NIS2-Gesetz 2025: Warum Unternehmen mit öffentlichen QR-Codes jetzt handeln müssen

Am 5. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft getreten – ein Meilenstein für die Cybersicherheit in Deutschland. Für Unternehmen, die QR-Codes im öffentlichen Raum einsetzen, bedeutet dies: Handeln Sie jetzt, oder riskieren Sie massive Bußgelder und persönliche Haftung der Geschäftsleitung.

Was ist das NIS2-Gesetz?

Das NIS-2-Umsetzungsgesetz (Bundesgesetzblatt 2025 I Nr. 301) setzt die EU-Richtlinie 2022/2555 in deutsches Recht um. Es erweitert den Kreis der betroffenen Unternehmen massiv und verschärft die Anforderungen an IT-Sicherheit, Incident-Meldungen und Geschäftsführerhaftung.

Das Gesetz unterscheidet zwischen 'besonders wichtigen Einrichtungen' und 'wichtigen Einrichtungen' – beide Kategorien sind von strengen Pflichten betroffen.

Wer ist betroffen?

Das Gesetz betrifft weit mehr Unternehmen als bisher gedacht:

Besonders wichtige Einrichtungen

Ab 250 Mitarbeiter ODER >50 Mio. € Umsatz

Energie, Transport, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum

Wichtige Einrichtungen

Ab 50 Mitarbeiter ODER >10 Mio. € Umsatz

Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung

Typische QR-Code-Anwendungen in betroffenen Sektoren:

•E-Ladesäulen-Betreiber (Energiesektor)
•Parkautomaten-Anbieter (Transport)
•Banken mit QR-Codes in Briefen (Finanzwesen)
•Krankenhäuser mit Patientenarmbändern (Gesundheit)
•Gastronomieketten mit digitalen Speisekarten (Lebensmittel)

Die wichtigsten Pflichten nach § 30 BSI-G

Das Gesetz schreibt umfassende Risikomanagementmaßnahmen vor:

Risikoanalyse

QR-Codes als Angriffsvektor müssen in der Risikoanalyse berücksichtigt werden

Incident Response

Prozesse zur Bewältigung von Quishing-Vorfällen müssen etabliert sein

Lieferkettensicherheit

QR-Code-Druckdienstleister und Transportwege müssen geprüft werden

Schulungen

Mitarbeiter und Kunden müssen über Quishing-Gefahren informiert werden

Multi-Faktor-Authentifizierung

Für Zugriff auf QR-Code-Verwaltungssysteme vorgeschrieben

Meldepflichten: 24 Stunden Zeit

Bei Quishing-Angriffen gelten strenge Meldefristen nach § 32:

24h

24 Stunden: Erstmeldung

Unverzügliche Meldung an das BSI mit ersten Verdachtsmomenten

72h

72 Stunden: Detailmeldung

Schweregrad, Auswirkungen und Kompromittierungsindikatoren

1 Monat: Abschlussmeldung

Vollständige Beschreibung, Ursachen und ergriffene Maßnahmen

Beispiel Dortmund 2025: Die 90+ manipulierten Parkautomaten hätten nach NIS2 binnen 24 Stunden gemeldet werden müssen – mit allen Konsequenzen für den Betreiber.

Persönliche Haftung der Geschäftsleitung

§ 38 des neuen Gesetzes macht Vorstände und Geschäftsführer persönlich verantwortlich:

Geschäftsleitungen sind verpflichtet, Risikomanagementmaßnahmen umzusetzen und zu überwachen. Bei Pflichtverletzung haften sie ihrer Einrichtung für schuldhaft verursachte Schäden.

Das bedeutet: Wer als CEO oder Vorstand Quishing-Risiken ignoriert, haftet persönlich – nicht nur das Unternehmen.

Zusätzlich müssen Geschäftsleitungen regelmäßig an Schulungen teilnehmen, um Risiken erkennen und bewerten zu können.

Bußgelder: Bis zu 10 Millionen Euro

Die Sanktionen nach § 65 sind drastisch:

Besonders wichtige Einrichtungen

Bis 10 Mio. € oder 2% des weltweiten Jahresumsatzes

Wichtige Einrichtungen

Bis 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Rechenbeispiel Stadtwerke mit 800 Mio. € Umsatz: Das maximale Bußgeld bei einem nicht gemeldeten Quishing-Vorfall beträgt 16 Mio. €.

QRTrust: Die technische Lösung für NIS2-Compliance

QRTrust ist die einzige deutsche QR-Code-Sicherheitsplattform, die speziell für NIS2-Anforderungen entwickelt wurde:

Risikoanalyse erfüllt:Threat Intelligence Dashboard mit Echtzeit-Bedrohungsübersicht für Ihre QR-Codes

Incident Response automatisiert:Sofortige Erkennung und Alerting bei Quishing-Versuchen

Meldepflichten unterstützt:Vorformatierte Berichte für BSI-Meldungen, vollständiger Audit-Trail

Beweissicherung:Chain of Evidence für Strafverfolgung: Screenshots, Zeitstempel, Hashwerte

DSGVO-konform:Deutsche Server, keine Datenübertragung in Drittländer

Handlungsempfehlung: Jetzt starten

Unternehmen mit öffentlichen QR-Codes sollten sofort handeln:

Sofort (diese Woche)

Prüfen Sie Ihre NIS2-Betroffenheit anhand der Größenkriterien und Sektorzuordnung

Kurzfristig (1-3 Monate)

Erstellen Sie ein Inventar aller öffentlichen QR-Codes und deren Ziel-URLs

Mittelfristig (3-6 Monate)

Implementieren Sie QRTrust Enterprise für kontinuierliches Monitoring

Langfristig

Etablieren Sie Prozesse für regelmäßige Audits und Nachweisführung

Fazit: NIS2 macht QR-Code-Sicherheit zur Pflicht

Mit dem NIS2-Umsetzungsgesetz sind öffentliche QR-Codes Teil der schützenswerten IT-Infrastruktur. Quishing-Angriffe sind meldepflichtige Sicherheitsvorfälle, und die Geschäftsleitung haftet persönlich.

Die gute Nachricht: Mit QRTrust können Sie alle Anforderungen erfüllen – bevor der erste Vorfall passiert. Investieren Sie in Prävention statt in Bußgelder.

Rechtsquellen

• Bundesgesetzblatt 2025 I Nr. 301: Gesetz zur Umsetzung der NIS-2-Richtlinie
• BSI-Gesetz 2025 (BSIG) §§ 28-65
• EU-Richtlinie 2022/2555 (NIS-2-Richtlinie)

Kostenlose NIS2-Erstberatung

Lassen Sie uns gemeinsam prüfen, wie QRTrust Ihre NIS2-Compliance unterstützen kann.

Jetzt Beratungstermin vereinbaren →

*Über QRTrust: QRTrust ist die erste deutsche QR-Code-Sicherheitsplattform, entwickelt in Dortmund. Mit KI-gestützter Echtzeit-Erkennung, lokaler Bedrohungsdatenbank und 6-Schicht-Sicherheitscheck schützt QRTrust Bürger, Behörden und Unternehmen vor Quishing-Angriffen. DSGVO-konform, gehostet in Deutschland. Teilnehmer bei start2grow, dem Gründerwettbewerb der Wirtschaftsförderung Dortmund.*