NIS2 in Deutschland: 18.000 Unternehmen in der Compliance-Lücke – was der Mittelstand jetzt nachholen muss

Die Registrierungsfrist nach dem deutschen NIS2-Umsetzungsgesetz ist am 6. März 2026 abgelaufen – doch nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) hatten sich bis zu diesem Stichtag nur rund 38,5 Prozent der geschätzt 29.500 betroffenen Unternehmen registriert. Mehr als 18.000 Betriebe in Deutschland bewegen sich damit aktuell in einer rechtlichen Grauzone: betroffen, aber weder registriert noch nachweislich konform.

Besonders im Mittelstand wird die Tragweite unterschätzt. Anders als bei NIS1 gibt es keine Übergangsfrist und keine gestaffelte Einführung. Wer in den Anwendungsbereich fällt, muss die Pflichten seit Inkrafttreten am 6. Dezember 2025 vollständig erfüllen – einschließlich Risikomanagement, Vorfallmeldungen und der persönlichen Verantwortung der Geschäftsleitung.

Das Thema ist deshalb auch mehr als eine reine IT-Sicherheitsfrage: NIS2 ist ein Compliance- und Haftungsthema, das auf C-Level-Ebene gespiegelt werden muss.

Wer ist betroffen und welche Pflichten gelten?

  • Schwellenwerte: Erfasst sind Unternehmen mit mindestens 50 Mitarbeitenden oder über 10 Mio. EUR Jahresumsatz in einem der 18 Sektoren des Gesetzes (u.a. Energie, Verkehr, Gesundheit, digitale Infrastruktur, Lebensmittel, verarbeitendes Gewerbe).
  • Registrierungspflicht: Jedes betroffene Unternehmen muss sich beim BSI registrieren und einen zentralen Ansprechpartner benennen. Die Frist hierfür ist abgelaufen, eine Nachregistrierung bleibt aber zwingend.
  • Risikomanagement: Vorgeschrieben sind Maßnahmen in zehn Bereichen, darunter Risikoanalyse, Backup- und Krisenmanagement, Lieferkettensicherheit, Zugriffskontrollen und Multifaktor-Authentifizierung.
  • Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden frühgewarnt, nach 72 Stunden berichtet und nach einem Monat abschließend dokumentiert werden.
  • Persönliche Haftung: Die Geschäftsleitung haftet persönlich für die Umsetzung. Bußgelder reichen bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes.

Was bedeutet das für Unternehmen?

  1. Betroffenheit verbindlich prüfen. Klassifizieren Sie Ihr Unternehmen anhand der NIS2-Sektoren und Schwellenwerte. Auch indirekt über die Lieferkette eingebundene Mittelständler müssen prüfen, ob sie als Zulieferer regulierter Unternehmen vertraglich an NIS2-Anforderungen gebunden werden. Dokumentieren Sie das Ergebnis nachvollziehbar.
  2. Registrierung beim BSI nachholen. Falls Sie die Frist vom 6. März 2026 versäumt haben, holen Sie die Registrierung umgehend nach. Eine verspätete Registrierung ist immer noch besser als keine – und sie reduziert das Risiko eines bußgeldbewehrten Verfahrens.
  3. Risikomanagement strukturiert aufbauen. Etablieren Sie ein dokumentiertes Informationssicherheits-Managementsystem (ISMS), idealerweise angelehnt an ISO/IEC 27001 oder BSI IT-Grundschutz. Das erleichtert nicht nur die NIS2-Konformität, sondern schafft auch Synergien mit der DSGVO und mit Audits durch Großkunden.
  4. Vorfall- und Meldeprozess festlegen. Definieren Sie verbindliche Abläufe für die 24/72/30-Tage-Fristen, benennen Sie Verantwortliche und proben Sie den Ernstfall. Ohne geübten Prozess sind die kurzen Fristen in der Praxis kaum einzuhalten.
  5. Lieferkette einbeziehen. Prüfen Sie Ihre Verträge mit IT-Dienstleistern, Cloud-Anbietern und Subunternehmen. Ergänzen Sie Sicherheitsanforderungen, Auditrechte und Meldepflichten. Die Lieferkettensicherheit ist nach NIS2 ausdrücklich Aufgabe des Hauptverantwortlichen.
  6. Geschäftsleitung schulen. Die Leitungsebene ist zur Teilnahme an Schulungen verpflichtet und haftet persönlich. Eine dokumentierte Sensibilisierung ist daher kein Optional, sondern eine zentrale Schutzmaßnahme.

Fazit

NIS2 ist im Mittelstand angekommen, aber noch lange nicht umgesetzt. Wer jetzt nicht handelt, riskiert Bußgelder, persönliche Haftung der Geschäftsleitung und im Ernstfall den Ausschluss aus Lieferketten regulierter Kunden. Die gute Nachricht: Viele Anforderungen lassen sich mit bestehenden DSGVO- und ISMS-Strukturen verknüpfen – sofern man früh beginnt und systematisch vorgeht.

Bei Fragen helfen wir Ihnen gerne weiter.

An den Anfang scrollen
×
Externe Inhalte & Cookies
Wir verwenden Cookies und externe Inhalte. Wenn Sie diese annehmen wollen, klicken Sie einfach auf "Alles akzeptieren". Über "Einstellungen" können Sie auch auswählen, welche Cookie- und Inhaltstypen Sie annehmen wollen. Lesen Sie unsere Datenschutz-Richtlinien
Einstellungen Alles ablehnen Alles akzeptieren
Externe Inhalte & Cookies
Wählen Sie aus, welche Cookies und Inhaltstypen akzeptiert werden sollen. Ihre Auswahl wird für 7 Tage gespeichert. Lesen Sie unsere Datenschutz-Richtlinien
Speichern Alles ablehnen Alles akzeptieren