News

Cybersicherheit per Gesetz: Was die NIS2-Pflichten für den Mittelstand bedeuten

Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz – mit konkreten Cybersicherheitspflichten für rund 29.500 Unternehmen. Was Paragraf 30 BSI-Gesetz verlangt und warum auch der Faktor Mensch zählt.

Von Anton · · 4 Min. Lesezeit

Hinter scheinbar nüchternen Begriffen wie „Background Check", „Vetting" oder „Screening" steckt ein Thema, das viele Unternehmen derzeit umtreibt: Wie lässt sich die eigene Organisation gegen Cyberangriffe und Risiken in der Lieferkette absichern? Eine Pressemitteilung des Anbieters Validato nimmt das novellierte BSI-Gesetz zum Anlass, um auf Personalsicherheit und Risikomanagement zu blicken. Der Einzelfall taugt als Aufhänger für eine Entwicklung, die einen erheblichen Teil der deutschen Wirtschaft betrifft – denn seit Ende 2025 ist Cybersicherheit für viele Betriebe keine Kür mehr, sondern gesetzliche Pflicht.

Ein neues Gesetz mit großer Reichweite

Im Zentrum steht das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, das die europäische NIS2-Richtlinie in deutsches Recht überführt. Nach Verabschiedung im Bundestag und Bestätigung durch den Bundesrat trat es am 6. Dezember 2025 in Kraft. Anders als bei früheren Regelungen gibt es keine lange Übergangsfrist: Die Pflichten gelten unmittelbar. Betroffen sind nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) rund 29.500 Unternehmen aus 18 Sektoren – darunter Energie, Produktion, Logistik, Chemie und Abfallwirtschaft. Maßgeblich sind dabei vor allem Schwellenwerte wie eine Mitarbeiterzahl ab 50 oder ein Jahresumsatz ab zehn Millionen Euro.

Was Paragraf 30 konkret verlangt

Kern der neuen Vorgaben ist Paragraf 30 des BSI-Gesetzes. Er enthält einen Katalog von zehn Risikomanagement-Maßnahmen, die betroffene Einrichtungen umsetzen müssen. Dazu zählen unter anderem eine systematische Risikoanalyse, ein geregeltes Backup- und Notfallmanagement, der Einsatz von Multi-Faktor-Authentifizierung sowie – ein Punkt, der oft unterschätzt wird – die Sicherheit der Lieferkette. Hinzu kommen Meldepflichten mit knappen Fristen: Erhebliche Sicherheitsvorfälle sind binnen 24 Stunden als Frühwarnung, nach 72 Stunden ausführlicher und innerhalb eines Monats abschließend zu melden. Auch die Registrierung beim BSI gehört dazu; die zugehörige Frist lief bereits im März 2026 ab.

Der Faktor Mensch

Bemerkenswert ist, dass moderne Cybersicherheit längst nicht mehr nur Firewalls und Verschlüsselung umfasst. Der Gesetzeskatalog nennt ausdrücklich auch Konzepte für die Zugriffskontrolle und die Sicherheit des Personals. Genau hier setzen Dienstleister wie Validato an, die nach eigenen Angaben Verfahren zur Personalprüfung und Lieferkettenbewertung revisionssicher und innerhalb der EU gehostet abbilden wollen. Ob solche Lösungen im Einzelfall passen, müssen Unternehmen selbst beurteilen. Klar ist aber der dahinterstehende Gedanke: Viele Sicherheitsvorfälle haben ihren Ursprung nicht in technischen Lücken, sondern in menschlichem Verhalten – sei es durch Fehler, mangelnde Sensibilisierung oder gezielte Täuschung. Personalsicherheit wird damit zum Bestandteil eines umfassenden Risikomanagements, das technische und organisatorische Maßnahmen verbindet.

Mittelstand unter Zeitdruck

Für viele mittelständische Betriebe bedeutet das neue Recht eine spürbare Herausforderung. Anders als große Konzerne verfügen sie häufig nicht über eigene Sicherheitsabteilungen oder spezialisierte Compliance-Teams. Gleichzeitig sind die möglichen Konsequenzen bei Verstößen erheblich: Das Gesetz sieht Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor, und es nimmt ausdrücklich auch die Geschäftsleitung in die Pflicht. Cybersicherheit ist damit endgültig Chefsache geworden. Wer betroffen ist, sollte zunächst prüfen, ob das eigene Unternehmen unter die Regelung fällt, und anschließend den Stand der eigenen Maßnahmen mit dem Katalog abgleichen. Branchenverbände und Industrie- und Handelskammern bieten dazu Orientierungshilfen an. Die zentrale Botschaft des neuen Rechtsrahmens lautet: Sicherheit ist kein einmaliges Projekt, sondern ein dauerhafter Prozess.


Dieser Beitrag ist eine redaktionelle Einordnung eines aktuellen Themas und stellt keine Rechtsberatung dar. Genannte Unternehmen dienen als Beispiel und stellen keine Empfehlung dar. Für die rechtssichere Beurteilung der eigenen Betroffenheit sollten Unternehmen fachkundigen Rat einholen.

Mehr zum Thema

  • Vom Papier zum Datensatz: Warum die E-Rechnung den Mittelstand unter Zugzwang setzt
  • Vom Papier zur Pflicht: Wie die E-Rechnung den Mittelstand zum Umdenken zwingt
  • Hidden Champions, jetzt digital: Warum Tech-Erfolg nicht an die Großstadt gebunden ist
  • DORA in der Praxis: Warum digitale Resilienz für Banken zur Daueraufgabe wird
  • Aktivieren oder sofort abschreiben: Wie Unternehmen Software und Cloud bilanzieren
  • Hinter jedem Chip steckt ein Entwurf: Warum IC-Design über Europas Halbleiter-Pläne entscheidet