NIS2 ist in Kraft: Wer betroffen ist, was gilt und was KMU jetzt tun müssen
18 July 2026 · 7 Min. Lesezeit · INTO MSP Team
NIS2 ist kein Zukunftsthema mehr. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten, ohne Übergangsfrist. Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren, und die Pflichten gelten seitdem laufend. Rund 29.500 Unternehmen sind jetzt im Anwendungsbereich, etwa siebenmal mehr als unter den alten Regeln. Ein großer Teil davon sind Mittelständler, die zum ersten Mal überhaupt unter Cybersecurity-Regulierung fallen.
Wenn Ihr Unternehmen bisher angenommen hat, so etwas betreffe nur Banken und Telekom-Konzerne, ist dies genau das Gesetz, das diese Annahme beenden soll.
Wer betroffen ist
Die Logik ist zweistufig. Erstens der Sektor: 18 Sektoren sind erfasst, darunter Energie, Transport, Gesundheit, Lebensmittelproduktion, Abfallwirtschaft, Post, verarbeitendes Gewerbe, digitale Infrastruktur und Managed Services. Zweitens die Größe: In den Anwendungsbereich fällt, wer in einem erfassten Sektor tätig ist und mehr als 50 Mitarbeiter oder über 10 Millionen Euro Jahresumsatz hat.
Unternehmen werden als besonders wichtige oder wichtige Einrichtungen eingestuft, mit strengerer Aufsicht für die erste Gruppe. Wichtig: Es gibt keine Benachrichtigung vom BSI. Jedes Unternehmen muss selbst prüfen, ob es betroffen ist, und sich selbst registrieren.
Die Pflichten, ohne Juristendeutsch
Hinter den Paragrafen steht das, was ein gut geführtes Unternehmen ohnehin haben sollte:
- Eine Risikoanalyse: was kritisch ist, was ausfallen kann und was das kosten würde
- Technische und organisatorische Maßnahmen, dem Risiko angemessen, mit Nachweis
- Ein Plan für Sicherheitsvorfälle: wer was tut, wenn etwas passiert
- Meldung erheblicher Vorfälle an das BSI, die Frühwarnung binnen 24 Stunden
- Lieferketten-Sicherheit: Sie müssen die Sicherheit Ihrer Dienstleister und Zulieferer bewerten
- Persönliche Verantwortung der Geschäftsleitung, inklusive regelmäßiger Schulungen
Die 24-Stunden-Frist ist die größte praktische Änderung. Sie bedeutet, dass vorher feststehen muss, wie ein Vorfall erkannt wird, wer ihn bewertet und wer meldet. Das improvisiert man nicht in der Nacht, in der die Systeme stehen.
Bußgelder und der eigentliche Preis
Die Bußgelder reichen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Aber das Bußgeld ist die kleinste Position auf der Rechnung: Stillstand, Wiederherstellung, verlorene Kunden und jahrelange rechtliche Nachwehen sind der teure Teil, wie wir im Text über die wahren Kosten eines Datenlecks aufgeschlüsselt haben. Die Regulierung fügt dem eine formale Verantwortlichkeit hinzu, mit Aufsicht, Registern und persönlicher Haftung der Leitung.
Der Lieferketten-Effekt: betroffen auch ohne eigene Pflicht
Selbst wer nicht direkt in den Anwendungsbereich fällt, bekommt NIS2 zu spüren, und zwar über seine Kunden. Erfasste Unternehmen müssen die Sicherheit ihrer Lieferkette steuern und geben die Anforderungen vertraglich weiter: an IT-Dienstleister, Buchhalter, Logistiker, Zulieferer. Die Frage "Wie steht es um Ihre Sicherheit" kommt vom Kunden, lange bevor eine Behörde sie stellt. Sicherheitsfragebögen werden zur Voraussetzung für Aufträge.
Übrigens gilt das über die EU hinaus: Serbien hat im Oktober 2025 sein eigenes, an NIS2 angelehntes Gesetz über Informationssicherheit verabschiedet. Wer wie wir Kunden in beiden Räumen betreut, arbeitet ohnehin nach denselben Maßstäben.
Was jetzt zu tun ist, in sinnvoller Reihenfolge
Für ein KMU sieht die vernünftige Abfolge so aus:
- Betroffenheit prüfen: Sektor und Größenschwellen abgleichen, Ergebnis dokumentieren
- Inventar aufbauen: welche Systeme und Daten kritisch sind und wer Zugriff hat
- Grundlagen umsetzen: MFA, getestete Backups, Zugriffskontrolle, Protokollierung
- Einen einseitigen Vorfallplan schreiben: wer bewertet, wer meldet, wer kommuniziert
- Als Zulieferer: Antworten auf Sicherheitsfragebögen vorbereiten, bevor sie kommen
Die gute Nachricht: Diese Liste schützt das Unternehmen unabhängig von jedem Gesetz. Compliance ist dann kein Sonderprojekt, sondern ein Nebenprodukt ordentlich geführter IT. Wenn Sie nicht sicher sind, wo Sie stehen, zeigt ein kurzer Check die Lücken gegenüber diesen Anforderungen und was zuerst zu schließen ist.
Soll das jemand für Sie regeln, ohne Drama?
INTO MSP betreut Security, Backup und IT für kleine und mittlere Unternehmen. Schritt eins: ein kurzer, unverbindlicher Check.
IT-Beratung & vCIO → Kontakt