NIS2-Richtlinie Mittelstand 2026 — Pflichten, Fristen, Sanktionen

Cybersecurity & Compliance · Mai 2026 · 15 Min. Lesezeit

← Teil des Cybersecurity-Guides
Hakan Akcan Von Hakan Akcan · Reepa Solutions

Die EU-Richtlinie NIS2 ist 2026 die strukturell wichtigste Regulierung für deutsche Mittelständler in IT-relevanten Sektoren. Wo bisher etwa 2.000 Unternehmen unter die alte NIS-Richtlinie fielen, sind es jetzt schätzungsweise 29.000. Wer dazugehört, weiß es oft noch nicht — die deutsche Umsetzung kam mit Verzögerungen, viele Geschäftsführungen halten NIS2 für „später-Problem". Diese Einschätzung ist riskant. Dieser Artikel klärt die Pflichten kompakt und liefert eine umsetzbare 90-Tage-Roadmap. Den größeren Kontext rund um Cybersecurity, Pentests und Compliance behandeln wir im Cybersecurity-Guide für den Mittelstand.

Wichtig: Die deutsche Umsetzung der NIS2-Richtlinie über das NIS2UmsuCG wird schrittweise verbindlich. Die Pflicht zur Selbst-Registrierung beim BSI gilt unabhängig vom genauen Inkrafttreten — wer in einem der 18 Sektoren tätig ist und die Größen-Schwellen erreicht, sollte sich nicht auf Verzögerungen verlassen.

Was ist NIS2 überhaupt?

NIS2 steht für „Network and Information Security 2" und ist die zweite Fassung der EU-Richtlinie zur Cybersicherheit. Verabschiedet im Dezember 2022, in Kraft seit Oktober 2024, ersetzt sie die ursprüngliche NIS-Richtlinie von 2016. Ziel: ein einheitliches, deutlich höheres Cybersicherheits-Niveau in allen EU-Mitgliedsstaaten.

Der Unterschied zur NIS1 ist substantiell. NIS1 betraf nur „Betreiber wesentlicher Dienste" in einem engen Sektor-Katalog — geschätzt 2.000 Unternehmen in Deutschland. NIS2 erweitert den Geltungsbereich auf 18 Sektoren, senkt die Schwellenwerte deutlich und führt persönliche Geschäftsleiter-Haftung ein. Geschätzte Reichweite in Deutschland: 29.000 Unternehmen, viele davon klassische Mittelständler.

Die nationale Umsetzung erfolgt in Deutschland über das NIS2-Umsetzungs- und Cybersicherheits-Stärkungs-Gesetz (NIS2UmsuCG). Auch in Österreich (NISG-Novelle) und der Schweiz (orientiert sich am ISG, ohne direkte EU-Anbindung) gelten vergleichbare Regelungen.

Wer ist betroffen? Die 18 Sektoren

NIS2 unterscheidet zwischen „Sektoren mit hoher Kritikalität" (Anhang I, elf Sektoren) und „sonstigen kritischen Sektoren" (Anhang II, sieben Sektoren). In beiden Anhängen gilt die Pflicht für mittlere und große Unternehmen.

Energie
Verkehr
Bankwesen
Finanzmarkt-Infrastruktur
Gesundheit
Trinkwasser
Abwasser
Digitale Infrastruktur
IKT-Dienste-Verwaltung
Öffentliche Verwaltung
Raumfahrt
Post- und Kurierdienste
Abfallwirtschaft
Chemie
Lebensmittel
Verarbeitendes Gewerbe
Digitale Anbieter
Forschung

Das verarbeitende Gewerbe umfasst dabei eine Reihe relevanter Unter-Branchen — Maschinenbau, Elektronik, Automobilindustrie, Medizingeräte. Genau hier fallen viele klassische Baden-württembergische, bayerische und schweizerische Mittelständler hinein, die sich vorher nie mit IT-Sicherheits-Regulierung beschäftigen mussten.

Schwellenwert: mindestens 50 Mitarbeiter ODER mindestens 10 Millionen Euro Jahresumsatz und Bilanzsumme. Diese Schwelle entspricht der EU-Definition mittlerer Unternehmen. Sie wird in der Praxis sehr schnell erreicht — viele Familien-Mittelständler mit 60 bis 200 Mitarbeitern sind eindeutig in Scope.

Wesentliche vs. wichtige Einrichtungen

Innerhalb der betroffenen Unternehmen unterscheidet NIS2 zwei Kategorien. „Wesentliche Einrichtungen" sind große Unternehmen (250+ Mitarbeiter oder 50 Mio. € Umsatz) in Sektoren mit hoher Kritikalität sowie ein paar Spezial-Branchen. „Wichtige Einrichtungen" sind mittlere Unternehmen in den hochkritischen Sektoren sowie alle Unternehmen in den sonstigen kritischen Sektoren.

Der Unterschied liegt in der Aufsichts-Intensität und der Sanktions-Höhe. Wesentliche Einrichtungen unterliegen proaktiver Aufsicht — die Behörde kann unangekündigt prüfen. Wichtige Einrichtungen werden reaktiv beaufsichtigt — die Behörde prüft bei Hinweisen oder nach Vorfällen. Bußgelder unterscheiden sich entsprechend: bis 10 Millionen Euro oder 2 Prozent vs. bis 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Pflicht-Maßnahmen nach Artikel 21

Artikel 21 der NIS2-Richtlinie definiert zehn Mindestmaßnahmen, die jede betroffene Organisation umsetzen muss. Sie sind technisch-organisatorisch gemischt und decken den gesamten Sicherheits-Lebenszyklus ab.

  1. Risikoanalyse und IT-Sicherheits-Konzept. Dokumentiertes Risikomanagement mit regelmäßiger Aktualisierung, gepflegtes Sicherheits-Konzept als Top-Level-Dokument.
  2. Bewältigung von Sicherheitsvorfällen. Incident-Response-Prozess, dokumentiertes Playbook, geübte Eskalations-Wege. Mehr dazu in unserem Artikel zum Incident-Response-Plan.
  3. Aufrechterhaltung des Betriebs. Backup-Management, Notfall-Wiederherstellung, Business-Continuity-Konzept mit dokumentiertem Restore-Test.
  4. Sicherheit der Lieferkette. Bewertung der IT-Sicherheit von Zulieferern und Dienstleistern, Vertragspflichten zur Cybersecurity in IT-Verträgen.
  5. Sicherheit bei Erwerb, Entwicklung, Wartung. Secure-Development-Lifecycle, Schwachstellen-Management, Patch-Prozesse.
  6. Wirksamkeit der Sicherheitsmaßnahmen. Regelmäßige Überprüfung — etwa durch Penetrationstests und kontinuierliche Schwachstellen-Validierung. Vertieft in unserem Artikel Penetrationstest-Ablauf.
  7. Kryptographie-Konzept. Definierte Verschlüsselungs-Standards, Schlüssel-Management, Übergangs-Strategien für veraltete Algorithmen.
  8. Personal-Sicherheit, Schulung, Sensibilisierung. Regelmäßige Awareness-Trainings, dokumentierte Sicherheitsschulungen, klare Verantwortlichkeiten.
  9. Zugriffskontrolle und Asset-Management. Dokumentiertes Inventar aller IT-Assets, Rollen- und Berechtigungs-Konzept, Identity-Lifecycle.
  10. Multi-Faktor-Authentisierung und sichere Kommunikation. MFA an exponierten Systemen, verschlüsselte Kommunikations-Kanäle, sichere Notfall-Kommunikation.

Diese zehn Mindestmaßnahmen sind nicht abschließend, sondern Mindeststandard. Die zuständige Behörde kann zusätzliche Anforderungen festlegen, etwa nach branchen-spezifischen Risiken oder nach einem aufgetretenen Vorfall.

Sind Sie NIS2-pflichtig — und wenn ja, wo stehen Sie?

Wir prüfen in einem 30-Minuten-Gespräch Ihre Einstufung (wesentlich/wichtig/nicht-betroffen) und liefern eine erste Lücken-Analyse gegen die zehn NIS2-Pflichtmaßnahmen.

NIS2-Quick-Check vereinbaren

Meldepflichten — 24 Stunden, 72 Stunden, 1 Monat

Eine der konkretesten neuen Anforderungen sind die dreistufigen Meldepflichten bei erheblichen Sicherheitsvorfällen. Diese Fristen sind absolut zu verstehen — sie laufen ab Kenntnis des Vorfalls, nicht ab Bestätigung.

Stufe 1 — Frühwarnung binnen 24 Stunden. Eine erste formale Meldung an die zuständige nationale Behörde (in Deutschland das BSI). Inhalt: Verdacht auf Vorfall, betroffene Sektoren, vermutete grenzüberschreitende Auswirkung. Bewusst kurz gehalten — Sie haben noch nicht alle Details, sollen aber das Wissen-Vakuum bei der Behörde schließen.

Stufe 2 — Vorfall-Meldung binnen 72 Stunden. Vollständige Erstbewertung mit Auswirkungs-Analyse, Anzeichen für die Kompromittierung, ergriffene und geplante Maßnahmen. Diese Meldung dient der Behörde zur Lage-Bewertung und zur Information weiterer Stellen.

Stufe 3 — Abschlussbericht binnen einem Monat. Detaillierte Analyse des Vorfalls, Wirkungsverlauf, Ursachen-Analyse, getroffene Schutzmaßnahmen, geplante zukünftige Vermeidung. Bei langwierigen Vorfällen alternativ Zwischen-Berichte mit finalem Abschluss bei Bewältigung.

Wichtig: Diese Meldepflichten kommen ZUSÄTZLICH zu den DSGVO-Meldepflichten nach Artikel 33 (72-Stunden-Meldung an die Datenschutz-Behörde). Wenn ein Vorfall sowohl NIS2- als auch DSGVO-Relevanz hat, müssen Sie an beide Behörden melden — nach unterschiedlichen Logiken und Inhalten.

Sanktionen und Geschäftsleiter-Haftung

NIS2 macht ernst mit Sanktionen. Die Bußgeld-Rahmen orientieren sich an DSGVO-Niveau, sind aber separat zu betrachten — ein Vorfall kann sowohl ein NIS2- als auch ein DSGVO-Bußgeld auslösen.

Für wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — der jeweils höhere Betrag gilt. Für wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 Prozent. Bei einem 40-Millionen-Mittelständler in einem hochkritischen Sektor sind also bis zu 800.000 Euro Bußgeld realistisch — pro Vorfall.

Persönliche Geschäftsleiter-Haftung ist neu. NIS2 sieht explizit vor, dass die Geschäftsleitung die Umsetzung der Sicherheitsmaßnahmen verantworten muss und auch geschult sein muss. Bei nachgewiesenen Pflichtverletzungen können Geschäftsführer und Vorstände persönlich haftbar gemacht werden — die D&O-Versicherung greift nicht automatisch bei Compliance-Verstößen.

NIS2 versus ISO 27001 — das Verhältnis

Eine häufige Frage in unseren Beratungs-Gesprächen: „Wir sind ISO 27001 zertifiziert — sind wir damit NIS2-konform?". Die ehrliche Antwort: zu etwa 80 Prozent ja, aber nicht vollständig.

Die technischen Maßnahmen nach NIS2 Artikel 21 überschneiden sich weitgehend mit ISO-27001-Controls. Wenn Sie ein funktionierendes ISMS (Information Security Management System) nach ISO 27001 haben, erfüllen Sie die Mehrheit der NIS2-Pflichten automatisch.

Was zusätzlich erforderlich ist: die NIS2-spezifischen Meldepflichten an die zuständige Behörde mit den drei genannten Fristen, die explizite Geschäftsleiter-Schulungspflicht (in ISO 27001 weniger explizit), dedizierte Lieferketten-Sicherheit nach NIS2-Logik, und die Registrierung beim BSI als betroffene Einrichtung. Den Kosten- und Aufwands-Vergleich vertiefen wir im Artikel ISO 27001 Zertifizierungs-Kosten.

90-Tage-Umsetzungs-Roadmap

Wer NIS2 strukturiert umsetzen will, fängt mit einer Bestandsaufnahme an und arbeitet sich systematisch vor. Diese Roadmap ist erprobt — wir nutzen sie in Mittelstands-Engagements seit der NIS2-Verabschiedung.

PhaseAktivitätenErgebnisse
Tag 1–14 Betroffenheits-Analyse, Sektor-Zuordnung, Größen-Klassifikation, BSI-Registrierung vorbereiten Schriftliche Einstufung (wesentlich/wichtig/nicht-betroffen), dokumentierte Begründung
Tag 15–30 Gap-Analyse gegen NIS2 Artikel 21, Asset-Inventar erstellen oder aktualisieren, Risiko-Register Lückenliste mit Priorisierung, dokumentiertes Risiko-Register
Tag 31–60 Quick-Wins umsetzen: MFA überall einführen, Patch-Prozess dokumentieren, Backup-Restore-Test, Awareness-Schulung Acht der zehn Pflichtmaßnahmen mit erstem Erfüllungsgrad
Tag 61–75 Incident-Response-Playbook schreiben, Eskalations-Liste mit BSI-Meldewegen, Übungs-Szenario Verbindliches Playbook, einmalige Table-Top-Übung absolviert
Tag 76–90 Lieferketten-Bewertung, Verträge mit kritischen Dienstleistern aktualisieren, Geschäftsleiter-Schulung Bewertete Lieferanten-Liste, aktualisierte Vertragsklauseln, dokumentierte Geschäftsleiter-Schulung

Nach 90 Tagen haben Sie keine perfekte NIS2-Konformität — die ist ein Dauerzustand, kein Projekt-Ergebnis. Aber Sie haben einen dokumentierten Stand, alle Pflichtmaßnahmen mit Erst-Umsetzung, und die organisatorischen Strukturen für die laufende Pflege. Damit halten Sie eine Aufsichts-Prüfung deutlich besser aus als ohne strukturiertes Vorgehen.

Status DACH 2026 — wo stehen wir wirklich?

Die Realität in der Mittelstands-Beratung zeigt: NIS2 wird unterschätzt. Nach Schätzungen des BSI haben Ende 2025 weniger als 30 Prozent der betroffenen deutschen Unternehmen eine vollständige Betroffenheits-Analyse durchgeführt. Weniger als 15 Prozent haben alle zehn Pflichtmaßnahmen mindestens in Erst-Umsetzung. Die Lücke zwischen rechtlicher Anforderung und tatsächlicher Umsetzung ist erheblich.

Die Gründe sind nachvollziehbar: NIS2 wirkt komplex, die deutsche Umsetzung kam mit Verzögerungen, und für viele klassische Mittelständler ist IT-Sicherheits-Regulierung ein neues Thema. Genau diese Lücke macht aber die Geschäftsleiter-Haftung relevant — wer 2026 noch nichts unternommen hat, kann sich nicht mehr auf Unwissenheit berufen.

Unsere Empfehlung: nicht warten auf die finale deutsche Rechtsfassung im Detail. Die EU-Mindestmaßnahmen aus Artikel 21 stehen fest und werden in jeder Umsetzung verlangt werden. Wer jetzt mit der 90-Tage-Roadmap beginnt, ist zum Stichtag handlungsfähig — und kann den Pentest, die ISO-Vorbereitung und die Cyber-Versicherungs-Auflagen aus einem konsolidierten Prozess heraus erledigen.

Häufige Fragen

Ab wann gilt NIS2 in Deutschland verbindlich?

Die EU-Richtlinie ist seit Oktober 2024 in Kraft. Die deutsche Umsetzung erfolgt über das NIS2-Umsetzungs- und Cybersicherheits-Stärkungs-Gesetz (NIS2UmsuCG), das schrittweise verbindlich wird. Betroffene Unternehmen müssen sich registrieren, technische Maßnahmen umsetzen und Meldewege etablieren — wer 2026 noch nicht handelt, ist spät dran.

Welche Schwellenwerte gelten für die NIS2-Pflicht?

Grundsätzlich gilt: ab 50 Mitarbeitern ODER ab 10 Millionen Euro Jahresumsatz und Tätigkeit in einem der 18 NIS2-Sektoren. Für besonders kritische Sektoren wie Energie, Wasser, Telekommunikation, Bankwesen oder digitale Infrastruktur können auch kleinere Unternehmen betroffen sein, wenn sie als wesentliche Dienste-Anbieter eingestuft werden.

Was sind die wichtigsten NIS2-Pflichten?

Artikel 21 nennt zehn Mindestmaßnahmen: Risikomanagement-Konzept, Vorfallreaktion, Backup und Geschäftskontinuität, Lieferketten-Sicherheit, Sicherheit bei Beschaffung und Entwicklung, Kontroll-Wirksamkeit, Kryptographie-Konzept, Personalsicherheit und Schulung, Zugriffsmanagement und Asset-Inventarisierung, Multi-Faktor-Authentisierung und sichere Kommunikation.

Welche Sanktionen drohen bei NIS2-Verstößen?

Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (je nachdem, was höher ist). Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Zusätzlich kann die Geschäftsleitung persönlich haftbar gemacht werden, wenn organisatorische Pflichten verletzt wurden.

Wie schnell muss ein Sicherheitsvorfall gemeldet werden?

NIS2 verlangt eine dreistufige Meldung: innerhalb 24 Stunden eine erste Frühwarnung an die zuständige Behörde, innerhalb 72 Stunden eine vollständige Vorfall-Meldung mit Erstbewertung, und spätestens nach einem Monat einen Abschlussbericht. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zentrale Meldestelle.

Erfüllen wir NIS2 automatisch, wenn wir ISO 27001 zertifiziert sind?

Größtenteils ja — die technischen Maßnahmen nach NIS2 Artikel 21 überschneiden sich zu etwa 80 Prozent mit ISO-27001-Controls. Was zusätzlich erforderlich ist: die NIS2-spezifischen Meldepflichten an die zuständige Behörde, die Geschäftsleiter-Schulungspflicht, und die explizite Lieferketten-Sicherheit. Eine ISO-Zertifizierung erleichtert die NIS2-Umsetzung erheblich, ersetzt sie aber nicht vollständig.

Wir begleiten Sie durch die NIS2-Umsetzung

Von der Betroffenheits-Analyse über die Gap-Bewertung bis zur Erst-Umsetzung der zehn Pflichtmaßnahmen — als Festpreis-Paket mit klaren Meilensteinen. Inklusive Reepa-Security für die kontinuierliche Wirksamkeits-Validierung.

NIS2-Beratung anfragen

Weitere Artikel aus dem Cybersecurity-Guide

Methodik

Penetrationstest Ablauf — Sieben Phasen
Compliance

DSGVO IT-Sicherheits-Checkliste
Compliance

ISO 27001 — Kosten und Aufwand
Krisenfall

Incident-Response-Plan Vorlage
Hakan Akcan
Hakan Akcan · Gründer & Geschäftsführer Reepa Solutions

IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über DSGVO, NIS2, Cloud-Security und Pentest-Methodik.

Geprüft am: 22. Mai 2026 · Mehr über Hakan

Mehr aus unseren Wissens-Hubs

🛡
Sicherheit
Cybersecurity
15 Artikel →
🧠
Künstliche Intelligenz
KI im Mittelstand
15 Artikel →
Infrastruktur
Cloud & DevOps
15 Artikel →
💻
Entwicklung
Softwareentwicklung
15 Artikel →