By Patrick Garske in IT-Sicherheit

NIS2 gilt seit Dezember 2025 – ist Ihr Unternehmen betroffen und was müssen Sie jetzt tun?

Schreibtisch mit NIS2-Dokument, Sicherheits-Symbolen und Stadtkulisse im Hintergrund

Seit dem 6. Dezember 2025 ist es Gesetz: Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft getreten. Rund 29.500 Unternehmen sind damit direkt betroffen – viele davon kleine und mittlere Betriebe, die bisher nicht auf dem Radar der IT-Compliance-Regulierung standen. Und anders als bei vielen anderen EU-Verordnungen gibt es hier keine Übergangsfrist. Die Anforderungen gelten seit dem ersten Tag.

Trotzdem ist das Thema in vielen KMU noch nicht angekommen. Dieser Artikel erklärt, wen NIS2 betrifft, was es konkret bedeutet – und was jetzt zu tun ist.

Was ist NIS2 überhaupt?

NIS2 steht für „Network and Information Security Directive 2" – die zweite EU-Richtlinie zur Cybersicherheit, die die erste Version aus dem Jahr 2016 ersetzt und erheblich ausweitet. Ziel ist ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU.

In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz: NIS2UmsuCG) in nationales Recht überführt und reformiert dabei das BSI-Gesetz grundlegend. Das Ergebnis: deutlich mehr Unternehmen in deutlich mehr Branchen fallen unter verbindliche Cybersicherheitspflichten – mit persönlicher Haftung der Geschäftsführung.

Bin ich betroffen? Die zwei entscheidenden Fragen

NIS2 folgt dem sogenannten Size-Cap-Ansatz: Entscheidend sind Unternehmensgröße und Branchenzugehörigkeit. Beide Kriterien müssen gleichzeitig erfüllt sein.

Frage 1: Bin ich in einem der 18 regulierten Sektoren tätig?

NIS2 unterscheidet zwischen Sektoren hoher Kritikalität (Anlage I) und sonstigen kritischen Sektoren (Anlage II). Zur ersten Gruppe gehören unter anderem Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser und digitale Infrastrukturen. Die zweite Gruppe umfasst Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitendes Gewerbe (z.B. Maschinenbau, Fahrzeugbau), digitale Dienste und Forschung.

Frage 2: Überschreite ich die Größenschwellen?

Als „wichtige Einrichtung" gilt ein Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro (bei gleichzeitiger Bilanzsumme über 10 Millionen Euro). Als „besonders wichtige Einrichtung" ab 250 Mitarbeitern oder einem Jahresumsatz über 50 Millionen Euro (und Bilanzsumme über 43 Millionen Euro).

Wer beide Kriterien erfüllt – Sektor und Größe – ist direkt von NIS2 betroffen.

Die Ausnahme: Betroffen auch ohne Schwellenwerte

Auch wenn ein Unternehmen die Größenschwellen nicht erreicht, kann es indirekt in den Geltungsbereich geraten. NIS2 verpflichtet betroffene Einrichtungen nämlich ausdrücklich, auch die Sicherheit ihrer Lieferkette zu gewährleisten – also ihrer Dienstleister, Zulieferer und IT-Partner.

Konkret bedeutet das: Wer als Dienstleister für ein NIS2-pflichtiges Unternehmen arbeitet und Zugriff auf dessen Systeme oder Daten hat, wird von diesem Unternehmen zunehmend Nachweise über die eigene IT-Sicherheit einfordern müssen. Wer diese Nachweise nicht liefern kann, riskiert, aus der Lieferkette zu fallen.

Das betrifft zum Beispiel IT-Dienstleister, Steuerberater, Rechtsanwaltskanzleien, Immobilienverwalter und andere Dienstleister, die regelmäßig mit sensiblen Daten größerer Auftraggeber arbeiten.

Was bedeutet NIS2 konkret? Die zehn Mindestmaßnahmen

Das Gesetz schreibt zehn konkrete Mindestmaßnahmen vor, die betroffene Unternehmen umsetzen müssen:

  • Risikoanalyse und Sicherheitskonzept: Systematische Bewertung der IT-Risiken, dokumentiert und regelmäßig aktualisiert
  • Incident Response: Prozesse für den Umgang mit Sicherheitsvorfällen – inklusive Meldepflicht innerhalb von 24 Stunden bei erheblichen Vorfällen
  • Business Continuity: Backup-Management, Notfallpläne, Wiederherstellungsstrategien
  • Supply-Chain-Sicherheit: Anforderungen an Lieferanten und Dienstleister
  • Sicherheit bei Erwerb und Entwicklung: Sicherheitsanforderungen für neue IT-Systeme
  • Wirksamkeit von Maßnahmen: Regelmäßige Überprüfung und Bewertung
  • Schulungen: Verpflichtende Cybersicherheits-Weiterbildung für Mitarbeiter und Führungskräfte
  • Kryptografie und Verschlüsselung: Einsatz geeigneter Verschlüsselungsverfahren
  • Zugangskontrolle: Multi-Faktor-Authentifizierung (MFA) für kritische Zugänge
  • Kommunikationssicherheit: Gesicherte Sprach-, Video- und Textkommunikation

Besonders relevant in der Praxis: MFA ist für viele KMU noch keine Selbstverständlichkeit. Laut einer aktuellen Analyse verfügen mehr als die Hälfte der Unternehmen unter zehn Millionen Euro Umsatz über keinerlei Multi-Faktor-Authentifizierung.

Die persönliche Haftung der Geschäftsführung

Einer der schärfsten Aspekte von NIS2 ist, dass Cybersicherheit ausdrücklich zur Chefsache gemacht wird. Geschäftsführer und andere Personen in Leitungsfunktionen sind persönlich dafür verantwortlich, dass die Anforderungen umgesetzt werden. Eine reine Delegation an die IT-Abteilung oder einen externen Dienstleister reicht nicht.

Konkret bedeutet das: Führungskräfte müssen Cybersicherheitsmaßnahmen aktiv billigen und überwachen. Sie sind verpflichtet, sich zu Fragen der Cyberrisiken schulen zu lassen. Und sie haften persönlich für Verstöße.

Die Bußgelder sind empfindlich: Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Fristen: Was bis wann fällig war – und was jetzt noch gilt

  • 6. Dezember 2025: Inkrafttreten des Gesetzes – Sicherheitsmaßnahmen gelten ab sofort, keine Übergangsfrist
  • 6. März 2026: Registrierungsfrist für besonders wichtige Einrichtungen beim BSI-Portal – diese Frist ist bereits abgelaufen
  • Laufend: Meldepflicht bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden

Wer sich noch nicht registriert hat und als besonders wichtige Einrichtung gilt, befindet sich bereits in einer Compliance-Lücke. Das BSI wird bei der Priorisierung von Kontrollen voraussichtlich zunächst größere Einrichtungen in den Fokus nehmen – ein Grund zur Entwarnung ist das aber nicht.

Was KMU jetzt konkret tun sollten

Sofort:

  • Betroffenheitsprüfung durchführen: Sektor und Unternehmensgröße prüfen – das BSI bietet hierfür einen interaktiven Check auf seiner Website an
  • Ergebnis dokumentieren: Auch die Feststellung, nicht betroffen zu sein, sollte schriftlich festgehalten werden
  • Registrierung nachholen, falls noch nicht erfolgt

Kurzfristig:

  • Gap-Analyse: Welche der zehn Mindestmaßnahmen sind bereits umgesetzt, welche fehlen?
  • Niedrig hängende Früchte zuerst: MFA aktivieren, Backup-Strategie prüfen, Notfallkontakte definieren
  • Lieferkettenrisiko prüfen: Arbeiten Sie für Unternehmen, die selbst NIS2-pflichtig sind? Dann bereiten Sie sich auf Sicherheitsnachweise vor

Mittelfristig:

  • Risikoanalyse und Sicherheitskonzept dokumentieren
  • Mitarbeiterschulungen zu Phishing, Passworthygiene und Incident Reporting einführen
  • IT-Infrastruktur auf Stand bringen: Verschlüsselung, Zugangskontrolle, Backup-Automatisierung

Wie teuer wird die Umsetzung?

Für KMU, die grundlegende IT-Sicherheitsmaßnahmen bereits teilweise umgesetzt haben, sind im ersten Jahr realistische Kosten von 15.000 bis 40.000 Euro zu erwarten – je nach Ausgangssituation und Unternehmensgröße. In den Folgejahren sind laufende Kosten von 10.000 bis 20.000 Euro für Betrieb und Pflege realistisch.

Für viele KMU ist die wirtschaftlichste Lösung ein externer IT-Sicherheitsbeauftragter: Er bringt die nötige Expertise sofort mit, kostet einen Bruchteil einer Vollzeitstelle und kann die NIS2-Anforderungen professionell dokumentieren und begleiten.

Eine souveräne, gut dokumentierte IT-Infrastruktur ist die beste Grundlage für NIS2-Compliance – und sie muss nicht teuer sein. Bei Garske Systems begleiten wir KMU von der Bestandsaufnahme bis zur umgesetzten Lösung. Ob sich das für Ihr Unternehmen rechnet, können Sie in unter 10 Minuten selbst durchrechnen: https://s.garsys.de/knrechner

Fazit

NIS2 ist keine theoretische EU-Bürokratie – es ist seit Dezember 2025 geltendes deutsches Recht, mit konkreten Fristen, persönlicher Haftung und empfindlichen Bußgeldern. Die Reichweite ist deutlich größer als viele KMU ahnen: direkt über die Größenschwellen, aber auch indirekt über die Lieferkette.

Die gute Nachricht: Wer seine IT bereits vernünftig aufgestellt hat – mit dokumentierter Backup-Strategie, Zugangskontrolle und einem klaren Sicherheitskonzept –, hat den größten Teil der Arbeit bereits getan. NIS2 macht das Selbstverständliche zur Pflicht. Wer jetzt strukturiert vorgeht, ist schneller compliant als befürchtet.