S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
← Blog/Compliance
Compliance

NIS2 Checkliste Mittelstand 2026: Pflichten, Fristen & Sofortmaßnahmen

s
sicherheit.ai Redaktion
Basierend auf: NIS2-Richtlinie (EU) 2022/2555, BSI NIS2-Portal, Heise.de, NIS2UmsuCG
06. Juni 2026·14 min Lesezeit
#NIS2#Compliance#Cybersicherheit#KRITIS#Mittelstand#Meldepflicht

NIS2 trifft 29.500 deutsche Unternehmen — nur 10% haben sich bisher beim BSI registriert. Bußgelder bis 10 Millionen Euro drohen. Unsere NIS2-Checkliste zeigt Ihnen welche Pflichten gelten, bis wann und was Sie sofort tun müssen.

Was ist die NIS2-Richtlinie?

NIS2 steht für "Network and Information Security Directive 2" – die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie wurde am 14. Dezember 2022 vom Europäischen Rat verabschiedet. In Deutschland erfolgt die Umsetzung durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG).

Gegenüber der Vorgängerrichtlinie erweitert NIS2 den Anwendungsbereich erheblich: Statt weniger hundert kritischer Infrastrukturen in Deutschland sind nun schätzungsweise 29.000 bis 40.000 deutsche Unternehmen betroffen.

Wen betrifft NIS2? Die Schwellenwerte im Detail

Betroffene Sektoren

NIS2 gilt für Unternehmen in folgenden Sektoren:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Forschung, Pharmahersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Cloud, Rechenzentren, DNS, ISPs)
  • IKT-Dienstleistungsmanagement (Managed Service Provider, MSSP)
  • Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe

Größenschwellen

Innerhalb der betroffenen Sektoren gilt NIS2 für Unternehmen mit mindestens:

  • 50 Mitarbeitern (Vollzeitäquivalent) ODER
  • 10 Millionen Euro Jahresumsatz und 2 Millionen Euro Jahresbilanzsumme

Pflichten für betroffene Unternehmen

Risikomanagementmaßnahmen (Artikel 21)

  • Risikoanalyse und Sicherheitskonzept für Informationssysteme
  • Incident Response: Konzepte für Bewältigung von Sicherheitsvorfällen
  • Business Continuity: Backup-Management, Wiederherstellung, Krisenmanagement
  • Lieferkettensicherheit: Sicherheitsanforderungen an Lieferanten und Dienstleister
  • Kryptographie und Verschlüsselung
  • Zugangskontrolle und Multi-Faktor-Authentifizierung

Meldepflichten bei Sicherheitsvorfällen

  • 24 Stunden: Erstmeldung (Frühwarnung) an das BSI
  • 72 Stunden: Vollständige Meldung mit Bewertung
  • 1 Monat: Abschlussbericht mit Ursachenanalyse

Haftung der Geschäftsführung

NIS2 stellt die persönliche Haftung von Leitungsorganen explizit klar. Geschäftsführer und Vorstände müssen die Cybersicherheitsmaßnahmen billigen und können bei Pflichtverletzungen persönlich haftbar gemacht werden.

Bußgelder und Handlungsempfehlungen

  • Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes

Konkrete Handlungsschritte für den Mittelstand:

  • Betroffenheit prüfen: Fällt das Unternehmen in einen der Sektoren und überschreitet die Schwellenwerte?
  • Gap-Analyse durchführen: Vergleich der bestehenden Sicherheitsmaßnahmen mit den NIS2-Anforderungen
  • Incident-Response-Plan erstellen: Klare Prozesse für Meldung und Reaktion auf Sicherheitsvorfälle
  • MFA einführen: Multi-Faktor-Authentifizierung für alle kritischen Systeme

"NIS2 ist keine bürokratische Übung. Die Anforderungen spiegeln den Mindeststandard wider, den Unternehmen für ihre eigene Überlebensfähigkeit in der aktuellen Bedrohungslage benötigen." – Bundesamt für Sicherheit in der Informationstechnik (BSI)

NIS2-Checkliste für den Mittelstand 2026

Nur knapp 10% der ~29.500 verpflichteten deutschen Unternehmen haben sich bis zur BSI-Registrierungsfrist (6. März 2026) registriert. Nutzen Sie diese Checkliste als Sofortmaßnahmen-Plan. Abhaken bedeutet: diese Pflicht ist erfüllt.

Phase 1: Betroffenheit prüfen (sofort)

  • Sektor-Check: Gehört Ihr Unternehmen zu einem der 18 NIS2-Sektoren (Energie, Gesundheit, Transport, IKT, Finanz, Lebensmittel, Maschinenbau etc.)?
  • Größen-Check: ≥ 50 Mitarbeiter ODER ≥ 10 Mio. € Jahresumsatz + 2 Mio. € Bilanzsumme?
  • Lieferkette prüfen: Sind Sie IT-Dienstleister (MSP/MSSP) für betroffene Unternehmen? Dann direkt betroffen.
  • BSI-Selbsteinstufung: Wesentliche Einrichtung (≥ 250 MA oder ≥ 50 Mio. €) oder wichtige Einrichtung?

Phase 2: BSI-Registrierung (dringend)

  • ELSTER-Zertifikat beantragen: Benötigt für BSI-Registrierungsportal. Bearbeitungszeit: 5–10 Werktage.
  • Registrierung im BSI-Portal: Auf bsi.bund.de/nis2 registrieren. Pflichtangaben: Unternehmensname, Sektor, Kontaktdaten, KRITIS-Status.
  • NIS2-Kontaktperson benennen: Eine verantwortliche Person für Cybersicherheit und BSI-Meldungen bestimmen.

Phase 3: Risikomanagement (innerhalb 3 Monate)

  • IT-Asset-Inventar erstellen: Alle Systeme, Software, Cloud-Dienste und OT-Komponenten erfassen.
  • Risikoanalyse durchführen: Für jeden Asset: Wahrscheinlichkeit × Schadenspotenzial. Dokumentiert und aktuell halten.
  • Sicherheitskonzept erstellen: Schriftliches Informationssicherheits-Managementsystem (ISMS) — auch vereinfacht nach BSI IT-Grundschutz möglich.
  • MFA für alle kritischen Systeme: VPN, E-Mail, Admin-Konsolen, Cloud-Dienste — Multi-Faktor-Authentifizierung aktivieren.
  • Backup-Strategie 3-2-1: 3 Kopien, 2 Medien, 1 Offline/Air-Gap. Regelmäßig auf Wiederherstellbarkeit testen.
  • Patch-Management-Prozess: Kritische Sicherheitslücken (CVSS ≥ 9) innerhalb von 24 Stunden patchen.
  • Verschlüsselung einführen: Ende-zu-Ende-Verschlüsselung für sensible Daten und Kommunikation.

Phase 4: Incident Response (innerhalb 6 Monate)

  • Incident-Response-Plan erstellen: Schriftlicher Plan mit klaren Verantwortlichkeiten, Eskalationswegen und Kommunikationsprotokoll.
  • Meldeprozess BSI etablieren: Automatismus für 24h-Erstmeldung, 72h-Detailmeldung, 1-Monat-Abschlussbericht.
  • Krisenteam definieren: Wer entscheidet was im Notfall? IT, Geschäftsführung, Rechtsabteilung, PR — klare Rollen.
  • IR-Übung durchführen: Jährliche Simulation eines Sicherheitsvorfalls (Tabletop-Übung).

Phase 5: Lieferkette & Schulung (laufend)

  • Lieferanten-Sicherheitsanforderungen: Sicherheitsanforderungen vertraglich in alle neuen IT-Verträge aufnehmen.
  • Mitarbeiterschulungen: Jährliche Cyber-Hygiene-Schulungen, Phishing-Simulationen, NIS2-Awareness für Führungskräfte.
  • Geschäftsführung briefen: GF und Vorstand müssen Cybersicherheitsmaßnahmen billigen — persönliche Haftung besteht.

Fristen im Überblick 2026

# NIS2-Fristen Deutschland 2026
06.12.2025  → NIS2-Umsetzungsgesetz in Kraft
06.03.2026  → BSI-Registrierungsfrist (bereits abgelaufen — sofort nachholen!)
Laufend     → Meldepflicht: 24h Erstmeldung bei Sicherheitsvorfällen
Laufend     → Risikomanagement und ISMS-Pflichten aktiv
2026+       → BSI-Audits und Kontrollen

Bußgelder bei NIS2-Verstößen

  • Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (der höhere Wert)
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4% des Jahresumsatzes
  • Persönliche Haftung GF/Vorstand: Bei nachgewiesener Fahrlässigkeit kann die Geschäftsführung persönlich haftbar gemacht werden — auch mit Privatvermögen

Fazit: Was jetzt zu tun ist

Wenn Ihr Unternehmen in einen der 18 NIS2-Sektoren fällt und die Schwellenwerte überschreitet, haben Sie jetzt drei Optionen: 1) Sofort handeln (diese Checkliste abarbeiten), 2) Externen Berater beauftragen (empfohlen wenn kein eigenes ISMS vorhanden) oder 3) Nichts tun und auf Bußgelder warten. Option 3 empfehlen wir nicht.

Der wichtigste erste Schritt: BSI-Registrierung nachholen, auch wenn die Frist abgelaufen ist. Das BSI bewertet den Willen zur Compliance positiv — eine nachgeholte Registrierung ist besser als keine.

#NIS2#Compliance#Cybersicherheit#KRITIS#Mittelstand#Meldepflicht
// FAQ

Häufige Fragen

Q01

Muss ich mein Unternehmen aktiv bei einer Behörde registrieren?

Ja, betroffene Einrichtungen müssen sich beim BSI registrieren. Das BSI stellt eine Registrierungsplattform bereit. Die Registrierungspflicht gilt unabhängig davon, ob das Unternehmen bereits nach anderen Gesetzen reguliert ist.

Q02

Gilt NIS2 auch für Unternehmen, die IT-Dienstleistungen für betroffene Sektoren erbringen?

Ja, explizit. Managed Service Provider (MSPs) und MSSPs sind in Anhang II der NIS2-Richtlinie als "Wichtige Einrichtungen" aufgeführt und unterliegen direkt den NIS2-Pflichten.

Q03

Was gilt als "erheblicher Sicherheitsvorfall", der gemeldet werden muss?

Ein Sicherheitsvorfall ist erheblich, wenn er schwerwiegende Betriebsstörungen verursacht oder erhebliche finanzielle Verluste zur Folge hat. Im Zweifel empfiehlt das BSI, lieber zu früh zu melden als zu spät.

Q04

Welche Strafen drohen bei Nichteinhaltung?

Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4% des Umsatzes. Leitungsorgane können persönlich haftbar gemacht werden.

Q05

Kann ein Unternehmen NIS2-Compliance extern auslagern?

Die Verantwortung bleibt immer beim Unternehmen und seiner Geschäftsführung. Technische Umsetzung kann an qualifizierte MSSPs delegiert werden. Auslagerung befreit nicht von der Haftung.

s
sicherheit.ai Redaktion
Basierend auf: NIS2-Richtlinie (EU) 2022/2555, BSI NIS2-Portal, Heise.de, NIS2UmsuCG
Experte für KI-Sicherheit und Cybersecurity bei sicherheit.ai
Teilen