Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz in Kraft. Es überträgt eine EU-Richtlinie in deutsches Recht und macht Cybersicherheit für viele Unternehmen erstmals zur gesetzlichen Pflicht und zur Aufgabe der Geschäftsleitung. Schätzungen zufolge sind rund 30.000 Unternehmen in Deutschland direkt betroffen. Viele Geschäftsführer fragen sich jetzt zu Recht: Gilt das auch für mein Unternehmen?
Was ist NIS2 überhaupt?
NIS2 ist eine europaweite Vorgabe, die ein einheitliches Mindestniveau an IT-Sicherheit schaffen soll. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren, definierte Sicherheitsmaßnahmen umsetzen und schwerwiegende Sicherheitsvorfälle innerhalb kurzer Fristen melden. Anders als beim Vorgänger NIS1 ist der Kreis der betroffenen Branchen deutlich größer geworden.
Bin ich als KMU betroffen?
Maßgeblich sind zwei Dinge: die Branche und die Unternehmensgröße. Das Gesetz unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen aus 18 als kritisch eingestuften Sektoren, darunter Energie, Verkehr, Gesundheit, Finanzwesen, digitale Infrastruktur, IT-Dienstleistungen, Abwasser, Lebensmittel und das verarbeitende Gewerbe.
Als grobe Faustregel gilt: Betroffen sind in der Regel Unternehmen aus diesen Sektoren ab etwa 50 Beschäftigten oder ab rund 10 Millionen Euro Jahresumsatz. Kleinstunternehmen und kleine Betriebe unterhalb dieser Schwellen fallen meist nicht direkt unter die Pflicht. Es gibt jedoch Ausnahmen, etwa für bestimmte Anbieter digitaler Infrastruktur, bei denen die Größe keine Rolle spielt. Ob Ihr Unternehmen konkret betroffen ist, sollte im Einzelfall geprüft werden.
Warum auch nicht direkt betroffene Betriebe handeln sollten
Selbst wenn Ihr Unternehmen unterhalb der Schwellen liegt, ist das Thema relevant. Größere, direkt verpflichtete Unternehmen müssen ihre Lieferkette absichern. Das bedeutet: Sie werden von Ihren Kunden und Auftraggebern zunehmend Nachweise über Ihre eigene IT-Sicherheit verlangen, oft in Form eines Sicherheitsfragebogens. Wer hier nichts vorweisen kann, riskiert, als Lieferant oder Dienstleister auszuscheiden. NIS2 wirkt damit weit über den Kreis der direkt Verpflichteten hinaus.
Welche Pflichten gelten konkret?
Für betroffene Unternehmen sieht das Gesetz im Kern drei Bereiche vor:
- Registrierung beim BSI: Betroffene Einrichtungen müssen sich über das BSI-Melde- und Informationsportal registrieren. Die Frist hierfür endete am 6. März 2026.
- Technische und organisatorische Maßnahmen: Dazu zählen unter anderem ein Risikomanagement, die Absicherung von Zugängen (etwa durch Mehr-Faktor-Anmeldung), Backup- und Notfallkonzepte, Schwachstellen- und Patchmanagement sowie die Sicherung der Lieferkette.
- Meldepflicht: Erhebliche Sicherheitsvorfälle müssen sehr kurzfristig gemeldet werden, eine erste Meldung in der Regel innerhalb von 24 Stunden.
Verstöße können mit empfindlichen Bußgeldern geahndet werden, zudem sieht das Gesetz eine persönliche Verantwortung der Geschäftsleitung vor. IT-Sicherheit ist damit ausdrücklich Chefsache.
Häufige Fragen
Gilt NIS2 für jedes kleine Unternehmen?
Nein. Direkt verpflichtet sind in der Regel Unternehmen aus den 18 kritischen Sektoren ab etwa 50 Beschäftigten oder rund 10 Millionen Euro Umsatz. Kleinere Betriebe sind meist nicht direkt betroffen, können aber über die Lieferkette ihrer Kunden in die Pflicht geraten.
Was passiert, wenn ich nichts tue?
Bei direkter Betroffenheit drohen Anordnungen des BSI und Bußgelder. Unabhängig davon steigt das Risiko, durch fehlende Sicherheitsnachweise Aufträge zu verlieren oder im Schadensfall ohne Schutz dazustehen.
Bis wann muss ich handeln?
Das Gesetz ist bereits in Kraft, die Meldepflicht für Vorfälle gilt sofort. Wer betroffen ist und sich noch nicht registriert hat, sollte das umgehend nachholen und die geforderten Maßnahmen zügig umsetzen.
So unterstützt Sie die High5Manufaktur GmbH
Ob NIS2 für Sie gilt oder Ihre Kunden Sicherheitsnachweise verlangen: Die meisten der geforderten Maßnahmen sind solide IT-Sicherheitspraxis, die sich auch unabhängig vom Gesetz auszahlt. Die High5Manufaktur GmbH unterstützt kleine und mittlere Unternehmen dabei, Mehr-Faktor-Anmeldung, Backup, Patchmanagement und Endpoint Protection sauber aufzusetzen, und schafft so eine belastbare Grundlage. Im kostenlosen Erstgespräch ordnen wir gemeinsam ein, wo Sie stehen, und welche Schritte in Ihrem Fall sinnvoll sind. Mehr zu unseren Managed Services und zur IT-Sicherheit finden Sie auf den jeweiligen Seiten.
Alexander Häffner
Geschäftsführer der High5Manufaktur GmbH und zertifizierter KI-Manager (IHK). Betreut seit 2021 kleine und mittlere Unternehmen bei Microsoft 365, IT-Sicherheit und Digitalisierung.