Menü

NIS 2 ist Gesetz

Symbolische Darstellung des NIS 2 Gesetzes: Ein digitales blaues Schutzschild umgeben von EU-Sternen zur Veranschaulichung von IT-Sicherheit im Mittelstand.

Warum abwarten für den Mittelstand zum Risiko wird!

Seit dem 6. Dezember 2025 ist die Schonfrist offiziell vorbei: Das NIS 2 Gesetz ist keine bloße EU-Richtlinie mehr, sondern geltendes deutsches Recht. Für tausende Unternehmen im Mittelstand bedeutet dies eine Zäsur in ihrer IT-Sicherheitsstrategie. Wer die neuen Anforderungen ignoriert, riskiert nicht nur empfindliche Bußgelder, sondern auch die persönliche Haftung der Geschäftsführung.

Das Ende der Übergangsfristen: Ein Weckruf für den Mittelstand

Lange wurde über die Umsetzung von NIS 2 diskutiert, nun ist die rechtliche Grundlage finalisiert. Seit dem Stichtag am 6. Dezember 2025 gibt es keine Ausreden und vor allem keine Übergangsfristen mehr. Das Gesetz ist für alle betroffenen Unternehmen unmittelbar bindend.

Entscheidend ist das Datum. Es handelt sich nicht mehr um ein „Buzzword“ oder ein abstraktes Zukunftsthema, sondern um eine akute Pflichtaufgabe für die deutsche Wirtschaft. Wer bisher gehofft hat, dass der Kelch an seinem Unternehmen vorübergeht, muss nun umdenken. Klar ist das Ziel der Gesetzgebung: Das Sicherheitsniveau in den EU-Staaten soll massiv erhöht werden, um Unternehmen resilienter gegen die täglich steigende Zahl von Cyberangriffen zu machen.

Wer ist vom NIS 2 Gesetz betroffen? Der massive Anstieg im Mittelstand

Einer der gravierendsten Unterschiede zur bisherigen Gesetzgebung ist die drastische Ausweitung des Kreises der betroffenen Unternehmen. Während früher primär klassische KRITIS-Betreiber (z. B. Energie- oder Wasserversorger) im Fokus standen, zieht NIS 2 nun weite Teile des Mittelstands in die Pflicht.

 

Von 4.500 auf 30.000: Wer gehört dazu?

Bisher waren in Deutschland etwa 4.500 Unternehmen von ähnlichen Regularien betroffen. Mit der Einführung von NIS 2 ist diese Zahl auf annähernd 30.000 Unternehmen angestiegen. Dieser beispiellose Zuwachs resultiert aus der Aufnahme zahlreicher neuer Branchen in den Gesetzestext.

Folgende Branchen müssen jetzt zwingend prüfen, ob sie unter die Regulierung fallen:

  • Maschinenbau und Fertigung
  • Logistik und Transportwesen
  • Lebensmittelproduktion und -vertrieb
  • Pharmazeutische Industrie
  • Anbieter digitaler Dienste

Die Faustregel: Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro in den genannten Sektoren sind in der Regel direkt betroffen. Sich allein auf diese Zahlen zu verlassen, ist allerdings der falsche Weg, da die Gesetzgebung zahlreiche Gestaltungsspielräume enthält und die Betroffenheit individuell geprüft werden muss.

Meldefristen unter dem NIS 2 Gesetz: Die neue Bürokratie im Ernstfall

Sollte es trotz aller Sicherheitsvorkehrungen zu einem IT-Sicherheitsvorfall kommen, greifen unter NIS 2 extrem verschärfte Meldepflichten. Die Zeitintervalle, in denen Unternehmen das Bundesamt für Sicherheit in der Informationstechnik (BSI) informieren müssen, lassen kaum Spielraum für Fehler.

Phase der Meldung

Zeitfenster

Inhaltliche Anforderung

Erstmeldung

Innerhalb von 24 Stunden

Erste Einschätzung des Vorfalls beim BSI.

Update-Meldung

Innerhalb von 72 Stunden

Detailliertere Informationen und Status-Update.

Fortlaufende Dokumentation

Je nach Verlauf

Hochladen von Dokumenten und Nachweisen.

Diese Fristen sind „sportlich“. Ohne einen vordefinierten Notfallplan und klare Verantwortlichkeiten ist es für mittelständische Unternehmen nahezu unmöglich, diese bürokratischen Hürden im Stress einer akuten Cyberattacke zu bewältigen.

Drei Monate nach einem Vorfall in Zusammenhang mit NIS2 müssen betroffene Unternehmen sich beim BSI registrieren. Für Unternehmen, die zum Zeitpunkt der Veröffentlichung von NIS2 im Bundesgesetzblatt bereits betroffen waren, endet diese Frist folglich am 6. März 2026. Unterstützung bei der Registrierung bietet SENPRO gerne an.

Die Geschäftsführerhaftung: Was das NIS 2 Gesetz für Entscheider bedeutet

Ein Punkt, der für viel Unruhe sorgt, ist die persönliche Verantwortung der Unternehmensleitung. Unter NIS 2 wird die Geschäftsführung unmittelbar in die Pflicht genommen, sich um die Cybersicherheit und die Einhaltung der Berichtspflichten zu kümmern.

 

Haftung vermeiden durch aktives Handeln

Die gute Nachricht: Wer proaktiv handelt, schützt sich. Nicht automatisch kann die Geschäftsführung für jeden Angriff persönlich belangt werden. Entscheidend ist jedoch, ob die Führungsebene ihren Sorgfaltspflichten nachgekommen ist:

 

  • Registrierungspflicht: Erfolgte bereits eine ordnungsgemäße Anmeldung des Unternehmens beim BSI?
  • Schulungspflicht: Wurden die Mitarbeiter regelmäßig für Sicherheitsrisiken sensibilisiert?
  • Stand der Technik: Hat die Geschäftsführung sichergestellt, dass angemessene Sicherheitsvorkehrungen nach aktuellem Standard getroffen wurden?

Das Ziel der EU ist es nicht, Unternehmen wahllos abzustrafen, sondern sie zum „Aufwachen“ zu bewegen und ein Mindestmaß an Resilienz in der gesamten Wirtschaft zu etablieren.

Das NIS 2 Gesetz in der Praxis: Der Weg zum ISMS

Die Umsetzung von NIS 2 ist weit mehr als eine rein technische Aufgabe. Es geht um den Aufbau eines Informationssicherheits-Managementsystems (ISMS). Dieser Begriff klingt starr, beschreibt aber im Kern die organisatorische Fähigkeit eines Unternehmens, Sicherheit dauerhaft zu steuern.

Warum technische Kompetenz allein nicht ausreicht

Oft scheitert die Umsetzung nicht an der Firewall, sondern an der Organisation. Ganz oft sind es gar nicht die technischen Hürden ausschließlich, sondern eher die organisatorische Fähigkeit. Ein ISMS einzuführen, kann die IT-Abteilung meist nicht „nebenbei“ erledigen. Es erfordert klare Prozesse: Wer muss im Notfall wen anrufen? Welches Gerät wird genutzt, wenn die Telefonanlage ausfällt? Ein klassischer Notfallplan ist hierfür die Basis.

Der SENPRO-Ansatz: Die Gap-Analyse als erster Schritt

Niemand muss diesen Weg allein gehen. Für Unternehmen, die unsicher sind, ob sie betroffen sind oder wo sie aktuell stehen, bietet SENPRO eine strukturierte Unterstützung an.

  1. Der erste Check: Zwar bietet das BSI einen kostenfreien Self-Check an, dieser ist jedoch sehr allgemein gehalten und bietet keine rechtliche Sicherheit.
  2. Die detaillierte Gap-Analyse: SENPRO geht tiefer. In einem persönlichen Gespräch werden alle bestehenden Sicherheitsvorkehrungen gegen einen sich aus NIS2 ergebenden Anforderungskatalog geprüft.
  3. Das Ergebnis: Am Ende steht eine klare Auswertung: Entweder kann „ein Haken gesetzt werden“ oder es wird ein konkreter Handlungsplan erstellt, um bestehende Lücken (Gaps) zu schließen.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine NIS 2 Betroffenheitsprüfung an, doch diese dient lediglich als erste Indikation. Für eine rechtssichere Einordnung im Hinblick auf das NIS 2 Gesetz empfehlen wir eine individuelle Analyse.

Jetzt handeln statt hoffen

Das Credo für das Jahr 2026 lautet: Hinschauen und anfangen. Die Zeiten, in denen Cybersicherheit als optionales IT-Projekt betrachtet wird, sind vorbei. NIS 2 ist Gesetz und es wird kontrolliert werden.

Nutzen Sie unsere Expertise, um Ihr Unternehmen nicht nur gesetzeskonform, sondern vor allem sicher aufzustellen. Der Consulting-Ansatz nimmt Sie an die Hand und hilft Ihnen zu entscheiden, welche Schritte Sie intern lösen können und wo externe Unterstützung sinnvoll ist.

Möchten Sie wissen, ob Ihr Unternehmen NIS 2-konform ist?

Kontaktieren Sie uns für eine unverbindliche Erstberatung oder vereinbaren Sie direkt einen Termin für eine Gap-Analyse. Gemeinsam machen wir Ihren Mittelstand resilient gegen die Gefahren der digitalen Welt.

Zum Nachhören: Andrea Bartunek im Gespräch bei „Sicher Blick“

Sie möchten alles zum NIS 2 Gesetz noch einmal aus einer anderen Perspektive beleuchten und wertvolle Experten-Insights direkt im Dialog erleben? Dann ist der Podcast „Sicher Blick“ die ideale Ergänzung zu diesem Artikel. Der Host des Formats, David Smyczek, ist ein ausgewiesener Experte für IT-Sicherheit und unterstützt Unternehmen dabei, komplexe Bedrohungslagen zu verstehen und proaktiv Sicherheitsstrategien zu entwickeln. In seinem Podcast beleuchtet er regelmäßig aktuelle Trends, rechtliche Neuerungen und praxisnahe Lösungen für die digitale Wirtschaft.

In der aktuellen Folge (Nummer 22) begrüßt David Smyczek unsere Geschäftsführerin Andrea Bartunek bereits zum zweiten Mal als Expertin am Mikrofon. Gemeinsam diskutieren sie die weitreichenden Konsequenzen von NIS 2, räumen mit Mythen rund um die Geschäftsführerhaftung auf und geben wertvolle Tipps für die ersten Schritte zur gesetzeskonformen Aufstellung.

Hören Sie jetzt in den vollständigen Dialog rein:

 

👉 Hier geht es zur Podcast-Folge: NIS 2 – Jetzt handeln statt hoffen

Geschäftsführerin Andrea Bartunek

Über Andrea Bartunek

ist 2017 an Bord gekommen, um unseren Vertrieb auf die nächste Stufe zu heben. Seit 2019 ist die Führungslast von zwei auf vier Schultern verteilt und Andrea als weitere Geschäftsführerin bestellt, zuständig für die Bereiche Vertrieb/Marketing und Personal. 

Andrea hat während ihrer Karriere eine Vielzahl von vertrieblichen Themen gemeistert. Sie legt besonderen Wert auf den Dienstleistungssektor und pflegt den Umgang mit unseren bestehenden und neuen Kunden. 

Zudem erkennt sie die Notwendigkeit eines qualifizierten Personals und widmet deshalb ihre Aufmerksamkeit der kontinuierlichen Weiterentwicklung unserer Mitarbeiter.

Sie haben Fragen rund um das Thema NIS 2? Ich freue mich, wenn ich Sie unterstützen kann.

Hier kommen Sie zu unserem Kontaktformular oder Sie vereinbaren direkt einen Termin.