NIS2 · Regulierung · KMU

NIS2-Umsetzung: Was KMU jetzt tun müssen

 ·  Thorsten Kohlstock

Am 5. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft getreten — nach langen politischen Verzögerungen und fast einem Jahr nach der eigentlichen EU-Deadline. Was das konkret bedeutet: Für rund 29.000 betroffene Unternehmen gilt jetzt kein Warten mehr. Die Registrierungsfrist beim BSI ist bereits am 6. März 2026 abgelaufen. Und die Zahlen sind ernüchternd: Stand März 2026 haben erst 38,5% der betroffenen Unternehmen registriert. Das bedeutet: Mehr als 17.000 Unternehmen haben die erste Pflicht bereits verfehlt.

Bin ich überhaupt betroffen?

Die erste Frage, die sich viele KMU stellen: Gilt NIS2 überhaupt für mich? Die Antwort ist einfacher als erwartet. Betroffene Sektoren umfassen u.a. Energie, Transport, Gesundheit, digitale Infrastruktur, Maschinenbau, Automobilzulieferer, Chemie und Lebensmittelverarbeitung. Die Schwellenwerte sind:

  • Besonders wichtige Einrichtungen (KRITIS-ähnlich): ab 250 Mitarbeitern oder 50 Mio. EUR Umsatz in bestimmten Sektoren
  • Wichtige Einrichtungen: ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in relevanten Sektoren
  • Kritische Anlagen: unabhängig von der Größe, wenn bestimmte Schwellenwerte für kritische Dienstleistungen überschritten werden

Unsicherheit bei der Einordnung ist kein Freifahrtschein. Wer glaubt, er könnte betroffen sein, sollte sich beim BSI informieren — die Selbstklassifizierung ist Unternehmensaufgabe, nicht Behördenaufgabe.

Das BSI-Portal: Registrierung und Meldepflicht

Seit dem 6. Januar 2026 ist das BSI-Portal für die NIS2-Registrierung und Vorfallmeldung live. Die Registrierung erfordert ein ELSTER-Organisationszertifikat — wer dieses noch nicht hat, muss mit mehrwöchiger Vorlaufzeit rechnen. Das allein erklärt einen Teil der geringen Registrierungsquote.

Die Registrierungsfrist ist am 6. März 2026 abgelaufen. Wer noch nicht registriert ist, befindet sich bereits in einem Verstoß. Die Registrierung ist gleichzusetzen mit der formalen Übernahme aller NIS2-Pflichten — und damit des vollständigen Bußgeldrisikos.

Meldepflicht: 24 Stunden, 72 Stunden, 30 Tage

Eine der gravierendsten Neuerungen ist die strenge Meldepflicht bei Sicherheitsvorfällen. Der Ablauf ist dreistufig:

  1. 24-Stunden-Erstmeldung: Sobald ein erheblicher Sicherheitsvorfall festgestellt wird, muss innerhalb von 24 Stunden eine erste Meldung beim BSI eingehen — auch wenn noch keine vollständigen Informationen vorliegen.
  2. 72-Stunden-Update: Spätestens drei Tage nach dem Vorfall ist ein detaillierter Zwischenbericht mit Ursacheneinschätzung und ergriffenen Maßnahmen fällig.
  3. 30-Tage-Abschlussbericht: Ein Monat nach dem Vorfall muss ein vollständiger Abschlussbericht eingereicht werden, der den Vorfall, seine Auswirkungen und die getroffenen Abhilfemaßnahmen dokumentiert.

Für viele KMU ist dieser Rhythmus ein Schock: Wer bisher keine strukturierten Incident-Response-Prozesse hatte, kann diese Fristen kaum einhalten. Ein Vorfall, den das IT-Team noch nicht einmal vollständig verstanden hat, muss bereits nach 24 Stunden gemeldet sein.

Bußgelder: Was wirklich droht

NIS2 hat Zähne. Die Bußgeldstruktur nach § 65 BSIG ist klar gestaffelt:

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. EUR oder 2% des globalen Jahresumsatzes — je nachdem, welcher Betrag höher ist
  • Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4% des Jahresumsatzes
  • Betreiber kritischer Anlagen: bis zu 5 Mio. EUR
  • Hersteller und Anbieter: bis zu 2 Mio. EUR

Zum Vergleich: Der Gesamtschaden durch Cyberkriminalität in Deutschland betrug laut Bitkom 2025 rund 202,4 Milliarden Euro. NIS2 soll den Druck erhöhen, dass Unternehmen nicht länger als potenzielle Kollateralschäden akzeptiert werden.

Geschäftsführerhaftung: Persönliches Risiko

Besonders brisant: NIS2 verankert eine persönliche Haftung der Geschäftsführung. Wer als Geschäftsführer oder Vorstand nachweislich Sicherheitspflichten vernachlässigt hat, haftet nicht nur mit dem Unternehmen, sondern unter Umständen auch persönlich. Das bedeutet: Ignoranz ist keine Strategie. Die Entscheidung, NIS2-Maßnahmen aufzuschieben oder zu unterlassen, muss bewusst getroffen und dokumentiert werden — und kann trotzdem zur persönlichen Haftung führen.

Für Geschäftsführer bedeutet das konkret: Sie müssen nachweisen können, dass angemessene Maßnahmen ergriffen wurden. Ein „Das wusste ich nicht" oder „Dafür ist die IT zuständig" reicht nicht aus.

Keine Übergangsfrist!

Ein weit verbreitetes Missverständnis: Es gibt keine Übergangsfrist für die Sicherheitsmaßnahmen. Registrierung, Meldepflichten und Risikomanagement-Anforderungen gelten ab sofort. Einzig der erste formale Nachweis gegenüber dem BSI ist frühestens drei Jahre nach Inkrafttreten fällig — aber das bedeutet nicht, dass bis dahin nichts passieren muss. Es bedeutet, dass der BSI erst nach drei Jahren prüft, was passiert ist. Und wer bis dahin nichts getan hat, hat drei Jahre lang dokumentierte Verstöße angehäuft.

Der 5-Schritte-Plan für KMU

Wie sieht eine realistische NIS2-Umsetzung für ein mittelständisches Unternehmen aus? Hier ist ein pragmatischer Einstiegsplan:

  1. Schritt 1 — Betroffenheitsprüfung: Klären Sie systematisch, ob und in welche Kategorie Ihr Unternehmen fällt. Nutzen Sie den BSI-Selbsttest oder lassen Sie sich durch einen Berater einordnen. Lieferketten-Abhängigkeiten (z.B. als Zulieferer für KRITIS-Betreiber) können ebenfalls relevant sein.
  2. Schritt 2 — Registrierung nachholen: Falls noch nicht geschehen, registrieren Sie sich unverzüglich im BSI-Portal. Beschaffen Sie das ELSTER-Organisationszertifikat — das dauert mehrere Wochen. Jeder weitere Tag ohne Registrierung ist ein dokumentierter Verstoß.
  3. Schritt 3 — Gap-Analyse: Vergleichen Sie Ihre bestehenden IT-Sicherheitsmaßnahmen mit den NIS2-Anforderungen. Wo gibt es Lücken bei Risikomanagement, Zugriffskontrollen, Backup und Recovery, Incident Response? Wer bereits nach ISO 27001 zertifiziert ist, hat einen erheblichen Vorsprung.
  4. Schritt 4 — Incident Response aufbauen: Die 24-Stunden-Meldepflicht ist nur mit einem funktionierenden Incident-Response-Prozess zu erfüllen. Definieren Sie, wer bei einem Vorfall was macht, wer die BSI-Meldung erstellt und wer die Kommunikation übernimmt — bevor ein Vorfall eintritt.
  5. Schritt 5 — Dokumentation und PDCA-Zyklus: NIS2 verlangt einen nachweisbaren Plan-Do-Check-Act-Zyklus. Sicherheitsmaßnahmen müssen nicht nur umgesetzt, sondern dokumentiert, überprüft und kontinuierlich verbessert werden. Regelmäßige Audits und Penetrationstests sind explizit gefordert.

Was passiert, wenn ich nichts tue?

Die ehrliche Antwort: In den ersten Jahren wird die Durchsetzung noch anlaufen müssen. Das BSI baut Kapazitäten auf, die Aufsichtsstrukturen etablieren sich. Aber die rechtliche Lage ist eindeutig. Wer nachweislich gegen NIS2 verstößt und gleichzeitig einen schwerwiegenden Sicherheitsvorfall erleidet, steht vor einer gefährlichen Kombination aus operativem Schaden, Bußgeld und persönlicher Haftung der Geschäftsführung.

Zudem: Großkunden und Auftraggeber werden NIS2-Compliance zunehmend als Vergabekriterium nutzen. Wer als Lieferant in einer Lieferkette keine nachweisbare IT-Sicherheit vorweisen kann, verliert Aufträge — nicht erst, wenn das BSI klopft.

NIS2-Beratung — damit Sie keine Fristen mehr verpassen

Als zertifizierter CISO und NIS2-Experte begleite ich Ihr Unternehmen von der Betroffenheitsprüfung über die BSI-Registrierung bis zur vollständigen Compliance-Dokumentation. Starten Sie mit einem kostenlosen Erstgespräch.

Jetzt NIS2-Beratung anfragen

Weitere Artikel

Kostenloses Erstgespräch buchen

IT-Sicherheit ohne Konzern-Overhead. Direkt vom zertifizierten Experten.

Termin online buchen Kontaktformular →