NIS2 und der Mittelstand: Wie die Lieferkettenpflicht auch kleine Betriebe erreicht
Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz – ohne Übergangsfrist. Direkt betroffen sind rund 29.500 Unternehmen. Doch über die Lieferkette geraten auch kleinere Betriebe in den Sog der Regulierung.
Cybersicherheit galt im Mittelstand lange als Thema für die IT-Abteilung. Mit dem NIS2-Umsetzungsgesetz ist daraus eine handfeste Pflichtenfrage für die Geschäftsführung geworden. Das Gesetz setzt die europäische NIS2-Richtlinie in deutsches Recht um und ist seit dem 6. Dezember 2025 in Kraft – bemerkenswerterweise ohne Übergangsfrist. Viele Unternehmen müssen die neuen Anforderungen also bereits erfüllen.
Wer direkt betroffen ist
Der Kreis der regulierten Organisationen ist mit dem neuen Gesetz deutlich gewachsen. Schätzungen zufolge sind nun rund 29.500 Unternehmen direkt erfasst – zuvor waren es etwa 4.500. Maßgeblich sind Schwellenwerte: Betroffen sind in der Regel Unternehmen aus definierten Sektoren ab etwa 50 Beschäftigten oder zehn Millionen Euro Jahresumsatz. Zu den erfassten Branchen zählen unter anderem Logistik, Maschinenbau, Lebensmittelproduktion, Pharmazie, digitale Dienste sowie Post- und Lieferdienste.
Die unterschätzte Kettenreaktion
Entscheidend ist eine Regelung, die über den unmittelbaren Adressatenkreis hinausweist: die Pflicht zur Absicherung der Lieferkette. Direkt regulierte Unternehmen müssen die Cybersicherheit entlang ihrer Zulieferer- und Dienstleisterbeziehungen berücksichtigen. In der Praxis bedeutet das, dass auch kleinere Betriebe, die selbst nicht unter das Gesetz fallen, von ihren größeren Geschäftspartnern auf bestimmte Sicherheitsstandards verpflichtet werden – etwa über Vertragsklauseln, Fragebögen oder Audits. Wer als Zulieferer nicht mithalten kann, riskiert, aus der Lieferkette herauszufallen.
Welche Pflichten konkret gelten
Für die direkt betroffenen Einrichtungen gelten seit Inkrafttreten mehrere Kernpflichten: eine Registrierung beim zuständigen Bundesamt, Meldepflichten bei erheblichen Sicherheitsvorfällen sowie Anforderungen an ein angemessenes Risikomanagement. Besonders wichtige Einrichtungen müssen die Umsetzung ihrer Maßnahmen innerhalb einer Frist nachweisen. Bei Verstößen drohen empfindliche Sanktionen, was den Druck zur Umsetzung erhöht.
Was Betriebe jetzt prüfen sollten
Für mittelständische Unternehmen empfiehlt sich zunächst eine nüchterne Bestandsaufnahme: Falle ich selbst unter das Gesetz? Bin ich Zulieferer eines betroffenen Unternehmens? Und wie ist meine eigene IT-Sicherheit aufgestellt? Schon eine grundlegende Dokumentation von Prozessen, Zuständigkeiten und Schutzmaßnahmen kann helfen, auf entsprechende Anfragen aus der Lieferkette vorbereitet zu sein. Branchenexperten weisen darauf hin, dass die Regulierung weniger eine einmalige Hürde als ein dauerhafter Standard ist, der die Geschäftsbeziehungen zunehmend prägt.
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Es handelt sich um eine redaktionelle Einordnung eines aktuellen regulatorischen Trends; die konkrete Betroffenheit ist im Einzelfall fachkundig zu prüfen.