NIS2 im Mittelstand im Detail erklärt

Cybersicherheit ist längst kein Spezialthema für IT-Abteilungen mehr – sie ist zum Kernfaktor wirtschaftlicher Stabilität und Lieferkettensicherheit geworden. Mit der europäischen NIS2-Richtlinie, die bis Oktober 2024 in nationales Recht hätte überführt werden müssen, verschärft die EU den Rahmen erheblich. Deutschland hat die Frist versäumt, doch mit dem Regierungsentwurf vom Juli 2025 (Stand: die 1. Lesung im Bundestag erfolgte am 11.09.2025) ist klar: In Kürze werden rund 29.500 Einrichtungen unter den Anwendungsbereich fallen, viele davon mittelständische Unternehmen, die sich bisher nicht in dieser Intensität mit Informationssicherheit und Business Continuity befassen mussten. Die Zahl von rund 29.500 Einrichtungen basiert auf einer Prognose des BMI im Rahmen des Referentenentwurfs (Stand: Juni 2025). Sie umfasst sowohl besonders wichtige als auch wichtige Einrichtungen gemäß Art. 2 und Anhang I & II der NIS2-Richtlinie und § 2 des Gesetzes zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG-E).

Für Geschäftsführerinnen und Geschäftsführer im Mittelstand bedeutet das: Sie stehen im Zentrum der Entwicklung. Denn NIS2 verlagert die Verantwortung klar in die oberste Leitungsebene. Damit kann Informationssicherheit nicht mehr als reines „IT-Thema“ abgetan werden, sondern wird nun auch regulatorisch Teil der unternehmerischen Gesamtverantwortung – ähnlich wie Rechnungslegung, Arbeitsschutz oder Datenschutz.

Der politische Rahmen in Deutschland

Der aktuelle Regierungsentwurf unterscheidet drei Kategorien von Unternehmen: kritische Infrastrukturen (KRITIS), besonders wichtige Einrichtungen und wichtige Einrichtungen.

• Kritische Infrastrukturen sind Unternehmen in Energie, Gesundheit, Wasser oder Transport, die bereits seit Jahren im Fokus der Regulierung stehen.
• Besonders wichtige Einrichtungen umfassen u.a. größere Industrieunternehmen, Banken oder Hersteller sicherheitsrelevanter Produkte.
• Wichtige Einrichtungen reichen bis in den Mittelstand hinein, darunter IT-Dienstleister, Rechenzentren, Maschinenbauer oder Teile des Handels.

Allen Kategorien gemeinsam ist, dass sie künftig Mindestanforderungen an Informationssicherheit, Risikomanagement und Notfallvorsorge erfüllen müssen. Unterschiede bestehen bei der Aufsicht: Besonders wichtige Einrichtungen unterliegen nach § 31 NIS2UmsuCG-E einer kontinuierlichen Aufsicht, inklusive Prüfungen, Anordnungen und Bußgeldverfahren. Wichtige Einrichtungen werden hingegen erst bei konkreten Anlässen durch das BSI beaufsichtigt. Bußgelder reichen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes.

Damit entsteht ein neuer Druck, Strukturen nicht nur technisch, sondern organisatorisch abzusichern. Laut Regierungsentwurf soll ein sehr knapp bemessener Übergangszeitraum von nur sechs Monaten nach Verkündung (voraussichtlich im 1. Quartal 2026) vorgesehen. Nach dieser kurzen Übergangsphase würde das deutsche Gesetz in vollem Umfang Anwendung finden.

FAQ zu NIS2

• NIS2 Mittelstand – wer ist betroffen?: In Deutschland werden ca. 29.500 Einrichtungen erfasst: von kritischen Infrastrukturen bis zu mittelständischen Unternehmen.
• Woher weiß ich, ob mein Unternehmen betroffen ist?: Das BSI stellt ein Online-Selbstauskunftstool bereit. Die finale Betroffenheitsprüfung und rechtliche Bewertung muss jedoch eigenverantwortlich durch das Unternehmen erfolgen, idealerweise mit externer Fachexpertise.
• Welche Pflichten kommen auf Unternehmen zu?: Risikomanagement, Informationssicherheit, BCMS, Meldepflichten und Sicherung der Lieferketten.
• Wie hoch sind die Bußgelder?: Bis zu zehn Millionen Euro oder 2,0 Prozent des Umsatzes für besonders wichtige Einrichtungen, bis zu sieben Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen.
• Was unterscheidet NIS2 von der DSGVO?: Die DSGVO schützt personenbezogene Daten. NIS2 adressiert die gesamte Informationssicherheit, unabhängig davon, ob personenbezogene Daten betroffen sind.
• Welche Rolle spielt die Geschäftsführung?: Die Unternehmensleitung trägt die Gesamtverantwortung. Bei Verstößen kann sie im Innenverhältnis haftbar gemacht werden.
• Welche Standards helfen in der Praxis?: VdS 10000, VdS 10010, ISO 27001, ISO 22301 sowie BSI IT-Grundschutz (BSI 200-1, 200-2, 200-3 & BSI 200-4).

Informationssicherheit als Basis

NIS2 verlangt, dass Unternehmen ihre Informationssicherheit strukturiert organisieren. In der Praxis hat sich etabliert, auf ISO 27001 zurückzugreifen. Diese international anerkannte Norm beschreibt ein Informationssicherheitsmanagementsystem (ISMS), mit dem Unternehmen Risiken identifizieren, Schutzmaßnahmen umsetzen und kontinuierlich verbessern können.

Für die Automobilindustrie hat sich mit TISAX®/VDA ISA ein branchenspezifisches Prüfmodell entwickelt, das auf ISO 27001 aufbaut. Hier zeigt sich: Standardisierung sorgt nicht nur für Sicherheit, sondern auch für Vertrauen entlang von Lieferketten. Unternehmen, die ISO 27001 oder TISAX® implementieren, profitieren davon unabhängig von NIS2: sie erhöhen ihre Resilienz und dokumentieren Professionalität gegenüber Kunden und Partnern.

Risikomanagement als strategisches Radar

Risikomanagement gehört zu den Kernpflichten von Geschäftsführerinnen und Geschäftsführern unter einer gültigen nationalen NIS2-Gesetzgebung. Unternehmen müssen Risiken systematisch erfassen, bewerten und steuern. Schon heute existieren etablierte Vorgehensweisen, etwa nach ISO 31000, ISO 27005 oder im Finanzsektor nach MaRisk. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kennt den BSI-Standard 200-3, der sich ausschließlich mit Risikomanagement auseinandersetzt.

Für NIS2 ist insbesondere Art. 21 Abs. 2 lit. c relevant, der ein strukturiertes Risikomanagement als Kernanforderung definiert. § 30 Abs. 1 Nr. 3 NIS2UmsuCG-E verpflichtet Unternehmen, Verfahren zur Risikoanalyse und Risikobehandlung einzuführen und zu dokumentieren – abgestimmt auf die jeweilige Kritikalität der Einrichtung. Eine sinnvolle Integration erfolgt über das ISMS, insbesondere wenn dieses ISO 27001-konform aufgebaut ist.

Die Erfahrung zeigt: Risikomanagement entfaltet seine Wirkung erst dann, wenn es über die IT hinausgeht. Lieferketten, externe Dienstleister und organisatorische Schwachstellen gehören ebenso auf den Radar wie klassische Cyberangriffe. In diesem Sinne ist Risikomanagement ein strategisches Führungsinstrument, nicht nur eine Compliance-Pflicht.

Business Continuity Management: im Notfall handlungsfähig bleiben

Prävention allein reicht nicht. NIS2 fordert wortwörtlich die Fähigkeit zur „Bewältigung von Vorfällen und Aufrechterhaltung der Dienste“ (Art. 21 Abs. 2 lit. e), was kurzum durch die Etablierung eines Business Continuity Management Systems (BCMS) sinnvoll und erforderlich macht. Der Begriff „Business Continuity Management“ wird in der Richtlinie nicht wörtlich genannt, ergibt sich aber aus der Pflicht zur Aufrechterhaltung der Dienste im Sinne der betrieblichen Resilienz. Das bedeutet: Unternehmen müssen darauf vorbereitet sein, im Ernstfall weiterarbeiten zu können – sei es beispielsweise nach einem Cyberangriff, einem Stromausfall oder einer Lieferkettenstörung.

Hier haben sich Standards wie ISO 22301 oder der BSI-Standard 200-4 in der Praxis etabliert. Sie helfen, Business-Impact-Analysen durchzuführen, Wiederanlaufzeiten zu definieren und Notfallpläne zu testen. Unternehmen, die regelmäßig Krisenübungen durchführen, berichten von einem spürbaren Gewinn an Klarheit und Resilienz.

Die neue dreistufige Meldepflicht nach § 33 NIS2UmsuCG-E verlangt eine Frühwarnung binnen 24 Stunden, eine weiterführende Meldung nach 72 Stunden sowie einen Abschlussbericht binnen eines Monats.

Compliance im Zusammenspiel – das Governance-Mosaik

NIS2 steht nicht isoliert, sondern ergänzt eine ganze Reihe von Regimen, die sich überschneiden:

• DSGVO und BDSG: Schutz personenbezogener Daten. Viele Vorfälle sind sowohl Datenschutz- als auch NIS2-relevant – was doppelte Meldepflichten bedeutet.
• KRITIS-Dachgesetz (CER-Richtlinie): Physische Resilienz kritischer Infrastrukturen. Betreiber müssen künftig digitale und physische Resilienz zusammendenken.
• DORA und MaRisk: Im Finanzsektor ergänzen diese Regime NIS2 durch detaillierte Vorgaben für ICT-Risikomanagement, Notfallkonzepte und Stresstests.
• KI-Verordnung (AI Act): Hochrisiko-KI-Systeme erfordern eigenes Risikomanagement und Dokumentation. In der Praxis müssen diese Systeme ins ISMS integriert werden.
• Cyber Resilience Act: Verpflichtet Hersteller von Hard- und Software zu Sicherheitsstandards. Unternehmen müssen in der Lieferkette prüfen, ob Komponenten diesen Standards entsprechen.
• Lieferkettensorgfaltspflichtengesetz (LkSG): Adressiert Menschenrechte und Umwelt – zunehmend auch digitale Transparenz in Lieferketten. § 30 Abs. 1 Nr. 8 NIS2UmsuCG-E nennt ausdrücklich Abhängigkeiten zu Drittparteien. Unternehmen müssen ihre Lieferkette im Hinblick auf Cybersicherheit prüfen und Risiken durch Dienstleister absichern.
• Marktmissbrauchsverordnung (MAR): Kursrelevante Cybervorfälle können neben NIS2-Meldepflichten auch Ad-hoc-Publizitätspflichten auslösen.
• Deutscher Corporate Governance Kodex: Betont die Rolle von Risiko- und Compliance-Management – mit NIS2 wird Informationssicherheit Teil dieser Governance-Struktur.

So entsteht ein dichtes Geflecht, das für viele Geschäftsführer und Geschäftsführerinnen unübersichtlich wirkt. Der entscheidende Punkt: Die Pflichten überschneiden sich nicht zufällig, sondern greifen ineinander. Wer Informationssicherheit, Datenschutz, BCMS und Lieferkettenmanagement integriert denkt, reduziert Doppelarbeit und stärkt das Vertrauen in das eigene Unternehmen.

UWG und Abmahnungen: Markt und NIS2 im Zusammenspiel

Eine häufige Frage im Mittelstand lautet: Können Wettbewerber NIS2-Verstöße abmahnen? Juristisch wird das über das Gesetz gegen den unlauteren Wettbewerb (UWG) diskutiert. Dort regelt § 3a UWG, dass ein Verstoß gegen Gesetze, die das Marktverhalten regeln, unlauter sein kann. Bei der DSGVO wurde dies in Teilen bejaht, Abmahnungen sind dort möglich.

Bei NIS2 liegt der Fall anders. Die meisten Pflichten richten sich auf interne Organisation und unterliegen der Aufsicht des BSI. Sie sind damit eher öffentlich-rechtliche Organisationspflichten, nicht marktbezogen. Abmahnungen durch Mitbewerber sind daher derzeit unwahrscheinlich.

Ein Sonderfall besteht jedoch: Wenn Unternehmen irreführend mit „NIS2-Konformität“ werben, obwohl sie die Anforderungen nicht erfüllen, kann dies sehr wohl abmahnbar sein – schlicht, weil es eine Täuschung im Wettbewerb darstellt (§ 5 UWG). In der Praxis hat sich etabliert: Technische und organisatorische Sicherheit gehören ins Verhältnis zu den Behörden, während Kommunikation am Markt am UWG-Maßstab gemessen wird. Eine missbräuchliche Werbung mit NIS2-Konformität ohne dokumentierten Nachweis über ein strukturiertes ISMS und BCMS kann laut § 5 UWG irreführend sein, insbesondere, wenn dies gegenüber Kunden oder in Ausschreibungen geschieht.

Dabei ist die Debatte in der juristischen Literatur aufmerksam zu verfolgen. Schlussendlich ist auch eine höchstrichterliche Klärung ausstehend.

Künstliche Intelligenz im NIS2-Kontext

Die Regulierung von Künstlicher Intelligenz (KI) durch die neue KI-Verordnung (AI Act) zeigt, wie stark sich die Felder überschneiden. Unternehmen, die KI-Systeme einsetzen, müssen nicht nur deren Funktionalität im Blick behalten, sondern auch deren Sicherheit.

NIS2 verlangt, dass alle Systeme, die für den Betrieb relevant sind, geschützt werden. Wenn KI also in Lieferkettenentscheidungen, in Produktionsprozessen oder bei der Datenauswertung eingesetzt wird, gehören auch diese Risiken ins Risikomanagement. In der Praxis hat sich gezeigt: Unternehmen fahren am besten, wenn sie den Einsatz von KI-Systemen generell in ihr bestehendes Informationssicherheitsmanagementsystem (ISMS) integrieren. So werden technische, organisatorische und regulatorische Risiken gemeinsam betrachtet – unabhängig davon, ob es sich um Hochrisiko-KI nach der KI-VO oder um alltägliche KI-Anwendungen wie Chatbots handelt. Das verhindert Parallelstrukturen und schafft ein konsistentes Governance-System.

Auch alltägliche KI-Anwendungen wie Chatbots oder Entscheidungsunterstützungssysteme können unter die Schutzpflichten von NIS2 fallen, wenn sie für die Verfügbarkeit, Integrität oder Vertraulichkeit betrieblicher Prozesse relevant sind.

NIS2 im Mittelstand: die Rolle der Geschäftsführung

Ein entscheidendes Merkmal von NIS2 ist die ausdrückliche Verankerung der Verantwortung auf der obersten Leitungsebene. Geschäftsführer und Vorstände können Cybersicherheit nicht mehr an die IT „delegieren“. Der Gesetzgeber macht klar: Die Unternehmensleitung ist persönlich für Informationssicherheit, Risikomanagement und Business Continuity zuständig.

30 Abs. 3 NIS2UmsuCG-E verpflichtet explizit Geschäftsführung und Vorstände zur Überwachung der Umsetzung und Wirksamkeit von Maßnahmen zur Informationssicherheit. Die persönliche Verantwortung ist damit gesetzlich verankert.

Diese Linie entspricht bereits geltendem Gesellschaftsrecht. § 43 GmbHG und § 93 AktG verpflichten Organmitglieder zur „Sorgfalt eines ordentlichen Geschäftsleiters“. Daraus folgt der Allzuständigkeitsgrundsatz: Die Geschäftsführung ist für alle Angelegenheiten verantwortlich, auch für Organisation und Sicherheit.

Besondere Bedeutung hat hier das „Neubürger-Urteil“ des LG München I (10.12.2013, Az. 5 HK O 1387/10). Dort wurde ein ehemaliges Siemens-Vorstandsmitglied im Innenverhältnis zu Schadensersatz verpflichtet, weil das Compliance-Management unzureichend organisiert war. Die Botschaft: Geschäftsführung und C-Ebene sind verpflichtet, Strukturen zu schaffen, die Gesetzesverstöße verhindern. Vernachlässigen sie dies, haftet die Leitung – nicht gegenüber Dritten, sondern gegenüber der eigenen Gesellschaft.

NIS2 verstärkt diese Linie, indem es die persönliche Verantwortung für Cybersicherheit ausdrücklich benennt. Damit ist klar: Informationssicherheit ist nicht nur Technik, sondern Teil moderner Corporate Governance.

5 Dinge, die Sie jetzt tun sollten:

1. Klären Sie Ihre Betroffenheit.
   Nutzen Sie das BSI-Selbstauskunftstool und lassen Sie Ihre Einstufung rechtlich überprüfen. Viele Unternehmen sind betroffen, ohne es zu wissen.
2. Etablieren Sie ein Informationssicherheitsmanagementsystem (ISMS).
   Setzen Sie auf ISO 27001 oder VdS 10000, je nach Reifegrad. Ohne ISMS sind Sie weder auditfähig noch nachhaltig geschützt.
3. Integrieren Sie Risikomanagement und Business Continuity.
   Stellen Sie sicher, dass Risiken strukturiert erfasst und Notfallmaßnahmen dokumentiert sind, idealerweise gemäß ISO 22301 oder BSI 200-4.
4. Verankern Sie Verantwortung auf Geschäftsleitungsebene.
   Cybersicherheit ist Chefsache. Schaffen Sie Strukturen, um Ihre persönliche Haftung zu reduzieren, z.B. durch Governance-Dokumentation und wirksame Überwachung.
5. Bereiten Sie sich auf Audit, Meldepflichten und Nachweispflichten vor.
   Erarbeiten Sie ein Reporting- und Meldekonzept, das innerhalb von 24 Stunden reagieren kann. Viele Unternehmen unterschätzen diese Anforderungen.

Orientierungspunkte in der Praxis

Um Ordnung in die Vielzahl von Anforderungen zu bringen, haben sich in der Praxis verschiedene Standards etabliert:

• VdS 10000 ist für mittelständische Unternehmen ein praxisnaher Einstieg. Es bildet ein ISMS ab, das in seiner Struktur ISO 27001 folgt, aber ressourcenschonender implementiert werden kann. Für viele Mittelständler ist es der Weg, eine Basis-Compliance gegenüber NIS2 systematisch aufzubauen.
• VdS 10010 erweitert diesen Ansatz um Datenschutz. Damit werden die Überschneidungen zwischen NIS2 und DSGVO in einem Managementsystem adressiert – ein Vorteil, der in der Praxis spürbar Entlastung schafft.
• BSI IT-Grundschutz schließlich ist vor allem in der öffentlichen Hand und bei KRITIS-Betreibern etabliert. Er bietet ein umfassendes Bausteinsystem, das technische, organisatorische und personelle Maßnahmen integriert. Wer den BSI IT-Grundschutz anwendet, deckt viele NIS2-Anforderungen bereits ab, wenn auch mit höherem methodischem Aufwand. Der BSI-Standard 200-4 (Business Continuity Management) ist explizit auf die NIS2-Anforderungen zur Betriebsfortführung ausgerichtet und kann als anerkannte Methode zur Umsetzung herangezogen werden
• ISO 27001 und ISO 22301 bleiben die international anerkannten Rahmenwerke für Informationssicherheit (ISO 27001) und Business Continuity Management (ISO 22301).

In der Praxis hat sich etabliert: Mittelständische Unternehmen steigen häufig mit VdS ein, internationale Player setzen umweglos auf die ISO-Standards, und die öffentliche Hand nutzt den BSI IT-Grundschutz. Gemeinsam bilden diese Standards das Fundament, auf dem NIS2-Compliance aufgebaut werden kann. Bei der Auswahl von Standards sollten Unternehmen prüfen, welcher Reifegrad intern bereits vorhanden ist. Ein Einstieg über VdS 10000 kann in ein erweitertes ISMS nach ISO 27001 überführt werden. Das BSI empfiehlt bei KRITIS-relevanten Prozessen den IT-Grundschutz als methodisch fundierte Umsetzungshilfe.

Fazit

NIS2 ist mehr als nur ein neues Gesetz. Es markiert den Übergang von fragmentierter Compliance zu einem integrierten Verständnis von Sicherheit und Resilienz. Für Geschäftsführerinnen und Geschäftsführer im Mittelstand bedeutet das: Informationssicherheit, Risikomanagement und Business Continuity gehören auf die Agenda der Unternehmensleitung.

Die Vielzahl paralleler Anforderungen – DSGVO, KRITIS-Dachgesetz, DORA, MaRisk, KI-VO, Cyber Resilience Act, Lieferkettengesetz – macht die Landschaft komplex. Doch gerade darin liegt die Chance: Wer frühzeitig Standards etabliert, gewinnt nicht nur Sicherheit, sondern auch Effizienz und Vertrauen.

In der Praxis hat sich gezeigt: Unternehmen, die jetzt handeln, sind nicht nur auf NIS2 vorbereitet. Sie stärken ihre Widerstandskraft, schaffen Vertrauen bei Kunden und Partnern und positionieren sich als zukunftsorientierte Marktteilnehmer. NIS2 ist damit weniger Bürde als Chance – ein Weckruf, den der Mittelstand ernst nehmen sollte.

Der derzeitige Entwurf des NIS2UmsuCG bietet Unternehmen noch ein Zeitfenster für Vorbereitung. Ein systematischer Aufbau eines ISMS, die Einführung eines BCMS und ein integriertes Risikomanagement sind jetzt strategisch klug – auch im Hinblick auf die neuen Anforderungen aus dem Cyber Resilience Act oder dem AI Act.

Christopher Schroer

Experte für digitale Resilienz, Datenschutz und strategische IT-Governance Christopher Schroer ist geschäftsführender Gesellschafter der firstbyte digital consulting gmbh. Seit über 20 Jahren begleitet er mittelständische Unternehmen bei der Entwicklung robuster digitaler Strategien an der Schnittstelle von IT-Sicherheit, Datenschutz, Resilienz und Zukunftsforschung. Seine besondere Stärke: die Verknüpfung von technischem Know-how, regulatorischer Expertise und strategischem Gestaltungsvermögen. Er denkt IT-Governance konsequent ganzheitlich – von DSGVO bis KI-Ethik, von ISO 27001 bis NIS2 und TISAX®. Dabei stehen Umsetzbarkeit, Wirkung und unternehmerische Passung stets im Mittelpunkt. Sein Beratungsstil: wissenschaftlich fundiert, unternehmerisch gedacht, praxisorientiert vermittelt. Viele Kunden vertrauen ihm seit mehr als einem Jahrzehnt, gerade wenn es darum geht, Digitalisierung sicher, wertebasiert und zukunftsfähig zu gestalten.