NIS-2 gilt seit vier Monaten. Viele KMU haben die Registrierungsfrist verpasst und fragen sich, wie es jetzt weitergeht. Dieser Artikel zeigt die konkreten nächsten Schritte.
Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Die Registrierungsfrist beim BSI endete am 6. März 2026. Rund 29.500 Unternehmen in Deutschland sind betroffen. Das sind sechsmal mehr als unter der bisherigen Regelung.
Wenn du die Frist verpasst oder noch nicht mit der Umsetzung begonnen hast: Du bist nicht allein. Und du kannst jetzt noch handeln. Dieser Artikel zeigt dir, was zu tun ist.
NIS-2 betrifft Unternehmen in 18 regulierten Sektoren. Die Betroffenheit hängt von zwei Faktoren ab: Branche und Unternehmensgröße.
Besonders wichtige Einrichtungen sind große Unternehmen in hochkritischen Sektoren. Die Kriterien: mindestens 250 Mitarbeitende ODER mehr als 50 Mio. Euro Jahresumsatz. Die Sektoren umfassen Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Management, öffentliche Verwaltung und Weltraum. KRITIS-Betreiber gelten automatisch als besonders wichtig.
Wichtige Einrichtungen sind mittelständische Unternehmen in weiteren kritischen Sektoren. Die Kriterien: mindestens 50 Mitarbeitende ODER mehr als 10 Mio. Euro Jahresumsatz. Zu den Sektoren zählen Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Dienste und Forschung.
Sonderfälle: Bestimmte Anbieter wie Vertrauensdienste, DNS-Dienstleister oder TLD-Registries sind größenunabhängig betroffen. Auch Unternehmen in der Lieferkette können indirekt verpflichtet werden, wenn sie als Zulieferer für regulierte Einrichtungen tätig sind.
Nutze die offizielle Betroffenheitsprüfung des BSI: BSI NIS-2-Betroffenheitsprüfung
Das Gesetz kennt keine Übergangsfrist. Alle Pflichten gelten seit dem 6. Dezember 2025.
1. Registrierung beim BSI
Die Frist ist abgelaufen, aber eine verspätete Registrierung ist weiterhin möglich und dringend empfohlen. Der Prozess läuft in zwei Schritten: Zuerst beantragst du ein ELSTER-Organisationszertifikat über „Mein Unternehmenskonto" (MUK). Dann registrierst du dich im BSI-Portal unter muk.bsi.bund.de.
2. Meldepflichten bei Sicherheitsvorfällen
Bei erheblichen Sicherheitsvorfällen gilt ein dreistufiges Meldeverfahren: Frühwarnung innerhalb von 24 Stunden, ausführlicher Bericht innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.
3. Risikomanagementmaßnahmen
Betroffene Einrichtungen müssen technische und organisatorische Maßnahmen nach § 30 BSIG umsetzen. Dazu gehören zehn konkrete Pflichtmaßnahmen.
Das BSI stellt kostenlose Ressourcen zur Verfügung. Für jede der zehn Pflichtmaßnahmen gibt es ein Infopaket mit Checklisten, Erläuterungen und Mappings zu ISO 27001 und BSI-Grundschutz.
Diese Materialien sind auf Deutsch, praxisorientiert und speziell für die Umsetzung in deutschen Unternehmen konzipiert.
Link: BSI #nis2know-Infopakete
§ 38 BSIG regelt die Verantwortung der Geschäftsleitung unmissverständlich: Geschäftsführer und Vorstände sind persönlich verpflichtet, die Umsetzung der Risikomanagementmaßnahmen zu überwachen. Bei Pflichtverletzungen haften sie mit ihrem Privatvermögen.
Ein Verzicht auf Schadensersatzansprüche des Unternehmens gegen die Geschäftsleitung ist gesetzlich ausgeschlossen. Zusätzlich besteht eine Schulungspflicht: Die Geschäftsleitung muss regelmäßig an Cybersicherheitsschulungen teilnehmen.
NIS-2 ist keine IT-Aufgabe. Es ist eine Führungsaufgabe.
Ein häufiger Fehler: Unternehmen erstellen Dokumente für die Aufsichtsbehörde, ohne die Prozesse tatsächlich zu leben. Ein Incident-Response-Plan im PDF rettet keine Produktion, wenn niemand weiß, wo er liegt oder wie er anzuwenden ist.
Das Mapping auf ISO 27001 oder BSI-Grundschutz ist ein guter Startpunkt. Aber es ersetzt nicht die operative Durchsetzung. NIS-2 verlangt funktionierende Prozesse, nicht Papier.
Die Registrierungsfrist ist vorbei. Aber die größte Gefahr ist nicht die verpasste Frist. Es ist weiteres Warten. Ein strukturierter Einstieg ist auch jetzt noch möglich. Wer die BSI-Ressourcen nutzt und systematisch vorgeht, kann die Lücke schließen. NIS-2 ist kein bürokratisches Übel. Es ist ein Belastungstest für Führungsstärke. Die Frage ist nicht, ob du betroffen bist. Die Frage ist, wie du damit umgehst.
In einem kostenlosen Strategiegespräch analysieren wir gemeinsam deine NIS-2-Betroffenheit und zeigen dir die nächsten konkreten Schritte.
