KMU-Digitalcheck LogoKMU-Digitalcheck — Der einfache & schnelle Digitalcheck für kleine & mittlere Unternehmen
Compliance8 Min.

NIS2 für den Mittelstand — Bin ich betroffen?

NIS2 ist seit Dezember 2025 in Kraft. Klingt nach Brüssel-Bürokratie — ist es zum Teil auch. Aber der entscheidende Unterschied zu früheren Richtlinien: Statt bisher 1.800 Unternehmen sind jetzt rund 30.000 betroffen, und die Geschäftsführung haftet persönlich. Nicht die IT-Abteilung, nicht der externe Dienstleister — Sie.

NIS2 auf einen Blick

Das Wichtigste vorweg: NIS2 ist eine EU-Richtlinie, die Deutschland im „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (ja, der Name ist wirklich so lang) umgesetzt hat. Was Sie wissen müssen:

  • Seit 06.12.2025 verbindlich in Kraft
  • Ca. 30.000 Unternehmen in Deutschland betroffen (vorher nur 1.800)
  • 18 betroffene Sektoren: Energie, Verkehr, Gesundheit, IT, Lebensmittel, Chemie, Maschinenbau, Logistik u.a.
  • Persönliche Haftung der Geschäftsführung — nicht delegierbar
  • Bußgelder bis 10 Mio. Euro

Bin ich betroffen? Der 3-Fragen-Check

Prüfen Sie mit diesen drei Fragen, ob Ihr Unternehmen unter NIS2 fällt:

  • Frage 1 — Größe: Haben Sie mindestens 50 Mitarbeiter ODER mindestens 10 Mio. € Jahresumsatz bei mindestens 10 Mio. € Bilanzsumme?
  • Frage 2 — Sektor: Sind Sie in einem der 18 betroffenen Sektoren tätig? (Energie, Verkehr, Gesundheit, Bankwesen/Finanzmarktinfrastrukturen, Trinkwasser, Abwasser, digitale Infrastruktur, IT-Dienstleistungen, öffentliche Verwaltung, Weltraum, Post, Abfall, Chemie, Lebensmittel, Produktion/Maschinenbau, Medizinprodukte/Pharma, digitale Dienste, Forschung)
  • Frage 3 — Konzern: Gehören Sie zu einem Konzern? Achtung: Verbundene Unternehmen werden zusammengerechnet. Eine 30-Mitarbeiter-GmbH in einem 500-Mitarbeiter-Konzern ist betroffen.

Wenn Frage 1 UND Frage 2 mit Ja beantwortet werden, sind Sie NIS2-pflichtig. Die Konzernklausel (Frage 3) kann die Schwellenwerte auch für kleinere Tochtergesellschaften auslösen.

Besonders wichtig oder wichtig? Die zwei Kategorien

NIS2 unterscheidet zwei Stufen — und die Pflichten sind unterschiedlich streng:

  • Besonders wichtige Einrichtungen (ab 250 MA oder 50 Mio. € Umsatz): Strengere Aufsicht, das BSI kann proaktiv prüfen. Meldepflicht bei Vorfällen: Erstmeldung innerhalb von 24 Stunden, vollständiger Bericht innerhalb von 72 Stunden. Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
  • Wichtige Einrichtungen (ab 50 MA oder 10 Mio. € Umsatz): Aufsicht nur anlassbezogen (nach einem Vorfall). Gleiche 10 Kernmaßnahmen, aber Bußgelder bis 7 Mio. € oder 1,4 % des Umsatzes.
  • Für beide Kategorien gilt: Die Geschäftsführung haftet persönlich und muss sich selbst schulen lassen.

Was muss ich konkret tun?

Unabhängig von der Kategorie verlangt NIS2 diese 10 Kernmaßnahmen nach § 30 BSIG. Sie müssen nachweisbar umgesetzt sein:

  • BSI-Registrierung (Frist war 06.03.2026): Die Registrierungsfrist ist verstrichen. Falls Sie sich noch nicht registriert haben: Holen Sie das umgehend nach — das BSI-Portal ist weiterhin geöffnet, aber Sie riskieren ein Bußgeld.
  • Risikoanalyse durchführen: Identifizieren Sie Ihre kritischen IT-Systeme und bewerten Sie Bedrohungen.
  • Incident-Response-Plan erstellen: Wer macht was bei einem Cyberangriff? Meldepflicht: Erstmeldung 24h, vollständiger Bericht 72h nach Erkennung.
  • Lieferkettensicherheit prüfen: Auch Ihre IT-Dienstleister und Zulieferer müssen Sicherheitsstandards einhalten.
  • Verschlüsselung implementieren: Datenverschlüsselung bei Speicherung und Übertragung.
  • Zugangskontrolle: Multi-Faktor-Authentifizierung für kritische Systeme.
  • Business Continuity: Backup-Konzept und Wiederherstellungspläne testen.
  • Schulungspflicht: Die Geschäftsführung selbst muss geschult werden — nicht nur die IT-Abteilung.
  • Schwachstellenmanagement: Regelmäßige Updates und Patches für alle Systeme.
  • Dokumentation: Alle Maßnahmen müssen nachweisbar dokumentiert sein.

Auch wenn NIS2 Sie nicht direkt betrifft

Auch wenn Sie die Schwellenwerte nicht erreichen — NIS2 betrifft Sie trotzdem indirekt. Und zwar so:

  • Große Kunden, die NIS2-pflichtig sind, fordern Sicherheitsnachweise von ihren Zulieferern.
  • Cyberversicherungen fragen zunehmend NIS2-konforme Maßnahmen ab.
  • Die 10 Kernmaßnahmen sind unabhängig von NIS2 Best Practice für jedes Unternehmen.
  • Wer heute die Grundlagen schafft, ist für künftige Verschärfungen vorbereitet.

Häufige Fragen

Betrifft NIS2 auch Handwerksbetriebe?+

Nur wenn sie die Schwellenwerte erreichen (50+ Mitarbeiter oder 10+ Mio. € Umsatz) UND in einem der 18 Sektoren tätig sind. Ein typischer Handwerksbetrieb mit 15 Mitarbeitern ist nicht direkt betroffen — kann aber als Zulieferer indirekt Anforderungen erfüllen müssen.

Was kostet die NIS2-Umsetzung für den Mittelstand?+

Die Kosten variieren stark. Ein mittelständisches Unternehmen (50–250 MA) muss mit 20.000–80.000 € für die Erstimplementierung rechnen (Risikoanalyse, Incident-Response, technische Maßnahmen, Schulungen). Laufende Kosten: ca. 10.000–30.000 €/Jahr.

Haftet die Geschäftsführung persönlich?+

Ja. § 38 BSIG legt eine persönliche Verantwortung der Geschäftsleitung fest. Die Geschäftsführung muss die Cybersicherheitsmaßnahmen genehmigen, ihre Umsetzung überwachen und sich selbst schulen lassen. Diese Pflicht ist nicht an den IT-Leiter delegierbar.

Was passiert, wenn ich die BSI-Registrierung versäumt habe?+

Die Registrierungsfrist (06.03.2026) ist verstrichen. Holen Sie die Registrierung umgehend nach — das BSI-Portal ist weiterhin geöffnet. Die Registrierungspflicht ist bußgeldbewehrt. Zudem können bei einem Sicherheitsvorfall ohne Registrierung verschärfte Sanktionen drohen, da das BSI den Vorfall nicht zuordnen kann.

Digitalcheck für Ihre Branche

💻IT-Dienstleister🏭Produktion🚛Logistik
← Alle Ratgeber-Artikel
Cookie-Einstellungen

Wir verwenden Google Analytics 4, um die Nutzung unserer Website zu analysieren und unser Angebot zu verbessern. Dabei werden Cookies gesetzt (_ga), die anonymisierte Nutzungsdaten erfassen. Es werden keine personenbezogenen Daten erhoben. Weitere Informationen finden Sie in unserer Datenschutzerklärung.