NIS2 ist seit Oktober 2024 in nationales Recht umgesetzt, aber die echte Vollzugswelle kommt 2026. Das Bundesamt für Sicherheit in der Informationstechnik baut seine Prüfungsstrukturen aus, erste Stichproben laufen, Bußgeldverfahren werden vorbereitet. Bei Verstößen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, der höhere Wert gilt. Die Geschäftsleitung haftet persönlich. Im Mittelstand sind 18 Sektoren betroffen, viele wissen noch nicht, dass sie unter NIS2 fallen.

Auf einen Blick: Stand Mai 2026 nimmt das BSI seine NIS2-Prüfungen für mittelgroße Einrichtungen aktiv auf. Bußgelder bis 10 Millionen Euro oder 2 Prozent Welt-Umsatz. Geschäftsleitung haftet persönlich. 18 Sektoren betroffen, darunter Industrie, Energie, Gesundheit, IT-Dienstleister, Logistik. Mindestpflichten: Risikomanagement, Vorfall-Meldewege binnen 24 Stunden, Mitarbeiter-Schulung, Lieferkettenmanagement. Förderung der Schulung über § 82 SGB III möglich.

NIS2 (zweite Netz- und Informationssicherheits-Richtlinie der EU) wurde im Oktober 2024 in Deutschland durch das NIS2-Umsetzungsgesetz verankert. Es ersetzt die alte NIS-Richtlinie und erweitert den Geltungsbereich erheblich. Wer früher unter NIS fiel, fällt auch unter NIS2. Aber die Liste hat sich um viele KMU-relevante Branchen erweitert. Hersteller von Maschinen, Lebensmittelproduzenten, Postdienstleister, Forschungseinrichtungen und Anbieter digitaler Dienste sind neu dabei.

Die Pflicht zur Selbst-Identifizierung war ab März 2026 abgelaufen. Das heißt: Firmen, die unter NIS2 fallen, mussten sich beim BSI registrieren. Wer das versäumt hat, hat bereits einen ersten Compliance-Verstoß im Aktenstapel.

Wer im Mittelstand unter NIS2 fällt

Drei Größen-Schwellen entscheiden.

Wesentliche Einrichtungen sind ab 250 Mitarbeitern oder über 50 Millionen Euro Jahresumsatz definiert, die in einem der relevanten Sektoren tätig sind. Diese Stufe trifft den größeren Mittelstand, oft Familienunternehmen mit zwei oder drei Standorten.

Wichtige Einrichtungen sind ab 50 Mitarbeitern oder über 10 Millionen Euro Jahresumsatz. Das ist die typische Mittelstandsklasse. Sie haben nicht ganz so strenge Pflichten wie wesentliche Einrichtungen, aber die Grundpflichten sind identisch.

Daneben gibt es die kritischen Anlagen, die unabhängig von der Größe unter NIS2 fallen. Strom- und Gas-Versorger, Wasser-Aufbereitung, Krankenhäuser ab 30.000 Patienten pro Jahr, Banken mit bestimmten Schwellen.

In der Praxis fallen viele mittelständische Firmen unter NIS2, ohne es zu wissen. Wer als Maschinenbauer mit 80 Mitarbeitern und 15 Millionen Umsatz betriebsfähige Industrieanlagen herstellt, ist eine "wichtige Einrichtung". Wer als Logistik-Dienstleister mit 200 Mitarbeitern Pakete für die deutsche Post zustellt, ebenfalls.

Welche Pflichten konkret gelten

Sechs Mindestpflichten sind nicht verhandelbar.

Erstens das Risikomanagement. Ein dokumentiertes IT-Risikomanagement-Konzept ist Pflicht. Das umfasst die Identifikation kritischer IT-Systeme, eine Bewertung der Bedrohungslage, eine Maßnahmen-Liste mit Prioritäten und einen Verantwortlichen. In der Praxis ist das oft das ISO-27001-Konzept oder eine vereinfachte Variante.

Zweitens die Meldepflicht. Schwerwiegende Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden. Detail-Bericht binnen 72 Stunden. Abschluss-Bericht spätestens nach einem Monat. Wer das versäumt, hat einen klaren Verstoß.

Drittens die Mitarbeiter-Schulung. Alle Mitarbeiter, die mit IT-Systemen arbeiten, brauchen eine grundlegende Sicherheits-Schulung. Geschäftsführung und Vorstand haben eigenen Schulungsanspruch. Diese Pflicht überlappt mit der Artikel-4-KI-Kompetenz aus dem EU AI Act, lässt sich aber kombinieren.

Viertens das Lieferkettenmanagement. Wer IT-Dienstleister, Cloud-Anbieter oder Software-Lieferanten nutzt, muss deren Sicherheitsstandards prüfen. Bei Cloud-Anbietern aus den USA wird das durch DSGVO und EU AI Act doppelt unterfüttert. Verträge müssen NIS2-konforme Sicherheitsklauseln enthalten.

Fünftens die Geschäftskontinuität. Backup-Strategie, Notfall-Pläne, Wiederanlaufzeit-Vorgaben. Bei einem Cyberangriff muss die Firma binnen einer dokumentierten Zeit wieder produktiv sein. Wer keinen Plan hat, wartet bei einem Vorfall im Trockenen.

Sechstens die Zugriffskontrolle. Wer hat Zugriff auf welche Systeme? Multi-Faktor-Authentifizierung an allen kritischen Zugängen, dokumentierte Berechtigungs-Vergabe, regelmäßige Reviews. Das ist 2026 Hygiene und nicht mehr verhandelbar.

Die persönliche Haftung der Geschäftsleitung

Der Punkt, der viele Mittelständler unterschätzen.

NIS2 sieht eine persönliche Haftung der Geschäftsleitung vor. Nicht der Firma, sondern der Geschäftsführer oder Vorstandsmitglieder persönlich. Bei Verletzung der NIS2-Pflichten kann die Aufsichtsbehörde direkte Sanktionen gegen die Person verhängen. Im Wirtschaftsverband Deutschland wird das als "GF-Haftungs-Risiko" diskutiert, weil viele Mittelstands-Geschäftsführer ohne D&O-Versicherung arbeiten und damit privates Vermögen in Gefahr bringen.

Praktisch bedeutet das: Geschäftsführer können die Pflichten nicht an die IT-Abteilung delegieren und sich selbst zurücklehnen. Sie müssen nachweisen können, dass sie das Thema selbst aktiv gemanagt haben. Schulungsnachweise des Geschäftsführers, dokumentierte Management-Reviews, Einsicht in das Risikoregister.

Dieser Punkt ist neu im Compliance-Bereich und sollte in jeder GmbH-Geschäftsführung 2026 Thema in einer der nächsten Sitzungen sein.

Was BSI-Prüfungen praktisch ablaufen

Stand Mai 2026 ist das BSI noch in der Aufbauphase, aber die ersten systematischen Prüfungen laufen.

Stichproben-Audits sind die häufigste Form. Das BSI wählt Firmen aus den Registrierungslisten aus und fordert die Compliance-Dokumentation an. Schriftliches Verfahren, in dem Unterlagen eingereicht werden müssen. Die Liste der angeforderten Dokumente ist umfangreich: Risikomanagement-Konzept, Meldewege-Dokumentation, Schulungsnachweise, Lieferanten-Audits, Backup-Konzept, MFA-Übersicht.

Vor-Ort-Prüfungen folgen bei auffälligen Stichproben oder bei konkreten Vorfällen. Hier kommt ein BSI-Prüfer in die Firma, sieht IT-Systeme an, befragt Mitarbeiter und prüft die Praxis. Das ist die Stufe, vor der niemand stehen will.

Beschwerde-Verfahren entstehen, wenn ein Mitarbeiter, ein Kunde oder ein IT-Dienstleister einen Verdacht meldet. Auch hier prüft das BSI die Pflichten und kann Sanktionen verhängen.

In allen drei Fällen ist die erste Anforderung des BSI immer dieselbe: dokumentierte Compliance. Wer keine Unterlagen hat, hat ein Problem, unabhängig davon, ob die IT-Sicherheit faktisch in Ordnung ist.

Wie Schulung in den Compliance-Sprint passt

Mitarbeiter-Schulung ist eine der drei Säulen der NIS2-Compliance. Sie ist nicht nur Pflicht, sondern auch der einzige Punkt, der über Förderung deutlich entlastet werden kann.

Das Qualifizierungschancengesetz nach § 82 SGB III ermöglicht bei Kleinbetrieben unter 10 Mitarbeitern bis zu 100 Prozent Lehrgangskosten plus bis zu 100 Prozent Lohnzuschuss während der Schulung. Bei mittelgroßen Betrieben mit 10 bis 249 Mitarbeitern sind es 50 bis 100 Prozent (mit Tarifvertrag oder Betriebsvereinbarung bis 100 Prozent). Bei größeren Betrieben sinkt die Quote.

Eine kombinierte Schulung, die NIS2-Sicherheits-Wissen, KI-Kompetenz nach Artikel 4 EU AI Act und Datenschutz-Grundlagen abdeckt, ist effizienter als drei separate. Die DigiMan-Weiterbildung hat alle drei Themen im Curriculum. AZAV-Maßnahmenzertifikat 723/0097/2026 (DEKRA), 720 UE über 16 Wochen, komplett online.

Für einen unverbindlichen ersten Eindruck gibt es den kostenlosen Schnupperkurs ohne Anmeldebindung.

Was Geschäftsführer in den nächsten 4 Wochen tun sollten

Vier konkrete Schritte für die nächsten Wochen.

Schritt eins: Klären, ob die Firma unter NIS2 fällt. Mitarbeiter-Anzahl, Jahresumsatz und Sektor abgleichen. Bei Unsicherheit hilft der NIS2-Check des BSI oder ein Anruf bei einem spezialisierten IT-Sicherheitsberater.

Schritt zwei: Status-Quo-Audit. Welche der sechs Mindestpflichten sind erfüllt? Risikomanagement-Konzept, Meldewege, Mitarbeiter-Schulung, Lieferkettenmanagement, Geschäftskontinuität, Zugriffskontrolle. Eine Lücken-Liste mit Prioritäten.

Schritt drei: Schulungsnachweise sammeln und ergänzen. Welche Mitarbeiter haben wann welche Sicherheits-Schulung gemacht? Wer ist auf dem Stand 2026, wer braucht ein Update? Geschäftsführung und Vorstand mit einbeziehen.

Schritt vier: Externe Beratung holen, falls die Lücken-Liste viele Punkte enthält. Spezialisierte IT-Sicherheits-Beratungen können in 4 bis 8 Wochen die Mindest-Compliance herstellen. Kosten typisch 5.000 bis 30.000 Euro je nach Firmengröße. Das ist im Vergleich zu möglichen Bußgeldern und persönlichen Haftungs-Risiken eine vergleichbar kleine Investition.

Häufige Fragen

Fällt mein Mittelstandsbetrieb unter NIS2?

Wenn du in einem der 18 Sektoren tätig bist und mindestens 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz hast, sehr wahrscheinlich ja. Die Sektoren sind Energie, Wasser, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IT-Dienstleister, öffentliche Verwaltung, Weltraum, Postdienstleister, Abfallentsorgung, Chemie, Lebensmittel, Industrie und Forschung.

Was kostet eine NIS2-Compliance-Beratung?

Je nach Firmengröße und Status zwischen 5.000 und 30.000 Euro für die Initial-Beratung plus eventuell 500 bis 5.000 Euro pro Jahr für die laufende Begleitung. Dokumentations-Pakete für Standardfälle gibt es ab 1.500 Euro. Bei eigener Vorarbeit reduziert sich der Beratungs-Aufwand deutlich.

Was passiert bei einem Cyber-Vorfall ohne NIS2-Compliance?

Drei Konsequenzen. Erstens das Bußgeldverfahren beim BSI, das je nach Schwere bis 10 Millionen Euro reichen kann. Zweitens die persönliche Haftung der Geschäftsleitung, die privates Vermögen in Gefahr bringt. Drittens die Reputationswirkung im B2B-Geschäft, die oft schwerer wiegt als das Bußgeld.

Reicht die ISO-27001-Zertifizierung für NIS2 aus?

Nicht automatisch, aber sie ist eine starke Grundlage. Eine ISO-27001-Zertifizierung deckt den Großteil der NIS2-Mindestpflichten ab. Die spezifischen NIS2-Aspekte (24-Stunden-Meldepflicht, persönliche Geschäftsleitungs-Haftung, sektorale Lieferkettenpflichten) müssen ergänzend dokumentiert werden. In der Praxis ist eine ISO-27001-zertifizierte Firma schneller NIS2-konform als eine ohne Vorarbeit.

Wie hilft KI-Kompetenz-Schulung bei NIS2?

KI-Tools sind mittlerweile in vielen IT-Sicherheits-Workflows integriert. Microsoft Defender, CrowdStrike, Sophos, alle nutzen KI-Komponenten. Wer als Mitarbeiter diese Tools bedient, braucht KI-Kompetenz nach Artikel 4 EU AI Act. Eine Schulung, die NIS2-Sicherheits-Wissen und KI-Kompetenz kombiniert, deckt zwei Pflichten gleichzeitig ab.

Wer in der NIS2-Vorbereitung Unterstützung braucht, findet unter skill-sprinters.de/termin einen kurzen Telefontermin zur Klärung.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp