18. Mai 2026 | Artikel drucken |

NIS2-Compliance im Mittelstand: machbare Schritte, vermeidbare Fehler

6 Min. Lesezeit

Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Es gibt keine Übergangsfrist. Die Registrierungsfrist beim BSI lief bereits am 6. März 2026 ab. Rund 29.500 Unternehmen in Deutschland fallen unter die neuen Pflichten, viele davon mittelständisch und viele davon bis heute nicht registriert. Die Frage lautet nicht mehr, ob NIS2 kommt, sondern wie ein Mittelständler die Umsetzung pragmatisch nachholt, ohne sie zum Großprojekt aufzublasen.

Das Wichtigste in Kürze

  • Die Frist ist vorbei, nicht die Pflicht. NIS2 gilt seit Dezember 2025 ohne Übergangsfrist. Wer noch nicht registriert ist, holt das nach, die verspätete Registrierung bleibt möglich.
  • Zehn Maßnahmenbereiche, kein Großprojekt. Das Gesetz verlangt ein strukturiertes Risikomanagement. Die meisten Mittelständler haben Bausteine davon bereits, sie sind nur nicht dokumentiert.
  • Die Geschäftsleitung haftet persönlich. NIS2 macht die Billigung und Überwachung der Maßnahmen zur Chefsache. Diese Pflicht lässt sich nicht an die IT wegdelegieren.
  • Die Meldekette muss geübt sein. 24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht. Ein ungeübter Meldepfad verbrennt die erste Frist mit Organisation.

Was ist NIS2? NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit, in Deutschland umgesetzt durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Sie verpflichtet als wesentlich oder wichtig eingestufte Unternehmen zu einem dokumentierten Cybersicherheits-Risikomanagement, zur Registrierung beim BSI und zur Meldung erheblicher Sicherheitsvorfälle.

Verwandt:Wo der Mittelstand bei NIS2 technisch noch hinterherhinkt  /  EU-AI-Act 2. August 2026: Wo die Hochrisiko-Lücke klafft

Der Stichtag liegt bereits hinter uns

Die meisten NIS2-Artikel der vergangenen zwei Jahre endeten mit einem Datum in der Zukunft. Dieser hier nicht. Das NIS2-Umsetzungsgesetz wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet und gilt seitdem. Eine gestaffelte Einführung oder Schonfrist, wie sie viele Unternehmen erwartet hatten, gibt es nicht. Die Pflichten greifen ab Verkündung.

Das betrifft nach Schätzung von BSI und BMI rund 29.500 Unternehmen. Die Spanne reicht von klassischen KRITIS-Betreibern bis tief in den Mittelstand hinein, in Branchen wie Maschinenbau, Logistik, Lebensmittelproduktion, Chemie oder bei IT-Dienstleistern. Ein Teil dieser Unternehmen weiß bis heute nicht sicher, ob es betroffen ist. Genau das ist der erste praktische Fehler: NIS2 verlangt die Selbsteinstufung. Niemand schickt einen Bescheid.

rund 29.500
Unternehmen in Deutschland fallen unter die NIS2-Pflichten, ein erheblicher Teil davon mittelständisch.
Quelle: BSI / BMI, Schätzung zur NIS2-Umsetzung

Die Registrierungsfrist beim BSI endete am 6. März 2026. Wer sie verpasst hat, ist deshalb nicht aus dem Schneider, sondern schlicht verspätet. Die Registrierung über das BSI-Portal bleibt möglich und ist nachzuholen, sie setzt ein ELSTER-Organisationszertifikat voraus. Dieser Schritt ist klein, aber er ist die Voraussetzung für alles Weitere und wird in der Praxis am häufigsten aufgeschoben.

Was die Umsetzung praktisch verlangt

Hinter NIS2 steht kein exotischer Anforderungskatalog. Das Gesetz verlangt ein Risikomanagement in zehn Bereichen: Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs samt Backup-Management, Lieferkettensicherheit, Sicherheit bei Beschaffung und Entwicklung, Bewertung der Wirksamkeit der Maßnahmen, grundlegende Cyberhygiene und Schulung, Kryptografie, Personalsicherheit und Zugriffskontrolle sowie Multifaktor-Authentifizierung und gesicherte Kommunikation.

Die gute Nachricht für die meisten Mittelständler: Ein erheblicher Teil dieser Bausteine existiert bereits im Betrieb. Backups werden gefahren, Zugriffe verwaltet, Updates eingespielt. Was fehlt, ist selten die Substanz, sondern die strukturierte Dokumentation und der Nachweis, dass die Maßnahmen wirksam sind. NIS2 fragt nicht nur, ob ein Backup existiert, sondern wann es zuletzt erfolgreich zurückgespielt wurde.

Der zweite Teil ist die Meldepflicht. Ein erheblicher Sicherheitsvorfall löst eine dreistufige Frist aus: eine Frühwarnung an das BSI binnen 24 Stunden, eine ausführlichere Meldung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats. Die 24-Stunden-Uhr startet mit der Kenntnis des Vorfalls. Wer den internen Bewertungs- und Eskalationspfad nicht eingerichtet hat, verbrennt einen Großteil dieser Frist mit organisatorischer Klärung statt mit der Meldung.

Der Fahrplan in vier Schritten

Eine NIS2-Umsetzung lässt sich als Großprojekt aufsetzen oder als geordnete Abfolge von vier Schritten. Für den Mittelstand trägt die zweite Variante zuverlässiger. Sie folgt dem Risiko: Was den Status klärt, kommt zuerst.

Schritt 1: Betroffenheit klären und registrieren

Zuerst die Selbsteinstufung: Fällt das Unternehmen nach Größe und Sektor unter NIS2 und wenn ja, als wesentliche oder als wichtige Einrichtung. Diese Einordnung entscheidet über Aufsichtsintensität und Sanktionsrahmen. Steht das Ergebnis, folgt die Registrierung über das BSI-Portal. Ohne diesen Schritt ist jede weitere Maßnahme rechtlich unvollständig.

Schritt 2: Gap-Analyse über die zehn Bereiche

Pro Maßnahmenbereich wird ehrlich erfasst, was bereits existiert, was existiert aber nicht dokumentiert ist und was fehlt. Das Ergebnis ist meist beruhigender als befürchtet. Der Aufwand liegt selten im Aufbau neuer Technik, sondern im Sichtbarmachen und Belegen des Vorhandenen.

Schritt 3: Meldekette einrichten und durchspielen

Der Meldepfad braucht benannte Rollen, eine Vertretungsregelung und eine Fallback-Kommunikation. Entscheidend ist der Probelauf. Wer den 24-Stunden-Pfad einmal von der Vorfallserkennung bis zur BSI-Eingangsbestätigung durchspielt, findet die organisatorischen Lücken vor dem Ernstfall, nicht in ihm.

Schritt 4: Geschäftsleitung einbinden und Nachweis sichern

NIS2 verpflichtet die Geschäftsleitung, die Risikomaßnahmen zu billigen und ihre Umsetzung zu überwachen. Diese Pflicht ist nicht delegierbar. Praktisch heißt das: ein dokumentierter Beschluss, eine regelmäßige Befassung und eine nachvollziehbare Nachweisablage. Was nicht dokumentiert ist, gilt im Zweifel als nicht geschehen.

NIS2 fragt nicht, ob ein Backup existiert, sondern wann es zuletzt erfolgreich zurückgespielt wurde.

Die teuren Fehler in der Umsetzung

Vier Muster führen in der Praxis verlässlich zu Problemen und keines davon ist technischer Natur.

Der erste Fehler ist das Aufschieben der Registrierung, weil sie unwichtig wirkt. Sie ist der formale Anker der gesamten Compliance und der erste Punkt, den eine Aufsicht prüft. Der zweite Fehler ist die vergessene Lieferkette. NIS2 zieht die Sicherheit der Dienstleister und Zulieferer ausdrücklich in die Pflicht. Wer nur die eigene IT betrachtet, hat den Scope zu eng gezogen.

Der dritte Fehler ist die Geschäftsleitung, die ihre Haftung an die IT-Abteilung wegzudelegieren versucht. Das Gesetz lässt das nicht zu und ein nicht eingebundenes Management wird im Audit sofort sichtbar. Der vierte Fehler ist die Meldekette, die auf dem Papier existiert, aber nie geübt wurde. Ein Eskalationspfad, der erst im Vorfall zum ersten Mal benutzt wird, hält die 24-Stunden-Frist nicht.

Die technische Seite, also welche konkreten Mindestmaßnahmen ein Mittelständler am häufigsten noch schuldet, vertieft die Analyse zu den technischen NIS2-Mindestanforderungen. Dieser Beitrag bleibt bewusst auf der organisatorischen Ebene, weil dort die meisten Umsetzungen scheitern.

Häufige Fragen

Seit wann gilt NIS2 in Deutschland?

Das NIS2-Umsetzungsgesetz wurde am 6. Dezember 2025 verkündet und gilt seitdem. Eine Übergangs- oder Schonfrist gibt es nicht, die Pflichten greifen ab Verkündung. Die ursprünglich erwartete gestaffelte Einführung ist nicht gekommen.

Mein Unternehmen hat die Registrierungsfrist verpasst, was jetzt?

Die Registrierungsfrist beim BSI endete am 6. März 2026, eine verspätete Registrierung bleibt aber möglich und sollte umgehend nachgeholt werden. Sie erfolgt über das BSI-Portal und setzt ein ELSTER-Organisationszertifikat voraus. Die Registrierung ist die Voraussetzung dafür, dass weitere Maßnahmen rechtlich vollständig sind.

Welche Meldefristen gelten bei einem Sicherheitsvorfall?

Ein erheblicher Vorfall löst drei Fristen aus: eine Frühwarnung an das BSI binnen 24 Stunden, eine ausführliche Meldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats. Die Uhr startet mit der Kenntnis des Vorfalls im Unternehmen, nicht mit einer externen Benachrichtigung.

Haftet die Geschäftsleitung persönlich?

Ja. NIS2 verpflichtet die Geschäftsleitung, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Diese Pflicht ist nicht vollständig an die IT-Abteilung delegierbar. Ein dokumentierter Beschluss und eine regelmäßige Befassung der Geschäftsleitung sind deshalb Teil der Compliance.

Ist NIS2 für einen Mittelständler ein Großprojekt?

In der Regel nicht. Die meisten der zehn Maßnahmenbereiche sind im Betrieb teilweise bereits abgedeckt. Der Aufwand liegt überwiegend in der strukturierten Dokumentation, der Wirksamkeitsbewertung und der Einrichtung einer geübten Meldekette, nicht im Aufbau grundlegend neuer Technik.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Compliance Kosten: Architektur entscheidet

mybusinessfuture

Prozessoptimierung ohne Dauerprojekt

digital-chiefs

NIS2 zwingt CIOs, Edge-Devices in den Audit-Scope zu holen

Bildquelle: KI-generiert (Mai 2026), C2PA-Zertifikat im Bild hinterlegt

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH