NIS2 ist da.
Ist Ihr Unternehmen bereit?

Am 6. Dezember 2025 ist das deutsche NIS2-Umsetzungs­gesetz (NIS2UmsuCG) in Kraft getreten — über ein Jahr nach der eigentlich EU-weit verbindlichen Frist. Seitdem gilt: Unternehmen in 18 Sektoren sind verpflichtet, Mindest­standards für Cyber­sicherheit einzuhalten, Vorfälle innerhalb von 24 Stunden zu melden und sich beim BSI zu registrieren.

Die Registrierungs­frist endete am 6. März 2026. Schätzungen zufolge haben zu diesem Zeitpunkt mehr als die Hälfte der betroffenen Unternehmen noch nicht einmal geprüft, ob sie überhaupt unter die Regelung fallen. Das Problem: Es gibt keine Schonfrist. Die technischen und organisatorischen Pflichten gelten seit Inkrafttreten — wer sie verletzt, riskiert Bußgelder in zweistelliger Millionen­höhe und die persönliche Haftung der Geschäfts­leitung.

Warum NIS2 den Mittelstand trifft

Die ursprüngliche NIS-Richtlinie von 2016 regelte nur „Betreiber kritischer Infrastrukturen" — im Wesentlichen Energie­versorger, Banken und Krankenhäuser. NIS2 erweitert den Anwendungs­bereich massiv: Betroffen ist grund­sätzlich jedes Unternehmen mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz, das in einem der 18 Sektoren tätig ist.

Das klingt zunächst eng — umfasst aber Maschinen­bauer, Lebensmittel­produzenten, Chemie­unternehmen, IT-Dienstleister, Logistiker und viele mehr. Selbst wer nicht direkt betroffen ist, wird es über die Lieferkette: NIS2-pflichtige Unternehmen müssen die Sicherheit ihrer Zulieferer und Dienstleister bewerten. Wer diesen Nachweis nicht erbringen kann, verliert Aufträge.

Die 10 Mindest­pflichten aus § 30 BSIG

NIS2 gibt nicht nur das „Was" vor, sondern auch das „Wie". Das deutsche BSIG (§ 30) listet zehn Risiko­management-Maßnahmen, die jedes betroffene Unternehmen umsetzen muss — unabhängig von der Größe. Die Messlatte ist der Stand der Technik.

Die neue Meldekette: 24 / 72 / 1 Monat

Eine der einschneidendsten Neuerungen ist die dreistufige Meldepflicht bei erheblichen Sicherheits­vorfällen:

• Innerhalb von 24 Stunden — eine Frühwarnung an das BSI mit ersten Informationen zum Vorfall.
• Innerhalb von 72 Stunden — eine umfassendere Vorfall­meldung mit Schadens­einschätzung.
• Innerhalb eines Monats — der Abschluss­bericht mit Ursache, Folgen und getroffenen Maßnahmen.

Diese Fristen sind nicht verhandelbar. Wer sie nicht einhält, wird behandelt, als hätte es gar keine Meldung gegeben — mit voller Bußgeld-Konsequenz.

Persönliche Haftung der Geschäfts­leitung

NIS2 adressiert nicht mehr nur das Unternehmen, sondern direkt die Geschäfts­führung. Geschäfts­führer und Vorstände sind persönlich dafür verantwortlich, dass die Risiko­management-Maßnahmen umgesetzt und überwacht werden. Sie müssen verpflichtende Schulungen zu Cyber­sicherheit absolvieren — und haften bei Verletzungen mit ihrem Privat­vermögen. Delegation an die IT-Abteilung schützt nicht.

Was Sie jetzt konkret tun sollten

Die schlechte Nachricht zuerst: Ein NIS2-Programm ist kein Wochenendprojekt. Die gute: Sie sind nicht der Einzige, der spät dran ist — und das BSI hat signalisiert, dass Unternehmen, die nachweislich tätig werden, anders behandelt werden als solche, die das Thema ignorieren.

1. Betroffenheit klären — dokumentiert

Lassen Sie formell prüfen, ob und wie Sie betroffen sind. Die Prüfung muss schriftlich festgehalten werden — bei einer Auditierung ist das der erste Nachweis, dass Sie sich mit dem Thema auseinander­gesetzt haben.

2. Registrierung beim BSI nachholen

Das BSI-Registrierungs­portal ist weiterhin erreichbar. Eine verspätete Registrierung ist besser als keine. Wer betroffen ist und nicht registriert, begeht eine eigenständige Ordnungs­widrigkeit.

3. Gap-Analyse gegen die 10 Pflichten

Vergleichen Sie Ihren Ist-Zustand gegen die zehn Pflichten aus § 30 BSIG. Für die meisten Mittel­ständler ergeben sich Lücken bei Lieferketten­sicherheit, Incident Response, Kryptografie und Zugriffs­management.

4. Quick Wins umsetzen

Multi-Faktor-Authentifizierung (MFA), ein strukturiertes Backup-Konzept und dokumentierte Incident-Response-Prozesse sind mit begrenztem Aufwand umsetzbar und decken mehrere der zehn Pflichten gleichzeitig ab. Wer Microsoft 365 einsetzt, kann mit Conditional Access, Defender for Business und Intune in wenigen Tagen signifikante Fortschritte erzielen.

5. Dokumentieren, dokumentieren, dokumentieren

NIS2 ist eine Nachweis­pflicht. Maßnahmen, die nicht dokumentiert sind, existieren aus Sicht des BSI nicht. Richtlinien, Prozesse, Schulungs­nachweise, Test­ergebnisse — alles muss aufbewahrt und auf Anforderung vorgelegt werden können.

Fazit: Verzug ist keine Option mehr

Die Frist ist abgelaufen, die Pflichten sind aktiv, die Bußgelder real. Wer jetzt noch wartet, verspielt nicht nur Compliance, sondern auch Aufträge: Große Unternehmen und öffentliche Auftrag­geber beginnen bereits, NIS2-Konformität als Zulassungs­kriterium für Lieferanten zu verlangen. Das gute: Die geforderten Maßnahmen sind nichts anderes als solide moderne IT-Sicherheit — etwas, von dem Ihr Unternehmen ohnehin profitiert. NIS2 ist der Anlass, es endlich anzugehen.

Als Managed Service Provider begleiten wir KMU durch die NIS2-Umsetzung: von der Betroffenheits­analyse über die Gap-Analyse bis zur technischen Implementierung der Maßnahmen in Ihrer Microsoft-365- und Azure-Umgebung. Dabei dokumentieren wir jeden Schritt auditierungs­fest.