Viele Geschäftsführer im Mittelstand haben NIS2 lange als ferne EU-Vorgabe abgetan. Diese Zeit ist vorbei. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft – und zwar ohne jede Übergangsfrist. Wer betroffen ist, muss die gesetzlichen Pflichten seit dem Tag der Verkündung erfüllen. Eine Schonzeit für die technische Umsetzung gibt es nicht.
Rund 29.500 Unternehmen in Deutschland fallen unter die neuen Regelungen. Betroffen sind Einrichtungen aus 18 Sektoren ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz – darunter Produktion, Maschinenbau, Metallverarbeitung, Logistik, Chemie und Energie. Gerade die industriell geprägte Mittelstandslandschaft in Südwestfalen und dem Sauerland ist damit überdurchschnittlich häufig in der Pflicht.
Die entscheidende Frage lautet deshalb nicht mehr „Bin ich überhaupt betroffen?", sondern: „Wie schnell setze ich die geforderten Maßnahmen tatsächlich um?"
Von „Bin ich betroffen?" zu „Wie setze ich um?"
In den vergangenen Monaten drehte sich alles um die Betroffenheitsprüfung. Diese Welle hat ihren Höhepunkt überschritten. Die Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist am 6. März 2026 abgelaufen, das BSI-Meldeportal ist seit Januar 2026 online. Wer sich noch nicht registriert hat, sollte das umgehend nachholen – die Versäumnis ist bereits eine Compliance-Verletzung.
Damit verschiebt sich der Fokus klar auf die Umsetzung: zehn konkrete Risikomanagement-Maßnahmen, eine gestufte Meldepflicht und der laufende Nachweis gegenüber der BSI-Aufsicht. Genau hier entscheidet sich, ob ein Unternehmen im Ernstfall – einer Cyberattacke oder einer behördlichen Prüfung – handlungsfähig ist.
Die zehn Maßnahmenfelder nach § 30 BSIG
Das Gesetz verlangt technische und organisatorische Maßnahmen in zehn Bereichen. Übersetzt in die Praxis bedeutet das:
- Risikoanalyse und Sicherheitskonzepte: Sie müssen Ihre Risiken systematisch erfassen und dokumentieren. Ohne belastbare IT-Dokumentation kein nachweisbares Risikomanagement.
- Bewältigung von Sicherheitsvorfällen: Es braucht einen definierten Prozess, wie Vorfälle erkannt, eingedämmt und behoben werden.
- Aufrechterhaltung des Betriebs: Backup-Management, Wiederherstellung und Business Continuity. Funktionierende, getestete Backups sind hier das Fundament.
- Sicherheit der Lieferkette: Auch die Sicherheit Ihrer Dienstleister und Zulieferer gehört bewertet.
- Sicherheit in Beschaffung, Entwicklung und Wartung: Sicherheit muss schon beim Einkauf und Betrieb von Systemen mitgedacht werden.
- Bewertung der Wirksamkeit: Sie müssen messen, ob Ihre Maßnahmen tatsächlich greifen.
- Cyberhygiene und Schulungen: Regelmäßige Sensibilisierung der Mitarbeitenden, denn der Mensch bleibt das häufigste Einfallstor.
- Kryptografie und Verschlüsselung: Klare Vorgaben, welche Daten wie verschlüsselt werden.
- Personalsicherheit, Zugriffskontrolle und Asset-Management: Wer darf auf was zugreifen, und welche Geräte sind im Einsatz?
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation: MFA ist ausdrücklich gefordert, ebenso abgesicherte Kommunikationswege.
Die gute Nachricht: Unternehmen mit einem bestehenden Informationssicherheits-Managementsystem nach ISO 27001 decken erfahrungsgemäß bereits 70 bis 80 Prozent dieser Anforderungen ab. Die verbleibenden 20 bis 30 Prozent betreffen NIS2-spezifische Pflichten wie die BSI-Registrierung, das gestufte Meldeverfahren und die Pflichten der Geschäftsleitung.
Die Meldepflicht: 24 Stunden, 72 Stunden, ein Monat
Ein erheblicher Sicherheitsvorfall muss dem BSI gestuft gemeldet werden. Zuerst gilt eine Frühwarnung innerhalb von 24 Stunden, anschließend ein detaillierterer Bericht innerhalb von 72 Stunden und schließlich ein Abschlussbericht innerhalb eines Monats. Diese Fristen sind eng. Wer im Ernstfall erst überlegt, wer was wohin meldet, verliert wertvolle Zeit – ein dokumentierter Notfallprozess ist deshalb keine Kür, sondern Pflicht.
Was bei Nichtumsetzung droht
NIS2 hat die IT-Sicherheit endgültig zur Chefsache gemacht. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro beziehungsweise 2 Prozent des weltweiten Jahresumsatzes. Neu und besonders heikel: Geschäftsführer und Aufsichtsräte haften persönlich für die Umsetzung der Cybersicherheitspflichten. Die Verantwortung lässt sich nicht mehr vollständig an die IT-Abteilung oder einen Dienstleister delegieren.
Wo der Mittelstand jetzt konkret anfangen sollte
Der häufigste Fehler ist, alles auf einmal lösen zu wollen. Sinnvoller ist ein strukturiertes Vorgehen:
Schritt 1 – Reifegrad bestimmen. Verschaffen Sie sich einen ehrlichen Überblick, wo Sie bei den zehn Maßnahmenfeldern stehen. Welche Punkte sind bereits erfüllt, welche nur teilweise, welche gar nicht?
Schritt 2 – Lücken priorisieren. Bewerten Sie die offenen Punkte nach Aufwand und Wirkung. Ein fehlendes, getestetes Backup oder eine nicht aktivierte Multi-Faktor-Authentifizierung sind oft schnell umsetzbar und schließen gleichzeitig hohe Risiken.
Schritt 3 – Maßnahmen den richtigen Lösungen zuordnen. Jedes NIS2-Handlungsfeld lässt sich auf eine konkrete Sicherheitsleistung übersetzen:
- Backup und Wiederherstellung: Managed Backup mit regelmäßigem Restore-Test
- Schwachstellenmanagement: Patchmanagement und Schwachstellenanalyse
- Netzwerksicherheit: Firewalling und Segmentierung
- Angriffserkennung: Monitoring von Clients und Servern
- Awareness: Security-Awareness-Schulungen für Mitarbeitende
- Notfall und Meldung: Definierter Incident-Response-Prozess
Wer kein eigenes Sicherheitsteam hat, fährt mit einem Managed-Services-Ansatz meist effizienter: Die laufende Überwachung, das Patchmanagement und die Notfallreaktion übernimmt ein spezialisierter Partner, während die Geschäftsführung die Verantwortung nachweisbar wahrnimmt.
Häufige Fragen zu NIS2
Bin ich von NIS2 betroffen?
Grundsätzlich ja, wenn Ihr Unternehmen einem der 18 Sektoren angehört und mindestens 50 Mitarbeitende oder 10 Millionen Euro Jahresumsatz hat. Dazu zählen unter anderem Produktion, Maschinenbau, Logistik, Chemie und Energie.
Welche Maßnahmen verlangt NIS2 konkret?
Zehn Risikomanagement-Bereiche nach § 30 BSIG – von Risikoanalyse über Backup-Management und Lieferkettensicherheit bis zur Multi-Faktor-Authentifizierung – sowie eine gestufte Meldepflicht für erhebliche Vorfälle.
Was droht bei Nichtumsetzung?
Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes und die persönliche Haftung der Geschäftsleitung.
Reicht ein bestehendes ISMS nach ISO 27001?
Es deckt typischerweise 70 bis 80 Prozent der Anforderungen ab. Die NIS2-spezifischen Lücken – Registrierung, Meldeverfahren, Geschäftsleitungspflichten – müssen gezielt geschlossen werden.
Fazit
NIS2 ist geltendes Recht, ohne Übergangsfrist und mit persönlicher Haftung. Für den industriell geprägten Mittelstand in Südwestfalen und dem Sauerland ist das kein Randthema, sondern eine unmittelbare Pflicht. Der Schlüssel liegt nicht in hektischem Aktionismus, sondern in einem klaren Reifegrad-Bild, einer Priorisierung nach Aufwand und Wirkung und der konsequenten Umsetzung der zehn Maßnahmenfelder. Wer jetzt strukturiert vorgeht, erfüllt nicht nur die gesetzlichen Vorgaben, sondern macht sein Unternehmen tatsächlich widerstandsfähiger gegen Cyberangriffe.
Jetzt den eigenen Umsetzungsstand klären
Wissen Sie, wo Ihr Unternehmen bei den zehn NIS2-Maßnahmen heute steht? Unsere Experten verschaffen Ihnen einen klaren Überblick, decken die kritischen Lücken auf und priorisieren die nächsten Schritte – praxisnah und ohne juristisches Fachchinesisch.
- Mehr zu unseren Sicherheits- und Überwachungsleistungen erfahren Sie auf unserer Seite Managed Services.
- Wie eine sichere Datensicherung als Fundament der NIS2-Pflichten aussieht, lesen Sie in unserem Blog.
- Jetzt unverbindlich anfragen und Ihren NIS2-Umsetzungsstand besprechen.
