viele Unternehmen erst mit dem going-live des Registrierungsportals auf ihre mögliche NIS2-Pflicht aufmerksam werden, besteht die Gefahr vorschneller oder falscher Entscheidungen. Denn die Einstufung als „wichtiges" oder „besonders wichtiges" Unternehmen ist rechtlich komplex – und eine fehlerhafte Bewertung kann weitreichende rechtliche und haftungsrechtliche Konsequenzen haben.
Schritt 3: Proaktive Sicherheitsmaßnahmen (auch für nicht-betroffene Kanzleien)
Auch Kanzleien, die nicht direkt unter NIS-2 fallen, sollten ihre Cybersicherheit stärken:
Basis-Sicherheit: Umsetzung des BSI IT-Grundschutzes für Anwaltskanzleien
Mandantendatenschutz: Verstärkte Verschlüsselung und Zugangskontrollen
Cloud-Sicherheit: Due Diligence bei Cloud-Providern und SaaS-Anbietern
Incident Response: Vorbereitung auf Cyberangriffe und Datenschutzverletzungen
Versicherungsschutz: Anpassung der Cyber-Versicherung an neue Risiken
Die Zukunft der Kanzlei-IT: Trends und Entwicklungen
Konvergenz mit anderen Regulierungen
NIS-2 ist nur ein Baustein in einem umfassenden regulatorischen Rahmen:
DSGVO: Synergien bei Datenschutz und Informationssicherheit nutzen
Cyber Resilience Act (CRA): Ab September 2026 der Cyber Resilience Act (CRA) für Hersteller digitaler Produkte
AI Act: Regulierung von KI-Anwendungen in der Rechtsberatung
DORA: Spezielle Anforderungen für Finanzdienstleister
Auswirkungen auf die Anwaltsbranche
Die NIS-2-Regulierung wird die Rechtsbranche mehrfach beeinflussen:
Bereich | Kurzfristige Auswirkungen | Langfristige Trends |
|---|---|---|
Beratungsfelder | Neue Mandate zu Cybersicherheit und Compliance | Spezialisierung auf Cyber-Law und IT-Recht |
Kanzlei-IT | Erhöhte Sicherheitsanforderungen | Professionelle ISMS-Implementierung |
Mandantenbeziehungen | Mehr Anfragen zu NIS-2-Compliance | Cyber-Security als Standardberatungsfeld |
Legal-Tech | Vorsichtigere Evaluation neuer Tools | Security-by-Design als Auswahlkriterium |
Kosten-Nutzen-Analyse: Investitionen in Cybersicherheit
Kostenschätzungen für NIS-2-Compliance
Dafür berechnet der Entwurf Aufwände für Unternehmen für neue Pflichten und Anpassung von Prozessen: 2,2 Mrd. EUR einmalige Kosten und 2,3 Mrd. EUR jährliche Kosten. Bezogen auf die betroffenen 30.000 Unternehmen bedeutet das durchschnittliche Kosten von etwa 73.000 Euro einmalig und 77.000 Euro jährlich pro Unternehmen.
Für größere Kanzleien, die unter NIS-2 fallen könnten, ergeben sich folgende Kostenkategorien:
Kostenkategorie | Einmalige Kosten | Laufende Kosten (jährlich) | Beschreibung |
|---|---|---|---|
Beratung und Analyse | 15.000 - 50.000 € | 5.000 - 15.000 € | Betroffenheitsanalyse, Gap-Analyse, laufende Compliance-Beratung |
ISMS-Implementierung | 25.000 - 100.000 € | 10.000 - 30.000 € | Aufbau Managementsystem, Dokumentation, Zertifizierung |
Technische Maßnahmen | 20.000 - 80.000 € | 15.000 - 40.000 € | Security-Tools, Monitoring, Backup, Verschlüsselung |
Personal und Schulungen | 10.000 - 30.000 € | 20.000 - 50.000 € | CISO, Schulungen, Awareness-Programme |
Externe Services | 5.000 - 20.000 € | 10.000 - 25.000 € | SOC-Services, Incident Response, Penetrationstests |
Return on Investment: Mehr als nur Compliance
Investitionen in Cybersicherheit zahlen sich jedoch über die reine Compliance hinaus aus:
Reputationsschutz: Vermeidung kostspieliger Datenschutzverletzungen
Mandantenvertrauen: Höhere Glaubwürdigkeit bei sensiblen Mandaten
Betriebskontinuität: Schutz vor Ransomware und anderen Cyberangriffen
Wettbewerbsvorteil: Differenzierung durch nachweisbare Sicherheitsstandards
Expertentipps: Best Practices für Kanzleien
Sofortmaßnahmen für alle Kanzleien
Betroffenheitscheck durchführen: Auch wenn die Wahrscheinlichkeit gering ist, sollten Sie Gewissheit haben
Cloud-Provider prüfen: Stellen Sie sicher, dass Ihre Anbieter NIS-2-konform arbeiten
Backup-Strategie überdenken: 3-2-1-Regel implementieren (3 Kopien, 2 verschiedene Medien, 1 offline)
Mitarbeitersensibilisierung: Regelmäßige Schulungen zu Phishing und Social Engineering
Incident Response Plan: Notfallplan für Cyberangriffe und Datenschutzverletzungen entwickeln
Langfristige Strategien
Unabhängig von der direkten NIS-2-Betroffenheit sollten Kanzleien ihre Cybersicherheitsstrategie professionalisieren:
Cyber-Security als Managementthema: Regelmäßige Berichte in Partnerversammlungen
Investitionsstrategie: Jährliches Cybersecurity-Budget definieren
Vendor-Management: Systematische Bewertung aller IT-Dienstleister
Versicherungsschutz: Umfassende Cyber-Police abschließen
Kontinuierliche Verbesserung: Jährliche Security-Reviews und Penetrationstests
Fazit: NIS-2 als Chance zur Digitalisierung der Kanzlei-Sicherheit
Die NIS-2-Regulierung markiert einen Wendepunkt in der deutschen Cybersicherheitslandschaft. Während die meisten traditionellen Anwaltskanzleien nicht direkt betroffen sind, sollten sie die Entwicklung als Signal verstehen: Cybersicherheit ist kein IT-Thema mehr, sondern eine zentrale Managementaufgabe.
Wird eine Kanzlei aufgrund mangelhafter IT-Sicherheit Opfer eines Cyberangriffs, können die Folgekosten die direkten Bußgelder bei Weitem übersteigen. Dazu gehören Kosten für die Wiederherstellung von Systemen, der Verlust von Mandantendaten, Schadensersatzforderungen betroffener Mandanten und nicht zuletzt erhebliche Reputationsschäden, die langfristig zu Mandatsverlusten führen können. Gerade für Kanzleien, deren Geschäftsmodell auf Vertrauen und Diskretion basiert, kann ein schwerwiegender Sicherheitsvorfall existenzbedrohend sein.
Die kommenden Monate werden zeigen, wie sich die NIS-2-Landschaft in der Praxis entwickelt. Kanzleien, die jetzt in ihre Cybersicherheit investieren, positionieren sich nicht nur für mögliche zukünftige Regulierung, sondern stärken auch das Vertrauen ihrer Mandanten in einer zunehmend digitalisierten Rechtswelt.
Für Kanzleien gilt daher: Nutzen Sie die NIS-2-Diskussion als Anlass, Ihre Cybersicherheitsstrategie zu überdenken und auf den neuesten Stand zu bringen. Denn in einer Welt, in der Cyberangriffe zur täglichen Realität gehören, ist robuste IT-Sicherheit nicht mehr nur ein Wettbewerbsvorteil – sie ist existenziell für das Überleben jeder modernen Kanzlei.
Schluss mit #FOMO – lassen Sie uns sprechen
Sie haben bis hierher gelesen – das zeigt echtes Interesse an der Zukunft Ihrer Kanzlei. Lassen Sie uns herausfinden, wie clever.legal Ihnen konkret weiterhilft.
Strategie-Gespräch vereinbarenExklusiv: Nur ein Partner pro Rechtsgebiet und Region.
Autor
Marc Ellerbrock
Rechtsanwalt
Marc ist das juristische Rückgrat von clever.legal. Rechtsanwalt, Fachanwalt für Bank- und Kapitalmarktrecht, Partner, zuvor Leiter der Rechtsabteilung einer Emittenten-Gruppe, Bankkaufmann. Seine Schwerpunkte: Prozessführung, Kapitalmarktrecht, Versicherungsrecht, Haftungsabwehr (Vermittler, Berater, Makler), Rückabwicklung von Versicherungsverträgen, Schadensersatz von Versicherungsgesellschaften, Glücksspielrecht. Während andere Massenverfahren als organisatorisches Risiko sehen, sieht er sie als algorithmische Herausforderung. Mit seiner Erfahrung in komplexen Haftungsfällen übersetzt er die starre Logik des Gesetzes in die flexible Logik der KI-Engine.