Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz — kurz NIS2UmsuCG. Keine Übergangsfrist, keine Schonfrist, kein “wir schauen mal”. Rund 29.500 Unternehmen sind betroffen, viele davon ahnungslos. Wer jetzt noch nichts unternommen hat, riskiert nicht nur hohe Bußgelder — sondern auch die persönliche Haftung der Geschäftsführung.
Dieser Artikel beantwortet die vier Fragen, die uns Kunden am häufigsten stellen: Wer ist überhaupt betroffen? Was wird konkret verlangt? Wie setzt man das in der Praxis um? Und was passiert, wenn man es nicht tut?
Wer ist betroffen?
Das ist die erste und wichtigste Frage — denn NIS2 greift nicht bei jedem Unternehmen. Die Einstufung folgt zwei Kriterien: Größe und Branche.
Nach Größe gilt: Betroffen sind Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mindestens 10 Millionen Euro (§ 28 BSIG). Wer unter beiden Grenzen liegt, fällt in der Regel nicht unter das Gesetz — es sei denn, es greift eine der Ausnahmen.
Nach Branche gilt: Das Unternehmen muss in einem der 18 regulierten Sektoren tätig sein:
- Kritische Infrastrukturen: Energie, Trinkwasser, Abwasser, Verkehr, Finanzwesen, Gesundheit, digitale Infrastruktur
- Industriesektoren: Maschinenbau, Chemie, Lebensmittelproduktion, Fahrzeugbau, medizinische Geräte
- Dienstleister: IT-Dienstleister, Managed Service Provider, Cloud-Anbieter, Post und Kurier, Forschung, öffentliche Verwaltung
Wichtig: Auch wenn ein Unternehmen selbst unter 50 Mitarbeitern hat, kann es betroffen sein, wenn es als Lieferant oder Dienstleister für eine betroffene Einrichtung tätig ist. Die Lieferkettenpflicht ist eines der unterschätztesten Elemente von NIS2.
Eine Ausnahme nach oben: Unternehmen, die als einzige Anbieter eines kritischen Dienstes in einer Region gelten, können unabhängig von Größe oder Sektor eingestuft werden.
In der Praxis erleben wir immer wieder die gleiche Reaktion: Geschäftsführer, die sicher waren, nicht betroffen zu sein — und die im Gespräch feststellen, dass ihr Unternehmen über einen Rahmenvertrag als IT-Dienstleister für einen kommunalen Energieversorger qualifiziert. Die Lieferkettenpflicht schlägt tiefer, als viele erwarten. Ein Zulieferer aus dem Automotive-Bereich mit 70 Mitarbeitern, dem wir ein NIS2-Assessment durchgeführt haben, hatte genau diesen Fall: Eigentlich unter dem Radar — aber über den Tier-1-Auftraggeber direkt in der Regulierung.
Unsicher, ob Ihr Unternehmen betroffen ist? Das BSI stellt unter bsi.bund.de eine Orientierungshilfe bereit. Eine rechtlich verbindliche Einschätzung sollte mit einem Fachanwalt abgeklärt werden.
Was wird konkret verlangt?
NIS2 definiert zehn Maßnahmenbereiche nach § 30 BSIG, die betroffene Unternehmen abdecken müssen. Keiner davon ist optional.
1. Risikoanalyse und Sicherheitskonzepte Dokumentierte Analyse der IT-Risiken — nicht als Einmal-Übung, sondern als laufender Prozess. Was sind die Schwachstellen? Welche Systeme sind kritisch? Was passiert, wenn sie ausfallen?
2. Incident Management Ein klarer Prozess für den Ernstfall. Wer entscheidet was? Wer informiert wen? Bis wann? NIS2 verlangt eine 24-Stunden-Erstmeldung an das BSI nach Bekanntwerden eines erheblichen Vorfalls, eine Folgemeldung nach 72 Stunden und einen Abschlussbericht nach einem Monat.
3. Business Continuity Backup-Konzept, Notfallplan, Wiederherstellungsplan. Was passiert, wenn die Systeme drei Tage ausfallen? Wie läuft der Betrieb weiter?
4. Supply-Chain-Sicherheit Lieferanten und Dienstleister müssen bewertet werden. Welche externen Parteien haben Zugang zu Ihren Systemen? Wie sicher sind deren Prozesse?
5. Sicherheit bei Entwicklung und Beschaffung Sicherheitsanforderungen müssen bereits beim Einkauf von Hard- und Software berücksichtigt werden — nicht erst nach der Implementierung.
6. Schwachstellenmanagement Patches und Updates müssen strukturiert und zeitnah eingespielt werden. Ungepatchte Systeme sind nach NIS2 ein dokumentiertes Compliance-Versagen.
7. Wirksamkeit der Maßnahmen messen Die Sicherheitsmaßnahmen müssen nicht nur eingeführt, sondern regelmäßig auf ihre Wirksamkeit geprüft werden — durch interne Audits oder externe Dienstleister.
8. Cyber-Hygiene und Schulungen Multifaktor-Authentifizierung, sichere Passwort-Richtlinien, Mitarbeiterschulungen. Und: die Geschäftsführung selbst muss nachweisbar an NIS2-Schulungen teilgenommen haben. Das ist gesetzlich vorgeschrieben, nicht optional.
9. Kryptografie und Verschlüsselung Sensible Daten müssen verschlüsselt übertragen und gespeichert werden.
10. BSI-Registrierung Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Wer das versäumt hat: Eine Nachregistrierung ist weiterhin möglich, wird aber vermerkt.
Wie setzt man das in der Praxis um?
Die gute Nachricht: Wer bereits grundlegende IT-Sicherheitsmaßnahmen betreibt, hat einen Teil der Arbeit schon erledigt. Die schlechte Nachricht: In den Assessments, die wir bei Kunden durchführen, decken die meisten KMU deutlich weniger als die Hälfte der geforderten Maßnahmenbereiche vollständig ab. Die Lücke ist real — und sie muss mit einem strukturierten Ansatz geschlossen werden.
Schritt 1: Betroffenheit prüfen Klären Sie mit einem IT-Berater und ggf. einem Rechtsanwalt, ob und in welcher Kategorie Ihr Unternehmen fällt. Besonders wichtige oder wichtige Einrichtung — das bestimmt die Höhe möglicher Bußgelder.
Schritt 2: Ist-Zustand aufnehmen Wo stehen Sie heute? Welche der zehn Maßnahmenbereiche sind abgedeckt, welche nicht? Ein strukturiertes Audit schafft Klarheit. Erfahrungsgemäß dauert das für ein 80-MA-Unternehmen zwei bis drei Tage — und die Ergebnisse sind fast immer überraschend.
Schritt 3: Prioritäten setzen Nicht alles auf einmal. Priorisieren Sie nach Risiko: MFA einführen, Backup-Konzept prüfen, Incident-Response-Prozess dokumentieren — das sind die drei Maßnahmen mit dem höchsten Schutzeffekt bei vertretbarem Aufwand.
Schritt 4: Dokumentation aufbauen NIS2 verlangt Nachweise. Was nicht dokumentiert ist, gilt als nicht gemacht. Das gilt für Risikoanalysen genauso wie für Mitarbeiterschulungen oder Patch-Protokolle.
Schritt 5: BSI-Registrierung nachholen Unter bsi.bund.de ist die Registrierung möglich — auch verspätet.
Was passiert, wenn man es nicht umsetzt?
Das ist der Teil, der in den meisten Artikeln zu kurz kommt — und der Entscheidungsträger am stärksten interessiert.
Bußgelder
Die Sanktionen sind gestaffelt nach Kategorie:
- Besonders wichtige Einrichtungen (z.B. Energie, Gesundheit, große IT-Dienstleister): bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist.
- Wichtige Einrichtungen (z.B. mittlere IT-Dienstleister, Maschinenbau, Logistik): bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes.
Das sind keine theoretischen Maximalstrafen. Die europäischen Behörden haben signalisiert, dass NIS2 aktiv durchgesetzt wird.
Persönliche Haftung der Geschäftsführung
Das ist der Punkt, der viele überrascht — und der NIS2 von früheren Regelungen fundamental unterscheidet.
§ 38 BSIG macht Geschäftsführer und Vorstände persönlich verantwortlich für die Billigung und Überwachung der Sicherheitsmaßnahmen. Konkret bedeutet das:
- Geschäftsführer haften mit ihrem Privatvermögen — ein Haftungsverzicht durch Gesellschaftervertrag ist gesetzlich ausgeschlossen.
- Einzelpersonen können mit bis zu 500.000 Euro Bußgeld belegt werden — getrennt von den Strafen gegen das Unternehmen.
- Bei grober Fahrlässigkeit ist ein temporäres Berufsverbot möglich.
- In besonders schweren Fällen ist strafrechtliche Verfolgung nicht ausgeschlossen.
NIS2-Compliance ist keine IT-Aufgabe mehr. Es ist Chefsache.
Reputationsschaden
Neben den rechtlichen Konsequenzen droht bei einem Vorfall ein erheblicher Reputationsschaden. Vorfälle müssen dem BSI gemeldet werden. Kunden, Partner und Investoren erfahren davon. Gerade im B2B-Bereich kann das existenzgefährdend sein.
Fazit: Warten ist keine Strategie
NIS2 ist kein Thema mehr, das man “beobachten” kann. Es gilt seit Dezember 2025, die Registrierungsfrist ist abgelaufen, und die Behörden beginnen mit der Durchsetzung. Die Frage ist nicht, ob Ihr Unternehmen compliant sein muss — die Frage ist, wie schnell Sie die Lücken schließen.
Wer strukturiert vorgeht, stellt fest: Viele Maßnahmen sind ohnehin sinnvoll — unabhängig von NIS2. Multifaktor-Authentifizierung, gepatchte Systeme, ein getestetes Backup-Konzept schützen nicht nur vor Bußgeldern, sondern vor echten Angriffen.
Wissen Sie, ob Ihr Unternehmen unter NIS2 fällt — und wo Sie aktuell stehen? smetrics führt strukturierte NIS2-Assessments durch: Betroffenheitsprüfung, Ist-Zustand, priorisierter Maßnahmenplan — in zwei Tagen, ohne monatelangen Audit-Prozess. Jetzt unverbindlich anfragen.
Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechts- oder Steuerberatung. Für eine verbindliche Einschätzung empfehlen wir, einen Fachanwalt hinzuzuziehen.
Quellen