Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 verbindlich geltendes Recht in Deutschland – ohne Übergangsfrist, ohne Ausnahmen für nicht vorbereitete Unternehmen. Rund 29.500 Einrichtungen sind betroffen, viele davon mittelständische Unternehmen, die sich bislang keine Gedanken um Cybersicherheits-Compliance machen mussten. Und noch alarmierender: Bis zur Registrierungsfrist im März 2026 hatten sich nur knapp 50 Prozent der betroffenen Unternehmen beim BSI registriert. Die andere Hälfte steht vor empfindlichen Bußgeldern und vor der persönlichen Haftung der Geschäftsführung. In diesem Artikel erklären wir, ob Ihr Unternehmen betroffen ist, welche konkreten Pflichten bezüglich NIS2 Mittelstand auf Sie zukommen und welche Schritte Sie jetzt einleiten sollten.
Was ist NIS2 und warum betrifft es den Mittelstand?
NIS2 steht für „Network and Information Security Directive 2“, eine EU-Richtlinie zur Cybersicherheit, die den Vorgänger NIS1 massiv ausweitet. Waren bisher rund 4.500 Unternehmen (vor allem Betreiber kritischer Infrastrukturen wie Energieversorger oder Krankenhäuser) reguliert, sind es nun knapp 30.000 Einrichtungen in 18 Sektoren.
Der entscheidende Unterschied: NIS2 greift bereits bei 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen Euro, folglich genau im klassischen deutschen Mittelstand!
Bin ich als Unternehmen betroffen? Schwellenwerte auf einen Blick
Ob ein Unternehmen unter NIS2 fällt, hängt von zwei Faktoren ab: der Unternehmensgröße und der Branchenzugehörigkeit. Das Gesetz unterscheidet zwischen zwei Kategorien:
| Einrichtungstyp | Mitarbeitende | Jahresumsatz / Bilanzsumme | Bußgeld (max.) |
|---|---|---|---|
| Besonders wichtige Einrichtung | ab 250 | über 50 Mio. € / über 43 Mio. € | 10 Mio. € oder 2 % des Weltumsatzes |
| Wichtige Einrichtung | ab 50 | über 10 Mio. € / über 10 Mio. € | 7 Mio. € oder 1,4 % des Weltumsatzes |
Wichtig: Die Betroffenheit muss jedes Unternehmen eigenständig prüfen, eine behördliche Benachrichtigung erfolgt nicht. Das BSI stellt auf seiner Website eine Betroffenheitsprüfung zur Verfügung.
Welche Branchen sind bei der NIS2 Mittelstand betroffen?

NIS2 gilt für insgesamt 18 Sektoren, darunter zählen:
- Energie
- Strom, Gas, Wärme
- Gesundheit
- Krankenhäuser, Pharma, Medizinprodukte
- Transport und Verkehr
- Bank- und Finanzwesen
- Digitale Infrastruktur und IT-Dienstleistungen
- Verarbeitendes Gewerbe und Maschinenbau
- Lebensmittelproduktion und -vertrieb
- Forschungseinrichtungen
NIS2 Pflichten: Was müssen betroffene Unternehmen konkret umsetzen?
Registrierungspflicht beim BSI
Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Die gesetzliche Registrierungsfrist lief am 6. März 2026 ab. Wer noch nicht registriert ist, sollte dies unverzüglich nachholen, um weiteren Bußgeldrisiken zu entgehen!
Meldepflicht bei Sicherheitsvorfällen
Erhebliche Sicherheitsvorfälle müssen fristgerecht an das BSI gemeldet werden, und zwar nach einem klar definierten Zeitplan:
- 24 Stunden nach Erkennung: Frühwarnung an das BSI
- 72 Stunden nach Erkennung: Vollständige Erstmeldung mit Bewertung
- 1 Monat nach dem Vorfall: Abschlussbericht mit ergriffenen Maßnahmen
Technische und organisatorische Maßnahmen
NIS2 schreibt konkrete Sicherheitsmaßnahmen vor, die Unternehmen dokumentiert umsetzen müssen. Dazu gehören unter anderem:
- Risikomanagement: Regelmäßige Bewertung und Dokumentation von Cyberrisiken
- Incident Response: Etablierter Prozess zur Erkennung, Meldung und Behebung von Sicherheitsvorfällen
- Backup und Notfallwiederherstellung: Getestete Datensicherungskonzepte und Business-Continuity-Pläne
- Lieferkettensicherheit: Überprüfung der IT-Sicherheitsstandards von Dienstleistern und Zulieferern
- Zugriffsmanagement: Implementierung des Least-Privilege-Prinzips und Multi-Faktor-Authentifizierung
- Patch-Management: Regelmäßige und dokumentierte Aktualisierung von Systemen und Software
- Mitarbeiterschulungen: Nachweisbare Sensibilisierungsmaßnahmen für alle Mitarbeitenden
Persönliche Haftung der Geschäftsführung
Ein oft unterschätzter Punkt: NIS2 begründet eine persönliche Haftung der Geschäftsführung, auch dann, wenn das Unternehmen seine eigene Betroffenheit nicht kannte. Das bedeutet: Unwissenheit schützt nicht vor Konsequenzen!
Was passiert bei Verstößen? Die Bußgeldrisiken konkret
Das BSI hat angekündigt, im zweiten Halbjahr 2026 mit aktiver Durchsetzung zu beginnen. Erste Bußgelder gegen Unternehmen, die ihre Meldepflichten verletzt haben, werden noch 2026 erwartet. Die Sanktionen sind erheblich:
- Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes
Hinzu kommt die zivilrechtliche Haftung der Geschäftsführer bei nachgewiesener Fahrlässigkeit.
Fazit: NIS2 Mittelstand: Jetzt handeln, nicht abwarten
NIS2 ist kein bürokratisches Papiertiger-Thema, sondern geltendes Recht mit konkreten Konsequenzen. Für Mittelständler in den betroffenen Sektoren bedeutet das: Zeit zum Handeln.
Die gute Nachricht: Viele der geforderten Maßnahmen (strukturiertes Patch-Management, dokumentierte Backups, Zugriffskontrollen, Mitarbeiterschulungen) sind Dinge, die eine professionell aufgestellte IT ohnehin leisten sollte. Wer mit einem erfahrenen IT-Dienstleister zusammenarbeitet, hat hier oft weniger Aufwand als befürchtet.
Sie sind unsicher, ob Ihr Unternehmen von NIS2 betroffen ist oder wissen, dass Sie handeln müssen, aber nicht wo Sie anfangen sollen? Sprechen Sie uns an. Als IT-Systemhaus mit Fokus auf den Mittelstand begleiten wir Sie bei der Bestandsaufnahme, der Registrierung beim BSI und der Umsetzung der geforderten Maßnahmen!