Lesedauer 7min

Was bedeutet der NIS-2 Beschluss für deutsche mittelständische Unternehmen?

NIS-2 Umsetzung: Was die Einigung im Bundestag für Sie bedeutet

Nach monatelangem politischem Ringen hat sich die Koalition im Bundestag auf die NIS-2-Umsetzung geeinigt. Das Umsetzungsgesetz wird am 13. November 2025 mit Verkündung im Bundesanzeiger in Kraft treten. Damit fallen rund 30.000 Unternehmen in Deutschland erstmals unter die verschärften Cybersecurity-Pflichten. Viele mittelständische Unternehmen unterschätzen noch immer die Tragweite dieser Regulierung. Zeit für einen strukturierten Blick auf Ihre Handlungsoptionen.

Die Herausforderung: Mehr Pflichten, mehr Druck, mehr Verantwortung

„NIS-2 ist kein fernes Zukunftsthema. Das [NIS-2] Gesetz kommt jetzt“, sagt Nadine Eibel, CEO von SECURAM Consulting. „In unseren Projekten erleben wir es regelmäßig: Viele CISOs wissen um die Fristen, aber ein strukturierter Umsetzungsplan fehlt oft. NIS-2 ist mehr als IT-Security. Es geht um Governance, Nachweisführung und persönliche Haftung der Geschäftsführung.“

Deutlich größerer Kreis betroffener Unternehmen

Bislang waren rund 4.500 KRITIS-Betreiber reguliert. Mit NIS-2 steigt diese Zahl auf schätzungsweise 30.000 Unternehmen in Deutschland. Der Grund dafür ist, dass die Richtlinie neben den bisherigen „besonders wichtigen Einrichtungen“ (früher: KRITIS) nun auch „wichtige Einrichtungen“ erfasst, und zwar branchen- und größenbasiert. Auch mittlere und große Unternehmen (ab 50 Mitarbeiter, >10 Mio. EUR Umsatz) in definierten Sektoren sind betroffen.

Das bedeutet für viele mittelständische Unternehmen, dass erstmals verbindliche IT-Sicherheitspflichten mit aufsichtsrechtlicher Durchsetzung greifen. Ohne etabliertes Informationssicherheits-Managementsystem (ISMS) wird die Umsetzung zur Herausforderung. Die Anforderungen gehen weit über klassische IT-Sicherheit hinaus. So geht es auch um Governance, Risikomanagement, Nachweisführung und Lieferkettensteuerung.

Dreistufiges Melderegime mit engen Fristen

NIS-2 verpflichtet zu einem dreistufigen Melderegime:

• Initialmeldung binnen 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls
• Zwischenbericht nach 72 Stunden mit ersten Analyse-Ergebnissen
• Abschlussbericht binnen 30 Tagen mit vollständiger Aufarbeitung

Ohne funktionierende Incident-Response-Prozesse sind diese Fristen kaum einzuhalten. In unseren Projekten erleben wir immer wieder: Die technische Detektion ist oft vorhanden (SIEM, EDR), aber die organisatorischen Abläufe – wer meldet wann an wen, nach welchen Kriterien – fehlen.

Persönliche Haftung und empfindliche Bußgelder

Die Sanktionen sind drastisch gestiegen:

• Für besonders wichtige Einrichtungen bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
• Für wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4 % des Jahresumsatzes

Neu ist die persönliche Haftung der Geschäftsführung. Das Management haftet nach den gesellschaftsrechtlichen Regelungen für Schäden, die durch Vernachlässigung der IT-Sicherheitspflichten entstehen. Dokumentierte Entscheidungen und Wirksamkeitsnachweise werden damit zur Pflicht.

Ressourcenengpässe sind absehbar

Die Anforderungen sind komplex. So brauchen Sie detektierende Fähigkeiten (SIEM, Monitoring), klare Eskalationswege, revisionssichere Nachweise und vertragliche Absicherungen in der Lieferkette. Ohne Priorisierung nach Risiko und Umsetzbarkeit drohen Verzögerungen, die sich kurz vor Inkrafttreten kaum noch kompensieren lassen.

Die SECURAM-Lösung: Fünf Schritte zur NIS-2-Compliance

Basierend auf unseren Projekten mit mittelständischen Unternehmen empfehlen wir ein strukturiertes Fünf-Schritte-Vorgehen:

Schritt 1: Gap-Analyse – Wo stehen Sie wirklich?

Ermitteln Sie systematisch Ihre Abdeckungslücken entlang dieser fünf Dimensionen:

• Governance: Verantwortlichkeiten, Genehmigungsstrukturen, Berichtswesen
• Detektion/Response: SIEM, EDR, Incident-Prozesse, Forensik
• Meldewesen: Meldeauslöser, 24/7-Erreichbarkeit, Kommunikationswege
• Lieferkette: Vertragsklauseln, Audits, Drittrisikobewertung
• Resilienz: Backup-Konzepte, Business Continuity, Notfallpläne

Ein strukturiertes Readiness-Assessment liefert Ihnen priorisierte Maßnahmenpakete und realistische Aufwandsschätzungen. In unseren Projekten dauert diese Phase typischerweise 3-4 Wochen.

Schritt 2: Verantwortlichkeiten – Wer ist wofür zuständig?

Die Gesamtverantwortung liegt bei der Geschäftsführung. Definieren Sie klare Rollen.

• Geschäftsführung: Gesamtverantwortung (persönlich und haftungsrelevant), Budget, strategische Entscheidungen
• ISB/CISO: Operative Steuerung, Maßnahmenumsetzung, Reporting
• Incident-Management: 24/7-Bereitschaft, Meldeabwicklung, Forensik
• Lieferantenmanagement: Drittrisikobewertung, Vertragsmanagement, Audits

RACI-Matrizen und verbindliche Eskalationsregeln schaffen Klarheit und Revisionssicherheit. Das BSI verlangt zudem Schulungen für die Geschäftsführung. Dies ist ein klares Signal, dass IT-Security mit NIS-2 zur Chefsache werden muss.

Schritt 3: ISMS konsolidieren – ISO/IEC 27001 als Basis

Falls Sie bereits ISO/IEC 27001 implementiert haben: Glückwunsch, Sie haben eine solide Basis. Prüfen Sie Ihre bestehenden Elemente und ergänzen Sie die NIS-2-spezifischen Anforderungen:

• Dreistufiges Melderegime mit definierten Fristen
• Geschäftsleiterschulungen (Pflicht nach § 38 Abs. 3 BSIG-E)
• Supply-Chain-Security mit vertraglichen Nachweisen
• Erhöhte Dokumentationsanforderungen für Aufsichtsbehörden

Falls Sie noch kein ISMS haben: Nutzen Sie die NIS-2-Umsetzung als Anlass, ein strukturiertes Informationssicherheits-Managementsystem aufzubauen. Der BSI IT-Grundschutz oder ISO 27001 bieten bewährte Rahmenwerke.

Schritt 4: Incident-Response – Von der Theorie zur Praxis

Die 24-Stunden-Meldefrist ist anspruchsvoll:

• Klare Meldeauslöser: Ab wann gilt ein Vorfall als „erheblich“? Die EU-Durchführungsverordnung 2024/2690 präzisiert dies.
• 24/7-Erreichbarkeit: Wer ist im Notfall erreichbar? Wie funktioniert die Rufbereitschaft?
• Forensische Mindestanforderungen: Welche Logs müssen gesichert werden? Wie läuft die Beweissicherung?
• Kommunikationsmuster: Wer informiert wen (intern/extern)? Welche Informationen werden weitergegeben?

Testen Sie diese Abläufe regelmäßig in Table-Top-Übungen. Verknüpfen Sie SIEM/SOAR-Signale mit klaren Entscheidungswegen – idealerweise mit automatisierten Workflows.

Schritt 5: Lieferkette – Drittrisiken im Griff

NIS-2 verlangt explizit die Absicherung der Lieferkette. Das bedeutet konkret:

• Vertragsklauseln: Sicherheitsanforderungen, SLAs, Informationspflichten
• Risikobasierte Bewertung: Kritikalität und Abhängigkeit von Dritten bewerten
• Audit-Rechte: Recht auf Prüfung der Sicherheitsmaßnahmen beim Dienstleister
• Einbindung in Notfallprozesse: Was passiert, wenn ein kritischer Lieferant ausfällt?

Für Eigenentwicklung von Software gelten zusätzlich sichere SDLC-Prozesse (Secure Software Development Lifecycle).

Was Sie zur politischen Entwicklung wissen müssen

Ex-post-Regelung für kritische Komponenten

Ein zentraler Streitpunkt wurde geklärt: Die Koalition hat sich auf eine Ex-post-Lösung für kritische Komponenten verständigt:

• Betreiber dürfen kritische Komponenten zunächst auf eigenes Risiko einsetzen.
• Der Einsatz muss dem BSI gemeldet werden.
• Bei einem späteren Verbot müssen die Komponenten ausgebaut werden.
• Eine generelle Vorab-Prüfung (Ex-ante) entfällt.

Planen Sie hierfür Lebenszyklus-Kontrollen und Budgetpuffer für mögliche Ersatzbeschaffungen ein.

CISO Bund kommt zum BSI

Parallel zur NIS-2-Umsetzung wird der „CISO Bund“ – der IT-Sicherheitschef der Bundesverwaltung – organisatorisch beim BSI angesiedelt. Erstmals unterliegen auch Bundesbehörden selbst Sicherheitspflichten. Das ist ein wichtiges Signal, denn der Staat nimmt jetzt seine Vorbildfunktion ernst, wo er vorher Ausnahmetatbestände für staatliche Institutionen definieren wollte.

Zeitliche Einordnung

Das NIS-2-Umsetzungsgesetz hat am 11. September 2025 die erste Lesung im Bundestag durchlaufen. Nach der Einigung zwischen Union und SPD im November 2025 wird mit einer Verabschiedung am 13. November 2025 gerechnet. Die Anwendungspflichten greifen dann unmittelbar nach Inkrafttreten.

Richten Sie sich intern auf Q1 2026 als Zielmarke für minimale Compliance-Fähigkeiten ein. Das gibt Ihnen etwas Puffer für unvorhergesehene Hürden.

Fazit

NIS-2 verlangt mehr als technische Sicherheitsmaßnahmen. Es geht um Governance, schnelle Reaktionsfähigkeit und lückenlose Nachweise. Wer früh eine Gap-Analyse startet, klare Rollen verankert und ein ISO-27001-basiertes ISMS nutzt, kann in 6-12 Monaten eine tragfähige Compliance-Fähigkeit erreichen.

Die politischen Weichen sind gestellt. Die nächsten Monate entscheiden darüber, ob Ihr Unternehmen vorbereitet ist oder ob Sie unter Zeitdruck reagieren müssen.

Sichern Sie sich jetzt den Überblick. Mit einem strukturierten SECURAM-Check identifizieren Sie Ihre Handlungsfelder und priorisieren Maßnahmen nach Risiko und Aufwand.

Häufig gestellte Fragen zu NIS-2