News

Pflicht ohne Aufschub: Was das NIS-2-Gesetz jetzt von Zehntausenden Unternehmen verlangt

Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft. Rund 29.500 Unternehmen müssen sich registrieren, Vorfälle melden und ihre IT absichern – auch viele Mittelständler.

Von Anton · · 4 Min. Lesezeit

Lange war die Umsetzung der europäischen NIS-2-Richtlinie in Deutschland ein Geduldsspiel. Mehrere Anläufe scheiterten, Fristen verstrichen, und in vielen Unternehmen verfestigte sich der Eindruck, das Thema lasse sich noch eine Weile aufschieben. Seit dem Inkrafttreten des deutschen Umsetzungsgesetzes ist diese Hängepartie vorbei. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) trat das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz am 6. Dezember 2025 in Kraft. Für rund 29.500 Unternehmen in 18 Sektoren gelten damit verbindliche Pflichten, die viele Betriebe bislang nur aus der Theorie kannten.

Worum es bei NIS 2 überhaupt geht

NIS steht für "Netz- und Informationssicherheit". Die zugrunde liegende EU-Richtlinie soll das Schutzniveau gegen Cyberangriffe quer durch die Wirtschaft anheben – nicht mehr nur bei den klassischen Betreibern kritischer Infrastrukturen wie Energie- oder Wasserversorgern, sondern in einem deutlich breiteren Kreis. Erfasst sind unter anderem Bereiche wie Verkehr, Gesundheit, digitale Dienste, Ernährung, Abfallwirtschaft sowie Teile des verarbeitenden Gewerbes. Ob ein Unternehmen unter die Regeln fällt, hängt im Kern von Sektor, Größe und Umsatz ab. Die Schwelle beginnt vielfach bei 50 Beschäftigten oder zehn Millionen Euro Jahresumsatz – weshalb auch zahlreiche mittelständische Betriebe betroffen sind, die sich bisher nicht als sicherheitskritisch verstanden haben.

Registrieren, melden, absichern

Die neuen Pflichten lassen sich grob in drei Blöcke gliedern. Erstens müssen betroffene Unternehmen sich selbst beim BSI registrieren – die Behörde stellt dafür ein eigenes Online-Portal bereit. Die dreimonatige Registrierungsfrist begann mit dem Inkrafttreten und lief nach Darstellung des BSI am 6. März 2026 ab. Zweitens gilt eine gestufte Meldepflicht: Erhebliche Sicherheitsvorfälle müssen innerhalb kurzer Fristen an das BSI gemeldet werden, beginnend mit einer Erstmeldung binnen 24 Stunden. Drittens verlangt das Gesetz konkrete Risikomanagementmaßnahmen – von Notfallplänen über Lieferkettensicherheit bis hin zu Verschlüsselung und Zugriffskontrollen – die dokumentiert werden müssen.

Bemerkenswert ist die ausdrückliche Verantwortung der Leitungsebene. Geschäftsführungen sollen die Maßnahmen nicht nur billigen, sondern aktiv überwachen, und können bei Verstößen persönlich in die Pflicht genommen werden. Damit wird IT-Sicherheit endgültig von einer reinen Technikfrage zu einer Aufgabe der Unternehmensführung.

Warum viele Betriebe noch hinterherhinken

In der Praxis zeigt sich ein vertrautes Muster: Die Betroffenheit ist häufig unklar, weil die Sektorenzuordnung im Detail kompliziert ist und Unternehmen erst prüfen müssen, ob sie als "wichtige" oder "besonders wichtige" Einrichtung gelten. Hinzu kommt, dass Sicherheitsmaßnahmen Zeit, Budget und Personal binden – Ressourcen, die gerade in kleineren Organisationen knapp sind. Beratungs- und IT-Dienstleister verweisen deshalb regelmäßig darauf, dass ein erheblicher Teil der potenziell betroffenen Firmen die Anforderungen noch nicht vollständig erfüllt. Solche Einschätzungen stammen allerdings überwiegend aus dem Markt der Anbieter und sind als Momentaufnahmen zu lesen, nicht als belastbare Statistik.

Was sich daraus ablesen lässt

Unabhängig von der genauen Quote markiert NIS 2 eine Verschiebung: Cybersicherheit wird vom freiwilligen Reifegrad zur regulatorischen Grundpflicht. Für Unternehmen, die ohnehin in moderne IT-Sicherheit investiert haben, dürfte der Aufwand überschaubar bleiben. Wer bislang wenig getan hat, steht vor einer Aufholaufgabe – beginnend mit der schlichten Frage, ob man überhaupt betroffen ist. Eine seriöse Selbsteinschätzung, im Zweifel mit fachkundiger Begleitung, ist daher der naheliegende erste Schritt. Klar ist: Das Argument, man habe ja noch Zeit, trägt seit Dezember 2025 nicht mehr.


Dieser Beitrag ist eine redaktionelle Einordnung und ersetzt keine Rechtsberatung. Ob und in welchem Umfang ein Unternehmen unter NIS 2 fällt, hängt vom Einzelfall ab und sollte fachkundig geprüft werden.

Mehr zum Thema

  • Der Mensch als Sicherheitslücke: Warum NIS2 die IT allein nicht absichert
  • Vom Papier zum Datensatz: Warum die E-Rechnung den Mittelstand unter Zugzwang setzt
  • Cybersicherheit per Gesetz: Was die NIS2-Pflichten für den Mittelstand bedeuten
  • Vom Papier zur Pflicht: Wie die E-Rechnung den Mittelstand zum Umdenken zwingt
  • Cyber Resilience Act: Warum vernetzte Produkte künftig ab Werk sicher sein müssen
  • Police im Schrank, Schutz im Kleingedruckten: Warum Cyber-Versicherungen im Ernstfall oft nicht zahlen