Status quo: NIS2 ist in Deutschland Gesetz
Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) hat der Bundestag am 13. November 2025 die europäische NIS2-Richtlinie in nationales Recht überführt. Das Gesetz ist seit dem 6. Dezember 2025 in Kraft (Bundestag, BSI-Pressemitteilung).
Die zentrale Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Für betroffene Unternehmen bedeutet das: Es gibt keine Übergangsfrist mehr, in der man "noch nichts tun muss". Die Registrierungspflicht beim BSI, die Meldepflichten bei Sicherheitsvorfällen und die Pflicht zu einem dokumentierten Risikomanagement gelten ab sofort.
Wer ist betroffen — und wer nicht
Nach Schätzung der Bundesregierung fallen rund 29.500 deutsche Unternehmen unter NIS2 — etwa sechsmal so viele wie unter der Vorgängerregelung NIS1 (Bundesregierung).
Die zwei Kategorien
NIS2 unterscheidet zwischen besonders wichtigen Einrichtungen (bwE) und wichtigen Einrichtungen (wE). Beide sind reguliert, aber Bußgeldrahmen und Aufsichtstiefe unterscheiden sich.
- Besonders wichtige Einrichtung: mindestens 250 Mitarbeitende ODER mehr als 50 Mio. € Jahresumsatz UND mehr als 43 Mio. € Bilanzsumme, in einem Sektor des höheren Risikoniveaus.
- Wichtige Einrichtung: mindestens 50 Mitarbeitende ODER mehr als 10 Mio. € Jahresumsatz, in einem der regulierten Sektoren.
Unterhalb dieser Schwellen greift NIS2 nur in Ausnahmefällen — etwa wenn das Unternehmen als einziger Anbieter eines kritischen Dienstes in Deutschland gilt. Eine offizielle Übersicht der Sektoren und Schwellen veröffentlicht das BSI (BSI: NIS-2-regulierte Unternehmen).
18 Sektoren — auch der klassische Mittelstand ist dabei
Anders als bei NIS1 sind nicht mehr nur Energie, Wasser und Telekommunikation reguliert. Erfasst sind unter anderem Maschinen- und Anlagenbau, Chemieproduktion, Lebensmittelindustrie, verarbeitendes Gewerbe (z. B. Elektro-, Fahrzeug- und Möbelindustrie), Forschungseinrichtungen, digitale Dienste, Post- und Kurierdienste, Abfallwirtschaft sowie Teile des Gesundheitswesens und der öffentlichen Verwaltung. Für viele mittelständische Industrieunternehmen ist das die erste IT-Sicherheitsregulierung überhaupt, die sie unmittelbar trifft.
Die fünf zentralen Pflichten
1. Registrierung beim BSI
Betroffene Unternehmen müssen sich selbst beim BSI registrieren — eine automatische Erfassung gibt es nicht. Die Verantwortung für die korrekte Selbsteinordnung liegt beim Unternehmen. Wer zu Unrecht meint, nicht betroffen zu sein, haftet im Schadensfall.
2. Risikomanagement
NIS2 verlangt einen ganzheitlichen, dokumentierten Cybersicherheits-Ansatz. Konkret gehören dazu unter anderem:
- Risikoanalyse und -bewertung für IT-Systeme und Geschäftsprozesse
- Vorfallbehandlung (Incident Response)
- Aufrechterhaltung des Betriebs (Business Continuity, Backup-Konzepte, Krisenmanagement)
- Sicherheit der Lieferkette inklusive Anforderungen an Dienstleister und Software-Lieferanten
- Sicherheit beim Erwerb, der Entwicklung und Wartung von IT-Systemen
- Konzepte zur Bewertung der Wirksamkeit der Maßnahmen
- Kryptographie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle, Asset-Management
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Wichtig: Die Pflichten gelten verhältnismäßig zum Risiko. Ein mittelständischer Maschinenbauer wird nicht denselben Aufwand wie ein DAX-Konzern betreiben müssen — aber die genannten Themen müssen alle adressiert sein.
3. Meldepflichten bei Sicherheitsvorfällen
Erhebliche Sicherheitsvorfälle sind dem BSI gestaffelt zu melden:
- Innerhalb von 24 Stunden: Frühwarnung mit erster Einschätzung
- Innerhalb von 72 Stunden: formale Vorfallsmeldung mit Details
- Innerhalb eines Monats: Abschlussbericht
Diese Fristen sind kurz. Wer keinen vorbereiteten Meldeprozess hat, wird sie im Ernstfall nicht einhalten — der Vorfall selbst bindet ohnehin bereits die gesamte IT.
4. Geschäftsführerhaftung
NIS2 nimmt die Geschäftsleitung direkt in die Pflicht. Sie muss die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und kann persönlich haftbar gemacht werden, wenn Pflichten verletzt werden. Außerdem ist die Geschäftsleitung verpflichtet, an Schulungen zum Thema Cybersicherheit teilzunehmen — und Vergleichbares für Mitarbeitende anzubieten.
5. Bußgeldrahmen
Die Sanktionen sind erheblich:
- Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist)
- Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
Hinzu kommen abgeleitete Risiken: zivilrechtliche Haftung gegenüber Geschädigten, Ausschluss aus öffentlichen Ausschreibungen, Reputationsschäden.
Erste Schritte für den Mittelstand
Schritt 1: Selbsteinordnung
Die erste Frage ist nicht "Was müssen wir tun?", sondern "Sind wir überhaupt betroffen — und wenn ja, als wE oder bwE?". Das BSI bietet dazu eine Betroffenheitsprüfung an. Die Antwort sollte schriftlich dokumentiert sein, inklusive Begründung und Stichtag.
Schritt 2: Gap-Analyse
Im zweiten Schritt wird der Ist-Zustand gegen die NIS2-Anforderungen gespiegelt. Die meisten Mittelständler haben bereits Bausteine umgesetzt — Backups, Virenschutz, Berechtigungskonzepte — aber selten als zusammenhängendes Managementsystem. Eine Gap-Analyse zeigt, welche Lücken priorisiert geschlossen werden müssen.
In der Praxis fallen erfahrungsgemäß folgende Themen besonders häufig durch: fehlendes Incident-Response-Konzept, ungesteuerte Lieferantenkette, keine flächendeckende Multi-Faktor-Authentifizierung, fehlende Backup-Tests, keine Dokumentation der getroffenen Maßnahmen.
Schritt 3: Roadmap
Aus der Gap-Analyse entsteht eine Maßnahmen-Roadmap. Sinnvoll ist eine Priorisierung nach Risiko und Aufwand. Quick Wins sind häufig: MFA flächendeckend einführen, Incident-Response-Playbook schreiben, Notfallkontakte definieren, Backup-Wiederherstellung testen. Mittelfristig folgen Themen wie SIEM/Logging, Lieferanten-Audits und ein Informationssicherheits-Managementsystem (ISMS), das sich idealerweise an ISO 27001 oder BSI IT-Grundschutz orientiert.
Schritt 4: Geschäftsführung einbinden
Da die Geschäftsleitung persönlich haftet, ist sie nicht nur Empfänger des Reportings, sondern Auftraggeber. Quartalsweise Reviews zum Status der Cybersicherheit, dokumentierte Beschlüsse zu Investitionen, nachweisbare Schulungsteilnahme — das alles ist Teil der gesetzlichen Pflichten, nicht "nice to have".
Verhältnis zu ISO 27001 und BSI IT-Grundschutz
Wer bereits ein zertifiziertes ISMS nach ISO 27001 oder BSI IT-Grundschutz betreibt, deckt einen erheblichen Teil der NIS2-Anforderungen ab — aber nicht alles. NIS2 enthält spezifische Pflichten zur Lieferkettensicherheit, zur Meldekette und zur Geschäftsführerverantwortung, die über klassische ISMS-Anforderungen hinausgehen können. Ein bestehendes ISMS ist eine sehr gute Ausgangsbasis, ersetzt aber nicht die NIS2-spezifische Lückenanalyse.
Fazit
NIS2 ist keine zukünftige Regulierung mehr — sie gilt. Für viele Mittelständler ist sie die erste verpflichtende IT-Sicherheitsregulierung überhaupt. Wer noch nicht angefangen hat, sollte mit zwei einfachen Schritten beginnen: Betroffenheit klären, dann eine ehrliche Gap-Analyse. Der Aufwand für die Umsetzung verteilt sich danach typischerweise auf 6 bis 18 Monate — abhängig von Größe, Sektor und Reifegrad.
Wichtig ist die richtige Erwartungshaltung: NIS2 macht aus einem Mittelständler kein BSI-Hochsicherheitsobjekt. Das Ziel ist ein dokumentierter, risikobasierter und nachvollziehbarer Umgang mit Cybersicherheit. Wer das ohnehin schon im Sinne ordentlicher Unternehmensführung tut, hat in vielen Punkten nur ein Dokumentationsproblem — kein Sicherheitsproblem.
Weiterführend zur technischen Härtung der eigenen Microsoft-365-Umgebung: M365 Security Hardening für den Mittelstand und Conditional Access Best Practices.