Was bringt die NIS2-Richtlinie 2026 für deutsche KMU – und welche Cybersicherheits-Pflichten sind neu? Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft – ohne Übergangsfrist. Rund 29.500 Unternehmen in 18 Sektoren sind betroffen, viele davon mittelständische KMU mit bereits 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Die Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete am 6. März 2026 – Unternehmen, die diese Frist verpasst haben, müssen schnell handeln. Sonst drohen Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes. Die Geschäftsleitung haftet zudem persönlich.
Dieser Beitrag erklärt im Detail, was die nis2 richtlinie 2026 für deutsche KMU bedeutet: wer betroffen ist, welche Pflichten neu sind, wie die BSI-Registrierung funktioniert, welche zehn Mindestmaßnahmen umgesetzt werden müssen und wie eine pragmatische Umsetzung im Betrieb aussehen kann.
Inhaltsverzeichnis
- Was ist die NIS2-Richtlinie und das NIS2UmsuCG?
- Wer ist 2026 von NIS2 betroffen – die 18 Sektoren
- Welche zehn Mindestmaßnahmen müssen umgesetzt werden?
- Wie funktioniert die BSI-Registrierung 2026?
- Die Meldepflichten: 24h, 72h, 1 Monat
- Geschäftsleitungs-Haftung – warum die Geschäftsführer persönlich haften
- Welche Bußgelder drohen bei Verstößen?
- Pragmatische Schritt-für-Schritt-Umsetzung im Mittelstand
- FAQ – die häufigsten Fragen zur NIS2-Richtlinie
Was ist die NIS2-Richtlinie und das NIS2UmsuCG?
Die NIS2-Richtlinie (EU 2022/2555) ersetzt die ältere NIS1-Richtlinie von 2016 und erweitert deren Anwendungsbereich erheblich. Sie wurde im Januar 2023 verabschiedet, die EU-Mitgliedstaaten hatten bis Oktober 2024 Zeit zur Umsetzung. Deutschland überschritt diese Frist und beschloss das nationale Umsetzungsgesetz erst:
- 13. November 2025: Bundestag beschließt das NIS2UmsuCG
- 21. November 2025: Bundesrat bestätigt
- 5. Dezember 2025: Verkündung im Bundesgesetzblatt
- 6. Dezember 2025: Inkrafttreten – ohne Übergangsfrist
- 6. Januar 2026: BSI-Registrierungsportal freigeschaltet
- 6. März 2026: Registrierungsfrist abgelaufen
Das Gesetz reformiert das BSI-Gesetz (BSIG) grundlegend. Die wichtigsten Paragraphen sind § 28 (Betroffenheit), § 30 (Risikomanagement), § 32 (Meldepflichten), § 38 (Geschäftsleitungs-Pflichten) und § 65 (Bußgelder).
„Das NIS2UmsuCG ist seit Dezember 2025 unmittelbar geltendes Recht. Es gibt keine Schonfrist für die Implementierung der technischen und organisatorischen Maßnahmen. Wer 2026 noch nicht NIS2-konform ist, muss sofort handeln – die Behörden haben angekündigt, ihre Durchsetzungs-Aktivitäten zu priorisieren.“
– Bundesamt für Sicherheit in der Informationstechnik (BSI)
Wer ist 2026 von NIS2 betroffen – die 18 Sektoren
Die Betroffenheit hängt von zwei Faktoren ab: dem Sektor und der Unternehmensgröße. Grundsätzliche Schwelle: ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Mikrounternehmen und Kleinunternehmen darunter sind grundsätzlich befreit.
Die 18 Sektoren
Aufgeteilt in zwei Kategorien:
Besonders wichtige Einrichtungen (11 Sektoren)
- Energie
- Verkehr und Transport
- Finanzmarktinfrastrukturen (Banken, Börsen)
- Gesundheitswesen
- Trinkwasserversorgung
- Abwasserentsorgung
- Digitale Infrastruktur (Cloud, Rechenzentren, DNS-Anbieter)
- ICT-Dienstemanagement (B2B)
- Öffentliche Verwaltung
- Weltraum
- Vertrauensdienste (z.B. eIDAS-Anbieter)
Wichtige Einrichtungen (7 Sektoren)
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie (Herstellung, Vertrieb)
- Lebensmittelproduktion und -vertrieb
- Verarbeitendes Gewerbe (Maschinen, Fahrzeuge, Elektronik)
- Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen)
- Forschung
In der Praxis bedeutet das: Ein Maschinenbauer mit 80 Mitarbeitern und 15 Mio. Umsatz ist eine wichtige Einrichtung. Ein Logistik-Dienstleister mit 200 Mitarbeitern ebenso. Ein Cloud-Anbieter ab 50 Mitarbeitern ist eine besonders wichtige Einrichtung.
Welche zehn Mindestmaßnahmen müssen umgesetzt werden?
§ 30 BSIG-neu definiert zehn Mindestmaßnahmen, die alle betroffenen Unternehmen umsetzen müssen:
- Risikoanalyse und Sicherheitsrichtlinien: Systematische Erfassung und Bewertung von Cyberrisiken
- Bewältigung von Sicherheitsvorfällen: Incident-Response-Pläne mit klaren Verantwortlichkeiten
- Aufrechterhaltung des Betriebs (Business Continuity): Notfall-Pläne, Wiederanlaufzeiten, Backup-Strategie
- Sicherheit der Lieferkette: Prüfung der Sicherheitsstandards bei IT-Dienstleistern, Cloud-Anbietern, Software-Lieferanten
- Sicherheit beim Erwerb, Entwicklung und Wartung von Netzwerk- und Informationssystemen: Secure-Coding, Patch-Management, Schwachstellen-Behandlung
- Bewertung der Wirksamkeit von Maßnahmen: Audits, Penetrationstests, regelmäßige Reviews
- Cyberhygiene und Schulungen: Mitarbeiter-Sensibilisierung, Awareness-Kampagnen
- Kryptographie: Verschlüsselung von sensiblen Daten in Ruhe und Übertragung
- Personalsicherheit, Zugangskontrolle, Asset Management: Multi-Faktor-Authentifizierung, dokumentierte Berechtigungen
- Multifaktor-Authentifizierung und Kommunikationssicherheit: MFA für alle kritischen Zugänge, sichere Kommunikationskanäle
Die einfachste Basis: eine ISO 27001-Zertifizierung. Sie deckt den Großteil der NIS2-Mindestpflichten ab. Die spezifischen NIS2-Aspekte (24-Stunden-Meldepflicht, Geschäftsleitungs-Haftung, sektorale Lieferkettenpflichten) müssen ergänzend dokumentiert werden.
Wie funktioniert die BSI-Registrierung 2026?
Die Registrierungspflicht nach § 33 BSIG-neu war einer der ersten konkreten Schritte:
- BSI-Portal: Online-Anmeldung unter portal.bsi.bund.de seit 6. Januar 2026
- Pflichtangaben: Unternehmensname, Kontaktdaten, Sektor, Größe, IT-Sicherheitsbeauftragter, Notfall-Kontakte
- Frist: 6. März 2026 für besonders wichtige Einrichtungen, „unverzüglich“ für wichtige Einrichtungen
- Ergebnis: BSI bestätigt die Einstufung oder weist sie zurück
Stand Mai 2026: Von rund 29.850 Unternehmen, die sich registrieren sollten, haben sich nur etwa 11.500 fristgerecht registriert – also rund 38,5 Prozent. Die übrigen Unternehmen riskieren Bußgelder.
Was tun, wenn die Frist verpasst wurde?
Wer die Frist verpasst hat, sollte sofort nachholen. Eine verspätete Registrierung ist möglich, kann aber zu einem Bußgeld führen. Empfohlene Schritte:
- Sofortige Anmeldung im BSI-Portal
- Schriftliche Erklärung des Verspätungsgrundes
- Nachweis über die zwischenzeitlich umgesetzten Mindestmaßnahmen
- Ggf. anwaltliche Begleitung bei größeren Versäumnissen
Die Meldepflichten: 24h, 72h, 1 Monat
Bei erheblichen Sicherheitsvorfällen gelten dreistufige Meldefristen nach § 32 BSIG-neu:
| Phase | Frist | Inhalt |
|---|---|---|
| Frühwarnung | 24 Stunden nach Bekanntwerden | Erste Meldung des Vorfalls mit grober Beschreibung |
| Vorfalls-Bericht | 72 Stunden nach Bekanntwerden | Detaillierte Beschreibung, betroffene Systeme, mögliche Auswirkungen |
| Abschlussbericht | 1 Monat nach Bekanntwerden | Vollständige Aufarbeitung, Maßnahmen, Lessons Learned |
Was ist ein „erheblicher Sicherheitsvorfall“? Vorfälle, die zu schwerwiegenden Betriebsstörungen oder finanziellen Verlusten führen können. Beispiele: Ransomware-Angriffe, Datendiebstahl, gravierende Systemausfälle. Die Meldung erfolgt elektronisch über das BSI-Portal.
Praxistipp: Incident-Response-Pläne müssen die 24-Stunden-Frist berücksichtigen. Wer keine vorbereitete Struktur hat, kann die Frist nicht einhalten. Mehr zur korrekten Vorbereitung in unserem Beitrag Behördliche Kontrollen 2026.
Geschäftsleitungs-Haftung – warum die Geschäftsführer persönlich haften
Ein zentraler Schwerpunkt der NIS2-Reform: Die persönliche Haftung der Geschäftsleitung nach § 38 BSIG-neu. Die Mechanik:
- Die Geschäftsleitung (Vorstand oder Geschäftsführer) muss Cybersicherheits-Maßnahmen aktiv billigen und überwachen
- Sie muss sich regelmäßig fortbilden – die Pflicht zur Cybersicherheits-Schulung ist gesetzlich verankert
- Bei Verletzung dieser Pflichten haftet sie persönlich – mit dem privaten Vermögen
- Die Haftung kann sowohl gesellschaftsrechtlich (Innenhaftung gegenüber der GmbH) als auch strafrechtlich (z.B. fahrlässige Körperverletzung bei Datenschutz-Verstößen) sein
Was bedeutet das konkret? Geschäftsführer müssen 2026:
- Regelmäßig in Cybersicherheits-Berichten geschult werden (mindestens jährlich)
- Risikomanagement-Entscheidungen aktiv treffen und dokumentieren
- Sicherstellen, dass die zehn Mindestmaßnahmen umgesetzt werden
- Bei Vorfällen die Meldepflichten einhalten
Eine D&O-Versicherung kann das Haftungsrisiko abfedern – wenn die Police die NIS2-Pflichten explizit einschließt. Bei groben Versäumnissen greift die Versicherung allerdings nicht.
Welche Bußgelder drohen bei Verstößen?
Die Bußgeldhöhe ist abhängig von Art und Schwere des Verstoßes:
| Verstoß | Maximalbetrag |
|---|---|
| Bei besonders wichtigen Einrichtungen | 10 Mio. € oder 2 % Welt-Umsatz |
| Bei wichtigen Einrichtungen | 7 Mio. € oder 1,4 % Welt-Umsatz |
| Nicht erreichbarer BSI-Ansprechpartner | 100.000 € |
| Fehlender ISMS-Nachweis | 500.000 € |
| Nicht umgesetzte BSI-Anordnungen | 500.000 € |
| Fehlende Registrierung | variabel, im Verhältnis zur Schwere |
Bei Wahl zwischen Eurobetrag und Prozentsatz vom Welt-Umsatz gilt: Es greift der höhere Wert. Für mittelgroße Unternehmen mit beispielsweise 50 Mio. € Umsatz bedeutet das bei besonders wichtigen Einrichtungen ein Bußgeld bis 1 Mio. € (2 % von 50 Mio.).
Pragmatische Schritt-für-Schritt-Umsetzung im Mittelstand
Eine empirisch bewährte Sechs-Schritte-Anleitung:
- Schritt 1: Betroffenheit prüfen: Online-Selbsttest auf der BSI-Website nutzen oder anwaltlich klären lassen. Bei 50+ MA / 10 Mio. € Umsatz in einem der 18 Sektoren: betroffen
- Schritt 2: BSI-Registrierung: Sofort (auch nachträglich) im Portal anmelden
- Schritt 3: Gap-Analyse: Welche der zehn Mindestmaßnahmen sind schon vorhanden, welche fehlen? Aufwand 2–5 Tage
- Schritt 4: ISMS aufbauen: Informationssicherheits-Managementsystem nach ISO 27001 ist die operative Basis. Aufwand 6–18 Monate, Kosten 20.000–100.000 € je nach Größe
- Schritt 5: Incident-Response-Plan: Wer macht was bei einem Vorfall? 24h-Meldung sicherstellen
- Schritt 6: Geschäftsführungs-Schulung: Jährlich, mit Nachweis. Externe Dienstleister kostet 1.500–5.000 € pro Person
Praxistipp: Kombinieren Sie die NIS2-Umsetzung mit der DSGVO-Compliance. Viele Anforderungen überschneiden sich. Bereits bestehende ISMS-Strukturen (z.B. bei ISO 27001-zertifizierten Unternehmen) reduzieren den Aufwand erheblich.
FAQ: Häufige Fragen zur NIS2-Richtlinie 2026
Was bringt die NIS2-Richtlinie 2026 für deutsche KMU?
Das NIS2UmsuCG ist seit 6. Dezember 2025 in Deutschland in Kraft – ohne Übergangsfrist. Rund 29.500 Unternehmen in 18 Sektoren sind betroffen, viele ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz. Sie müssen sich beim BSI registrieren, zehn Mindestmaßnahmen umsetzen, Sicherheitsvorfälle innerhalb 24/72 Stunden melden und ein ISMS einrichten. Geschäftsleitung haftet persönlich.
Welche Unternehmen sind 2026 von NIS2 betroffen?
Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in einem der 18 Sektoren. Besonders wichtige Einrichtungen: Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur und sechs weitere. Wichtige Einrichtungen: Post-Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung. Mikrounternehmen und Kleinunternehmen sind grundsätzlich befreit.
Welche Bußgelder drohen bei NIS2-Verstößen 2026?
Bei besonders wichtigen Einrichtungen: bis 10 Mio. Euro oder 2 % des Welt-Umsatzes (höherer Betrag gilt). Bei wichtigen Einrichtungen: bis 7 Mio. Euro oder 1,4 % des Welt-Umsatzes. Zusätzlich: 100.000 € bei nicht erreichbarem BSI-Ansprechpartner, 500.000 € bei fehlendem ISMS-Nachweis, 500.000 € bei nicht umgesetzten BSI-Anordnungen. Geschäftsleitung haftet persönlich.
Wie funktioniert die BSI-Registrierung 2026?
Online über das BSI-Portal (portal.bsi.bund.de) seit 6. Januar 2026. Frist: 6. März 2026 für besonders wichtige Einrichtungen, „unverzüglich“ für wichtige Einrichtungen. Pflichtangaben: Name, Kontaktdaten, Sektor, Größe, IT-Sicherheitsbeauftragter. Stand Mai 2026: nur rund 38,5 % der betroffenen Unternehmen waren fristgerecht registriert. Verspätete Anmeldung ist möglich, kann aber zu Bußgeld führen.
Welche zehn Mindestmaßnahmen verlangt das NIS2UmsuCG?
§ 30 BSIG-neu: Risikoanalyse und Sicherheitsrichtlinien; Vorfalls-Bewältigung; Business Continuity; Lieferketten-Sicherheit; sichere Beschaffung und Wartung von IT-Systemen; Wirksamkeits-Bewertung der Maßnahmen; Cyberhygiene und Schulungen; Kryptographie; Personal- und Zugangskontrolle; Multi-Faktor-Authentifizierung. ISO 27001-Zertifizierung deckt den Großteil ab.
Quellen und weiterführende Informationen
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Gesetze im Internet – BSI-Gesetz (BSIG)
- EUR-Lex – NIS2-Richtlinie (EU 2022/2555)
- Bundesregierung – NIS2-Umsetzung in Deutschland
- Bundesministerium des Innern und für Heimat
Lesen Sie weiter: KI im Mittelstand 2026, E-Rechnung 2026 (Pillar), XRechnung & ZUGFeRD-Formate.
