NIS2 für den Mittelstand: Was Sie jetzt wissen müssen

Seit dem 18. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland in Kraft. Anders als bei vielen anderen Regulierungen gibt es keine Übergangsfrist – die Pflichten gelten sofort. Schätzungen zufolge sind rund 30.000 Unternehmen in Deutschland direkt betroffen, viele davon im Mittelstand. Und über Lieferkettenanforderungen sind es indirekt noch deutlich mehr.

In diesem Artikel erklären wir, was NIS2 für Ihr Unternehmen bedeutet, ob Sie betroffen sind und welche konkreten Maßnahmen Sie jetzt ergreifen müssen.

Was ist NIS2 – und warum gibt es diese Richtlinie?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in Europa. Sie löst die erste NIS-Richtlinie von 2016 ab und erweitert den Anwendungsbereich drastisch. Der Grund: Die Bedrohungslage hat sich fundamental verändert. Ransomware-Angriffe, Supply-Chain-Attacken und staatlich gesteuerte Cyberoperationen treffen zunehmend auch den Mittelstand.

Die EU hat reagiert, indem sie nicht nur kritische Infrastrukturen, sondern ganze Wirtschaftssektoren in den Geltungsbereich aufgenommen hat.

Ist Ihr Unternehmen betroffen?

NIS2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Die Betroffenheit hängt von zwei Faktoren ab: der Branche und der Unternehmensgröße.

Betroffene Branchen (Auswahl)

• Energie: Strom, Gas, Öl, Fernwärme, Wasserstoff
• Transport: Luft, Schiene, Wasser, Straße
• Gesundheit: Krankenhäuser, Labore, Pharma, Medizinprodukte
• Digitale Infrastruktur: Rechenzentren, Cloud, DNS, TLD-Registries
• Verarbeitendes Gewerbe: Maschinenbau, Fahrzeugbau, Elektronik, Chemie
• Lebensmittel: Produktion, Verarbeitung, Großhandel
• Abfallwirtschaft: Sammlung, Transport, Verwertung
• Post und Kurier: Paketdienste, Briefdienste
• Digitale Dienste: Online-Marktplätze, Suchmaschinen, soziale Netzwerke

Schwellenwerte

• Mittlere Unternehmen: ab 50 Mitarbeitende oder ab 10 Mio. € Jahresumsatz
• Große Unternehmen: ab 250 Mitarbeitende oder ab 50 Mio. € Jahresumsatz

Wichtig: Auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer für betroffene Unternehmen tätig sind. Die Lieferkettensicherheit ist ein zentraler Bestandteil von NIS2.

Die persönliche Haftung der Geschäftsführung

Der vielleicht wichtigste Punkt für Geschäftsführende: Die Haftung für Cybersicherheit ist nach NIS2 nicht delegierbar. Das bedeutet konkret:

• Die Geschäftsführung muss die Risikomanagement-Maßnahmen genehmigen und deren Umsetzung überwachen
• Die Geschäftsführung muss an Cybersicherheitsschulungen teilnehmen
• Bei Verstößen haftet die Geschäftsführung persönlich – auch mit dem Privatvermögen
• Die Haftung kann nicht auf den CISO oder IT-Leiter delegiert werden

Die möglichen Bußgelder sind erheblich: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen.

Welche Pflichten kommen auf Sie zu?

NIS2 verlangt einen systematischen Ansatz zur Cybersicherheit. Die wichtigsten Pflichtenbereiche:

1. Risikomanagement

Sie müssen ein systematisches Risikomanagement für Ihre IT-Systeme und Netzwerke etablieren. Dazu gehören:

• Risikoanalyse: Identifikation und Bewertung von Cyberrisiken
• Technische Maßnahmen: Verschlüsselung, Zugangskontrolle, Netzwerksegmentierung
• Organisatorische Maßnahmen: Sicherheitsrichtlinien, Zuständigkeiten, Prozesse
• Business Continuity: Backup-Strategien, Notfallpläne, Krisenmanagement

2. Incident Reporting – Meldepflichten

Bei erheblichen Sicherheitsvorfällen gelten strenge Meldefristen:

• Innerhalb von 24 Stunden: Frühwarnung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) mit erster Einschätzung
• Innerhalb von 72 Stunden: Detaillierte Meldung mit Bewertung des Vorfalls, Schweregrad und betroffenen Diensten
• Innerhalb eines Monats: Abschlussbericht mit Ursachenanalyse und ergriffenen Gegenmaßnahmen

Diese Fristen sind deutlich kürzer als die 72-Stunden-Frist der DSGVO für Datenpannen. Sie erfordern einen funktionierenden Incident-Response-Prozess.

3. Lieferkettensicherheit

NIS2 verpflichtet betroffene Unternehmen, die Cybersicherheit in ihrer Lieferkette sicherzustellen. Das bedeutet:

• Bewertung der Sicherheitsmaßnahmen Ihrer Zulieferer und Dienstleister
• Vertragliche Vereinbarungen zur Cybersicherheit
• Regelmäßige Überprüfung der Einhaltung
• Dokumentation der gesamten Lieferkette

Für Zulieferer bedeutet das: Auch wenn Sie selbst nicht direkt unter NIS2 fallen, können Ihre Kunden von Ihnen Nachweise über Ihre Cybersicherheit verlangen. Wer diese nicht liefern kann, riskiert den Verlust wichtiger Geschäftsbeziehungen.

4. Schulungen

Die Geschäftsführung und alle relevanten Mitarbeitenden müssen regelmäßig in Cybersicherheit geschult werden. Die Schulungen müssen:

• Aktuell sein – die Bedrohungslage ändert sich ständig
• Praxisbezogen sein – theoretisches Wissen reicht nicht
• Dokumentiert werden – für den Nachweis gegenüber Behörden
• Regelmäßig stattfinden – nicht nur einmal bei Onboarding

Was sollten Sie jetzt tun?

Wenn Sie vermuten, dass Ihr Unternehmen von NIS2 betroffen sein könnte, empfehlen wir folgende Schritte:

1. Betroffenheitscheck durchführen: Prüfen Sie systematisch, ob Ihr Unternehmen direkt oder über Lieferketten betroffen ist
2. Gap-Analyse: Wo steht Ihr Unternehmen heute im Vergleich zu den NIS2-Anforderungen?
3. Risikomanagement aufsetzen: Etablieren Sie ein strukturiertes IT-Risikomanagement, falls noch nicht vorhanden
4. Incident-Response-Plan erstellen: Definieren Sie Prozesse für die Erkennung und Meldung von Sicherheitsvorfällen
5. Lieferkette bewerten: Identifizieren Sie kritische Zulieferer und beginnen Sie mit der Bewertung
6. Geschäftsführung einbinden: Stellen Sie sicher, dass die Geschäftsleitung ihre Pflichten kennt

Wie Hugo Shield Ihnen helfen kann

Hugo Shield ist unsere Plattform für NIS2-Lieferketten-Compliance. Sie ermöglicht:

• Self-Assessment für Zulieferer: Standardisierter Fragebogen zur Bewertung der Cybersicherheit
• Monitoring-Dashboard: Echtzeit-Überblick über den Compliance-Status Ihrer Lieferkette
• Automatisierte Dokumentation: Nachweis der Sorgfaltspflicht gegenüber Behörden
• Persönliche Beratung: Durch unsere Experten mit Erfahrung in NIS2-Umsetzungsprojekten

Buchen Sie ein kostenloses Erstgespräch – wir prüfen gemeinsam, ob und wie NIS2 Ihr Unternehmen betrifft und welche Schritte jetzt sinnvoll sind. Ohne Verkaufsdruck, mit konkretem Mehrwert für Ihre Cybersicherheit.