NIS2 ist Realität — und die Schonfrist läuft gerade ab
Lange war NIS2 in Deutschland ein Thema für „irgendwann". Damit ist Schluss. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten und hat das BSI-Gesetz (BSIG) grundlegend novelliert. Die neuen Cybersicherheitspflichten gelten also unmittelbar — nicht in ferner Zukunft, sondern jetzt.
Wie ernst die Lage ist, zeigt der Sommer 2026: Von den rund 29.500 betroffenen Unternehmen hatten sich bis Ende Mai nur etwa 18.500 beim BSI registriert. Das BSI duldet verspätete Registrierungen deshalb noch bis zum 31. Juli 2026 — das ist eine behördliche Kulanz, keine gesetzliche Fristverlängerung. Wer bis dahin nicht gemeldet hat, bewegt sich klar im Bereich möglicher Sanktionen.
Dieser Guide ist keine Rechtsberatung, sondern eine pragmatische Orientierung: Was NIS2 für den Mittelstand bedeutet, wer betroffen ist — und wie du strukturiert startest, statt in Aktionismus zu verfallen.
Was NIS2 regelt — und was daran neu ist
NIS2 ist die EU-Richtlinie (EU) 2022/2555 zur Netz- und Informationssicherheit. Sie löst die alte NIS-Richtlinie von 2016 (Richtlinie (EU) 2016/1148) ab, die in der Praxis zu eng gefasst war: Sie betraf nur wenige „Betreiber wesentlicher Dienste" und ließ ganze Branchen außen vor. NIS2 zieht den Kreis deutlich weiter, vereinheitlicht die Anforderungen EU-weit und verschärft Aufsicht und Sanktionen.
Das Ziel ist ein gemeinsames, hohes Cybersicherheitsniveau in der gesamten EU. Erreicht werden soll das über verbindliche Mindestmaßnahmen beim Risikomanagement, klare Meldepflichten bei Sicherheitsvorfällen und eine echte Verantwortung der Geschäftsleitung.
Eine Richtlinie gilt nicht direkt, sie muss von jedem Mitgliedstaat in nationales Recht gegossen werden. Die EU-Frist dafür war der 17. Oktober 2024. Deutschland hat diese Frist deutlich gerissen: Erst über ein Jahr später, mit der Verabschiedung im Bundestag am 13. November 2025 und der Billigung im Bundesrat am 20. November 2025, wurde das NIS2UmsuCG beschlossen — in Kraft seit dem 6. Dezember 2025. Praktisch heißt das: Die Regeln kamen ohne Übergangsfrist, und viele Unternehmen wurden davon überrascht. Umgesetzt wurde NIS2 nicht als eigenes Gesetz, sondern als tiefgreifende Novelle des BSIG.
Bist du überhaupt betroffen?
Die erste und wichtigste Frage. NIS2 gilt nicht für jedes Unternehmen, sondern knüpft an zwei Bedingungen an, die beide erfüllt sein müssen: die Zugehörigkeit zu einem regulierten Sektor und das Überschreiten einer Größenschwelle.
Die regulierten Sektoren
Das BSIG unterscheidet zwei Anlagen — sie entsprechen den Anhängen I und II der EU-Richtlinie. Anlage 1 umfasst elf Sektoren mit besonders hoher Kritikalität, darunter Energie, Verkehr, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur und öffentliche Verwaltung. Anlage 2 ergänzt sieben weitere kritische Sektoren wie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (etwa Maschinenbau, Medizinprodukte, Elektronik, Fahrzeugbau), digitale Dienste und Forschung. Zusammen sind das 18 Sektoren — deutlich mehr als unter der alten NIS-Richtlinie.
Die Größenschwellen
Vereinfacht gilt die Size-Cap-Regel: Betroffen ist in der Regel, wer mindestens 50 Beschäftigte hat oder einen Jahresumsatz von über 10 Mio. EUR und eine Bilanzsumme von über 10 Mio. EUR aufweist. Innerhalb dieser Schwelle wird nach Größe abgestuft:
- Besonders wichtige Einrichtungen: große Unternehmen mit mindestens 250 Beschäftigten oder über 50 Mio. EUR Umsatz und über 43 Mio. EUR Bilanzsumme in einem Anlage-1-Sektor. Sie unterliegen der schärfsten Aufsicht.
- Wichtige Einrichtungen: mittlere Unternehmen unterhalb dieser großen Schwelle sowie große Unternehmen aus Anlage-2-Sektoren. Etwas geringere Aufsicht, aber praktisch dieselben inhaltlichen Pflichten.
Die genaue Einordnung hängt von Sektor und Größe ab — im Zweifel lohnt eine saubere Einzelfallprüfung. Wichtig: Manche Einrichtungen sind unabhängig von ihrer Größe erfasst, etwa Betreiber kritischer Anlagen (KRITIS), qualifizierte Vertrauensdiensteanbieter, Anbieter öffentlicher Telekommunikationsnetze sowie DNS-Dienste und Top-Level-Domain-Registries. Dann greifen die Pflichten schon ab dem ersten Mitarbeitenden.
Ein praktischer Stolperstein: Viele Unternehmen unterschätzen ihre eigene Betroffenheit, weil sie sich nicht als „kritisch" wahrnehmen. Ein mittelständischer Maschinenbauer, ein Lebensmittelhersteller oder ein Chemiezulieferer fällt aber genauso unter Anlage 2 wie ein Rechenzentrumsbetreiber unter Anlage 1. Die Betroffenheitsprüfung ist deshalb kein Fünf-Minuten-Blick, sondern der erste echte Arbeitsschritt — und das Ergebnis solltest du nachvollziehbar festhalten.
Die Kernpflichten: zehn Bausteine Risikomanagement
Das Herzstück steht in § 30 BSIG (die Umsetzung von Artikel 21 der Richtlinie). Betroffene müssen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen" ergreifen — konkretisiert in einem Katalog von zehn Mindestmaßnahmen. Der Ansatz ist ausdrücklich risikobasiert und verhältnismäßig: Ein 60-Personen-Betrieb muss nicht dasselbe leisten wie ein Energiekonzern.
- Konzepte für Risikoanalyse und Informationssicherheit
- Bewältigung von Sicherheitsvorfällen (Incident Handling — also Erkennung, Reaktion, Wiederherstellung)
- Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement (Business Continuity)
- Sicherheit der Lieferkette, inklusive der Beziehungen zu Dienstleistern
- Sicherheit bei Beschaffung, Entwicklung und Wartung, inklusive Schwachstellenmanagement
- Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
- Grundlegende Cyberhygiene und Schulungen für Mitarbeitende
- Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Verwaltung der Assets
- Multi-Faktor-Authentifizierung (MFA) und gesicherte Kommunikation, inklusive Notfallkommunikation
Wer schon nach ISO 27001 oder dem BSI IT-Grundschutz arbeitet, hat hier einen großen Vorsprung — die Kataloge überschneiden sich stark. Ein zertifiziertes ISMS ersetzt NIS2 zwar nicht automatisch, deckt aber einen Großteil der Anforderungen bereits ab.
Verhältnismäßigkeit heißt konkret: Der Aufwand richtet sich nach dem tatsächlichen Risiko, dem Stand der Technik und der Größe deiner Einrichtung. MFA für administrative Zugänge, funktionierende und getestete Backups sowie ein Mindestmaß an Schwachstellen- und Patch-Management sind aber praktisch für jeden Betrieb Pflicht — das ist keine Kür, sondern Basis. Wer hier Lücken hat, sollte genau dort zuerst ansetzen, weil diese Schwächen in der Praxis am häufigsten ausgenutzt werden.
Meldepflichten: die 24-72-Stunden-Regel
Erhebliche Sicherheitsvorfälle musst du dem BSI melden (§ 32 BSIG). „Erheblich" ist ein Vorfall, der schwerwiegende Betriebsstörungen oder finanzielle Verluste verursachen kann oder andere durch erhebliche Schäden beeinträchtigt. Die Meldung läuft dreistufig:
- Innerhalb von 24 Stunden: eine erste Frühwarnung — kurz, formlos, auch wenn noch längst nicht alles klar ist.
- Innerhalb von 72 Stunden: eine ausführlichere Meldung mit erster Bewertung, Schweregrad und, soweit bekannt, Ursache.
- Innerhalb eines Monats: ein Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und Auswirkungen.
Der Praxistipp: Diese Fristen kannst du im Ernstfall nicht improvisieren. Du brauchst vorab definierte Meldeprozesse — wer entscheidet, wer meldet, über welchen Kanal. Wenn der Vorfall da ist, tickt die Uhr sofort.
Daneben steht die Registrierungspflicht (§ 33 f. BSIG): Betroffene müssen sich innerhalb von drei Monaten nach erstmaligem Erfassen beim BSI registrieren. Die gesetzliche Frist lief bereits am 6. März 2026 ab; wegen der vielen ausstehenden Registrierungen duldet das BSI Nachzügler noch bis zum 31. Juli 2026. Wer erst jetzt merkt, dass er betroffen ist, sollte die Registrierung deshalb ganz oben auf die Liste setzen.
Chefsache: Haftung und Schulungspflicht der Geschäftsleitung
Der vielleicht unterschätzteste Teil von NIS2 steht in § 38 BSIG. Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen — und diese Pflicht ist ausdrücklich nicht delegierbar. Du kannst sie also nicht einfach an die IT-Abteilung oder einen externen Dienstleister abschieben.
Drei Punkte sind für Geschäftsführer und Vorstände zentral:
- Billigung: Die Maßnahmen müssen aktiv und dokumentiert freigegeben werden — idealerweise als Beschluss mit Datum und Inhalt.
- Überwachung: Es reicht nicht, einmal abzunicken. Die Umsetzung muss laufend kontrolliert werden.
- Schulungspflicht: Die Geschäftsleitung muss selbst regelmäßig an Schulungen teilnehmen, um Risiken bewerten zu können — nicht stellvertretend der IT-Leiter.
Verletzt die Geschäftsleitung diese Pflichten, haftet sie unter den Regeln des Gesellschaftsrechts für schuldhaft verursachte Schäden — im Zweifel mit dem Privatvermögen. NIS2 macht Cybersicherheit damit endgültig zur Führungsaufgabe.
Bußgelder: was Nichtstun kostet
Die Sanktionen orientieren sich an der DSGVO-Logik und sind entsprechend spürbar. Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes. Schon das Versäumen der Registrierung kann mit bis zu 500.000 EUR geahndet werden.
Sanktioniert wird nicht nur der große Sicherheitsvorfall. Auch das bloße Fehlen angemessener Maßnahmen, ein Verstoß gegen die Meldepflicht oder eine lückenhafte Dokumentation können ausreichen. Der Umkehrschluss ist praktisch wichtig: Dokumentation ist kein Bürokratie-Selbstzweck, sondern dein Nachweis, dass du die Pflichten erfüllt hast.
Erste Schritte: eine pragmatische Checkliste
Kein Grund zur Panik — aber Grund zum Handeln. Statt alles auf einmal zu wollen, arbeite dich in dieser Reihenfolge vor:
- Betroffenheit prüfen: Fällst du unter einen der 18 Sektoren und über die Größenschwelle? Halte das Ergebnis schriftlich fest — auch ein „nicht betroffen" gehört dokumentiert.
- Registrieren: Falls betroffen und noch nicht geschehen — Registrierung beim BSI unverzüglich nachholen (Duldung bis 31. Juli 2026).
- Ist-Analyse (Gap-Analyse): Vergleiche deinen Status quo mit den zehn Maßnahmen aus
§ 30. Wo stehst du schon, wo klaffen Lücken? - Risikomanagement etablieren: Baue ein schlankes ISMS auf — ISO 27001 oder BSI IT-Grundschutz als Rahmen. Priorisiere nach Risiko, nicht nach Vollständigkeit.
- Meldeprozess definieren: Lege vorab fest, wer bei einem Vorfall was innerhalb von 24 und 72 Stunden tut.
- Lieferkette prüfen: Frage kritische Dienstleister nach ihrem Sicherheitsniveau und verankere Anforderungen in Verträgen.
- Geschäftsleitung einbinden: Schulung terminieren, Billigung dokumentieren, Überwachung organisieren.
- Alles dokumentieren: Entscheidungen, Maßnahmen, Beschlüsse — das ist im Prüfungsfall dein wichtigster Beleg.
Fazit
NIS2 ist in Deutschland kein Zukunftsthema mehr, sondern geltendes Recht — mit realen Fristen, echter Haftung und empfindlichen Bußgeldern. Für den Mittelstand ist die gute Nachricht: Die Anforderungen sind risikobasiert und verhältnismäßig, und wer bereits solide IT-Sicherheit betreibt, muss das Rad nicht neu erfinden.
Und selbst wer formal nicht direkt betroffen ist, kommt kaum daran vorbei. Über die Lieferkettenpflicht reichen große Auftraggeber ihre Anforderungen an Zulieferer und Dienstleister weiter. Wer NIS2-konforme Prozesse vorweisen kann, hat also nicht nur ein Compliance-Häkchen, sondern ein Verkaufsargument. Fang klein an, dokumentiere sauber, und behandle Cybersicherheit als das, was sie längst ist: eine Führungsaufgabe.