NIS2 für den deutschen Mittelstand:
Der pragmatische Leitfaden 2026.
Über 30.000 Unternehmen in Deutschland sind NIS2-pflichtig — die meisten wissen es noch nicht. Strafdrohung bis 10 Mio. €. Persönliche Haftung der Geschäftsleitung. Dieser Leitfaden zeigt: wer ist betroffen, welche zehn Pflichtmaßnahmen müssen umgesetzt werden, und wie kommt der Mittelstand pragmatisch in 90 Tagen zur Compliance.
1. Was ist NIS2 — und warum jetzt?
Die EU-Richtlinie 2022/2555 („NIS2") ist die zweite Generation der Network and Information Security Directive. Sie ersetzt seit dem 17. Oktober 2024 die alte NIS1-Richtlinie und erweitert den Geltungsbereich massiv: statt rund 2.000 KRITIS-Betreiber sind in Deutschland jetzt etwa 30.000 Unternehmen betroffen.
Das deutsche Umsetzungsgesetz NIS2UmsuCG ist 2025 in Kraft getreten. Pflichtmaßnahmen sind seitdem rechtswirksam — auch wenn die Aufsichtsbehörden derzeit noch im Hochlauf sind.
2. Wer ist betroffen?
NIS2 unterscheidet zwei Kategorien:
- Wesentliche Einrichtungen (essential entities) — Unternehmen ab 250 Mitarbeitern oder 50 Mio. € Jahresumsatz in 11 Sektoren (Energie, Wasser, Gesundheit, Transport, Banken, Finanzmarkt, digitale Infrastruktur, ICT-Service-Mgmt, öffentliche Verwaltung, Weltraum).
- Wichtige Einrichtungen (important entities) — Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in 7 weiteren Sektoren (Post & Kurier, Abfall, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Anbieter, Forschung).
Achtung — die schleichende Falle: selbst wenn Sie nicht in den 18 Sektoren sind, gilt NIS2 für Sie als Zulieferer einer NIS2-pflichtigen Organisation (§ 28 Lieferketten-Sicherheit). Ihr Auftraggeber wird Audit-Rechte verlangen.
3. Die zehn Pflichtmaßnahmen nach Art. 21
Jede betroffene Organisation muss zehn Mindestmaßnahmen umsetzen:
- Risikoanalyse und Sicherheitskonzepte
- Incident-Handling — Erkennung, Reaktion, Wiederherstellung
- Business Continuity — Backup, Krisenmanagement
- Lieferketten-Sicherheit — Bewertung der Dienstleister
- Sicherheit bei Beschaffung und Entwicklung von Netzen und IT-Systemen
- Wirksamkeitsbewertung der Sicherheitsmaßnahmen
- Cyber-Hygiene und Schulungen für Mitarbeitende
- Kryptografie und Verschlüsselung
- Personalsicherheit, Zugangskontrollen, Asset-Management
- Multi-Faktor-Authentifizierung, Notfallkommunikation
4. Meldepflichten — 24h / 72h / 1 Monat
Bei einem erheblichen Sicherheitsvorfall (§ 23) gelten drei Fristen gegenüber dem BSI:
| Frist | Was |
|---|---|
| 24 Stunden | Frühwarnung (Indikatoren, vermutliche Ursache) |
| 72 Stunden | Vorfallsmeldung (Details, betroffene Systeme) |
| 1 Monat | Abschlussbericht (Ursachenanalyse, Maßnahmen) |
5. Was kostet ein Verstoß?
- Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Konzernumsatzes (je nachdem, was höher ist)
- Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des Umsatzes
- Persönliche Haftung der Geschäftsleitung — § 38 NIS2 verlangt Schulungspflicht-Nachweis für die Leitung
6. Der pragmatische 90-Tage-Plan
Phase 1 (Tag 1–30): Asset-Discovery + Gap-Assessment
Inventarisieren Sie Ihre IT- und OT-Endpoints. Ohne Inventar keine Sicherheit. Anschließend Gap-Assessment gegen die zehn Art. 21-Maßnahmen.
Phase 2 (Tag 31–60): Kernmaßnahmen umsetzen
Multi-Faktor-Auth, Backup-Strategie, Patch-Management, Incident-Response-Plan, Lieferanten-Bewertung. Hier ist die meiste Arbeit.
Phase 3 (Tag 61–90): Audit-Trail + Schulung + Test
Audit-Trail signiert dokumentieren. Geschäftsleitungs-Schulung mit Nachweis. Incident-Response-Übung durchführen. Dokumentation für externes Audit aufbereiten.
KIONOVA® PULSE deckt die zehn Pflichtmaßnahmen ab Tag 1 ab — Asset-Discovery für IT plus OT, Maßnahmen-Tracker, Hash-Chain Audit-Trail, BSI-Frühwarn-Workflow. Mehr zur Plattform →
7. Was du jetzt tun solltest
- Prüfen, ob du betroffen bist — Größe, Sektor, Lieferkette zu NIS2-Pflichtigen
- Geschäftsleitung informieren — § 38 verlangt explizite Verantwortungsübernahme
- Asset-Inventar starten — was haben wir an IT, OT, Cloud-Services, Lieferanten?
- Externe Audit-Partner identifizieren (HiSolutions, usd AG, SySS, TÜV-IT, secunet)
- Tool-Auswahl — vermeiden Sie Cloud-only-Lösungen, wenn Sie KRITIS-nah arbeiten
NIS2-Pflicht trifft dich? KIONOVA® PULSE bringt dich in 90 Tagen zur Compliance — On-Premise, ohne Cloud.
Auf die Warteliste