Zum Inhalt springen
You Logic AG
Über uns IT-Services IT-Outsourcing Managed Services IT-Security Telefon / VoIP DATEV-Hosting IT-Infrastruktur IT-Serviceanfrage TeamViewer Download Karriere Blog Kontakt Online Termin vereinbaren
← IT-Blog

NIS2 für den Mittelstand: Was Unternehmen jetzt wirklich tun müssen

07. Mai 2026

NIS2 für den Mittelstand: Was Unternehmen jetzt wirklich tun müssen

Das Wichtigste in 60 Sekunden: Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Deutschland in Kraft getreten – ohne Übergangsfrist. Rund 29.500 Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in 18 Sektoren sind direkt betroffen. Sie müssen sich beim BSI registrieren, ein Risikomanagement nach zehn definierten Mindestanforderungen umsetzen und Sicherheitsvorfälle innerhalb von 24 Stunden melden. Bußgelder reichen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Geschäftsführer haften persönlich. Auch wer formal nicht betroffen ist, wird über die Lieferketten-Klausel meist faktisch verpflichtet.

Was ist NIS2 – kurz erklärt

NIS2 ist die Abkürzung für die zweite EU-Richtlinie zur Network and Information Security (Richtlinie 2022/2555). Sie definiert europaweit verbindliche Mindeststandards für Cybersicherheit. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz: NIS2UmsuCG) in nationales Recht überführt. Das Gesetz reformiert das BSI-Gesetz grundlegend ("BSIG-neu") und ist seit dem 6. Dezember 2025 unmittelbar verbindlich.

Anders als die Vorgängerrichtlinie betrifft NIS2 nicht mehr nur klassische "kritische Infrastrukturen" wie Energieversorger oder Krankenhäuser. Der Anwendungsbereich wurde drastisch ausgeweitet auf 18 Sektoren und gilt damit für einen großen Teil des deutschen Mittelstands.

Definition: Das NIS2-Umsetzungsgesetz verpflichtet Unternehmen ab einer bestimmten Größe, ein systematisches Cyber-Risikomanagement einzuführen, Sicherheitsvorfälle zeitnah an das BSI zu melden und die Geschäftsführung persönlich für die Umsetzung in die Pflicht zu nehmen.

Ist mein Unternehmen von NIS2 betroffen?

Die Betroffenheit richtet sich nach drei Kriterien: Unternehmensgröße, Sektor und – häufig übersehen – die Position in der Lieferkette eines anderen betroffenen Unternehmens.

Direkte Betroffenheit nach Größe

Kategorie Schwellenwert Folge
Besonders wichtige Einrichtungen (bwE) ab 250 Mitarbeitenden oder > 50 Mio. € Umsatz und > 43 Mio. € Bilanzsumme, in einem Sektor mit hoher Kritikalität Strenge proaktive BSI-Aufsicht, höchste Bußgelder
Wichtige Einrichtungen (wE) ab 50 Mitarbeitenden oder > 10 Mio. € Jahresumsatz, in einem der 18 NIS2-Sektoren Reaktive Aufsicht, Bußgelder bis 7 Mio. €
Sonderfälle Unabhängig von der Größe: qualifizierte Vertrauensdiensteanbieter, DNS-Dienstleister, TLD-Registries, Telekommunikationsanbieter, Betreiber kritischer Anlagen Direkte Pflicht ab Tag 1

Die 18 NIS2-Sektoren im Überblick

Sektoren mit hoher Kritikalität (Anlage 1): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstemanagement, öffentliche Verwaltung, Weltraum.

Sonstige kritische Sektoren (Anlage 2): Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (u. a. Maschinenbau, Elektronik, Automotive), Anbieter digitaler Dienste, Forschungseinrichtungen.

Die unterschätzte Falle: Lieferketten-Pflicht

§ 30 Absatz 2 Nummer 4 BSIG verpflichtet jedes betroffene Unternehmen, die Sicherheit seiner Lieferkette zu gewährleisten. In der Praxis heißt das: Auch wenn Sie als Zulieferer, Cloud-Anbieter, IT-Dienstleister oder Wartungsfirma formal unter den Schwellenwerten liegen, werden Sie über vertragliche Klauseln Ihrer Kunden faktisch zur NIS2-Compliance gezwungen. Audit-Rechte, Meldepflichten und Cybersecurity-Mindeststandards landen in Dienstleistungsverträgen.

Antwort kurz: Wer Geschäftsbeziehungen zu betroffenen Unternehmen unterhält, muss die NIS2-Anforderungen praktisch ebenfalls erfüllen – sonst riskiert er den Verlust dieser Kundenbeziehungen.

Eine erste Orientierung bietet die NIS2-Betroffenheitsprüfung des BSI. Das Ergebnis ist allerdings nicht rechtsverbindlich – eine belastbare Einzelfallprüfung sollten Sie mit einem auf IT-Compliance spezialisierten Dienstleister durchführen.

Welche zehn Pflichten schreibt NIS2 vor?

§ 30 Absatz 2 BSIG definiert einen Katalog von zehn Mindestanforderungen, die jedes betroffene Unternehmen umsetzen muss:

  1. Risikoanalyse und Sicherheitskonzepte für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen (Incident Response)
  3. Aufrechterhaltung des BetriebsBackup-Management und Krisenkommunikation
  4. Sicherheit der Lieferkette inklusive direkter Anbieter und Dienstleister
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, einschließlich Schwachstellenmanagement
  6. Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen
  7. Grundlegende Cyberhygiene und Schulungen im Bereich Cybersicherheit
  8. Konzepte zur Kryptografie und Verschlüsselung
  9. Personalsicherheit, Zugriffskontrolle und Asset-Management
  10. Multi-Faktor-Authentifizierung und gesicherte Kommunikation

Antwort kurz: Die zehn Pflichten lassen sich nicht durch ein Produkt erfüllen, sondern verlangen ein dokumentiertes Informationssicherheits-Managementsystem (ISMS), das technische Maßnahmen wie MFA und Verschlüsselung mit organisatorischen Prozessen wie Risikoanalyse, Schulungen und Incident-Response-Plänen verbindet.

Wer bereits ein ISMS nach ISO 27001 betreibt, deckt erfahrungsgemäß 70–80 % der NIS2-Anforderungen ab. Die verbleibenden 20–30 % betreffen NIS2-spezifische Pflichten wie BSI-Registrierung, das gestufte Meldeverfahren und die Geschäftsleitungspflichten nach § 38 BSIG.

Die wichtigsten Fristen 2025/2026 auf einen Blick

Datum Ereignis
6. Dezember 2025 NIS2UmsuCG tritt in Kraft – keine Übergangsfrist
6. Januar 2026 BSI-Portal MUK (muk.bsi.bund.de) für Registrierung freigeschaltet
6. März 2026 Reguläre Registrierungsfrist abgelaufen – verspätete Registrierung weiter möglich und dringend ratsam
17. März 2026 Zusätzlich: KRITIS-Dachgesetz tritt in Kraft (physische Resilienz)
Laufend 24-Stunden-Frühwarnung bei erheblichen Sicherheitsvorfällen, 72-Stunden-Meldung, 1-Monats-Abschlussbericht

Wer die Registrierungsfrist versäumt hat, sollte die Registrierung umgehend nachholen: Die fehlende Registrierung ist nach § 65 BSIG ein eigenständiger Bußgeldtatbestand. Die nachträgliche Registrierung signalisiert dem BSI immerhin Reaktionsbereitschaft.

Was passiert bei Verstößen? Die Bußgelder im Überblick

§ 65 BSIG sieht erhebliche Sanktionen vor, gestaffelt nach Schwere und Einrichtungstyp:

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
  • Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
  • Administrative Versäumnisse wie nicht erreichbare Ansprechpartner oder fehlende ISMS-Nachweise: 100.000 bis 500.000 € (laut BMI-Bußgeldkatalog)

Der entscheidende Punkt für jede Geschäftsführung: § 38 BSIG verankert die persönliche Haftung der Geschäftsleitung. Eine reine Delegation an die IT-Abteilung reicht nicht aus. Geschäftsführer müssen sich nachweislich zu Cyberrisiken schulen lassen und die Umsetzung der Maßnahmen selbst verantworten. In schweren Fällen kann das BSI Führungskräften ihre Tätigkeit vorübergehend untersagen.

Antwort kurz: NIS2-Compliance ist kein delegierbares IT-Thema mehr, sondern eine direkte persönliche Verantwortung der Geschäftsführung – mit existenzbedrohenden Bußgeldern und persönlichen Haftungsrisiken bei Verstößen.

In sechs Schritten zur NIS2-Compliance: Eine Roadmap für KMU

Wer noch nicht begonnen hat, sollte folgende Reihenfolge wählen. Sie orientiert sich an der Praxis aus zahlreichen Mittelstandsprojekten und priorisiert die Schritte nach Aufwand und rechtlicher Dringlichkeit.

Schritt 1: Betroffenheitsprüfung dokumentieren (1–2 Wochen)

Klären Sie schriftlich, ob und wie Ihr Unternehmen unter NIS2 fällt – einschließlich Lieferketten-Bezug. Dokumentieren Sie die Entscheidungsgrundlage. Falls Sie zum Schluss kommen, nicht direkt betroffen zu sein, muss diese Bewertung auf der aktuellen Sektorenliste, den Schwellenwerten und Ihren Kundenbeziehungen begründet sein.

Schritt 2: BSI-Registrierung (sofortige Maßnahme)

Beantragen Sie ein ELSTER-Organisationszertifikat (Bearbeitungszeit: einige Werktage) und registrieren Sie Ihr Unternehmen über das MUK-Portal. Hinterlegt werden Stammdaten, Sektorzuordnung und ein erreichbarer Ansprechpartner für Sicherheitsmeldungen.

Schritt 3: Gap-Analyse durchführen (4–6 Wochen)

Vergleichen Sie den Ist-Zustand Ihrer IT-Sicherheit mit den zehn Mindestanforderungen aus § 30 Abs. 2 BSIG. Wo fehlen Konzepte? Wo ist die Technik veraltet? Welche Prozesse sind nicht dokumentiert? Eine strukturierte Gap-Analyse ist die Grundlage für jeden Maßnahmenplan und gleichzeitig ein Audit-relevantes Dokument.

Schritt 4: Quick Wins umsetzen (parallel, 2–3 Monate)

Diese Maßnahmen senken Ihr Risiko sofort und sind technisch überschaubar:

  • Multi-Faktor-Authentifizierung für alle administrativen Konten und Cloud-Dienste
  • Strukturierter Patch-Management-Prozess für Server, Endpunkte und Firmware
  • Verschlüsseltes, geprüftes Backup mit definierten Wiederherstellungszielen (RPO/RTO)
  • Cybersicherheits-Schulung für alle Mitarbeitenden inklusive Geschäftsführung
  • Endpoint Detection & Response (EDR) statt klassischem Virenschutz

Schritt 5: ISMS aufbauen oder erweitern (6–12 Monate)

Dokumentieren Sie alle relevanten Sicherheitsprozesse in einem Informationssicherheits-Managementsystem. Wenn Sie noch kein ISMS haben, lohnt sich der Aufbau auf Basis von ISO/IEC 27001 – Sie schlagen damit zwei Fliegen mit einer Klappe und schaffen gleichzeitig die Voraussetzung für eine spätere Zertifizierung.

Schritt 6: Meldewesen und kontinuierliche Überprüfung etablieren

Definieren Sie klare Eskalationswege für Sicherheitsvorfälle inklusive der gestaffelten Meldefristen (24 h Frühwarnung, 72 h Bericht, 1 Monat Abschluss). Etablieren Sie regelmäßige interne Audits und jährliche Geschäftsleitungs-Schulungen.

Was tut ein IT-Dienstleister konkret bei der NIS2-Umsetzung?

Ein erfahrener Managed Services Provider erfüllt drei Rollen gleichzeitig: Berater, technischer Umsetzer und langfristiger Partner für den Compliance-Erhalt.

Beratung und Analyse: Betroffenheitsprüfung, Gap-Analyse gegen die zehn Mindestanforderungen, Risikobewertung und Roadmap-Entwicklung.

Technische Umsetzung: MFA-Rollout, Patch-Management-Automatisierung, EDR-Implementierung, zentrales Logging und SIEM, Backup- und Disaster-Recovery-Konzepte, Verschlüsselung und Identity-Access-Management.

Dokumentation und Audit-Vorbereitung: Aufbau der ISMS-Dokumentation, Erstellung der Nachweise für BSI und Kunden-Audits, Vorbereitung auf interne und externe Prüfungen.

Lieferanten-Management: Wenn Sie selbst direkter NIS2-Betroffener sind, muss auch Ihr IT-Dienstleister die geforderten Sicherheitsstandards nachweisen können – idealerweise über ein eigenes ISMS oder ISO-27001-Zertifikat.

Die You Logic AG betreibt seit 2011 Managed Services für mittelständische Unternehmen im Rhein-Main-Gebiet – einschließlich des Hostings in einem nach ISO 27001 und DIN EN 50600 zertifizierten Rechenzentrum. Diese Kombination aus Managed-Services-Erfahrung, eigener zertifizierter Infrastruktur und IT-Sicherheits-Expertise ist genau die Grundlage, auf der NIS2-Projekte bei KMU effizient umgesetzt werden.

Häufige Fragen zu NIS2 für den Mittelstand

Ab wie vielen Mitarbeitern gilt NIS2?

NIS2 gilt grundsätzlich für Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz, sofern sie in einem der 18 NIS2-Sektoren tätig sind. Ab 250 Mitarbeitenden oder 50 Mio. € Jahresumsatz werden Unternehmen aus Sektoren mit hoher Kritikalität als "besonders wichtige Einrichtungen" eingestuft. Bestimmte Sonderfälle wie Telekommunikationsanbieter oder DNS-Dienstleister fallen unabhängig von ihrer Größe unter die Richtlinie.

Reicht ein bestehendes ISMS nach ISO 27001 für NIS2-Compliance?

Ein bestehendes ISMS nach ISO 27001 deckt erfahrungsgemäß 70 bis 80 % der NIS2-Anforderungen ab. Die verbleibenden 20 bis 30 % betreffen NIS2-spezifische Pflichten: die BSI-Registrierung, das gestufte Meldeverfahren nach § 32 BSIG und die Geschäftsleitungspflichten nach § 38 BSIG. Diese Lücken müssen gezielt geschlossen werden, der grundsätzliche ISMS-Aufbau muss aber nicht neu gemacht werden.

Was bedeutet die Lieferkettensicherheit nach § 30 BSIG für mein Unternehmen?

§ 30 Absatz 2 Nummer 4 BSIG verpflichtet betroffene Unternehmen, die Cybersicherheit ihrer direkten Lieferanten und Dienstleister zu prüfen und vertraglich abzusichern. Wer als Zulieferer, IT-Dienstleister, Cloud-Anbieter oder Wartungsfirma für ein NIS2-betroffenes Unternehmen arbeitet, muss in der Regel über vertragliche Klauseln dieselben Sicherheitsstandards einhalten – auch ohne formale eigene Betroffenheit.

Bis wann muss ich mein Unternehmen beim BSI registrieren?

Die offizielle Registrierungsfrist endete am 6. März 2026. Eine verspätete Registrierung über das BSI-Portal MUK (muk.bsi.bund.de) ist weiterhin möglich und dringend empfohlen, da die fehlende Registrierung nach § 65 BSIG ein eigenständiger Bußgeldtatbestand ist. Voraussetzung ist ein ELSTER-Organisationszertifikat.

Welche Bußgelder drohen bei NIS2-Verstößen?

Besonders wichtige Einrichtungen können mit Bußgeldern bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes belegt werden – je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen riskieren bis zu 7 Mio. € oder 1,4 % des Umsatzes. Bereits administrative Versäumnisse wie ein nicht erreichbarer Ansprechpartner oder fehlende ISMS-Nachweise können laut BMI-Bußgeldkatalog 100.000 bis 500.000 € kosten. Geschäftsführer haften persönlich.

Innerhalb welcher Frist müssen Sicherheitsvorfälle gemeldet werden?

Erhebliche Sicherheitsvorfälle müssen nach einem dreistufigen Verfahren gemeldet werden: innerhalb von 24 Stunden eine Frühwarnung an das BSI, innerhalb von 72 Stunden ein Vorfallsbericht und innerhalb eines Monats ein Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen.

Nächster Schritt: Wo Sie als Mittelständler jetzt ansetzen sollten

NIS2 ist kein Projekt, das man "nebenbei" abarbeitet. Die Kombination aus persönlicher Geschäftsführer-Haftung, Bußgeldhöhen und der faktischen Lieferketten-Wirkung macht das Thema zu einer betriebswirtschaftlichen Pflichtaufgabe. Gleichzeitig ist die Umsetzung in jedem mittelständischen Unternehmen leistbar, wenn sie strukturiert angegangen wird.

Wenn Sie unsicher sind, ob und in welchem Umfang Ihr Unternehmen betroffen ist – oder ob Ihre bestehenden IT-Sicherheitsmaßnahmen den NIS2-Mindestanforderungen genügen – ist eine strukturierte Betroffenheits- und Gap-Analyse der richtige erste Schritt. Wir bei You Logic AG begleiten mittelständische Unternehmen im Rhein-Main-Gebiet seit über einem Jahrzehnt durch Themen wie diese – von der ersten Einschätzung bis zur produktiven Umsetzung der technischen Maßnahmen.

Kostenloses Erstgespräch zur NIS2-Betroffenheit vereinbaren →

BSI (Bundesamt für Sicherheit in der Informationstechnik):

Gesetzestext:

Bundesregierung / BMI:

Marius Bopp – Prokurist & Technischer Leiter bei You Logic AG

Marius Bopp

Prokurist & Technischer Leiter · You Logic AG

IT-Experte mit 18 Jahren Berufserfahrung. Seit 12 Jahren bei You Logic AG verantwortlich für Cloud Computing, IT-Security und Managed Services im Rhein-Main-Gebiet.

LinkedIn

Neueste Artikel

28. April 2026

Cloud-Sicherheit: Wie sicher ist die Cloud wirklich – und was Unternehmen tun müssen

21. April 2026

IT-Services für Unternehmen: Warum der richtige IT-Dienstleister über Ihren Geschäftserfolg entscheidet

14. April 2026

Cloud-Infrastruktur für Unternehmen: Aufbau, Modelle und Vorteile im Überblick

Jetzt IT-Dienstleister im Rhein-Main-Gebiet anfragen

Bringen wir Ihr Unternehmen auf die nächste Stufe!

0611 . 94 58 99 00
ProvenExpert
4.87
Sehr Gut
ProvenExpert
TeamViewer Support