NIS2-Richtlinie: Was das konkret für KMU bedeutet

NIS2 und der Mittelstand: Verbindliches Recht, keine freiwillige Selbstverpflichtung

Am 6. Dezember 2025 trat das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland in Kraft. Keine Ankündigung, keine Übergangsfristen – der Gesetzgeber hat die Anforderungen mit sofortiger Wirkung verbindlich gemacht. Wer als betroffenes Unternehmen noch nicht gehandelt hat, verstößt bereits heute gegen geltendes Recht.

Das klingt nach einem Problem für Konzerne und Betreiber kritischer Infrastrukturen. Ist es das aber nicht allein. Laut Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind rund 30.000 deutsche Unternehmen von NIS2 erfasst – darunter tausende mittelständische Betriebe, die zum ersten Mal unter eine bundesweite Cybersicherheitsregulierung fallen. Einer der zentralen Befunde des Cyber Security Report 2026: 48 Prozent der befragten Unternehmen unterschätzen ihre eigene Betroffenheit.

Wer ist betroffen – und warum viele KMU überrascht sind

NIS2 unterscheidet zwischen zwei Kategorien: wesentliche Einrichtungen (z. B. Energie, Gesundheit, Transport, digitale Infrastruktur) und wichtige Einrichtungen (z. B. Maschinenbau, Chemie, Lebensmittelproduktion, IT-Dienstleister, Post- und Kurierdienste). Für den Mittelstand ist besonders die zweite Kategorie relevant.

Die Schwelle ist niedriger als viele erwarten: Unternehmen fallen unter NIS2, wenn sie in einem der 18 regulierten Sektoren tätig sind und mindestens 50 Mitarbeiter oder einen Jahresumsatz von mehr als 10 Millionen Euro aufweisen. Das trifft mehr Betriebe als gedacht.

Hinzu kommt der Lieferketten-Effekt: Auch wenn ein Unternehmen selbst unterhalb der Schwellenwerte liegt, kann es indirekt in die Pflicht genommen werden. NIS2-pflichtige Auftraggeber sind verpflichtet, Sicherheitsanforderungen entlang ihrer gesamten Lieferkette weiterzugeben. Wer als Zulieferer oder IT-Dienstleister für eine NIS2-pflichtige Organisation arbeitet und keine nachweisbaren Sicherheitsstandards hat, riskiert den Verlust dieser Geschäftsbeziehung – unabhängig von der eigenen Unternehmensgröße.

Die eigene Betroffenheit lässt sich direkt über die bsi.bund klären.

Was NIS2 konkret fordert

Der gesetzliche Kern sind die zehn Mindestmaßnahmen nach §30 BSIG. Sie beschreiben, was jede betroffene Einrichtung nachweislich umgesetzt haben muss.

Risikomanagement und Sicherheitskonzept: Unternehmen müssen ihre IT-Risiken systematisch identifizieren, bewerten und mit dokumentierten Schutzmaßnahmen adressieren. Eine einmalige Risikoanalyse reicht nicht – sie muss regelmäßig aktualisiert werden.

Meldepflichten bei Sicherheitsvorfällen: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung an das BSI gemeldet werden, nach 72 Stunden folgt ein detaillierter Zwischenbericht, nach spätestens einem Monat ein Abschlussbericht. Das funktioniert nur, wenn Incident-Response-Prozesse, Verantwortlichkeiten und Meldewege vorab definiert sind – nicht erst im Schadenfall.

Business Continuity und Backup: Notfallpläne, getestete Disaster-Recovery-Prozesse und ein nachweisbares Backup-Konzept nach der 3-2-1-Regel sind Pflicht. Entscheidend ist dabei nicht das Backup an sich, sondern der regelmäßig getestete Wiederherstellungsprozess.

Lieferkettensicherheit: Dienstleister und Zulieferer müssen auf ihre Sicherheitsstandards hin bewertet und vertraglich in die Pflicht genommen werden. Die Verantwortung endet nicht an der eigenen Unternehmensgrenze.

Technische Schutzmaßnahmen: Multi-Faktor-Authentifizierung für alle externen Zugänge, Verschlüsselung sensibler Daten, strukturiertes Patch-Management und Netzwerksegmentierung gehören zum Mindeststandard.

Mitarbeiterschulungen: Security-Awareness-Trainings sind keine freiwillige Maßnahme mehr, sondern gesetzliche Pflicht – inklusive nachweisbarer Dokumentation.

Geschäftsführerhaftung: Das unterschätzte Risiko

NIS2 enthält eine Regelung, die in der öffentlichen Wahrnehmung oft untergeht: Die Geschäftsleitung haftet persönlich für die Umsetzung der Sicherheitsmaßnahmen. Das bedeutet konkret, dass Geschäftsführer die Risikomanagement-Maßnahmen formal billigen und deren Umsetzung aktiv überwachen müssen. Sie sind verpflichtet, an Cybersicherheitsschulungen teilzunehmen. Und im Schadensfall können sie mit ihrem Privatvermögen haftbar gemacht werden – die Verantwortung ist nicht an die IT-Abteilung oder externe Dienstleister delegierbar.

Wer als Geschäftsführer NIS2 als rein technisches Thema behandelt, hat das Gesetz nicht verstanden.

Was droht bei Verstößen

Die Sanktionen sind erheblich: Für wesentliche Einrichtungen sieht das Gesetz Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Grenze bei 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Hinzu kommt die Möglichkeit eines öffentlichen Naming and Shaming durch die Aufsichtsbehörde sowie – bei wesentlichen Einrichtungen – proaktive, anlasslose Sicherheitsaudits durch das BSI.

Die BSI-Registrierungsfrist für zum Inkrafttreten bereits betroffene Unternehmen lief bis zum 6. März 2026. Eine verspätete Registrierung ist zwar weiterhin möglich, bringt jedoch ein Bußgeldrisiko von bis zu 500.000 Euro mit sich.

Fazit: Betroffenheit prüfen, Lücken schließen, Umsetzung dokumentieren

NIS2 ist kein Bürokratieprojekt, das irgendwann abgearbeitet ist. Es ist ein dauerhafter Rahmen für organisierte IT-Sicherheit – mit echten rechtlichen Konsequenzen bei Versäumnissen. Viele der geforderten Maßnahmen wie MFA, getestete Backups und strukturiertes Patch-Management sind ohnehin grundlegende Best Practices, die Unternehmen unabhängig von NIS2 schützen.

Der erste Schritt ist die ehrliche Bestandsaufnahme: Bin ich betroffen? Wo stehe ich heute? Was fehlt bis zur Compliance? Als DATEV Solution Partner und externer IT-Dienstleister für den Mittelstand begleitet IQ Solutions genau diesen Prozess – von der Betroffenheitsprüfung über die Gap-Analyse bis zur laufenden Dokumentation aller Maßnahmen. iq-solutions – bevor der nächste BSI-Termin es erzwingt.