Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 und verpflichtet rund 29.500 Firmen in 18 Sektoren zu Risikomanagement, BSI-Registrierung und schnellen Vorfallsmeldungen. Auch kleine Betriebe werden über Lieferketten in die Pflicht genommen. Die Geschäftsleitung haftet persönlich.
Cybersicherheit ist in Deutschland kein Empfehlungsthema mehr, sondern Gesetz. Das NIS2-Umsetzungsgesetz wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet und trat sofort in Kraft. Es verpflichtet rund 29.500 Unternehmen zu neuen Sicherheitspflichten und nimmt erstmals auch viele mittlere Betriebe in die Verantwortung. Wer denkt, das betreffe nur Konzerne, könnte sich böse irren.
Wen das Gesetz erfasst
NIS2 deckt 18 Sektoren ab und reicht weit über die klassische kritische Infrastruktur hinaus. Neu dabei sind unter anderem Abfallwirtschaft, Lebensmittelproduktion, Chemie und digitale Infrastruktur.
Das Gesetz unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Ob ein Betrieb darunterfällt, hängt von Sektor und Größe ab, häufig greift die Pflicht ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Damit sind eben nicht nur Großunternehmen betroffen, sondern auch viele Mittelständler, die sich bisher nicht als Cybersicherheits-Fall gesehen haben. Eine dreimonatige Registrierungsfrist beim BSI lief bis zum 6. März 2026 und ist abgelaufen, eine späte Registrierung ist aber weiterhin möglich und nötig.
Was konkret zu tun ist
Die Pflichten lassen sich in drei Blöcke fassen. Registrierung, Risikomanagement, Meldung.
Betroffene Betriebe müssen sich beim BSI registrieren und zehn Risikomanagement-Maßnahmen umsetzen. Dazu gehören Klassiker wie Mehr-Faktor-Authentifizierung und Verschlüsselung, dazu Notfallpläne, Zugriffskontrolle und Vorgaben für die Sicherheit in der Lieferkette. Erhebliche Sicherheitsvorfälle sind gestaffelt zu melden: eine Frühwarnung binnen 24 Stunden, ein Vorfallsbericht binnen 72 Stunden und ein Abschlussbericht binnen eines Monats. Diese Fristen sind knapp, und sie verlangen, dass ein Betrieb vorher weiß, wer im Ernstfall was tut.
Ein Punkt, den viele unterschätzen: Die Geschäftsleitung muss die Maßnahmen nicht nur freigeben, sondern überwachen und sich regelmäßig in Cybersicherheit schulen lassen. Diese Pflicht lässt sich nicht an die IT-Abteilung wegdelegieren.
Was bei Verstößen droht
Die Bußgelder sind kein Schreckgespenst auf dem Papier. Bei besonders wichtigen Einrichtungen sind bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich, bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent.
Schwerer wiegt für viele Geschäftsführer ein anderer Satz im Gesetz: Nach § 38 BSIG haftet die Geschäftsleitung persönlich für die Einhaltung der Risikomanagement-Pflichten. Damit landet das Thema dort, wo Entscheidungen fallen, und nicht in einem Ordner im Serverraum.
Der Lieferketten-Hebel, der auch Kleine trifft
Hier liegt der Grund, warum auch Betriebe aufmerksam sein sollten, die formal nicht unter NIS2 fallen. Das Gesetz verlangt von den betroffenen Unternehmen, die Sicherheit ihrer Lieferkette abzusichern.
In der Praxis heißt das: Ein großes Unternehmen, das selbst NIS2-pflichtig ist, wird seine Zulieferer und Dienstleister vertraglich zu Sicherheitsnachweisen verpflichten. Wer als kleiner Betrieb einen solchen Kunden hat, bekommt also Fragebögen, Audit-Anfragen und Mindeststandards auf den Tisch, ganz unabhängig davon, ob das eigene Unternehmen direkt unter das Gesetz fällt. Das ist in der Praxis oft der schnellere Weg, über den NIS2 auch die Kleinen erreicht, lange bevor eine Behörde anklopft.
Was das für KMU bedeutet
Wer KI und Cloud nutzt, braucht die Sicherheits-Basics ohnehin. Mehr-Faktor-Authentifizierung, ein gepflegtes Backup, klare Zugriffsrechte und ein simpler Notfallplan sind kein Spezialwissen, sondern Handwerkszeug, das jeder Betrieb 2026 haben sollte.
Der pragmatische Start ist eine ehrliche Bestandsaufnahme: Falle ich unter NIS2, oder habe ich Kunden, die mich über die Lieferkette einbinden? Dann die zehn Maßnahmen abklopfen und dort anfangen, wo die größte Lücke klafft, meist bei Authentifizierung und Backups.
Sicherheit und KI hängen enger zusammen, als viele denken, denn wer KI-Werkzeuge einsetzt, öffnet neue Datenwege, die geschützt werden müssen. Genau dieses Zusammenspiel aus KI-Einsatz und IT-Sicherheit ist Teil unseres Vollkurses Digitalisierungsmanager, weil das eine ohne das andere im Betrieb nicht funktioniert.
Häufige Fragen
Seit wann gilt das NIS2-Umsetzungsgesetz?
Es wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet und trat sofort in Kraft. Rund 29.500 Unternehmen in 18 Sektoren sind betroffen. Eine dreimonatige Registrierungsfrist beim BSI lief bis zum 6. März 2026, eine späte Registrierung ist aber weiterhin möglich und nötig.
Welche Pflichten bringt NIS2 mit sich?
Betroffene Betriebe müssen sich beim BSI registrieren und zehn Risikomanagement-Maßnahmen umsetzen, darunter Mehr-Faktor-Authentifizierung, Verschlüsselung und Notfallpläne. Sicherheitsvorfälle sind gestaffelt zu melden: eine Frühwarnung binnen 24 Stunden, ein Vorfallsbericht binnen 72 Stunden und ein Abschlussbericht binnen eines Monats.
Trifft NIS2 auch kleine Betriebe?
Direkt häufig ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz, je nach Sektor. Aber auch nicht direkt betroffene Betriebe werden über die Lieferkette eingebunden: NIS2-pflichtige Kunden verlangen von ihren Zulieferern Sicherheitsnachweise, Fragebögen und Mindeststandards. Das erreicht die Kleinen oft schneller als eine Behörde.
Welche Strafen drohen bei Verstößen?
Bei besonders wichtigen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Nach § 38 BSIG haftet zudem die Geschäftsleitung persönlich für die Einhaltung der Risikomanagement-Pflichten.
Mehr über KI im Mittelstand lernen?
Im kostenlosen KI-Schnupperkurs zeigen wir in fünf Lektionen, wie kleine und mittlere Firmen KI sicher und praktisch einsetzen. Vollkurs Digitalisierungsmanager mit Bildungsgutschein. Förderwege: Bildungsgutschein, QCG und AFBG im Vergleich.
Zuletzt aktualisiert: 10.06.2026. Stand der Recherche: 10.06.2026.