NIS2 Richtlinie Mittelstand: 10 Pflichten, die Sie jetzt umsetzen müssen

Die NIS2 Richtlinie trifft den Mittelstand in Deutschland unmittelbar. Das nationale Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten, ohne Übergangsfrist, und rund 29.500 Unternehmen fallen unter die neuen Cybersicherheitspflichten. Wer die Registrierungsfrist beim BSI am 6. März 2026 verpasst hat, läuft bereits jetzt in Bußgelder hinein. Dieser Artikel erklärt, wer betroffen ist, was die zehn zentralen Pflichten sind und wie eine pragmatische Umsetzung im Mittelstand aussieht.

Wer ist von NIS2 betroffen?

Die Richtlinie arbeitet mit zwei Kriterien: Unternehmensgröße und Sektor. Ein Unternehmen fällt unter NIS2, wenn es mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von mindestens 10 Mio. EUR erreicht. Eines der beiden Kriterien genügt.

Die 18 regulierten Sektoren

Das Gesetz unterscheidet zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren.

Sektoren mit hoher Kritikalität (besonders wichtige Einrichtungen):

1. Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme, Ladestationen)
2. Transport (Straße, Schiene, Luft, Schifffahrt)
3. Bankwesen
4. Finanzmarktinfrastrukturen
5. Gesundheitswesen
6. Trinkwasserversorgung
7. Abwasserbeseitigung
8. Digitale Infrastruktur (Rechenzentren, Cloud, Telekommunikation)
9. IKT-Dienstemanagement (B2B)
10. Öffentliche Verwaltung
11. Weltraum

Sonstige kritische Sektoren (wichtige Einrichtungen):

1. Post- und Kurierdienste
2. Abfallwirtschaft
3. Chemie
4. Lebensmittel
5. Verarbeitendes Gewerbe / Herstellung (u.a. Maschinenbau, Fahrzeugbau, Elektrotechnik)
6. Anbieter digitaler Dienste
7. Forschung

Ausnahmen von den Schwellenwerten

Bestimmte Unternehmen fallen unabhängig von ihrer Größe unter NIS2: qualifizierte Vertrauensdiensteanbieter, Anbieter von DNS-Diensten, TLD-Namenregistries sowie Anbieter öffentlicher Telekommunikationsnetze.

Zwei Kategorien mit unterschiedlichen Pflichten

Das Gesetz unterscheidet zwischen besonders wichtigen Einrichtungen (bwE) und wichtigen Einrichtungen (wE). Besonders wichtige Einrichtungen unterliegen der proaktiven Aufsicht durch das BSI. Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht, bei der das BSI erst bei konkreten Hinweisen tätig wird.

Die 10 Pflichten im Überblick

1. Registrierung beim BSI

Jede betroffene Einrichtung muss sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Die Frist war der 6. März 2026. Wer noch nicht registriert ist, holt das umgehend nach.

2. Risikomanagement einführen

Unternehmen müssen ein systematisches Risikomanagement für ihre IT-Systeme, Netzwerke und Prozesse etablieren. Das umfasst die Identifikation von Risiken, die Bewertung ihrer Eintrittswahrscheinlichkeit und Auswirkung sowie die Ableitung geeigneter Maßnahmen.

3. Technische und organisatorische Maßnahmen umsetzen

Das Gesetz verlangt Maßnahmen in zehn Bereichen:

• Risikoanalyse und Sicherheitskonzepte
• Bewältigung von Sicherheitsvorfällen (Incident Response)
• Aufrechterhaltung des Betriebs (Business Continuity)
• Sicherheit der Lieferkette
• Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
• Bewertung der Wirksamkeit der Maßnahmen
• Grundlegende Cyberhygiene und Schulungen
• Kryptografie und Verschlüsselung
• Personalsicherheit und Zugangskontrollen
• Multi-Faktor-Authentifizierung und sichere Kommunikation

4. Meldepflichten einhalten

Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden. Das Gesetz sieht ein dreistufiges Meldesystem vor:

• Erstmeldung innerhalb von 24 Stunden nach Kenntnisnahme
• Bestätigungsmeldung innerhalb von 72 Stunden mit erster Bewertung
• Abschlussmeldung innerhalb eines Monats mit detaillierter Analyse

5. Geschäftsleitungspflichten erfüllen

Die Geschäftsleitung muss die Umsetzung der Sicherheitsmaßnahmen genehmigen und deren Einhaltung überwachen. Diese Verantwortung kann weder an einen CISO noch an externe Dienstleister delegiert werden.

Laut § 38 BSIG (neu) haftet die Geschäftsleitung bei grober Fahrlässigkeit oder Vorsatz persönlich mit ihrem Privatvermögen.

6. Regelmäßige Schulungen der Geschäftsleitung

Das Gesetz verpflichtet die Geschäftsleitung, regelmäßig an Schulungen teilzunehmen. Diese müssen IT-Risiken, technische Grundlagen und rechtliche Anforderungen abdecken. Eine einmalige Unterweisung reicht nicht aus.

7. Lieferkettensicherheit gewährleisten

Unternehmen müssen die Cybersicherheit ihrer Lieferkette bewerten und überwachen. Das betrifft direkte Zulieferer und Dienstleister, insbesondere wenn diese Zugang zu IT-Systemen oder Daten haben.

8. Notfallpläne erstellen und testen

Ein Business-Continuity-Management mit Notfallplänen, Backup-Konzepten und Wiederherstellungsprozessen ist Pflicht. Die Pläne müssen regelmäßig getestet werden, um ihre Wirksamkeit sicherzustellen.

9. Nachweispflichten gegenüber dem BSI

Besonders wichtige Einrichtungen müssen auf Verlangen des BSI nachweisen, dass sie die geforderten Maßnahmen umgesetzt haben. Das BSI kann Audits, Prüfungen und Zertifizierungen verlangen.

10. Dokumentation aller Maßnahmen

Sämtliche Maßnahmen, Entscheidungen und Vorfälle müssen dokumentiert werden. Diese Dokumentation dient als Nachweis gegenüber dem BSI und im Haftungsfall gegenüber Gerichten.

Bußgelder und Sanktionen

Die Bußgelder sind erheblich und unterscheiden sich je nach Kategorie:

Es gilt jeweils der höhere Wert. Bei einem mittelständischen Unternehmen mit 50 Mio. EUR Jahresumsatz beträgt das maximale Bußgeld als besonders wichtige Einrichtung 10 Mio. EUR (da 2 % = 1 Mio. EUR unter dem Mindestbetrag liegen).

Dazu kommt die persönliche Haftung der Geschäftsleitung nach § 38 BSIG. Genau diese persönliche Haftung wird in der Praxis häufig unterschätzt. Wir sehen bei mittelständischen Geschäftsführern regelmäßig die Reaktion: "Das macht unser IT-Dienstleister." Das Gesetz lässt diese Delegation aber gerade nicht zu. Wer die Aufsicht nicht selbst ausübt und sich nicht regelmäßig schulen lässt, verstößt unabhängig vom technischen Stand der IT gegen § 38 BSIG. Und im Schadensfall haftet privat.

Pragmatische Umsetzung für den Mittelstand

Phase 1: Betroffenheitsanalyse (sofort)

Prüfen Sie zunächst, ob Ihr Unternehmen die Schwellenwerte erfüllt und in einem regulierten Sektor tätig ist. Das BSI bietet auf seiner Website einen Betroffenheitscheck an.

Phase 2: GAP-Analyse (Woche 1-4)

Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen des Gesetzes. In vielen Fällen existieren bereits Maßnahmen, die nur dokumentiert und systematisiert werden müssen.

Phase 3: Maßnahmenplanung (Woche 5-8)

Priorisieren Sie die identifizierten Lücken nach Risiko und Aufwand. Beginnen Sie mit den Meldepflichten und der Registrierung, da deren Nichteinhaltung sofort sanktioniert werden kann.

Phase 4: Umsetzung (Woche 9-24)

Setzen Sie die technischen und organisatorischen Maßnahmen schrittweise um. Nutzen Sie bestehende Standards wie ISO 27001 oder den BSI IT-Grundschutz als Orientierung.

Phase 5: Laufender Betrieb

Etablieren Sie regelmäßige Reviews, Schulungen und Übungen. Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.

Typische Stolperfallen bei der Umsetzung

Stolperfalle 1: "Das betrifft uns nicht"

Die häufigste Fehleinschätzung im Mittelstand. Viele Unternehmen unterschätzen, wie breit die 18 Sektoren gefasst sind. Ein Maschinenbauer mit 80 Mitarbeitern und 15 Mio. EUR Umsatz fällt unter "Verarbeitendes Gewerbe" und damit unter NIS2. Ein IT-Dienstleister mit 55 Mitarbeitern fällt unter "Digitale Infrastruktur" oder "IKT-Dienstemanagement". Prüfen Sie die Betroffenheit sorgfältig, bevor Sie das Thema ad acta legen.

Stolperfalle 2: Cybersicherheit als IT-Thema behandeln

NIS2 macht Cybersicherheit zur Geschäftsleitungsaufgabe. Die Verantwortung liegt nicht beim IT-Leiter, sondern beim Geschäftsführer. Wer die Umsetzung komplett an die IT-Abteilung delegiert, verstößt bereits gegen § 38 BSIG. Die Geschäftsleitung muss die Maßnahmen selbst genehmigen und sich regelmäßig schulen lassen.

Stolperfalle 3: Lieferkette ignorieren

Viele Mittelständler konzentrieren sich auf die eigene IT-Infrastruktur und vergessen die Lieferkette. Wenn Ihr wichtigster Cloud-Anbieter oder Ihre Buchhaltungssoftware kompromittiert wird, trifft das auch Sie. NIS2 verlangt eine Bewertung und Überwachung der Cybersicherheit Ihrer Zulieferer und Dienstleister.

Stolperfalle 4: Einmalige Umsetzung statt laufendem Prozess

Cybersicherheit ist kein Projekt mit Anfang und Ende. NIS2 verlangt ein kontinuierliches Risikomanagement, regelmäßige Überprüfungen der Wirksamkeit und laufende Schulungen. Wer einmal ein Sicherheitskonzept erstellt und es dann in die Schublade legt, riskiert bei der nächsten BSI-Prüfung ein Bußgeld.

Stolperfalle 5: Meldepflichten unterschätzen

24 Stunden für die Erstmeldung eines Sicherheitsvorfalls sind wenig Zeit. Ohne vorbereitete Prozesse und Vorlagen wird die Frist regelmäßig gerissen. Erstellen Sie vorab Meldeprozesse, benennen Sie Verantwortliche und üben Sie den Ablauf mindestens einmal im Jahr.

Verbindung zum EU AI Act

Wenn Ihr Unternehmen zusätzlich KI-Systeme einsetzt, beachten Sie die Wechselwirkungen mit dem EU AI Act. Beide Regelwerke stellen Anforderungen an das Risikomanagement, die Dokumentation und die Schulung von Mitarbeitern. Eine integrierte Umsetzung spart Ressourcen, und Unternehmen, die ihre Mitarbeiter im Bereich KI und IT-Sicherheit systematisch qualifizieren möchten, finden in der Weiterbildung zum Digitalisierungsmanager den passenden Einstieg; für einen ersten Überblick eignet sich der KI-Schnupperkurs.

Häufige Fragen

Gilt NIS2 auch für Unternehmen mit weniger als 50 Mitarbeitern?

Grundsätzlich nicht. Ausnahmen bestehen für Vertrauensdiensteanbieter, DNS-Anbieter, TLD-Registries und Anbieter öffentlicher Telekommunikationsnetze. Diese fallen unabhängig von der Unternehmensgröße unter NIS2.

Gibt es eine Übergangsfrist für die Umsetzung?

Nein. Das NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten und gilt seitdem ohne Übergangsfrist. Die Registrierungsfrist beim BSI war der 6. März 2026.

Kann ich die Cybersicherheitspflichten an einen externen IT-Dienstleister delegieren?

Die Umsetzung technischer Maßnahmen kann an Dritte vergeben werden. Die Verantwortung der Geschäftsleitung für die Genehmigung und Überwachung bleibt jedoch bestehen und ist nicht delegierbar.

Was passiert, wenn ich einen Sicherheitsvorfall nicht melde?

Die Nichtmeldung eines erheblichen Sicherheitsvorfalls stellt einen eigenständigen Bußgeldtatbestand dar. Die Erstmeldung muss innerhalb von 24 Stunden erfolgen.

Reicht eine ISO 27001 Zertifizierung für die NIS2-Compliance?

Eine ISO 27001 Zertifizierung deckt viele der geforderten Maßnahmen ab, ist aber nicht deckungsgleich mit den NIS2-Anforderungen. Insbesondere die Meldepflichten, die Registrierung beim BSI und die Geschäftsleitungspflichten gehen über ISO 27001 hinaus.

Wie unterscheidet sich NIS2 von der bisherigen KRITIS-Regulierung?

NIS2 erweitert den Anwendungsbereich erheblich. Während die bisherige KRITIS-Regulierung primär Betreiber kritischer Infrastrukturen betraf (ca. 2.000 Unternehmen), fallen unter NIS2 rund 29.500 Unternehmen in 18 Sektoren.