Eine Frist, die viele übersehen haben

Anfang März 2026 ist eine Frist abgelaufen, von der ein großer Teil der betroffenen Unternehmen nichts wusste: die Registrierungspflicht nach dem deutschen NIS2-Umsetzungsgesetz. Von geschätzt rund 30.000 Unternehmen, die sich beim Bundesamt für Sicherheit in der Informationstechnik hätten melden müssen, hatte zum Stichtag nur etwa ein Drittel bis die Hälfte den Schritt vollzogen.

Wenn Sie an dieser Stelle unsicher sind, ob Ihr Unternehmen dazugehört, sind Sie nicht allein. NIS2 betrifft deutlich mehr Betriebe als die frühere Regelung — und längst nicht nur klassische Kritische Infrastruktur. Dieser Beitrag ordnet ein, worum es geht, wie Sie Ihre Betroffenheit einschätzen, welche Pflichten gelten und was jetzt sinnvoll ist. Er ersetzt keine Rechtsberatung, aber er gibt Ihnen einen klaren Ausgangspunkt.

Auf einen Blick

  • Worum es geht: NIS2 ist eine EU-Richtlinie zur Cybersicherheit, in Deutschland über ein nationales Gesetz umgesetzt.
  • Wer betroffen ist: Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz in einem von 18 geregelten Sektoren — und indirekt deren Zulieferer.
  • Was gilt: Risikomanagement, Meldepflichten bei Sicherheitsvorfällen, Absicherung der Lieferkette und Schulungspflichten.
  • Wer haftet: die Geschäftsleitung, ausdrücklich und persönlich.
  • Was jetzt zählt: Auch wer die Frist versäumt hat, sollte Registrierung und Umsetzung jetzt strukturiert nachholen.

Worum es bei NIS2 geht

NIS2 ist eine europäische Richtlinie, die das Sicherheitsniveau für Netz- und Informationssysteme anheben soll. Sie ist die Nachfolgerin einer älteren Regelung, die nur einen kleinen Kreis großer Betreiber erfasste. Der entscheidende Unterschied: NIS2 weitet den Kreis der betroffenen Unternehmen erheblich aus und nimmt die Unternehmensleitung stärker in die Pflicht.

In Deutschland setzt ein nationales Gesetz diese Vorgaben in geltendes Recht um. Für die Aufsicht und als Meldestelle ist das Bundesamt für Sicherheit in der Informationstechnik zuständig, kurz BSI. Wer betroffen ist, muss sich dort registrieren, bestimmte Sicherheitsmaßnahmen umsetzen und Vorfälle melden.

Sind Sie betroffen?

Die Betroffenheit ergibt sich aus drei Fragen — Größe, Branche und Stellung in der Lieferkette.

Größe

Grundsätzlich erfasst das Gesetz Unternehmen ab 50 Beschäftigten oder ab 10 Millionen Euro Jahresumsatz beziehungsweise Bilanzsumme. Unterschieden wird zwischen „wesentlichen" und „wichtigen" Einrichtungen, an die eine unterschiedlich strenge Aufsicht geknüpft ist. Für die Pflicht zur Umsetzung macht das zunächst wenig Unterschied.

Branche

Die Schwelle gilt nur in Verbindung mit einem von 18 geregelten Sektoren. Dazu zählen unter anderem Energie, Transport und Verkehr, das Gesundheitswesen, Banken und Finanzmärkte, Trinkwasser und Abwasser, die digitale Infrastruktur, die Lebensmittelversorgung sowie Teile des verarbeitenden Gewerbes wie Maschinenbau, Fahrzeugbau und die Herstellung von Chemie- und Medizinprodukten. Gerade der letzte Block überrascht viele: Auch ein klassischer Maschinenbauer mit 80 Beschäftigten kann erfasst sein.

Lieferkette

Selbst wenn Ihr Unternehmen die Schwellen nicht erreicht, kann NIS2 Sie indirekt erreichen. Denn betroffene Unternehmen müssen ihre Lieferkette absichern — und geben Sicherheitsanforderungen an ihre Dienstleister und Zulieferer weiter. Wer also einen NIS2-pflichtigen Kunden beliefert, wird die entsprechenden Nachweise zunehmend vertraglich erbringen müssen.

Ob Ihr Unternehmen konkret unter das Gesetz fällt, ist eine Frage des Einzelfalls und im Zweifel fachlich zu prüfen. Die drei Fragen oben geben Ihnen aber eine verlässliche erste Orientierung.

Die wichtigsten Pflichten

NIS2 verlangt kein einzelnes Produkt, sondern ein nachvollziehbares Sicherheitsniveau. Im Kern geht es um vier Bereiche:

  • Risikomanagement: Sie müssen Ihre Risiken kennen und ihnen mit angemessenen technischen und organisatorischen Maßnahmen begegnen — von der Zugriffskontrolle über Verschlüsselung bis zur Datensicherung.
  • Meldepflichten: Erhebliche Sicherheitsvorfälle sind dem BSI zu melden, und zwar schnell.
  • Lieferkettensicherheit: Die Sicherheit Ihrer Dienstleister und Zulieferer wird Teil Ihrer eigenen Verantwortung.
  • Schulung und Notfallvorsorge: Mitarbeitende müssen geschult, Abläufe für den Ernstfall vorbereitet sein.

Besonders die Meldefristen sind eng gesteckt. Sie sind gestaffelt aufgebaut:

ZeitpunktWas zu tun ist
innerhalb von 24 StundenFrühwarnung an das BSI mit erster Einschätzung
innerhalb von 72 Stundenausführlichere Meldung mit Bewertung und Schweregrad
nach spätestens einem MonatAbschlussbericht mit Ursachen und Gegenmaßnahmen

Diese Fristen lassen sich nur einhalten, wenn im Vorfeld klar ist, wer im Ernstfall was tut. Ein Vorfall um drei Uhr nachts ist kein guter Zeitpunkt, um diese Frage zum ersten Mal zu stellen.

Die Geschäftsführung haftet persönlich

Ein Punkt hebt NIS2 von früheren Regelungen ab: Die Verantwortung für Cybersicherheit liegt ausdrücklich bei der Unternehmensleitung. Geschäftsführerinnen und Geschäftsführer müssen die Sicherheitsmaßnahmen nicht nur billigen, sondern ihre Umsetzung überwachen — und sind verpflichtet, sich selbst schulen zu lassen. Bei Versäumnissen drohen empfindliche Bußgelder, und die Leitung kann persönlich in die Verantwortung genommen werden.

Das ist keine Drohkulisse, sondern eine bewusste Verschiebung: Cybersicherheit ist damit endgültig Chefsache und kein Thema, das sich vollständig nach unten delegieren lässt.

Was jetzt zu tun ist

Wer die Registrierungsfrist versäumt hat, sollte das nicht aussitzen. Die Pflicht entfällt nicht dadurch, dass der Stichtag vorbei ist — im Gegenteil. Sinnvoll ist ein geordnetes Vorgehen:

  • Betroffenheit klären: Prüfen Sie anhand von Größe, Branche und Kundenbeziehungen, ob und wie Sie erfasst sind.
  • Registrierung nachholen: Ist die Pflicht gegeben, holen Sie die Meldung beim BSI nach.
  • Ist-Zustand erheben: Verschaffen Sie sich einen ehrlichen Überblick über vorhandene Sicherheitsmaßnahmen und die Lücken.
  • Maßnahmen priorisieren: Setzen Sie zuerst um, was das größte Risiko senkt — meist Backup, Zugriffskontrolle, Patch-Management und ein Notfallplan.
  • Nachweise dokumentieren: NIS2 verlangt nicht nur Sicherheit, sondern auch den Nachweis darüber.

Niemand muss diese Liste an einem Tag abarbeiten. Entscheidend ist, dass Sie anfangen und die Schritte nachvollziehbar dokumentieren.

Wie ein Managed-Partner unterstützt

Für die meisten KMU ist NIS2 weniger eine Frage des Wollens als der Kapazität. Die geforderten Maßnahmen — laufende Überwachung, Patch-Management, Datensicherung, Notfallpläne, Meldewege — sind genau die Aufgaben, die sich gut als gemanagter Dienst organisieren lassen.

Ein Managed-Services-Partner übernimmt die Daueraufgaben: Er überwacht die Systeme, hält sie aktuell, sichert die Daten und sorgt dafür, dass im Ernstfall die Meldewege stehen und eingehalten werden. Statt eine eigene Sicherheitsabteilung aufzubauen, bekommen Sie die nötige Struktur als Leistung — mit klaren Zuständigkeiten und nachvollziehbarer Dokumentation. Den Rahmen und die Verantwortung dafür, dass es geschieht, behalten Sie selbst.

Fazit

NIS2 wirkt auf den ersten Blick wie ein weiteres Stück Bürokratie. Im Kern verlangt das Gesetz aber nichts, was nicht ohnehin im Interesse jedes Unternehmens läge: zu wissen, wo die eigenen Risiken liegen, und vorbereitet zu sein, wenn etwas passiert. Die verpasste Frist ist kein Grund zur Panik, aber ein Anlass, das Thema jetzt anzugehen.

Wir helfen Ihnen, Ihre Betroffenheit einzuschätzen, die dringendsten Lücken zu schließen und die laufenden Pflichten so zu organisieren, dass sie im Alltag tragen — damit aus einer gesetzlichen Anforderung ein belastbares Sicherheitsniveau wird.