Hinweis: Dieser Artikel beschreibt allgemeine Zusammenhänge zwischen NIS2-Anforderungen und dem Betrieb von Windows Server 2016. Er stellt keine Rechtsberatung dar. Für eine verbindliche rechtliche Einschätzung Ihrer konkreten Situation empfehlen wir die Konsultation eines auf IT-Recht spezialisierten Anwalts.
Zwei Fristen, ein Problem. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Deutschland in Kraft – ohne Übergangsfrist, ohne Schonfrist, ohne Ausnahmen für Unternehmen, die noch nicht bereit sind. Gleichzeitig läuft der Extended Support für Windows Server 2016 am 12. Januar 2027 aus.
Wer beide Fristen isoliert betrachtet, unterschätzt das Risiko. Zusammen ergeben sie eine Compliance-Lücke, die für betroffene Unternehmen erhebliche Konsequenzen haben kann: Bußgelder, persönliche Haftung der Geschäftsleitung und – im schlimmsten Fall – der Verlust des Versicherungsschutzes im Schadensfall.
Dieser Artikel erklärt, was NIS2 konkret von Ihnen verlangt, warum der Weiterbetrieb von Windows Server 2016 nach dem EOS-Datum ein messbares Compliance-Risiko darstellt – und was Sie jetzt tun müssen.
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt, das am 6. Dezember 2025 in Kraft getreten ist – mit einer erheblichen Verspätung gegenüber der ursprünglichen EU-Frist vom Oktober 2024, aber nun verbindlich und ohne weitere Übergangsregelungen.
NIS2 weitet den Anwendungsbereich gegenüber der Vorgängerrichtlinie erheblich aus. Betroffen sind Unternehmen in 18 regulierten Sektoren – darunter Energie, Gesundheit, Transport, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Maschinenbau und Lebensmittelproduktion – wenn sie folgende Schwellenwerte überschreiten:
|
Einrichtungstyp |
Kriterien |
Sektoren |
|
Besonders wichtige Einrichtungen |
>250 Mitarbeitende ODER >50 Mio. € Umsatz + >43 Mio. € Bilanzsumme |
Anlage 1 BSIG |
|
Wichtige Einrichtungen |
>50 Mitarbeitende ODER >10 Mio. € Umsatz + >10 Mio. € Bilanzsumme |
Anlage 1 + 2 BSIG |
Rund 29.500 Unternehmen in Deutschland fallen unter diese Regelung. Wichtig: Es gibt keine offizielle Benachrichtigung durch das BSI. Unternehmen müssen ihre Betroffenheit selbst prüfen – und haften für die Nichterfüllung, auch wenn sie die Prüfung versäumt haben.
Kern des Gesetzes ist §30 BSIG: ein Katalog von zehn Risikomanagement-Maßnahmen, die betroffene Unternehmen umsetzen und dokumentieren müssen. Dazu gehören unter anderem:
Hinzu kommt §38 BSIG: Die Geschäftsleitung muss die Risikomanagementmaßnahmen persönlich billigen, deren Umsetzung überwachen und regelmäßig an Cybersicherheitsschulungen teilnehmen.
§30 Abs. 1 BSIG formuliert es klar: Die zu ergreifenden Maßnahmen müssen „angemessen, verhältnismäßig und wirksam" sein – und dem aktuellen Stand der Technik entsprechen. Dieser Begriff ist im deutschen IT-Sicherheitsrecht etabliert und bedeutet: nicht der theoretisch mögliche Höchststand, aber der Stand, der in der Praxis verfügbar und zumutbar ist.
Ein Betriebssystem, das vom Hersteller nicht mehr mit Sicherheitsupdates versorgt wird, entspricht per Definition nicht mehr dem Stand der Technik. Es gibt keine Patches mehr für bekannte Schwachstellen. Es gibt keinen Hersteller-Support mehr. Jede neu entdeckte Sicherheitslücke bleibt dauerhaft offen.
Nach dem EOS-Datum ist Windows Server 2016 ein Out-of-Support-System. Das bedeutet:
Für NIS2-betroffene Unternehmen entsteht damit eine direkte Compliance-Spannung: §30 Nr. 5 BSIG verlangt ein funktionierendes Schwachstellenmanagement – also die zeitnahe Behebung bekannter Sicherheitslücken. Ein System, für das keine Patches mehr erscheinen, kann dieses Kriterium strukturell nicht mehr erfüllen.
Wichtige Einschränkung: NIS2 verbietet den Betrieb von Out-of-Support-Systemen nicht explizit. Es verlangt aber eine risikobasierte Bewertung und Dokumentation. Wer Windows Server 2016 nach dem EOS-Datum weiterbetreibt, muss nachweisen können, dass er dieses Risiko bewertet, kompensatorische Maßnahmen ergriffen und die Entscheidung dokumentiert hat. „Wir haben es noch nicht geschafft zu migrieren" ist keine ausreichende Dokumentation.
§65 NIS2UmsuCG staffelt die Bußgelder nach Einrichtungstyp:
|
Einrichtungstyp |
Maximales Bußgeld |
|
Besonders wichtige Einrichtungen |
bis 10.000.000 € oder 2 % des weltweiten Jahresumsatzes |
|
Wichtige Einrichtungen |
bis 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes |
Diese Bußgelder treffen das Unternehmen. Aber §38 NIS2UmsuCG geht weiter: Die Geschäftsleitung haftet persönlich für die Billigung und Überwachung der Risikomanagementmaßnahmen. Wer als Geschäftsführer oder Vorstand nachweislich die Umsetzung der NIS2-Anforderungen vernachlässigt hat, kann persönlich in Regress genommen werden – nach den Regeln des Gesellschaftsrechts (GmbH: §43 GmbHG, AG: §93 AktG).
Ein Aspekt, der in der NIS2-Diskussion häufig übersehen wird: der Einfluss auf den Versicherungsschutz. Cyber-Versicherungen fragen 2026 technisch sehr konkret nach dem Sicherheitsniveau der IT-Infrastruktur. Wer im Risikofragebogen bestimmte Maßnahmen bestätigt, diese aber tatsächlich nicht umsetzt – oder veraltete, nicht mehr unterstützte Systeme betreibt – riskiert im Schadensfall den Verlust des Versicherungsschutzes.
Die Logik der Versicherer ist eindeutig: Wer wissentlich Out-of-Support-Systeme betreibt und das nicht offenlegt, hat den Versicherungsvertrag durch unvollständige Risikoangaben verletzt. Das kann zur vollständigen Leistungsverweigerung führen – genau dann, wenn der Versicherungsschutz am dringendsten gebraucht wird.
NIS2-Compliance im Kontext von Windows Server 2016 ist kein einmaliges Projekt, sondern ein strukturierter Prozess. Die folgenden vier Schritte sind der Einstieg.
Der erste Schritt klingt trivial, ist es aber oft nicht. In gewachsenen IT-Umgebungen gibt es häufig Server, die niemand mehr auf dem Radar hat: vergessene Test-Systeme, alte Backup-Server, Anwendungsserver, die „eigentlich schon längst abgelöst sein sollten".
Eine vollständige Inventarisierung umfasst:
Tools wie Microsoft Defender for Endpoint, Azure Arc oder spezialisierte Asset-Management-Lösungen können diesen Prozess erheblich beschleunigen. In vielen Umgebungen liefert auch ein einfaches PowerShell-Skript einen ersten Überblick:
Nicht jeder Windows Server 2016 stellt dasselbe Risiko dar. Ein isolierter Test-Server ohne Netzwerkanbindung ist anders zu bewerten als ein Domain Controller oder ein Server, der Patientendaten verarbeitet.
Die Risikobewertung nach NIS2 muss dokumentiert sein und folgende Fragen beantworten:
Welche Daten verarbeitet das System? (personenbezogen, geschäftskritisch, reguliert?)
Welche Auswirkungen hätte ein Ausfall oder eine Kompromittierung?
Welche kompensatorischen Maßnahmen sind vorhanden? (Netzwerksegmentierung, Monitoring, Zugriffsbeschränkungen)
Wie hoch ist das Restrisiko nach Berücksichtigung dieser Maßnahmen?
Diese Bewertung ist die Grundlage für die Priorisierung der Migration – und für die Dokumentation, die im Audit-Fall vorgelegt werden muss.
NIS2 setzt keine explizite Frist für die Migration von Windows Server 2016. Das EOS-Datum am 12. Januar 2027 ist jedoch der natürliche Stichtag: Ab diesem Datum ist das System Out-of-Support, und die Compliance-Argumentation wird erheblich schwieriger.
Ein NIS2-konformer Migrationsplan enthält:
Wichtig: Der Plan muss schriftlich dokumentiert und von der Geschäftsleitung gebilligt sein. Das ist keine Formalität – es ist eine gesetzliche Anforderung nach §38 BSIG.
NIS2 ist ein dokumentationsintensives Gesetz. „Wir machen das" reicht nicht – es muss nachweisbar sein, dass Sie es tatsächlich tun. Die Dokumentationspflicht umfasst:
Das BSI kann bei besonders wichtigen Einrichtungen proaktiv prüfen (§61 BSIG), ob die Anforderungen erfüllt sind. Wer dann keine Dokumentation vorlegen kann, hat ein Problem – unabhängig davon, ob die Maßnahmen tatsächlich umgesetzt wurden.
|
Datum |
Ereignis |
|
6. Dezember 2025 |
NIS2UmsuCG in Deutschland in Kraft – ohne Übergangsfrist |
|
5. März 2026 |
BSI-Registrierungsfrist abgelaufen (Nachregistrierung weiterhin möglich und notwendig) |
|
12. Januar 2027 |
Windows Server 2016 EOS – Ende des Extended Support |
|
Januar 2030 |
Ende der ESU-Laufzeit (3 Jahre nach EOS, kostenpflichtig) |
Was das bedeutet: NIS2 gilt bereits jetzt. Wer Windows Server 2016 betreibt und unter NIS2 fällt, muss heute – nicht ab Januar 2027 – eine dokumentierte Risikoanalyse und einen Migrationsplan vorweisen können. Das EOS-Datum verschärft die Situation weiter, aber es ist nicht der Startpunkt der Compliance-Pflicht.
Zur ESU-Option: Extended Security Updates verlängern den Patch-Support bis Januar 2030 – sie lösen aber das grundlegende Compliance-Problem nicht vollständig. Ein System, das nicht mehr vom Hersteller vollständig unterstützt wird, bleibt in vielen Compliance-Frameworks ein Out-of-Support-System, auch wenn Sicherheitspatches noch fließen. Die Bewertung durch Auditoren und Versicherer hängt vom Einzelfall ab.
Empfehlung: Migrieren Sie vor dem EOS-Datum. Das ist die einzige Maßnahme, die das Compliance-Risiko vollständig beseitigt.
NIS2 und Windows Server 2016 EOS sind keine unabhängigen Themen. Sie treffen im selben Zeitfenster aufeinander und erzeugen gemeinsam einen Handlungsdruck, der sich nicht durch Abwarten auflöst.
Die Fakten sind eindeutig:
Wer jetzt handelt, hat noch ausreichend Zeit für eine strukturierte, risikoarme Migration. Wer wartet, migriert unter Zeitdruck – mit allen Konsequenzen, die das für Qualität, Kosten und Compliance bedeutet.