Es war ein stiller Paukenschlag. Während die meisten Geschäftsführer am 6. Dezember 2025 ihren normalen Arbeitstag starteten, trat im Hintergrund ein Gesetz in Kraft, das für rund 30.000 deutsche Unternehmen alles ändert: Das NIS2-Umsetzungsgesetz. Die Besonderheit: Keine Übergangsfrist. Keine Schonfrist. Die Pflichten gelten ab Tag eins.
Stellen Sie sich vor: Ein mittelständischer Maschinenbauer mit 65 Mitarbeitern, eine IT-Beratung mit 55 Angestellten, ein Lebensmittelhändler mit 80 Beschäftigten – sie alle könnten betroffen sein. Und viele wissen es nicht einmal. Fast die Hälfte der deutschen Unternehmen hat laut aktuellen Studien noch nicht geprüft, ob NIS2 für sie überhaupt gilt.
Was ist NIS2 – und warum jetzt diese Eile?
NIS2 steht für „Network and Information Security Directive 2“ – auf Deutsch: die Richtlinie zur Netz- und Informationssicherheit, Version 2. Die EU hat diese Richtlinie bereits im Dezember 2022 verabschiedet. Ziel: Ein einheitlich hohes Cybersicherheitsniveau in allen Mitgliedstaaten. Die Frist zur Umsetzung in nationales Recht? Oktober 2024.
Deutschland schaffte es nicht. Genau wie 23 andere EU-Länder. Die EU-Kommission leitete Vertragsverletzungsverfahren ein. Erst im November 2025 – ein Jahr zu spät – verabschiedete der Bundestag das Umsetzungsgesetz. Der Bundesrat nickte am 21. November ab. Am 5. Dezember erfolgte die Verkündung im Bundesgesetzblatt. Einen Tag später, am 6. Dezember 2025, trat es in Kraft.
Und hier kommt der Schock: Normalerweise gewährt der Gesetzgeber Übergangsfristen, damit Unternehmen Zeit haben, sich anzupassen. Nicht diesmal. Nach drei Jahren Vorlaufzeit auf EU-Ebene entschied man in Deutschland: Die Zeit ist um. Die Pflichten gelten sofort.
Von 4.500 auf 30.000: Die Explosion der Betroffenenzahl
Bisher waren in Deutschland etwa 4.500 Betreiber kritischer Infrastrukturen (KRITIS) reguliert – große Energieversorger, Telekommunikationsunternehmen, Krankenhäuser. Mit NIS2 steigt die Zahl der betroffenen Organisationen auf schätzungsweise 29.000 bis 30.000. Das ist eine Versiebenfachung.
Warum dieser drastische Anstieg? Weil NIS2 den Kreis der relevanten Sektoren massiv erweitert hat. Neu dabei sind unter anderem:
- Lebensmittelproduktion und -handel
- Post- und Kurierdienste
- Abfallwirtschaft
- Hersteller in bestimmten Industriezweigen (Maschinenbau, Elektronik, Fahrzeugbau)
- Forschungseinrichtungen
- Digitale Dienste und IT-Dienstleister
- Öffentliche Verwaltung auf Bundesebene
Besonders brisant: Die Größenschwellen wurden deutlich gesenkt. Als „wichtige Einrichtung“ gilt bereits, wer in einem der betroffenen Sektoren tätig ist und mindestens 50 Mitarbeiter oder einen Jahresumsatz von 10 Millionen Euro hat.
In unseren Beratungsgesprächen erleben wir immer wieder: Ein Handwerksbetrieb mit 55 Mitarbeitern, der auch Anlagen für die Lebensmittelproduktion wartet, könnte betroffen sein. Ein IT-Systemhaus mit 60 Angestellten, das Managed Services anbietet, fällt sehr wahrscheinlich unter NIS2. Ein Logistikunternehmen mit 70 Mitarbeitern, das Kurierdienste anbietet, muss sich registrieren.
Das Problem: Viele dieser Unternehmen haben nie von NIS2 gehört. Sie betrachten sich nicht als „kritische Infrastruktur“ – fallen aber dennoch unter die neuen Regelungen.
Was müssen betroffene Unternehmen konkret tun?
Die Anforderungen von NIS2 sind umfangreich. Hier die wichtigsten Pflichten im Überblick:
1. Registrierung beim BSI (Bundesamt für Sicherheit in der Informationstechnik)
Alle betroffenen Unternehmen müssen sich beim BSI registrieren. Das geschieht in zwei Schritten:
Zuerst erstellen Sie ein Unternehmenskonto bei „Mein Unternehmenskonto“ (MUK) – das funktioniert über ELSTER-Zertifikate, die Sie vielleicht bereits für Steuererklärungen nutzen.
Dann registrieren Sie sich im BSI-Portal, das seit 6. Januar 2026 online ist. Hier geben Sie an: Sektor, Größe, Kontaktdaten, benannte Sicherheitsverantwortliche.
Für „besonders wichtige Einrichtungen“ (die größeren, kritischeren Betriebe) gilt eine Registrierungsfrist von drei Monaten ab Inkrafttreten – also bis 6. März 2026. Für „wichtige Einrichtungen“ besteht ebenfalls Registrierungspflicht, allerdings ohne explizite Frist. Das BSI empfiehlt aber dringend, sich zügig zu registrieren.
2. Risikomanagement und technische Schutzmaßnahmen
NIS2 verlangt ein strukturiertes Informationssicherheits-Managementsystem (ISMS). Das klingt komplex, aber im Kern geht es um:
- Risikoanalyse: Welche IT-Systeme sind kritisch? Wo liegen Schwachstellen?
- Schutzmaßnahmen: Firewalls, Verschlüsselung, Zugangskontrollen, Multi-Faktor-Authentifizierung
- Backup und Wiederherstellung: Regelmäßige Backups, getestet und funktionsfähig
- Patch-Management: Sicherheitslücken müssen zeitnah geschlossen werden
- Notfallpläne: Was tun bei einem Cyberangriff?
Viele dieser Maßnahmen sind Best Practices, die ohnehin sinnvoll sind. NIS2 macht sie zur Pflicht – und verlangt Nachweise.
Ein bewährter Rahmen ist die ISO 27001. Wer bereits nach diesem Standard zertifiziert ist, erfüllt viele NIS2-Anforderungen automatisch. Aber: Eine Zertifizierung dauert in der Regel 1-2 Jahre und ist für viele KMUs nicht realistisch kurzfristig umsetzbar.
3. Lieferkettenrisiken managen (Supply Chain Security)
NIS2 verpflichtet Unternehmen, auch die Cybersicherheit ihrer Lieferanten und Dienstleister zu bewerten. Das bedeutet:
- Verträge mit IT-Dienstleistern müssen Sicherheitsanforderungen enthalten
- Cloud-Anbieter, Hosting-Provider, Softwarelieferanten müssen geprüft werden
- Bei kritischen Lieferanten sind Audits oder Nachweise erforderlich
Für viele KMUs ist das Neuland. Ein Beispiel aus unserer Praxis: Eine Steuerberatung mit 18 Mitarbeitern nutzt Cloud-Buchhaltungssoftware, einen Hosting-Provider für die Website und einen externen IT-Support. Alle drei müssen nun auf Cybersicherheit geprüft werden. Gibt es Auftragsverarbeitungsverträge? Wo stehen die Server? Welche Zertifizierungen haben die Anbieter?
4. Meldepflichten bei Cybervorfällen
Wenn ein erheblicher Sicherheitsvorfall eintritt – etwa ein Ransomware-Angriff, ein Datenabfluss oder ein länger andauernder Systemausfall – greifen strikte Meldefristen:
- Erstmeldung innerhalb von 24 Stunden an das BSI (auch wenn noch nicht alle Details bekannt sind)
- Folgemeldung innerhalb von 72 Stunden mit detaillierteren Informationen
- Abschlussbericht innerhalb eines Monats mit vollständiger Analyse und Maßnahmen
Diese Fristen sind ambitioniert. Wer nachts oder am Wochenende angegriffen wird, muss schnell reagieren können. Das erfordert vorbereitete Prozesse, klare Verantwortlichkeiten und Erreichbarkeit.
5. Geschäftsführerhaftung – IT-Sicherheit wird Chefsache
Das ist vielleicht die drastischste Neuerung: Die Geschäftsführung ist persönlich verantwortlich für die Umsetzung der Cybersicherheitsmaßnahmen. Das bedeutet konkret:
- Geschäftsführer müssen Sicherheitsmaßnahmen aktiv genehmigen (nicht nur abnicken)
- Sie müssen die Umsetzung regelmäßig überwachen
- Sie müssen mindestens alle drei Jahre an Cybersecurity-Schulungen teilnehmen
Bei Pflichtverletzungen droht eine persönliche Haftung. Das BSI kann Geschäftsführer direkt in die Verantwortung nehmen – mit potenziell existenzbedrohenden finanziellen Konsequenzen.
Ein Szenario aus der Praxis: Der Geschäftsführer eines mittelständischen IT-Dienstleisters mit 70 Mitarbeitern hakt Sicherheitsberichte ab, ohne sie zu lesen. Nach einem Ransomware-Angriff stellt sich heraus: Grundlegende Schutzmaßnahmen fehlten, obwohl die IT-Abteilung mehrfach darauf hingewiesen hatte. Resultat: Persönliche Haftung des Geschäftsführers wegen Verletzung der Überwachungspflicht.
Die Bußgelder: Bis zu 10 Millionen Euro oder 2% vom Jahresumsatz
NIS2 kommt mit einem scharfen Sanktionsregime. Die Bußgelder richten sich nach der Einstufung:
Für „besonders wichtige Einrichtungen“ (kritischere Sektoren, größere Unternehmen):
- Bis zu 10 Millionen Euro ODER
- 2% des weltweiten Jahresumsatzes (Es gilt der jeweils höhere Betrag)
Für „wichtige Einrichtungen“ (weniger kritische Sektoren, kleinere Unternehmen):
- Bis zu 7 Millionen Euro ODER
- 1,4% des weltweiten Jahresumsatzes
Das BSI kann diese Bußgelder bei Verstößen gegen die Sicherheitsanforderungen, bei Nichteinhaltung der Meldepflichten oder bei mangelnder Kooperation verhängen.
Für ein mittelständisches Unternehmen mit 10 Millionen Euro Jahresumsatz könnte ein schwerer Verstoß 200.000 Euro kosten (2%). Das ist für viele KMUs existenzbedrohend.
„Wir wussten nicht, dass wir betroffen sind“ – gilt das als Ausrede?
Nein. Rechtlich gilt: Unwissenheit schützt vor Strafe nicht. Das BSI hat zwar angekündigt, in einer Anfangsphase eher beratend als sanktionierend vorzugehen. Aber verlassen sollte man sich darauf nicht.
Das BSI bietet auf seiner Website eine Selbstprüfung an, mit der Unternehmen herausfinden können, ob sie betroffen sind. Unsere dringende Empfehlung: Nutzen Sie diese Prüfung. Jetzt.
In unseren Projekten sehen wir regelmäßig: Geschäftsführer gehen davon aus, dass NIS2 nur für „die Großen“ gilt. Dann stellen wir in einem kurzen Check fest: Das Unternehmen ist betroffen. 60 Mitarbeiter im Lebensmittelgroßhandel? Betroffen. 70 Mitarbeiter in der Metallverarbeitung mit Automotive-Kunden? Wahrscheinlich betroffen. 55 Mitarbeiter als IT-Systemhaus mit Managed Services? Sehr wahrscheinlich betroffen.
Was können Sie jetzt konkret tun?
Wenn Sie sich unsicher sind, ob Ihr Unternehmen unter NIS2 fällt, gehen Sie systematisch vor:
Schritt 1: Betroffenheitsprüfung Nutzen Sie die NIS2-Selbstprüfung des BSI oder lassen Sie sich von einem spezialisierten IT-Dienstleister oder Rechtsanwalt beraten.
Schritt 2: Registrierung vorbereiten Richten Sie ein „Mein Unternehmenskonto“ (MUK) ein, falls noch nicht geschehen. Das dauert ein paar Tage, da Zertifikate beantragt werden müssen.
Schritt 3: Ist-Analyse Ihrer IT-Sicherheit Wo stehen Sie aktuell? Haben Sie ein Informationssicherheitskonzept? Gibt es Backup-Strategien? Sind Zugänge mit Multi-Faktor-Authentifizierung gesichert? Wer ist bei einem Cybervorfall verantwortlich?
Schritt 4: Maßnahmenplan erstellen Identifizieren Sie die größten Lücken und priorisieren Sie Maßnahmen. Nicht alles muss sofort perfekt sein, aber der Weg zur Compliance muss erkennbar sein.
Schritt 5: Geschäftsleitung einbeziehen IT-Sicherheit ist jetzt Chefsache. Sorgen Sie dafür, dass die Geschäftsführung informiert, geschult und eingebunden ist.
Wir bieten in unseren Managed Services Projekten genau solche NIS2-Compliance-Checks an: Betroffenheitsprüfung, Gap-Analyse, Roadmap zur Umsetzung. Denn eins ist klar: Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch die persönliche Haftung der Geschäftsführung.
Fazit: Der NIS2-Zug ist abgefahren – aber es ist noch nicht zu spät
Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 geltendes Recht. Es gibt keine Übergangsfrist mehr. Die Uhr tickt. Aber: Panik ist kein guter Ratgeber.
Das BSI hat angekündigt, in der Anfangsphase eher auf Beratung als auf Sanktionen zu setzen – vorausgesetzt, Unternehmen zeigen erkennbare Bemühungen zur Umsetzung. Wer sich jetzt registriert, eine Risikoanalyse startet und erste Maßnahmen umsetzt, ist auf einem guten Weg.
Wer hingegen abwartet und hofft, dass es einen selbst nicht trifft, lebt gefährlich. Denn die nächste Prüfung durch das BSI, der nächste Cyberangriff oder der nächste Hinweis eines besorgten Kunden können schneller kommen als gedacht.
Kostenlose NIS2-Erstberatung: Sie sind unsicher, ob Ihr Unternehmen von NIS2 betroffen ist? Wir prüfen gemeinsam Ihre Situation und zeigen Ihnen konkrete nächste Schritte – ohne Fachchinesisch, dafür mit klaren Handlungsempfehlungen.
Sprechen Sie uns an: Kontakt
#NIS2 #Cybersecurity #ITSicherheit #KMU #Mittelstand #Compliance #Geschäftsführung #BSI #Deutschland #DigitaleSicherheit
