Lesedauer 7min Was bedeutet der NIS-2 Beschluss für deutsche mittelständische Unternehmen?

NIS-2 Umsetzung: Was die Einigung im Bundestag für Sie bedeutet

Nach monatelangem politischem Ringen hat sich die Koalition im Bundestag auf die NIS-2-Umsetzung geeinigt. Das Umsetzungsgesetz wird am 13. November 2025 mit Verkündung im Bundesanzeiger in Kraft treten. Damit fallen rund 30.000 Unternehmen in Deutschland erstmals unter die verschärften Cybersecurity-Pflichten. Viele mittelständische Unternehmen unterschätzen noch immer die Tragweite dieser Regulierung. Zeit für einen strukturierten Blick auf Ihre Handlungsoptionen.

Die Herausforderung: Mehr Pflichten, mehr Druck, mehr Verantwortung

„NIS-2 ist kein fernes Zukunftsthema. Das [NIS-2] Gesetz kommt jetzt“, sagt Nadine Eibel, CEO von SECURAM Consulting. „In unseren Projekten erleben wir es regelmäßig: Viele CISOs wissen um die Fristen, aber ein strukturierter Umsetzungsplan fehlt oft. NIS-2 ist mehr als IT-Security. Es geht um Governance, Nachweisführung und persönliche Haftung der Geschäftsführung.“

Deutlich größerer Kreis betroffener Unternehmen

Bislang waren rund 4.500 KRITIS-Betreiber reguliert. Mit NIS-2 steigt diese Zahl auf schätzungsweise 30.000 Unternehmen in Deutschland. Der Grund dafür ist, dass die Richtlinie neben den bisherigen „besonders wichtigen Einrichtungen“ (früher: KRITIS) nun auch „wichtige Einrichtungen“ erfasst, und zwar branchen- und größenbasiert. Auch mittlere und große Unternehmen (ab 50 Mitarbeiter, >10 Mio. EUR Umsatz) in definierten Sektoren sind betroffen. Das bedeutet für viele mittelständische Unternehmen, dass erstmals verbindliche IT-Sicherheitspflichten mit aufsichtsrechtlicher Durchsetzung greifen. Ohne etabliertes Informationssicherheits-Managementsystem (ISMS) wird die Umsetzung zur Herausforderung. Die Anforderungen gehen weit über klassische IT-Sicherheit hinaus. So geht es auch um Governance, Risikomanagement, Nachweisführung und Lieferkettensteuerung.

Dreistufiges Melderegime mit engen Fristen

NIS-2 verpflichtet zu einem dreistufigen Melderegime:

Initialmeldung binnen 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls
Zwischenbericht nach 72 Stunden mit ersten Analyse-Ergebnissen
Abschlussbericht binnen 30 Tagen mit vollständiger Aufarbeitung

Ohne funktionierende Incident-Response-Prozesse sind diese Fristen kaum einzuhalten. In unseren Projekten erleben wir immer wieder: Die technische Detektion ist oft vorhanden (SIEM, EDR), aber die organisatorischen Abläufe – wer meldet wann an wen, nach welchen Kriterien – fehlen.

Persönliche Haftung und empfindliche Bußgelder

Die Sanktionen sind drastisch gestiegen:

Für besonders wichtige Einrichtungen bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
Für wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4 % des Jahresumsatzes

Neu ist die persönliche Haftung der Geschäftsführung. Das Management haftet nach den gesellschaftsrechtlichen Regelungen für Schäden, die durch Vernachlässigung der IT-Sicherheitspflichten entstehen. Dokumentierte Entscheidungen und Wirksamkeitsnachweise werden damit zur Pflicht.

Ressourcenengpässe sind absehbar

Die Anforderungen sind komplex. So brauchen Sie detektierende Fähigkeiten (SIEM, Monitoring), klare Eskalationswege, revisionssichere Nachweise und vertragliche Absicherungen in der Lieferkette. Ohne Priorisierung nach Risiko und Umsetzbarkeit drohen Verzögerungen, die sich kurz vor Inkrafttreten kaum noch kompensieren lassen.

Die SECURAM-Lösung: Fünf Schritte zur NIS-2-Compliance

Basierend auf unseren Projekten mit mittelständischen Unternehmen empfehlen wir ein strukturiertes Fünf-Schritte-Vorgehen:

Schritt 1: Gap-Analyse – Wo stehen Sie wirklich?

Ermitteln Sie systematisch Ihre Abdeckungslücken entlang dieser fünf Dimensionen:

Governance: Verantwortlichkeiten, Genehmigungsstrukturen, Berichtswesen
Detektion/Response: SIEM, EDR, Incident-Prozesse, Forensik
Meldewesen: Meldeauslöser, 24/7-Erreichbarkeit, Kommunikationswege
Lieferkette: Vertragsklauseln, Audits, Drittrisikobewertung
Resilienz: Backup-Konzepte, Business Continuity, Notfallpläne

Ein strukturiertes Readiness-Assessment liefert Ihnen priorisierte Maßnahmenpakete und realistische Aufwandsschätzungen. In unseren Projekten dauert diese Phase typischerweise 3-4 Wochen.

Schritt 2: Verantwortlichkeiten – Wer ist wofür zuständig?

Die Gesamtverantwortung liegt bei der Geschäftsführung. Definieren Sie klare Rollen.

Geschäftsführung: Gesamtverantwortung (persönlich und haftungsrelevant), Budget, strategische Entscheidungen
ISB/CISO: Operative Steuerung, Maßnahmenumsetzung, Reporting
Incident-Management: 24/7-Bereitschaft, Meldeabwicklung, Forensik
Lieferantenmanagement: Drittrisikobewertung, Vertragsmanagement, Audits

RACI-Matrizen und verbindliche Eskalationsregeln schaffen Klarheit und Revisionssicherheit. Das BSI verlangt zudem Schulungen für die Geschäftsführung. Dies ist ein klares Signal, dass IT-Security mit NIS-2 zur Chefsache werden muss.

Schritt 3: ISMS konsolidieren – ISO/IEC 27001 als Basis

Falls Sie bereits ISO/IEC 27001 implementiert haben: Glückwunsch, Sie haben eine solide Basis. Prüfen Sie Ihre bestehenden Elemente und ergänzen Sie die NIS-2-spezifischen Anforderungen:

Dreistufiges Melderegime mit definierten Fristen
Geschäftsleiterschulungen (Pflicht nach § 38 Abs. 3 BSIG-E)
Supply-Chain-Security mit vertraglichen Nachweisen
Erhöhte Dokumentationsanforderungen für Aufsichtsbehörden

Falls Sie noch kein ISMS haben: Nutzen Sie die NIS-2-Umsetzung als Anlass, ein strukturiertes Informationssicherheits-Managementsystem aufzubauen. Der BSI IT-Grundschutz oder ISO 27001 bieten bewährte Rahmenwerke.

Schritt 4: Incident-Response – Von der Theorie zur Praxis

Die 24-Stunden-Meldefrist ist anspruchsvoll:

Klare Meldeauslöser: Ab wann gilt ein Vorfall als „erheblich“? Die EU-Durchführungsverordnung 2024/2690 präzisiert dies.
24/7-Erreichbarkeit: Wer ist im Notfall erreichbar? Wie funktioniert die Rufbereitschaft?
Forensische Mindestanforderungen: Welche Logs müssen gesichert werden? Wie läuft die Beweissicherung?
Kommunikationsmuster: Wer informiert wen (intern/extern)? Welche Informationen werden weitergegeben?

Testen Sie diese Abläufe regelmäßig in Table-Top-Übungen. Verknüpfen Sie SIEM/SOAR-Signale mit klaren Entscheidungswegen – idealerweise mit automatisierten Workflows.

Schritt 5: Lieferkette – Drittrisiken im Griff

NIS-2 verlangt explizit die Absicherung der Lieferkette. Das bedeutet konkret:

Vertragsklauseln: Sicherheitsanforderungen, SLAs, Informationspflichten
Risikobasierte Bewertung: Kritikalität und Abhängigkeit von Dritten bewerten
Audit-Rechte: Recht auf Prüfung der Sicherheitsmaßnahmen beim Dienstleister
Einbindung in Notfallprozesse: Was passiert, wenn ein kritischer Lieferant ausfällt?

Für Eigenentwicklung von Software gelten zusätzlich sichere SDLC-Prozesse (Secure Software Development Lifecycle).

Was Sie zur politischen Entwicklung wissen müssen

Ex-post-Regelung für kritische Komponenten

Ein zentraler Streitpunkt wurde geklärt: Die Koalition hat sich auf eine Ex-post-Lösung für kritische Komponenten verständigt:

Betreiber dürfen kritische Komponenten zunächst auf eigenes Risiko einsetzen.
Der Einsatz muss dem BSI gemeldet werden.
Bei einem späteren Verbot müssen die Komponenten ausgebaut werden.
Eine generelle Vorab-Prüfung (Ex-ante) entfällt.

Planen Sie hierfür Lebenszyklus-Kontrollen und Budgetpuffer für mögliche Ersatzbeschaffungen ein.

CISO Bund kommt zum BSI

Parallel zur NIS-2-Umsetzung wird der „CISO Bund“ – der IT-Sicherheitschef der Bundesverwaltung – organisatorisch beim BSI angesiedelt. Erstmals unterliegen auch Bundesbehörden selbst Sicherheitspflichten. Das ist ein wichtiges Signal, denn der Staat nimmt jetzt seine Vorbildfunktion ernst, wo er vorher Ausnahmetatbestände für staatliche Institutionen definieren wollte.

Zeitliche Einordnung

Das NIS-2-Umsetzungsgesetz hat am 11. September 2025 die erste Lesung im Bundestag durchlaufen. Nach der Einigung zwischen Union und SPD im November 2025 wird mit einer Verabschiedung am 13. November 2025 gerechnet. Die Anwendungspflichten greifen dann unmittelbar nach Inkrafttreten. Richten Sie sich intern auf Q1 2026 als Zielmarke für minimale Compliance-Fähigkeiten ein. Das gibt Ihnen etwas Puffer für unvorhergesehene Hürden.

Fazit

NIS-2 verlangt mehr als technische Sicherheitsmaßnahmen. Es geht um Governance, schnelle Reaktionsfähigkeit und lückenlose Nachweise. Wer früh eine Gap-Analyse startet, klare Rollen verankert und ein ISO-27001-basiertes ISMS nutzt, kann in 6-12 Monaten eine tragfähige Compliance-Fähigkeit erreichen. Die politischen Weichen sind gestellt. Die nächsten Monate entscheiden darüber, ob Ihr Unternehmen vorbereitet ist oder ob Sie unter Zeitdruck reagieren müssen. Sichern Sie sich jetzt den Überblick. Mit einem strukturierten SECURAM-Check identifizieren Sie Ihre Handlungsfelder und priorisieren Maßnahmen nach Risiko und Aufwand.

Häufig gestellte Fragen zu NIS-2

Was müssen KMU zur NIS-2 beachten?

Prüfen Sie zunächst, ob Ihre Branche und Unternehmensgröße zur Einstufung als „besonders wichtige“ oder „wichtige“ Einrichtung führen. Das BSI bietet hierzu eine Betroffenheitsprüfung an. Falls betroffen: Planen Sie ein ISMS (idealerweise ISO 27001 oder BSI IT-Grundschutz), das dreistufige Meldeverfahren und revisionssichere Nachweise. Ohne klare Verantwortlichkeiten, regelmäßige Tests und Geschäftsleiterschulungen entstehen Vollzugs- und Haftungsrisiken.

Wann tritt NIS-2 in Deutschland in Kraft?

Die NIS-2-Richtlinie musste bis 17. Oktober 2024 in nationales Recht überführt werden. Deutschland hat diese Frist versäumt, arbeitet aber an der Umsetzung. Nach der Einigung und Beschluss im Bundestag am 13. November 2025 wird das Gesetz voraussichtlich Ende 2025 oder Anfang 2026 mit Verkündigung im Bundesanzeiger in Kraft treten. Unternehmen sollten die Kernanforderungen bis Q1 2026 funktionsfähig haben. Dies gilt insbesondere für das Melderegime und die Registrierung beim BSI (Pflicht binnen 3 Monaten nach Inkrafttreten).

Was sind kritische Komponenten?

Kritische Komponenten sind nach §2 Absatz 13 des BSI-Gesetzes (BSIG) definiert. Sie umfassen Systeme, Bauteile oder Prozesse, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die Funktionsfähigkeit kritischer Infrastrukturen hätten. Eine Einstufung als „kritische Komponente“ erfolgt ausschließlich durch eine explizite Festlegung des Gesetzgebers und gilt nur für ausgewählte Sektoren mit besonders hohem Schutzbedarf.

Quellen

[Q1] HEISE (2025) „Bundestag: Koalition einigt sich bei NIS2-Richtlinien-Umsetzung“, heise online, 10.11.2025, https://www.heise.de/news/Bundestag-Koalition-einigt-sich-bei-NIS2-Richtlinien-Umsetzung-11068130.html
[Q2] ENISA (2025) „NIS2 Technical Implementation Guidance“, ENISA, 26.06.2025, https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
[Q3] BSI (2025) „NIS-2-regulierte Unternehmen“, Bundesamt für Sicherheit in der Informationstechnik, 10.11.2025, https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
[Q4] Deutscher Bundestag (2025) „Gesetz zur Informationssicherheit in der Bundesverwaltung“, 11.09.2025, https://www.bundestag.de/dokumente/textarchiv/2025/kw46-de-nis-2-1123138

Bundestag beschließt NIS-2