Worum es geht

Mit dem NIS-2-Umsetzungsgesetz überführt Deutschland die europäische NIS-2-Richtlinie in nationales Recht – vor allem über eine grundlegende Novelle des BSI-Gesetzes. Der Anwendungsbereich wächst dabei dramatisch: Statt bisher rund 4.500 KRITIS-regulierten Organisationen fallen nun geschätzt etwa 29.500 Unternehmen unter die Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI). Erstmals ist damit ein großer Teil des Mittelstands direkt betroffen.

Ob Ihr Unternehmen dazugehört, richtet sich nach Sektor und Größe. Als Faustregel: Wer in einem der regulierten Sektoren tätig ist (u. a. Energie, Gesundheit, Transport, digitale Dienste, verarbeitendes Gewerbe, Chemie, Lebensmittel) und mindestens 50 Mitarbeitende oder mehr als 10 Millionen Euro Umsatz hat, sollte die Betroffenheit ernsthaft prüfen. Und das ist der erste Stolperstein: Niemand informiert Sie offiziell. Die Betroffenheitsprüfung ist Ihre eigene Pflicht.

Die drei Kernpflichten

  • Registrierung beim BSI: Betroffene Einrichtungen mussten sich bis zum 6. März 2026 über das BSI-Portal registrieren (Anmeldung per ELSTER-Organisationszertifikat). Wer die Frist verpasst hat: Eine verspätete Registrierung ist weiterhin möglich – und dringend ratsam, denn die unterlassene Registrierung ist ein eigenständiger Bußgeldtatbestand.
  • Risikomanagement: § 30 BSIG verlangt geeignete, wirksame und verhältnismäßige technische und organisatorische Maßnahmen nach Stand der Technik – darunter Risikoanalysen, Incident Response, Business Continuity mit Backups, Lieferkettensicherheit, Schwachstellenmanagement, starke Authentifizierung und Schulungen.
  • Meldepflichten: Erhebliche Sicherheitsvorfälle sind in einem dreistufigen Verfahren zu melden – Erstmeldung innerhalb von 24 Stunden, ausführliche Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.

Warum das Chefsache ist

Die vielleicht wichtigste Neuerung ist unsichtbar in Paragraphen versteckt: NIS-2 verankert die Verantwortung ausdrücklich auf Leitungsebene. Geschäftsführungen müssen Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und sich selbst schulen lassen – bei Verstößen droht die persönliche Haftung. Cybersicherheit ist damit endgültig kein reines IT-Thema mehr, sondern ein Governance-Thema.

Die Sanktionen haben DSGVO-Format: Für besonders wichtige Einrichtungen sind Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes möglich, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 %.

Zwischenstand Mitte 2026: Bis zum Fristablauf im März hatten sich nur rund 11.500 der geschätzt 29.500 betroffenen Unternehmen registriert – gut ein Drittel. Wer jetzt handelt, ist also keineswegs zu spät dran, sondern immer noch früher als die Hälfte des Marktes. Mit ersten Bußgeldverfahren gegen säumige Einrichtungen wird noch in diesem Jahr gerechnet.

Pragmatisch starten: drei Schritte

  1. Betroffenheit sauber prüfen. Sektor, Mitarbeiterzahl, Umsatz, Konzernstrukturen – gerade Zurechnungsfragen führen häufig zu Fehleinschätzungen. Das Ergebnis gehört dokumentiert, auch wenn es „nicht betroffen“ lautet.
  2. Lücken ermitteln statt Panik kaufen. Eine strukturierte Gap-Analyse gegen den Maßnahmenkatalog des § 30 BSIG zeigt, was schon da ist (oft mehr als gedacht) und was fehlt. Wer bereits nach ISO 27001 arbeitet, hat einen Großteil abgedeckt – aber nicht alles: Meldeverfahren und Geschäftsleitungspflichten bleiben zusätzlich zu regeln.
  3. Priorisieren und umsetzen. Registrierung, Meldewege und Backup-/Notfallprozesse zuerst – sie sind schnell umsetzbar und decken das größte Risiko. Danach systematisch: Lieferkette, Schulungen, Dokumentation.

Und wer nicht direkt betroffen ist?

Auch dann lohnt der Blick: NIS-2-pflichtige Unternehmen müssen die Sicherheit ihrer Lieferkette nachweisen – und geben die Anforderungen zunehmend an ihre Dienstleister und Zulieferer weiter. Wer als kleineres Unternehmen früh belegen kann, dass grundlegende Sicherheitsmaßnahmen stehen, verschafft sich einen handfesten Wettbewerbsvorteil bei der Auftragsvergabe.