NIS2-Umsetzung: Checkliste für den Mittelstand jetzt
6 Min. Lesezeit
Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 – ohne Übergangsfrist. Rund 29.500 Unternehmen in 18 Sektoren sind betroffen, darunter erstmals tausende Mittelständler aus Maschinenbau, IT-Dienstleistung und Logistik. Die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Wer sich noch nicht registriert hat, riskiert Bußgelder bis 10 Millionen Euro und persönliche Haftung der Geschäftsführung. Das ist kein Zukunftsszenario – das ist geltendes Recht.
Das Wichtigste in Kürze
- 29.500 Unternehmen in 18 Sektoren fallen unter NIS2 – deutlich mehr als unter die bisherige NIS-Richtlinie (BSI, 2025).
- Keine Übergangsfrist: Das NIS2UmsuCG gilt seit 6. Dezember 2025 sofort. Sicherheitsmaßnahmen und Meldepflichten sind verbindlich.
- Persönliche Haftung: §38 BSIG-neu macht Geschäftsführer persönlich verantwortlich. Bei schweren Verstößen droht ein Berufsverbot.
- Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen (§60 BSIG).
- BSI-Registrierung abgelaufen: Frist war der 6. März 2026. Nachregistrierung ist möglich, aber jeder Tag Verzögerung erhöht das Bußgeldrisiko.
NIS2 in Deutschland: Was seit Dezember 2025 gilt
Die europäische NIS2-Richtlinie hätte eigentlich bis Oktober 2024 in nationales Recht umgesetzt werden müssen. Deutschland hat diese Frist gerissen – das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde erst am 13. November 2025 vom Bundestag verabschiedet, am 20. November vom Bundesrat bestätigt und trat am 6. Dezember 2025 in Kraft.
Was viele Geschäftsführer unterschätzen: Das Gesetz kennt keine Schonfrist. Ab dem Tag des Inkrafttretens sind die Sicherheitsmaßnahmen nach §30 BSIG und die verschärften Meldepflichten für alle betroffenen Unternehmen verbindlich. Wer noch nicht compliant ist, verstößt bereits gegen geltendes Recht. Und das BSI prüft seit Anfang 2026 aktiv – nicht erst wenn ein Vorfall passiert.
Erschwerend kommt hinzu: Laut BSI-Daten hatten sich bis März 2026 nur rund 38,5 Prozent der geschätzt 29.500 betroffenen Unternehmen registriert. Mehr als 18.000 Unternehmen befinden sich damit in einer rechtlichen Grauzone – betroffen, aber weder registriert noch compliant.
Wer ist betroffen? Die 18 Sektoren im Überblick
NIS2 betrifft Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in 18 Sektoren. Das Gesetz unterscheidet zwei Kategorien: besonders wichtige Einrichtungen (höhere Pflichten, strengere Bußgelder) und wichtige Einrichtungen.
Besonders wichtige Einrichtungen umfassen Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienste im B2B-Bereich, öffentliche Verwaltung und Weltraum. Wichtige Einrichtungen umfassen Post und Kurier, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe (Maschinenbau, Fahrzeugbau, Elektrotechnik), Anbieter digitaler Dienste und Forschungseinrichtungen.
Für den Mittelstand ist die zweite Kategorie entscheidend: Ein Maschinenbauer mit 80 Mitarbeitern und 15 Millionen Euro Umsatz fällt unter NIS2 – auch wenn er sich bisher nie mit IT-Sicherheitsregulierung beschäftigt hat. Gleiches gilt für IT-Dienstleister, Logistikunternehmen und Zulieferer der Automobilindustrie. Die Betroffenheitsschwelle ist bewusst niedrig angesetzt.
NIS2 verlangt, dass die Geschäftsführung den Aufbau und Betrieb eines angemessenen Sicherheitsniveaus nicht nur duldet, sondern aktiv steuert. Sicherheitskonzepte genehmigen, Ressourcen bereitstellen und Risiken regelmäßig bewerten – das ist persönliche Pflicht der Geschäftsleitung.
Zusammenfassung der Pflichten nach §38 BSIG-neu
Bußgelder und persönliche Haftung nach §38 BSIG
Die Sanktionen unter NIS2 sind empfindlicher als alles, was deutsche Unternehmen bisher im Bereich IT-Sicherheit kannten. Besonders wichtige Einrichtungen riskieren Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem was höher ist. Für wichtige Einrichtungen liegen die Grenzen bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes.
Das eigentlich Brisante ist §38 BSIG-neu: Die persönliche Haftung der Geschäftsführung. Geschäftsführer müssen die Umsetzung der Sicherheitsmaßnahmen genehmigen und deren Durchführung überwachen. Sie sind verpflichtet, regelmäßig an Schulungen teilzunehmen, um IT-Risiken, technische Grundlagen und gesetzliche Anforderungen zu verstehen. Bei grober Fahrlässigkeit oder Vorsatz haftet der Geschäftsführer persönlich.
Im Extremfall kann das BSI ein vorübergehendes Berufsverbot für Führungskräfte aussprechen, die wiederholt oder schwerwiegend gegen NIS2 verstoßen. Das ist eine neue Qualität: IT-Sicherheit ist nicht mehr delegierbar, sondern Chefsache mit persönlichen Konsequenzen. Wer sich mit dem Thema Cyber-Versicherung beschäftigt, stellt schnell fest, dass viele Policen NIS2-Compliance als Voraussetzung für den Versicherungsschutz verlangen.
Ein konkretes Beispiel: Der Geschäftsführer eines mittelständischen IT-Dienstleisters mit 120 Mitarbeitern hatte die NIS2-Registrierung verpasst. Im Februar 2026 traf ein Ransomware-Angriff das Unternehmen. Die 24-Stunden-Meldefrist wurde nicht eingehalten, weil kein Incident-Response-Plan existierte. Die Folge: Neben dem wirtschaftlichen Schaden durch den Angriff drohen Bußgelder wegen fehlender Registrierung, verspäteter Meldung und mangelhafter Sicherheitsmaßnahmen. Der Geschäftsführer haftet persönlich, weil er weder Schulungen nachweisen kann noch die Umsetzung der Maßnahmen genehmigt hat. Dieser Fall ist kein Einzelfall – das BSI prüft seit Anfang 2026 aktiv.
Was genau müssen betroffene Unternehmen umsetzen?
§30 BSIG-neu definiert zehn Bereiche, in denen Unternehmen Maßnahmen ergreifen müssen. Der Umfang richtet sich nach Unternehmensgröße, Risikoexposition und gesellschaftlicher Bedeutung. Für den Mittelstand sind besonders relevant:
Risikomanagement: Regelmäßige Risikoanalysen für alle IT-Systeme und Geschäftsprozesse. Nicht einmal im Jahr als Pflichtübung, sondern als laufender Prozess.
Incident Response: Ein dokumentierter Plan für den Umgang mit Sicherheitsvorfällen. Innerhalb von 24 Stunden muss eine Erstmeldung an das BSI erfolgen. Innerhalb von 72 Stunden eine qualifizierte Meldung mit Einschätzung der Schwere. Nach einem Monat ein Abschlussbericht.
Business Continuity: Backup-Strategien, Wiederherstellungspläne und Krisenmanagement. Das Unternehmen muss nachweisen, dass es einen schwerwiegenden IT-Vorfall überleben kann.
Lieferkettensicherheit: Die Sicherheit der gesamten Lieferkette bewerten und absichern. Das betrifft insbesondere Unternehmen, die als Zulieferer kritischer Infrastrukturen arbeiten – und davon gibt es im Mittelstand viele. Wer die eigene Cloud-Strategie noch nicht auf Souveränität geprüft hat, sollte das im Rahmen der NIS2-Umsetzung nachholen.
Schulungspflicht für die Geschäftsleitung: §38 BSIG verlangt nachweisbare Schulungen. Geschäftsführer müssen die Grundlagen der IT-Sicherheit, aktuelle Bedrohungslagen und die rechtlichen Anforderungen kennen. Die Schulung muss dokumentiert werden – sie ist im Prüfungsfall ein zentraler Enthaftungsnachweis. Das gilt auch für Gesellschafter-Geschäftsführer im Mittelstand, die bisher IT-Sicherheit an den Systemadministrator delegiert haben.
Zugangskontrolle und Kryptografie: Multi-Faktor-Authentifizierung, verschlüsselte Kommunikation und ein strukturiertes Berechtigungsmanagement sind keine optionalen Empfehlungen mehr, sondern gesetzliche Pflicht. Besonders im Mittelstand, wo häufig noch einfache Passwörter und gemeinsam genutzte Adminkonten Standard sind, bedeutet das einen spürbaren Aufwand.
In 5 Schritten zur NIS2-Compliance
Betroffenheit prüfen
Fällt Ihr Unternehmen in einen der 18 Sektoren? Haben Sie mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz? Dann sind Sie mit hoher Wahrscheinlichkeit betroffen. Das BSI stellt einen Betroffenheits-Check auf seiner Website bereit.
BSI-Registrierung nachholen
Die offizielle Frist war der 6. März 2026. Wenn Sie diese verpasst haben: Sofort nachholen. Die Registrierung erfolgt über das Melde- und Informationsportal des BSI. Jeder Tag Verzögerung erhöht das Bußgeldrisiko.
Gap-Analyse durchführen
Vergleichen Sie Ihren aktuellen IT-Sicherheitsstand mit den Anforderungen nach §30 BSIG. Wo haben Sie bereits Maßnahmen, wo fehlen sie? Ein externer Auditor oder spezialisierter Berater kann diese Analyse in zwei bis vier Wochen durchführen.
Incident-Response-Plan aufsetzen
Definieren Sie klare Meldewege, Verantwortlichkeiten und Eskalationsstufen. Üben Sie den Ernstfall mindestens einmal pro Jahr mit einer Tabletop-Übung. Die 24-Stunden-Meldefrist zum BSI erfordert dokumentierte Prozesse, die im Krisenfall sofort greifen.
Geschäftsführung schulen und dokumentieren
§38 BSIG-neu verlangt nachweisbare Schulungen der Geschäftsleitung. Das ist nicht optional. Buchen Sie zertifizierte NIS2-Schulungen und dokumentieren Sie die Teilnahme. Diese Nachweise sind im Prüfungsfall entscheidend für die Enthaftung.
Ergänzend zur NIS2-Compliance sollten Unternehmen den Cyber Resilience Act im Blick behalten, der zusätzliche Anforderungen an Hersteller digitaler Produkte stellt. Und wer den regulatorischen Gesamtüberblick behalten will, findet im Artikel zum EU AI Act den zweiten großen Compliance-Block für 2026.
Häufige Fragen
Gilt NIS2 auch für Unternehmen mit weniger als 50 Mitarbeitern?
Grundsätzlich nicht. Die Schwelle liegt bei 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Ausnahmen gelten für Unternehmen in besonders kritischen Bereichen wie DNS-Dienste, Vertrauensdiensteanbieter oder Betreiber von Top-Level-Domains – diese fallen unabhängig von der Größe unter NIS2.
Kann ich die BSI-Registrierung noch nachholen?
Ja. Die Frist vom 6. März 2026 ist abgelaufen, aber die Registrierung über das BSI-Portal bleibt möglich. Unternehmen sollten die Nachregistrierung sofort vornehmen. Die verspätete Registrierung selbst ist bußgeldbewehrt, aber das Risiko steigt mit jedem Tag Verzögerung.
Was passiert bei einem Sicherheitsvorfall unter NIS2?
Betroffene Unternehmen müssen innerhalb von 24 Stunden eine Erstmeldung an das BSI abgeben. Innerhalb von 72 Stunden folgt eine qualifizierte Meldung mit Einschätzung der Schwere, des Ausmaßes und möglicher grenzüberschreitender Auswirkungen. Nach spätestens einem Monat ist ein Abschlussbericht fällig.
Haftet der Geschäftsführer persönlich bei NIS2-Verstößen?
Ja. §38 BSIG-neu sieht eine persönliche Verantwortung der Geschäftsleitung vor. Geschäftsführer müssen Sicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Bei grober Fahrlässigkeit oder Vorsatz droht persönliche Haftung. In schweren Fällen kann das BSI ein vorübergehendes Berufsverbot aussprechen.
Was kostet die NIS2-Umsetzung für einen Mittelständler?
Das hängt vom aktuellen Sicherheitsniveau ab. Unternehmen mit einem bestehenden ISMS nach ISO 27001 haben den geringsten Aufwand – sie müssen im Wesentlichen die Meldepflichten und die Geschäftsführerschulung ergänzen. Unternehmen ohne strukturiertes IT-Sicherheitsmanagement müssen mit einem initialen Aufwand von 50.000 bis 200.000 Euro rechnen, verteilt über sechs bis zwölf Monate.
Reicht eine ISO-27001-Zertifizierung für NIS2-Compliance?
Eine ISO-27001-Zertifizierung deckt viele NIS2-Anforderungen ab, reicht aber allein nicht aus. NIS2 verlangt zusätzlich die BSI-Registrierung, spezifische Meldepflichten innerhalb von 24 Stunden, nachweisbare Geschäftsführerschulungen und die Absicherung der Lieferkette. ISO 27001 ist eine sehr gute Basis, muss aber um die NIS2-spezifischen Pflichten ergänzt werden.
Lesetipps der Redaktion
Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380596)
