Ausgabe Juni 2026
Nebenstelle Magazin für Geschäfts-Telekommunikation, TK-Anlagen und IT-Mittelstand
← Magazin 01. Juni 2026
Recht · 11 min

NIS-2-Umsetzung 2026 — Pflichten für Mittelstand-Betriebe

Die NIS-2-Richtlinie (EU 2022/2555) verpflichtet seit der verzögerten deutschen Umsetzung mittlere und große Betriebe in 18 Sektoren zu Risiko-Management, Meldepflichten und Lieferketten-Sicherheit. Ein juristischer Überblick zum Anwendungsbereich, den konkreten Pflichten und den Bußgeld-Drohungen.

Die Richtlinie (EU) 2022/2555 — kurz NIS-2 — hat den europäischen Cyber­sicherheits-Rahmen für kritische und wichtige Einrichtungen 2022 neu sortiert. Die deutsche Umsetzung über das NIS-2-Umsetzungs- und Cyber­sicherheits­stärkungsgesetz (NIS2UmsuCG) hat sich allerdings über die Legislatur­periode 2024 bis 2025 gezogen. Mit dem aktuellen Stand 2026 ist das Gesetz verabschiedet und in Kraft, die BSI-Aufsichts­praxis greift, erste Bußgeld-Verfahren laufen. Für Mittelstand-Geschäfts­führungen ist die Compliance-Frage damit nicht mehr theoretisch.

Anwendungsbereich

NIS-2 unter­scheidet zwei Kategorien betroffener Einrichtungen: „wesentliche Einrichtungen” (Annex I) und „wichtige Einrichtungen” (Annex II). Die Unter­scheidung ist nicht nur eine Etikette, sie steuert die Aufsichts-Intensität und das Bußgeld-Maximum.

Wesentliche Einrichtungen (Annex I)

Hierzu zählen Betreiber in den klassischen kritischen Sektoren:

  • Energie (Strom, Erdgas, Fernwärme, Öl, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße — sofern netz­gebunden)
  • Bank- und Finanzmarkt­infrastrukturen
  • Gesundheits­wesen (Krankenhäuser, Hersteller von Medizin­produkten, pharmazeutische Produktion)
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (Internet-Knoten, DNS-Dienst­anbieter, TLD-Registries, Trust-Service-Provider, Rechen­zentren)
  • IKT-Dienste­management (B2B-Dienstleister für die genannten Sektoren)
  • Öffentliche Verwaltung
  • Weltraum

Wichtige Einrichtungen (Annex II)

Zur zweiten Kategorie gehören Sektoren, die nicht das gleiche Schadens­potential bei Ausfall haben, aber trotzdem als sicherheits­relevant gelten:

  • Post- und Kurier­dienste
  • Abfall­wirtschaft
  • Chemie (Herstellung, Produktion, Vertrieb)
  • Lebensmittel (Großhandel, industrielle Produktion, Verarbeitung)
  • Herstellung bestimmter kritischer Produkte (Medizin­geräte, Computer, Elektronik, Maschinen, Kraftwagen)
  • Digitale Anbieter (Online-Markt­plätze, Suchmaschinen, Social Networks)
  • Forschungs­einrichtungen

In Summe deckt NIS-2 damit 18 Sektoren ab — eine Erweiterung gegenüber NIS-1, wo es noch 7 Sektoren waren.

Größen­kriterien

Nicht jeder Betrieb in einem betroffenen Sektor fällt automatisch unter NIS-2. Die Richtlinie arbeitet mit Größen­schwellen, die sich an der EU-KMU-Definition orientieren:

  • Mittlere Unternehmen sind erfasst, wenn sie ab 50 Mitarbeitende und mindestens 10 Mio. EUR Jahres­umsatz haben — und nicht gleichzeitig als Kleinst­unternehmen einzustufen wären.
  • Große Unternehmen mit ab 250 Mitarbeitenden und mindestens 50 Mio. EUR Jahres­umsatz fallen automatisch in die strengere Kategorie der „wesentlichen Einrichtungen”, sofern sie in einem Annex-I-Sektor tätig sind.

Wichtig: die Größen­kriterien gelten konsolidiert auf Konzern-Ebene, nicht pro Tochter­gesellschaft. Wer als 30-Mann-Tochter eines Großkonzerns in einem NIS-2-Sektor tätig ist, kann über die Konzern-Zurechnung in die Pflicht rutschen.

Ausnahmen gibt es für bestimmte Sektoren unabhängig von der Größe: Trust-Service-Provider, DNS-Anbieter, TLD-Registries und Telekommunikations-Anbieter fallen unter NIS-2 ohne Schwellen­wert.

Konkrete Umsetzungs-Pflichten

Artikel 21 der Richtlinie listet zehn Mindest-Maßnahmen, die jede betroffene Einrichtung umsetzen muss. Die deutsche Umsetzung über § 30 BSIG (neu) übernimmt diesen Katalog. Zusammen­gefasst:

Risiko-Management

Schrift­liches Konzept für die Analyse, Bewertung und Behandlung von Sicherheits­risiken. Pflicht zur regel­mäßigen Aktualisierung — in der Praxis mindestens jährlich, bei wesent­lichen Änderungen ad hoc.

Notfall-Prozesse

Incident-Response- und Business-Continuity-Pläne, inklusive Backup-Strategien, Krisen­management und Disaster-Recovery. Die Pläne müssen dokumentiert und mindestens jährlich erprobt sein. „Wir machen das schon irgendwie” reicht nicht.

Lieferketten-Sicherheit

Ein Aspekt, der viele Mittel­stand-Betriebe unter­schätzt. Die NIS-2 verlangt, dass Risiken aus der Lieferkette identifiziert und vertraglich mit Lieferanten adressiert werden. Konkret heißt das: Vertrags­anhänge zur IT-Sicherheit bei kritischen Dienstleistern, Audit-Rechte, Melde­pflichten des Lieferanten bei eigenen Vorfällen.

Verschlüsselung und Zugriffs­kontrollen

Verschlüsselung sensibler Daten in Übertragung (TLS 1.2 oder höher) und Lagerung. Multi-Faktor-Authenti­fizierung (MFA) für privilegierte Zugänge und Remote-Zugriffe. Zero-Trust-Ansätze werden zwar nicht explizit gefordert, sind aber der Stand der Technik, an dem die Aufsicht orientiert.

Melde­pflichten

Die Melde­fristen sind eng:

  • Inner­halb von 24 Stunden nach Kenntnis von einem erheblichen Sicherheits­vorfall: Frühwarnung an das BSI
  • Inner­halb von 72 Stunden: detaillierter Zwischen­bericht
  • Inner­halb von einem Monat: Abschluss­bericht mit Schaden, Ursachen, Maßnahmen

Erheblich ist ein Vorfall, wenn er den Betrieb der Dienstleistung wesentlich stört, einen finanziellen Schaden verursacht oder personenbezogene Daten verletzt.

Schulung

Die Geschäfts­führung muss nachweis­lich an einer Cyber­sicherheits-Schulung teilnehmen, und sie muss dafür sorgen, dass die Belegschaft regel­mäßig geschult wird. Die Geschäfts­leitungs-Schulung ist ein Novum, das in der ersten Welle der NIS-2-Compliance häufig vergessen wurde.

Sicherheits­maßnahmen für Netze und Informations­systeme

Hardening-Standards, Patch-Management, Schwach­stellen-Management, Monitoring und Logging. Konkrete technische Vorgaben macht die Richtlinie nicht, aber das BSI veröffentlicht Bran­chen-spezifische Mindest­standards, die als Auslegungs-Hilfe gelten.

Bußgeld-Drohung

Die Sanktions-Schwellen sind hart:

  • Für wesent­liche Einrichtungen bis zu 10 Mio. EUR oder 2 % des welt­weiten Jahres­umsatzes des Konzerns (jeweils der höhere Wert)
  • Für wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4 % des welt­weiten Jahres­umsatzes

Die Bußgelder treffen das Unternehmen. Zusätzlich sieht die deutsche Umsetzung eine persönliche Haftung der Geschäfts­leitung für Sorgfalts­pflicht­verletzungen vor — ein Punkt, der in Vorstands- und Geschäfts­führungs­kreisen erst 2025/2026 ernsthaft angekommen ist.

BSI als Aufsichts­behörde

Zuständige Aufsicht in Deutschland ist das Bundes­amt für Sicherheit in der Informations­technik (BSI). Das BSI führt das Verzeichnis der registrierten Einrichtungen, nimmt Meldungen entgegen und kann Audits anordnen. Registrierungs-Pflicht besteht inner­halb von drei Monaten nach Inkraft­treten der Verpflichtung — bei neu hinzu­kommenden Einrichtungen (etwa durch Wachstum über die Schwellen­werte) inner­halb von drei Monaten nach Eintritt.

Die BSI-Aufsicht arbeitet 2026 noch im Aufbau. Erste Aufsichts-Schwerpunkte liegen bei Energie, Gesundheit und digitaler Infrastruktur. Mittel­stand-Betriebe in den Annex-II-Sektoren werden voraussichtlich erst in der zweiten Aufsichts-Welle ab 2027 systematisch geprüft.

Praktische Konsequenz für die Geschäfts­führung

Wer in einem NIS-2-Sektor tätig ist und die Größen­schwellen reißt, sollte 2026 drei Schritte abgehakt haben: Registrierung beim BSI, schrift­liches Sicherheits­konzept inklusive Lieferketten-Klauseln, dokumentierte Geschäfts­führungs-Schulung. Wer diese drei Punkte nachweisen kann, ist im Audit-Fall in einer deutlich besseren Position als ein Betrieb, der erst nach Aufforderung anfängt. Die Erfahrung mit DSGVO-Aufsichts­praxis legt nahe: Bußgelder treffen nicht in erster Linie die schlecht aufgestellten Betriebe, sondern die schlecht aufgestellten, die im Vorfall keine Dokumentation vorlegen können.

Abgrenzung zur DSGVO und zum IT-Sicherheits­gesetz

Ein häufiges Missverständnis: NIS-2 ersetzt weder die DSGVO noch das IT-Sicherheits­gesetz, sondern legt sich darüber. Die DSGVO regelt den Schutz personen­bezogener Daten, NIS-2 regelt die Sicherheit der Netz- und Informations­systeme als Ganzes — unabhängig davon, ob personen­bezogene Daten betroffen sind. Ein Vorfall, bei dem nur Maschinen­daten kompromittiert werden, ist DSGVO-irrelevant, aber NIS-2-relevant.

Das IT-Sicherheits­gesetz (BSIG in der vor-NIS-2-Fassung) bleibt mit seinem KRITIS-Begriff parallel bestehen. KRITIS-Betreiber sind in der Regel automatisch auch NIS-2-relevant, aber NIS-2 erweitert den Anwendungs­bereich deutlich auf Betriebe, die nach KRITIS-Schwellen nicht erfasst waren — etwa mittlere Energie-Versorger, kleinere Krankenhäuser oder digitale Anbieter unter den KRITIS-Größen­schwellen.

Praktisch bedeutet das für die Geschäfts­leitung: die Compliance-Architektur muss DSGVO (Art. 32 — Sicherheit der Verarbeitung), KRITIS (sofern einschlägig) und NIS-2 als überlappende Schichten denken. Doppel­dokumentation lässt sich vermeiden, indem das Informations­sicherheits-Management-System (ISMS) als gemein­samer Rahmen aufgesetzt wird — typischerweise nach ISO/IEC 27001 oder BSI-Grundschutz.

Erste Aufsichts-Erfahrungen 2025/2026

Mit dem Inkraft­treten der deutschen Umsetzung im Lauf von 2025 hat das BSI erste Test-Audits gefahren. Die bisherigen Erkenntnisse aus diesen Audits sind aufschluss­reich:

  • Die häufigste Beanstandung betrifft nicht die technische Aus­stattung, sondern die fehlende Dokumentation. Betriebe, die technisch durchaus aufgestellt sind, scheitern an unvollständigen Risiko-Analysen oder fehlenden Lieferketten-Bewertungen.
  • Die zweit­häufigste Beanstandung betrifft die Geschäfts­führungs-Schulung. In etwa 60 % der ersten Audit-Fälle konnte die Geschäfts­führung keinen Nachweis über eine eigene Cyber­sicherheits-Schulung vorlegen.
  • Die Melde­fristen werden in der Praxis häufiger verletzt als erwartet. Die 24-Stunden-Frühwarnung erfordert einen klaren Eskalations-Prozess, der bei vielen Betrieben noch nicht eingespielt ist. Das BSI hat hier bisher mit Hinweisen und Belehrungen reagiert, statt sofort Bußgelder zu verhängen — eine Schon­frist, die nach Einschätzung der Aufsichts-Praxis allerdings nicht über 2027 hinaus bestehen wird.

Konkrete Vorbereitung in vier Monaten

Für Betriebe, die 2026 noch nicht aufgestellt sind, lässt sich eine Vier-Monats-Vorbereitung skizzieren. Monat 1: Anwendungs­bereichs-Prüfung (sind wir betroffen?), BSI-Registrierung, Vergabe der Verantwortlich­keit an einen internen ISB. Monat 2: Risiko-Analyse und Soll-Ist-Abgleich gegen den Katalog des § 30 BSIG. Monat 3: technische Maßnahmen (MFA aus­rollen, Backup-Konzept dokumentieren, Patch-Management formalisieren). Monat 4: Lieferketten-Klauseln in die wichtigsten Verträge, Geschäfts­führungs-Schulung, Erstellung des Incident-Response-Plans.

Das ist ein knapper, aber realistischer Pfad für einen 100-Mitarbeitenden-Betrieb. Wer das in Eigen­leistung stemmt, braucht typischerweise 0,5 bis 1,0 Vollzeit-Äquivalent an Personal­kapazität über die vier Monate. Wer mit externer Beratung arbeitet, rechnet mit Beratungs-Aufwand zwischen 25.000 und 60.000 EUR netto, abhängig vom Reife­grad der bestehenden IT-Sicherheits-Struktur.

Ressort: Recht

Weiter im Magazin.

Alle Artikel →
IP-Telefonie · 10 min

Hosted-PBX 2026 — was Mittelstand-Telefonie ab dem ISDN-Aus 2027 braucht

01.06.2026
TK-Anlagen · 9 min

AGFEO ES 770 IT — TK-Anlage für den Mittelstand 2026

01.06.2026
Cloud · 9 min

M365 vs. Google Workspace 2026 — Lizenz-Vergleich Mittelstand

01.06.2026