Digitales

Cybersicherheit wird Chefsache: Was die NIS2-Pflichten für den Mittelstand bedeuten

Mit dem NIS2-Umsetzungsgesetz weitet Deutschland die staatliche Cybersicherheitsaufsicht drastisch aus – von wenigen Tausend auf zehntausende Unternehmen. Für viele Mittelständler ist das Regelwerk Neuland, obwohl die ersten Fristen bereits verstrichen sind.

Von Redaktion · · 3 Min. Lesezeit

Cybersicherheit galt lange als Aufgabe der IT-Abteilung – etwas, das im Serverraum entschieden wird, nicht im Vorstand. Mit dem NIS2-Umsetzungsgesetz verschiebt sich dieses Verständnis. Dass IT-Dienstleister derzeit gezielt Werkzeuge etwa zur Priorisierung von Schwachstellen bewerben, ist kein Zufall: Sie reagieren auf einen Regulierungsschub, der weit mehr Unternehmen erfasst als bisher – und der die Verantwortung ausdrücklich in die Chefetage trägt.

Ein europäischer Rahmen, national umgesetzt

Hintergrund ist die europäische NIS2-Richtlinie, die ein einheitlich höheres Cybersicherheitsniveau in der EU schaffen soll. Deutschland gießt sie in das sogenannte NIS2-Umsetzungsgesetz. Nach den vorliegenden Angaben ist das Regelwerk seit Ende 2025 in Kraft; damit fällt die Aufsicht über deutlich mehr Einrichtungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wo bislang einige Tausend Betreiber kritischer Infrastruktur im Blick der Behörde standen, sind es nun Berichten zufolge rund 29.500 Unternehmen – ein Sprung um ein Vielfaches.

Wer betroffen ist – und wer nicht

Maßgeblich sind vor allem Größe und Branche. Als Faustregel gilt: Erfasst werden Unternehmen ab etwa 50 Beschäftigten oder rund zehn Millionen Euro Jahresumsatz, sofern sie einem der betroffenen Sektoren angehören. Diese reichen von Energie, Verkehr und Gesundheit über die Lebensmittelversorgung bis zu digitalen Diensten und der verarbeitenden Industrie. Kleinstunternehmen unterhalb dieser Schwellen bleiben grundsätzlich außen vor – es sei denn, sie erfüllen eine besonders kritische Funktion.

Gerade diese Abgrenzung sorgt in der Praxis für Unsicherheit. Viele Betriebe wissen schlicht nicht, ob sie unter das Gesetz fallen, weil die Zuordnung zu einem Sektor nicht immer eindeutig ist. Branchenverbände und Kammern raten deshalb zu einer nüchternen Selbstprüfung, statt auf eine behördliche Ansprache zu warten.

Was von den Betrieben verlangt wird

Im Kern verlangt das Gesetz ein systematisches Risikomanagement: technische und organisatorische Maßnahmen, die den Schutz der eigenen Systeme dokumentiert und nachvollziehbar machen. Dazu gehören unter anderem der Umgang mit Sicherheitslücken, Notfall- und Wiederanlaufpläne, die Absicherung der Lieferkette sowie Vorgaben zur Verschlüsselung und Zugriffskontrolle.

Besonders folgenreich sind die Meldepflichten. Sicherheitsvorfälle müssen nach den vorliegenden Informationen sehr kurzfristig – im Fall einer ersten Frühwarnung binnen 24 Stunden – an das BSI gemeldet werden. Für Unternehmen ohne eingespielte Prozesse ist das eine hohe Hürde, weil im Ernstfall unter Zeitdruck entschieden werden muss, wer was an wen meldet.

Haftung rückt an die Spitze

Die vielleicht größte Verschiebung betrifft die Verantwortung. NIS2 nimmt Geschäftsführung und Leitungsorgane ausdrücklich in die Pflicht: Sie sollen Risikomaßnahmen billigen, deren Umsetzung überwachen und sich fortbilden. Bei grober Vernachlässigung droht laut den Regelungen persönliche Haftung. Hinzu kommen Bußgelder, die je nach Konstellation in zweistellige Millionenhöhe oder einen Prozentsatz des weltweiten Umsatzes reichen können – Zahlen, die die Debatte über die Verhältnismäßigkeit für kleinere Betriebe befeuern.

Fachleute betonen zugleich, dass es nicht allein um Strafandrohung geht. Der eigentliche Zweck sei, Cybersicherheit von einer freiwilligen Kür zur dokumentierten Grundausstattung zu machen – in einer Zeit, in der Angriffe auf Lieferketten und Mittelständler zunehmen. Ob das Gesetz dieses Ziel erreicht oder vor allem Bürokratie erzeugt, wird sich erst zeigen, wenn die neuen Prozesse den ersten echten Vorfall überstehen müssen.


Dieser Beitrag ordnet ein aktuelles Regulierungsthema redaktionell ein und stellt keine Rechtsberatung dar. Ob und wie ein konkretes Unternehmen von den NIS2-Vorgaben betroffen ist, sollte im Einzelfall fachkundig geprüft werden; Angaben zu Fristen und Schwellen beruhen auf dem zum Redaktionszeitpunkt verfügbaren Stand.