Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG), das am 5. Dezember 2025 in Deutschland in Kraft getreten ist, stehen tausende Mittelstandsunternehmen vor neuen Cybersicherheitspflichten. Dieser Artikel erklärt kompakt was konkret zu tun ist.
Bin ich überhaupt betroffen?
NIS2 gilt für Unternehmen die gleichzeitig folgende Kriterien erfüllen:
- Mindestens 50 Mitarbeitende ODER mehr als 10 Millionen Euro Jahresumsatz
- Tätigkeit in einem der 18 betroffenen Sektoren
Betroffene Sektoren umfassen unter anderem: Fertigung und Maschinenbau, Automobilzulieferer, Logistik und Transport, Lebensmittelproduktion, Chemie und Pharma, Gesundheitswesen, IT-Dienstleistungen und Finanzdienstleistungen.
Wichtig: Das BSI prüft nicht automatisch ob Ihr Unternehmen betroffen ist. Jedes Unternehmen muss dies selbst feststellen.
Die BSI-Registrierung — erster und dringendster Schritt
Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Von rund 29.500 pflichtigen Unternehmen haben sich nur etwa 11.500 fristgerecht registriert — über 18.000 Unternehmen sind im Verzug.
Falls Sie sich noch nicht registriert haben: Holen Sie dies umgehend nach. Die Registrierung erfolgt über das BSI-Portal, für das Sie ein ELSTER-Organisationszertifikat benötigen.
Die 10 Pflichtmaßnahmen nach Art. 21 NIS2
Das Herzstück von NIS2 sind die technischen und organisatorischen Maßnahmen die alle betroffenen Unternehmen umsetzen müssen:
1. Risikoanalyse und Informationssicherheitspolitik
Systematische Analyse aller IT-Risiken und eine vom Management genehmigte Sicherheitsrichtlinie.
2. Incident Response
Definierte Prozesse zur Erkennung, Bewertung und Meldung von Sicherheitsvorfällen — inklusive der 24h-Frühwarnpflicht an das BSI.
3. Business Continuity Management
Pläne zur Aufrechterhaltung des Betriebs nach Sicherheitsvorfällen, inklusive Backup-Konzept und Wiederherstellungsverfahren.
4. Supply Chain Security
Bewertung der Cybersicherheit aller relevanten IT-Dienstleister und Lieferanten.
5. Sicherheit bei Erwerb, Entwicklung und Wartung
Sicherheitsanforderungen an neue Software und Systeme.
6. Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
Regelmäßige Überprüfung ob die umgesetzten Maßnahmen wirksam sind.
7. Cyberhygiene und Schulungen
Regelmäßige Mitarbeiterschulungen zu Cybersicherheitsthemen — und Pflichtschulungen für die Geschäftsführung.
8. Kryptografie und Verschlüsselung
Verschlüsselung sensibler Daten bei Übertragung und Speicherung.
9. Personalsicherheit und Zugriffskontrolle
Multi-Faktor-Authentifizierung und Zugriffsrechte nach dem Least-Privilege-Prinzip.
10. Physische Sicherheit
Schutz der IT-Infrastruktur vor physischem Zugriff.
Persönliche Haftung der Geschäftsführung
Ein besonders kritischer Aspekt von NIS2: Die Geschäftsführung haftet persönlich für die Umsetzung der Sicherheitsmaßnahmen. Ein Haftungsverzicht ist gesetzlich ausgeschlossen. Das bedeutet konkret dass Geschäftsführer bei nachgewiesenen Verstößen mit ihrem Privatvermögen haften können.
Was droht bei Verstößen?
Die Bußgelder sind erheblich:
- Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
- Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
Wie Complair helfen kann
Complair ist ein speziell für den deutschen Mittelstand entwickeltes Compliance-Tool das Unternehmen durch alle NIS2-Anforderungen führt: vom Betroffenheitscheck über die BSI-Registrierung bis zur vollständigen Dokumentation aller Maßnahmen.
Testen Sie Complair 14 Tage kostenlos — keine Kreditkarte erforderlich.