- Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt seit dem 06.12.2025 ohne Übergangsfrist; die BSI-Registrierungsfrist endete am 06.03.2026.
- Direkt betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in einem von 18 regulierten Sektoren — laut BSI rund 29.500 Firmen.
- Erhebliche Sicherheitsvorfälle sind dem BSI zu melden: Erstmeldung binnen 24 Stunden, Details nach 72 Stunden, Abschlussbewertung nach einem Monat.
- Die Geschäftsführung haftet persönlich; Bußgelder können bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen.
- Auch nicht direkt betroffene KMU müssen als Zulieferer regulierter Unternehmen mit vertraglichen Anforderungen an Sicherheitsnachweise rechnen.
Inhaltsverzeichnis
Wer ist von NIS2 tatsächlich betroffen?
Die erste wichtige Frage: Gilt NIS2 überhaupt für Ihr Unternehmen? Die kurze Antwort lautet: wahrscheinlich nicht direkt — aber möglicherweise indirekt.
NIS2 richtet sich an sogenannte „wesentliche" und „wichtige" Einrichtungen. Direkt betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz, die in einem von 18 regulierten Sektoren tätig sind. Nach Schätzung des BSI sind in Deutschland rund 29.500 Unternehmen betroffen. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 06.12.2025 in Kraft — eine allgemeine Übergangsfrist gibt es nicht, und die Registrierungsfrist beim BSI am 06.03.2026 ist bereits abgelaufen. Zu den betroffenen Sektoren zählen unter anderem:
- Energie, Wasserversorgung, Digitale Infrastruktur
- Gesundheitswesen, Pharma
- Transport und Logistik
- Finanzdienstleistungen
- Öffentliche Verwaltung
- Rüstung und Raumfahrt
Wenn Ihr Betrieb in keiner dieser Kategorien liegt und weniger als 50 Mitarbeiter hat, sind Sie nicht direkt von NIS2 betroffen.
Die indirekte Betroffenheit: Lieferketten
Hier liegt der eigentliche Handlungsbedarf für viele KMU: Als Zulieferer oder IT-Dienstleister einer NIS2-pflichtigen Organisation werden Sie mit hoher Wahrscheinlichkeit von Ihren Kunden aufgefordert, bestimmte Sicherheitsstandards nachzuweisen.
NIS2 verpflichtet große Unternehmen explizit, ihre Lieferkettensicherheit zu managen. Das bedeutet in der Praxis: Ihr Auftraggeber darf Sie nach Sicherheitsnachweisen fragen — und das Vertragsverhältnis kann von entsprechenden Zertifikaten oder Selbstauskünften abhängen.
Wenn Sie Softwareentwicklung, IT-Dienstleistungen, Wartung oder Fernzugriff auf Systeme eines größeren Unternehmens anbieten, sollten Sie sich auf entsprechende Anfragen vorbereiten. Wie diese Weitergabe der Pflichten entlang der Kette konkret funktioniert und welche Nachweise Auftraggeber verlangen dürfen, erklären wir ausführlich im Beitrag NIS2 in der Lieferkette: Was Zulieferer jetzt beachten müssen.
Was NIS2-pflichtige Unternehmen umsetzen müssen
Für direkt betroffene Unternehmen schreibt das seit dem 06.12.2025 geltende deutsche NIS2UmsuCG (Umsetzungsgesetz) folgende Kernpflichten vor:
Risikomanagement-Maßnahmen
Betroffene Einrichtungen müssen ein dokumentiertes Risikomanagement einführen. Dazu gehören:
- Risikoanalyse und Sicherheitskonzept für Informationssysteme
- Maßnahmen zur Angriffserkennung (IDS/SIEM)
- Verschlüsselung von Daten im Ruhezustand und bei der Übertragung
- Incident-Response-Prozesse und Notfallpläne
- Schulungen und Awareness-Programme für Mitarbeiter
- Physische Sicherheit der IT-Infrastruktur
Meldepflichten
Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden — und zwar in gestaffelten Fristen: Erstmeldung innerhalb von 24 Stunden, detaillierter Bericht nach 72 Stunden, abschließende Bewertung nach einem Monat.
Was als „erheblich" gilt, ist gesetzlich definiert: Störungen mit signifikanter Auswirkung auf Verfügbarkeit oder Datenintegrität, Vorfälle mit potenziellen finanziellen Schäden über Schwellenwerten.
Verantwortlichkeit der Geschäftsführung
Ein wichtiges Detail: NIS2 macht die Geschäftsführung persönlich haftbar für die Umsetzung der Sicherheitsmaßnahmen. Unwissenheit schützt nicht. Bußgelder können bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen.
Was Sie praktisch tun sollten
Für KMU ohne direkte NIS2-Pflicht — aber mit Kunden in regulierten Sektoren — empfehlen wir folgende pragmatische Schritte:
- Betroffenheit klären: Überprüfen Sie, in welchen Sektoren Ihre Kunden tätig sind. Wenn mehr als 20 % Ihres Umsatzes aus NIS2-regulierten Branchen stammt, sollten Sie sich aktiv vorbereiten.
- Basismaßnahmen umsetzen: Patch-Management, MFA, Netzwerksegmentierung, Backup-Strategie — das sind keine Compliance-Exoten, sondern sinnvolle Sicherheitsmaßnahmen, die Sie ohnehin haben sollten.
- Dokumentation aufbauen: Was nicht dokumentiert ist, kann nicht nachgewiesen werden. Beginnen Sie damit, Ihre IT-Infrastruktur, Zugriffsrechte und Sicherheitsmaßnahmen schriftlich festzuhalten.
- Pentest als Nachweis: Ein Penetrationstest durch einen unabhängigen Dienstleister liefert verwertbare Nachweise und deckt konkrete Lücken auf.
