NIS-2 ist Realität

– was mittelständische Unternehmen jetzt konkret tun müssen

Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Damit endet eine lange Phase der regulatorischen Ungewissheit – und beginnt für tausende Unternehmen in Deutschland die Phase der verbindlichen Umsetzung. Wer bislang gewartet hat, sollte jetzt handeln. Denn mit Ablauf der ersten Registrierungsfrist Anfang März wurde klar: NIS-2 ist endgültig in der Praxis angekommen. Bis zum Ablauf der Frist haben sich nach BSI-Angaben erst 11.500 Unternehmen und Institutionen auf der Website der Behörde angemeldet, dabei sind rund 30.000 deutsche Organisationen betroffen. Wer sich bislang noch nicht beim BSI registriert haben, sollte dies nun schnellstmöglich nachholen. Für viele Mittelständler stellen sich dabei zunächst grundlegende Fragen. Bin ich überhaupt betroffen? Und wenn ja, was bedeutet das konkret für meinen Betrieb?

Wer fällt unter das Gesetz?

Die Einstufung erfolgt nach zwei Kriterien: der Zugehörigkeit zu einem der im Gesetz definierten Sektoren und der Unternehmensgröße. Als besonders wichtige Einrichtung gilt, wer mindestens 250 Mitarbeitende beschäftigt oder einen Jahresumsatz von mehr als 50 Millionen Euro bei einer Bilanzsumme von über 43 Millionen Euro aufweist. Als wichtige Einrichtung fällt man bereits ab 50 Mitarbeitenden oder einem Jahresumsatz und einer Bilanzsumme von jeweils über 10 Millionen Euro unter das Gesetz – vorausgesetzt, man ist dem richtigen Sektor zuzuordnen.
Die relevanten Sektoren umfassen ein breites Spektrum, das weit über klassische Kritische Infrastruktur hinausgeht. Energie, Transport, Finanzwesen und Gesundheit gehören ebenso dazu wie digitale Infrastruktur, Managed Services Provider und – in der zweiten Anlage – verarbeitendes Gewerbe, Chemie, Lebensmittelproduktion und Forschungseinrichtungen. Wer die eigene Betroffenheit prüft, sollte dabei besonders auf die Detailspalten der Anlagen achten, die auf spezifische Gesetze und Normen verweisen und erst die präzise Zuordnung ermöglichen.
Ein verbreitetes Missverständnis betrifft verbundene Unternehmen. Die Größenmerkmale von Partner- oder Mutterunternehmen müssen nicht automatisch eingerechnet werden – entscheidend ist, ob das Unternehmen in Bezug auf seine IT-Systeme, -Prozesse und -Komponenten tatsächlich unabhängig agiert. Diese Einzelfallbewertung lohnt sich, da sie für manche Unternehmen den Unterschied zwischen Betroffenheit und Nicht-Betroffenheit ausmacht.

Was verlangt das Gesetz inhaltlich?

Im Kern fordert das NIS-2-Umsetzungsgesetz den Aufbau eines strukturierten Informationssicherheitsmanagements auf Basis eines risikoorientierten Ansatzes. Das klingt abstrakt, ist aber konkret. Unternehmen müssen Risikoanalysen durchführen, Konzepte zur Behandlung von Sicherheitsvorfällen etablieren, den Geschäftsbetrieb durch Backup-Management und Notfallplanung absichern und die Sicherheit ihrer Lieferketten im Blick behalten. Hinzu kommen Anforderungen an Kryptographie, Zugriffskontrollen und Multi-Faktor-Authentifizierung sowie Schulungen für Mitarbeitende und – ausdrücklich – für die Geschäftsleitung selbst.
Letzteres ist besonders hervorzuheben. Das Gesetz nimmt Geschäftsleitungen persönlich in die Pflicht. Sie müssen die Umsetzung der Sicherheitsmaßnahmen nicht nur beauftragen, sondern aktiv überwachen und regelmäßig an Schulungen teilnehmen. Bei schuldhaften Pflichtverletzungen haftet die Geschäftsleitung nach gesellschaftsrechtlichen Regeln. Wer also glaubt, das Thema an die IT-Abteilung delegieren zu können, unterschätzt die Tragweite der neuen Rechtslage erheblich.

Die ISO/IEC 27001 deckt als international anerkannter Standard schätzungsweise 80 Prozent der gesetzlichen Anforderungen ab und bildet damit eine solide Grundlage. Sie ist allerdings kein vollständiger Ersatz, denn das Gesetz verlangt darüber hinaus explizit den Aufbau von Business Continuity Management, die Einrichtung eines Krisenstabs und die regelmäßige Durchführung von Notfallübungen. Wer NIS-2-Konformität allein durch ein ISMS ohne BCM-Komponente anstreben möchte, wird das Ziel verfehlen.

Meldepflichten als unterschätztes Risiko

Besondere Aufmerksamkeit verdienen die Meldefristen bei erheblichen Sicherheitsvorfällen. Innerhalb von 24 Stunden, nachdem der Vorfall bemerkt wurde, ist eine erste Meldung an das BSI abzugeben; innerhalb von 72 Stunden folgt eine detailliertere Bewertung. Spätestens einen Monat nach der ersten Meldung muss ein abschließender Bericht vorliegen.
Diese Fristen sind außerordentlich eng. Sie lassen sich im Ernstfall nur einhalten, wenn die entsprechenden Prozesse und Vorlagen bereits vorab entwickelt wurden. Dabei ist ein weiterer Aspekt zu beachten, der in der öffentlichen Diskussion bislang kaum Beachtung findet: Eine Meldung an das BSI dokumentiert gleichzeitig die Existenz und den Zeitpunkt eines Sicherheitsvorfalls. Wenn in Kundenverträgen bestimmte Vorfälle vertraglich ausgeschlossen wurden, kann diese Meldung im ungünstigen Fall als Beweismittel in einem Schadensersatzverfahren dienen. Der Meldeprozess sollte daher von Anfang an gemeinsam mit rechtlicher Beratung konzipiert werden.

Das BSI als neue Aufsichtsinstanz mit weitreichenden Befugnissen

Das Gesetz stärkt die Rolle des BSI erheblich. Die Behörde kann Unternehmen nicht nur zur Registrierung und Meldung verpflichten, sondern auch Audits und Zertifizierungen anordnen, Betriebsräume betreten und Unterlagen anfordern. In letzter Konsequenz – wenn ein Unternehmen Anordnungen trotz gesetzter Fristen nicht nachkommt – kann die zuständige Aufsichtsbehörde eine erteilte Genehmigung vorübergehend aussetzen oder unzuverlässigen Geschäftsleitungen die Ausübung ihrer Tätigkeit untersagen.
Für KMU ist dabei relevant, dass das BSI eigene Beratungsleistungen explizit nur besonders wichtigen Einrichtungen anbietet. Wer lediglich als wichtige Einrichtung eingestuft ist – und das ist die Mehrzahl der betroffenen Mittelständler –, ist auf externe Unterstützung angewiesen.

Was droht bei einem Verstoß?

Die Bußgeldrahmen sind erheblich. Für wichtige Einrichtungen sind Bußgelder bis zu sieben Millionen Euro vorgesehen, bei Unternehmen mit mehr als 500 Millionen Euro Umsatz bis zu 1,4 Prozent des Jahresumsatzes. Besonders wichtige Einrichtungen können mit bis zu zehn Millionen Euro oder zwei Prozent des Umsatzes belegt werden. Allein eine verspätete oder fehlerhafte Registrierung beim BSI kann mit bis zu 500.000 Euro geahndet werden.

Wie lange dauert die Umsetzung?

Wer noch keine Vorarbeiten geleistet hat, sollte realistisch mit neun bis zwölf Monaten für eine vollständige NIS-2-konforme Umsetzung rechnen. Erfahrungswerte aus der Praxis zeigen, dass auf Unternehmensseite im ersten Jahr etwa eine halbe Vollzeitstelle für das Projekt einzuplanen ist – und dass eine ISO/IEC 27001 Foundation-Schulung für die verantwortliche Person eine sinnvolle Investition darstellt, um die Konzepte zu verstehen und die Kommunikation mit externen Beratern effizient zu gestalten.
Die zentrale Erkenntnis für Unternehmen, die jetzt noch zögern: Das Gesetz gilt bereits. Wer die Registrierungspflicht ignoriert und dabei absehbar unter die Regelungen fällt, riskiert ein Bußgeldverfahren – ganz unabhängig davon, ob die inhaltliche Umsetzung abgeschlossen ist. Der erste und überschaubare Schritt ist daher die Prüfung der eigenen Betroffenheit und die Registrierung beim BSI. Alles andere kann – mit der richtigen Unterstützung – strukturiert folgen.