NIS2 Richtlinie Mittelstand: 10 Pflichten, die Sie jetzt umsetzen müssen

Die NIS2 Richtlinie betrifft den Mittelstand in Deutschland seit Dezember 2025 unmittelbar, denn das nationale Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten. Rund 29.500 Unternehmen in Deutschland fallen unter die neuen Cybersicherheitspflichten. Viele mittelständische Betriebe unterschätzen dabei den Umfang der Anforderungen. Wer die Registrierungsfrist beim BSI am 6. März 2026 verpasst hat, riskiert bereits jetzt Bußgelder.

Dieser Artikel erklärt, wer betroffen ist, welche 10 Pflichten das Gesetz vorsieht und wie Sie die Umsetzung pragmatisch angehen.

Das Wichtigste in Kürze

• Das NIS2UmsuCG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist.
• Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz in einem der 18 regulierten Sektoren.
• Bußgelder reichen bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
• Die Geschäftsleitung haftet persönlich und kann diese Verantwortung nicht delegieren.
• Die BSI-Registrierungspflicht ist bereits abgelaufen (Frist: 6. März 2026).

Wer ist von NIS2 betroffen?

Die NIS2-Richtlinie verwendet zwei Kriterien, um betroffene Unternehmen zu identifizieren: Unternehmensgröße und Sektorzugehörigkeit.

Schwellenwerte

Ein Unternehmen fällt unter NIS2, wenn es mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von mindestens 10 Mio. EUR aufweist. Es genügt, wenn eines der beiden Kriterien erfüllt ist.

Die 18 regulierten Sektoren

Das Gesetz unterscheidet zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren.

Sektoren mit hoher Kritikalität (besonders wichtige Einrichtungen):

1. Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme, Ladestationen)
2. Transport (Straße, Schiene, Luft, Schifffahrt)
3. Bankwesen
4. Finanzmarktinfrastrukturen
5. Gesundheitswesen
6. Trinkwasserversorgung
7. Abwasserbeseitigung
8. Digitale Infrastruktur (Rechenzentren, Cloud, Telekommunikation)
9. IKT-Dienstemanagement (B2B)
10. Öffentliche Verwaltung
11. Weltraum

Sonstige kritische Sektoren (wichtige Einrichtungen):

1. Post- und Kurierdienste
2. Abfallwirtschaft
3. Chemie
4. Lebensmittel
5. Verarbeitendes Gewerbe / Herstellung (u.a. Maschinenbau, Fahrzeugbau, Elektrotechnik)
6. Anbieter digitaler Dienste
7. Forschung

Ausnahmen von den Schwellenwerten

Bestimmte Unternehmen fallen unabhängig von ihrer Größe unter NIS2: qualifizierte Vertrauensdiensteanbieter, Anbieter von DNS-Diensten, TLD-Namenregistries sowie Anbieter öffentlicher Telekommunikationsnetze.

Zwei Kategorien mit unterschiedlichen Pflichten

Das Gesetz unterscheidet zwischen besonders wichtigen Einrichtungen (bwE) und wichtigen Einrichtungen (wE). Besonders wichtige Einrichtungen unterliegen der proaktiven Aufsicht durch das BSI. Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht, bei der das BSI erst bei konkreten Hinweisen tätig wird.

Die 10 Pflichten im Überblick

1. Registrierung beim BSI

Jede betroffene Einrichtung muss sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die Frist dafür war der 6. März 2026. Wer noch nicht registriert ist, sollte das umgehend nachholen.

2. Risikomanagement einführen

Unternehmen müssen ein systematisches Risikomanagement für ihre IT-Systeme, Netzwerke und Prozesse etablieren. Das umfasst die Identifikation von Risiken, die Bewertung ihrer Eintrittswahrscheinlichkeit und Auswirkung sowie die Ableitung geeigneter Maßnahmen.

3. Technische und organisatorische Maßnahmen umsetzen

Das Gesetz verlangt Maßnahmen in zehn Bereichen:

• Risikoanalyse und Sicherheitskonzepte
• Bewältigung von Sicherheitsvorfällen (Incident Response)
• Aufrechterhaltung des Betriebs (Business Continuity)
• Sicherheit der Lieferkette
• Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
• Bewertung der Wirksamkeit der Maßnahmen
• Grundlegende Cyberhygiene und Schulungen
• Kryptografie und Verschlüsselung
• Personalsicherheit und Zugangskontrollen
• Multi-Faktor-Authentifizierung und sichere Kommunikation

4. Meldepflichten einhalten

Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden. Das Gesetz sieht ein dreistufiges Meldesystem vor:

• Erstmeldung innerhalb von 24 Stunden nach Kenntnisnahme
• Bestätigungsmeldung innerhalb von 72 Stunden mit erster Bewertung
• Abschlussmeldung innerhalb eines Monats mit detaillierter Analyse

5. Geschäftsleitungspflichten erfüllen

Die Geschäftsleitung muss die Umsetzung der Sicherheitsmaßnahmen genehmigen und deren Einhaltung überwachen. Diese Verantwortung kann weder an einen CISO noch an externe Dienstleister delegiert werden.

Laut § 38 BSIG (neu) haftet die Geschäftsleitung bei grober Fahrlässigkeit oder Vorsatz persönlich mit ihrem Privatvermögen.

6. Regelmäßige Schulungen der Geschäftsleitung

Das Gesetz verpflichtet die Geschäftsleitung, regelmäßig an Schulungen teilzunehmen. Diese müssen IT-Risiken, technische Grundlagen und rechtliche Anforderungen abdecken. Eine einmalige Unterweisung reicht nicht aus.

7. Lieferkettensicherheit gewährleisten

Unternehmen müssen die Cybersicherheit ihrer Lieferkette bewerten und überwachen. Das betrifft direkte Zulieferer und Dienstleister, insbesondere wenn diese Zugang zu IT-Systemen oder Daten haben.

8. Notfallpläne erstellen und testen

Ein Business-Continuity-Management mit Notfallplänen, Backup-Konzepten und Wiederherstellungsprozessen ist Pflicht. Die Pläne müssen regelmäßig getestet werden, um ihre Wirksamkeit sicherzustellen.

9. Nachweispflichten gegenüber dem BSI

Besonders wichtige Einrichtungen müssen auf Verlangen des BSI nachweisen, dass sie die geforderten Maßnahmen umgesetzt haben. Das BSI kann Audits, Prüfungen und Zertifizierungen verlangen.

10. Dokumentation aller Maßnahmen

Sämtliche Maßnahmen, Entscheidungen und Vorfälle müssen dokumentiert werden. Diese Dokumentation dient als Nachweis gegenüber dem BSI und im Haftungsfall gegenüber Gerichten.

Bußgelder und Sanktionen

Die Bußgelder sind erheblich und unterscheiden sich je nach Kategorie:

Es gilt jeweils der höhere Wert. Bei einem mittelständischen Unternehmen mit 50 Mio. EUR Jahresumsatz beträgt das maximale Bußgeld als besonders wichtige Einrichtung 10 Mio. EUR (da 2 % = 1 Mio. EUR unter dem Mindestbetrag liegen).

Hinzu kommt die persönliche Haftung der Geschäftsleitung nach § 38 BSIG.

Pragmatische Umsetzung für den Mittelstand

Phase 1: Betroffenheitsanalyse (sofort)

Prüfen Sie zunächst, ob Ihr Unternehmen die Schwellenwerte erfüllt und in einem regulierten Sektor tätig ist. Das BSI bietet auf seiner Website einen Betroffenheitscheck an.

Phase 2: GAP-Analyse (Woche 1-4)

Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen des Gesetzes. In vielen Fällen existieren bereits Maßnahmen, die nur dokumentiert und systematisiert werden müssen.

Phase 3: Maßnahmenplanung (Woche 5-8)

Priorisieren Sie die identifizierten Lücken nach Risiko und Aufwand. Beginnen Sie mit den Meldepflichten und der Registrierung, da deren Nichteinhaltung sofort sanktioniert werden kann.

Phase 4: Umsetzung (Woche 9-24)

Setzen Sie die technischen und organisatorischen Maßnahmen schrittweise um. Nutzen Sie bestehende Standards wie ISO 27001 oder den BSI IT-Grundschutz als Orientierung.

Phase 5: Laufender Betrieb

Etablieren Sie regelmäßige Reviews, Schulungen und Übungen. Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.

Typische Stolperfallen bei der Umsetzung

Stolperfalle 1: "Das betrifft uns nicht"

Die häufigste Fehleinschätzung im Mittelstand. Viele Unternehmen unterschätzen, wie breit die 18 Sektoren gefasst sind. Ein Maschinenbauer mit 80 Mitarbeitern und 15 Mio. EUR Umsatz fällt unter "Verarbeitendes Gewerbe" und damit unter NIS2. Ein IT-Dienstleister mit 55 Mitarbeitern fällt unter "Digitale Infrastruktur" oder "IKT-Dienstemanagement". Prüfen Sie die Betroffenheit sorgfältig, bevor Sie das Thema ad acta legen.

Stolperfalle 2: Cybersicherheit als IT-Thema behandeln

NIS2 macht Cybersicherheit zur Geschäftsleitungsaufgabe. Die Verantwortung liegt nicht beim IT-Leiter, sondern beim Geschäftsführer. Wer die Umsetzung komplett an die IT-Abteilung delegiert, verstößt bereits gegen § 38 BSIG. Die Geschäftsleitung muss die Maßnahmen selbst genehmigen und sich regelmäßig schulen lassen.

Stolperfalle 3: Lieferkette ignorieren

Viele Mittelständler konzentrieren sich auf die eigene IT-Infrastruktur und vergessen die Lieferkette. Wenn Ihr wichtigster Cloud-Anbieter oder Ihre Buchhaltungssoftware kompromittiert wird, trifft das auch Sie. NIS2 verlangt eine Bewertung und Überwachung der Cybersicherheit Ihrer Zulieferer und Dienstleister.

Stolperfalle 4: Einmalige Umsetzung statt laufendem Prozess

Cybersicherheit ist kein Projekt mit Anfang und Ende. NIS2 verlangt ein kontinuierliches Risikomanagement, regelmäßige Überprüfungen der Wirksamkeit und laufende Schulungen. Wer einmal ein Sicherheitskonzept erstellt und es dann in die Schublade legt, riskiert bei der nächsten BSI-Prüfung ein Bußgeld.

Stolperfalle 5: Meldepflichten unterschätzen

24 Stunden für die Erstmeldung eines Sicherheitsvorfalls sind wenig Zeit. Ohne vorbereitete Prozesse und Vorlagen wird die Frist regelmäßig gerissen. Erstellen Sie vorab Meldeprozesse, benennen Sie Verantwortliche und üben Sie den Ablauf mindestens einmal im Jahr.

Verbindung zum EU AI Act

Wenn Ihr Unternehmen zusätzlich KI-Systeme einsetzt, beachten Sie die Wechselwirkungen mit dem EU AI Act. Beide Regelwerke stellen Anforderungen an das Risikomanagement, die Dokumentation und die Schulung von Mitarbeitern. Eine integrierte Umsetzung spart Ressourcen.

Unternehmen, die ihre Mitarbeiter im Bereich KI und IT-Sicherheit weiterbilden möchten, finden in unserem KI-Schnupperkurs einen praxisnahen Einstieg. Für eine systematische Qualifizierung bietet sich die Weiterbildung zum Digitalisierungsmanager an.

Häufige Fragen

Gilt NIS2 auch für Unternehmen mit weniger als 50 Mitarbeitern?

Grundsätzlich nicht. Ausnahmen bestehen für Vertrauensdiensteanbieter, DNS-Anbieter, TLD-Registries und Anbieter öffentlicher Telekommunikationsnetze. Diese fallen unabhängig von der Unternehmensgröße unter NIS2.

Gibt es eine Übergangsfrist für die Umsetzung?

Nein. Das NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten und gilt seitdem ohne Übergangsfrist. Die Registrierungsfrist beim BSI war der 6. März 2026.

Kann ich die Cybersicherheitspflichten an einen externen IT-Dienstleister delegieren?

Die Umsetzung technischer Maßnahmen kann an Dritte vergeben werden. Die Verantwortung der Geschäftsleitung für die Genehmigung und Überwachung bleibt jedoch bestehen und ist nicht delegierbar.

Was passiert, wenn ich einen Sicherheitsvorfall nicht melde?

Die Nichtmeldung eines erheblichen Sicherheitsvorfalls stellt einen eigenständigen Bußgeldtatbestand dar. Die Erstmeldung muss innerhalb von 24 Stunden erfolgen.

Reicht eine ISO 27001 Zertifizierung für die NIS2-Compliance?

Eine ISO 27001 Zertifizierung deckt viele der geforderten Maßnahmen ab, ist aber nicht deckungsgleich mit den NIS2-Anforderungen. Insbesondere die Meldepflichten, die Registrierung beim BSI und die Geschäftsleitungspflichten gehen über ISO 27001 hinaus.

Wie unterscheidet sich NIS2 von der bisherigen KRITIS-Regulierung?

NIS2 erweitert den Anwendungsbereich erheblich. Während die bisherige KRITIS-Regulierung primär Betreiber kritischer Infrastrukturen betraf (ca. 2.000 Unternehmen), fallen unter NIS2 rund 29.500 Unternehmen in 18 Sektoren.

Fazit

Das NIS2-Umsetzungsgesetz stellt den Mittelstand vor neue Herausforderungen. Das Gesetz ist seit Dezember 2025 in Kraft, die Registrierungsfrist ist abgelaufen, und Bußgelder bis 10 Mio. EUR stehen im Raum. Die persönliche Haftung der Geschäftsleitung macht dieses Thema zur Chefsache.

Die gute Nachricht: Viele mittelständische Unternehmen haben bereits Teile der geforderten Maßnahmen umgesetzt, ohne es zu wissen. Eine strukturierte GAP-Analyse zeigt, wo nachgebessert werden muss. Wer jetzt handelt, schützt nicht nur das Unternehmen vor Bußgeldern, sondern auch vor den realen Schäden eines Cyberangriffs.