Wenn Cybersecurity plötzlich auf dem Schreibtisch der Geschäftsführung landet
Viele Mittelständler kennen das Muster: Die IT meldet Risiken, Fachbereiche arbeiten weiter mit gewachsenen Systemen, und irgendwo zwischen Excel-Listen, Dienstleistern und Tagesgeschäft bleibt das Thema Sicherheit liegen. Bis es knallt. Genau hier setzt NIS-2 an. Die neue EU-Richtlinie macht aus Cybersicherheit endgültig keine reine IT-Aufgabe mehr, sondern eine Managementpflicht.
Für deutsche Unternehmen wird es jetzt konkret. Mit dem deutschen NIS-2-Umsetzungsgesetz ab dem 06. Dezember 2025 und der ersten kritischen Frist zur BSI-Registrierung bis 06. März 2026 entsteht akuter Handlungsdruck. Wer zu spät startet, riskiert nicht nur Bußgelder, sondern auch persönliche Haftung der Geschäftsleitung. In diesem Beitrag zeigen wir Ihnen, was NIS-2 praktisch bedeutet, wer betroffen ist und wie Sie in 30 Tagen die richtigen Weichen stellen – pragmatisch, machbar und ohne PowerPoint-Theater.
Was NIS-2 bedeutet – und warum deutlich mehr Unternehmen betroffen sind
NIS-2 soll das Cybersicherheitsniveau in der EU vereinheitlichen und spürbar anheben. Der Unterschied zur bisherigen Regelung: Der Kreis der betroffenen Unternehmen wird massiv ausgeweitet. Es geht nicht mehr nur um wenige Kritische Infrastrukturen, sondern auch um viele mittelständische Unternehmen, die bisher glaubten, außerhalb des Radars zu liegen.
Betroffen sind unter anderem Organisationen aus Energie, Transport, Gesundheitswesen, Finanzdienstleistungen, digitaler Infrastruktur, Post- und Kurierdiensten, Abfallwirtschaft, Lebensmittelwirtschaft und dem produzierenden Gewerbe. Gerade im industriellen Mittelstand ist das relevant, weil viele Unternehmen Teil kritischer Lieferketten sind, ohne sich selbst so zu sehen.
Auch die Größenkriterien sind für KMU wichtig. Als grobe Orientierung gelten bei wesentlichen Einrichtungen mindestens 250 Mitarbeitende oder 50 Millionen Euro Umsatz beziehungsweise 43 Millionen Euro Bilanzsumme. Wichtige Einrichtungen starten bereits ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz beziehungsweise 10 Millionen Euro Bilanzsumme. Dazu kommen Sonderfälle: Auch kleinere Unternehmen können unter NIS-2 fallen, wenn sie besonders kritische Leistungen erbringen oder von nationaler Bedeutung sind.
Die wichtigste Botschaft lautet daher: Nicht schätzen, sondern prüfen. Wer seine Betroffenheit nicht sauber bewertet, baut auf Annahmen statt auf belastbaren Fakten. Das BSI stellt dafür Webtools und Orientierungshilfen bereit. In der Praxis lohnt sich zusätzlich eine strukturierte Einordnung mit fachlicher Begleitung, damit Sie keine falsche Sicherheit aufbauen.
Die eigentliche Gefahr: NIS-2 ist eine Haftungsfalle für Entscheider
Was viele unterschätzen: NIS-2 adressiert ausdrücklich die Leitungsorgane. Geschäftsführer und Vorstände müssen Sicherheitsmaßnahmen billigen, überwachen und regelmäßig Schulungen absolvieren. Damit wird verschriftlicht, was gesellschaftsrechtlich ohnehin schon angelegt ist: Wer ein Unternehmen führt, muss Risiken beherrschen – und Cyberrisiken gehören inzwischen ganz klar dazu.
Für Geschäftsführer einer GmbH ist das eng mit den Sorgfaltspflichten aus § 43 GmbHG verbunden, für Vorstände mit § 93 AktG. Neu ist vor allem die operative Schärfe. Wer Cybersicherheit weiter als Technikthema delegiert, obwohl Prozesse, Lieferketten und Meldepflichten betroffen sind, bewegt sich auf dünnem Eis.
Die möglichen Folgen sind hart. Für wesentliche Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Dazu kommen Reputationsschäden, Vertrauensverlust bei Kunden und Partnern sowie Probleme mit Versicherern.
Besonders heikel: Manche D&O-Policen decken Pflichtverletzungen im Zusammenhang mit bekannten Compliance-Vorgaben nur eingeschränkt ab. Cyber-Versicherer prüfen ebenfalls genauer, ob Mindeststandards eingehalten wurden. Im Klartext heißt das: Wenn Sie NIS-2 ignorieren, kann es sein, dass Sie im Ernstfall doppelt verlieren – erst operativ, dann finanziell.
Der 30-Tage-Schnellstart: So kommen Sie aus der Reaktionsspirale
Tag 1–7: Betroffenheit klären und Führung übernehmen
Der erste Schritt ist banal, aber entscheidend: Prüfen Sie verbindlich, ob Ihr Unternehmen unter NIS-2 fällt. Nicht gefühlt, nicht „wahrscheinlich nicht“, sondern belastbar. Dazu gehört die Einordnung Ihres Sektors, Ihrer Unternehmensgröße und möglicher Sonderfälle.
Parallel braucht es ein Management-Kick-off. Die Geschäftsleitung muss verstehen, dass NIS-2 kein Audit-Projekt für die IT ist, sondern ein unternehmensweites Vorhaben. Legen Sie ein kleines, schlagkräftiges Projektteam fest. Typischerweise gehören Geschäftsführung, IT, Informationssicherheit, Datenschutz, Compliance und bei Bedarf Operations oder Produktion an einen Tisch.
Ebenso wichtig ist ein erster Budgetrahmen. Sie müssen noch keine Detailplanung fertig haben. Aber ohne grobe Ressourcenfreigabe bleibt NIS-2 im Mittelstand oft genau dort hängen, wo viele Initiativen scheitern: zwischen guter Absicht und fehlender Entscheidung.
Tag 8–14: Gap-Analyse statt Blindflug
Jetzt geht es um den Abgleich zwischen Anspruch und Realität. NIS-2 verlangt Maßnahmen in zentralen Sicherheitsbereichen, etwa Risikoanalyse, Incident Management, Backup und Wiederanlauf, Lieferkettensicherheit, Zugriffskontrolle, Asset Management, Verschlüsselung, MFA, Schwachstellenmanagement und Awareness.
Die entscheidende Frage lautet nicht: „Haben wir irgendetwas davon?“ Sondern: Ist es strukturiert, dokumentiert, wirksam und nachweisbar? Genau hier liegen in vielen Unternehmen die Lücken. MFA ist vielleicht in Microsoft 365 aktiv, aber nicht für VPN-Zugänge. Backups existieren, wurden aber nie realistisch getestet. Lieferanten haben Fragebögen ausgefüllt, doch eine echte Risikobewertung fehlt.
Aus unserer Sicht ist diese Phase oft der größte Hebel. Denn schon nach zwei Wochen erkennen Sie, ob Sie ein reines Dokumentationsproblem haben oder ob tiefergehende technische und organisatorische Defizite bestehen. So vermeiden Sie Aktionismus und setzen dort an, wo das Risiko wirklich sitzt.
Tag 15–21: Maßnahmen planen, die im Alltag funktionieren
Auf Basis der Lückenanalyse definieren Sie Ihre Roadmap. Für viele Mittelständler ist ein pragmatisch aufgesetztes Informationssicherheits-Managementsystem (ISMS) der sinnvollste Rahmen. Das muss nicht sofort ein perfektes ISO-27001-Programm sein. Aber Sie brauchen klare Verantwortlichkeiten, Risikobewertungen, Regeln, Kontrollen und Nachweise.
Besonderes Augenmerk verdient das Notfall- und Krisenmanagement. Wenn ein Vorfall eintritt, zählt nicht die Theorie aus dem Handbuch, sondern die Frage: Wer entscheidet, wer meldet, wer kommuniziert, wer stellt den Betrieb wieder her? Genau diese Klarheit fehlt in vielen Unternehmen.
Gleichzeitig sollten Sie mit Schulungen starten. Das betrifft nicht nur Mitarbeitende, sondern ausdrücklich auch die Leitungsebene. NIS-2 verlangt, dass Managementverantwortliche ihre Cyberkompetenz nachweisbar aufbauen und aktualisieren. Das ist kein Formalismus, sondern Selbstschutz.
Tag 22–30: Erste Umsetzung und saubere Dokumentation
Spätestens jetzt muss die Registrierung beim BSI vorbereitet beziehungsweise über das vorgesehene Portal abgeschlossen werden. Die Frist bis 06. März 2026 ist kein freundlicher Hinweis, sondern eine belastbare Erwartung an betroffene Unternehmen.
Daneben müssen Meldeketten definiert werden. NIS-2 arbeitet mit engen Fristen für Sicherheitsvorfälle – typischerweise innerhalb von 24 Stunden, 72 Stunden und einem Monat in abgestufter Form. Wenn intern unklar ist, wann ein Vorfall meldepflichtig wird und wer informiert werden muss, reißen Sie die Fristen schneller, als Ihnen lieb ist.
Ein weiterer oft unterschätzter Punkt ist die Lieferkette. Viele Angriffe kommen heute über Dienstleister, Softwareanbieter oder schlecht abgesicherte Schnittstellen. Deshalb sollten Sie Ihre wichtigsten Drittanbieter priorisiert prüfen. Nicht jeder Partner braucht sofort ein Vollaudit, aber die kritischen Abhängigkeiten müssen sichtbar werden.
Und dann kommt das Thema, das im Alltag gern verdrängt wird: Dokumentation. Ohne Nachweise wird aus guter Arbeit im Ernstfall schnell ein Glaubwürdigkeitsproblem. Halten Sie Entscheidungen, Bewertungen, Maßnahmen und Verantwortlichkeiten nachvollziehbar fest. Wenn geprüft wird, zählt nicht nur, was Sie getan haben, sondern was Sie belegen können.
NIS-2 ist kein Sprint, sondern ein Stabilitätsprogramm
Wer NIS-2 nur als weitere Pflicht betrachtet, verpasst den strategischen Nutzen. Sauber umgesetzte Cybersicherheit reduziert Ausfallrisiken, stärkt Lieferfähigkeit und erhöht das Vertrauen von Kunden, Partnern und Versicherern. Gerade im Mittelstand ist das ein echter Wettbewerbsvorteil.
Wichtig ist nur: NIS-2 endet nicht mit der Registrierung oder einem einmaligen Projekt. Systeme ändern sich, Bedrohungen entwickeln sich weiter, Lieferketten verschieben sich. Deshalb braucht es einen kontinuierlichen Prozess mit regelmäßiger Prüfung, Aktualisierung und belastbarer Dokumentation. Genau das macht Ihr Unternehmen resilienter – nicht die Excel-Liste mit offenen Punkten.
Fazit: Jetzt handeln, bevor aus Unsicherheit Haftung wird
NIS-2 ist für viele Unternehmen im Mittelstand die Zäsur zwischen informeller IT-Sicherheit und echter Managementverantwortung. Mit dem Inkrafttreten des Umsetzungsgesetzes am 06. Dezember 2025 und der BSI-Registrierung bis 06. März 2026 bleibt wenig Raum für Abwarten. Wer jetzt startet, reduziert Risiken, schützt die Geschäftsleitung und schafft Ordnung statt Dauerfeuer.
Wenn Sie wissen möchten, ob und wie Ihr Unternehmen konkret betroffen ist, sprechen Sie mit uns. innogrators unterstützen Sie beim NIS-2-Schnellcheck, bei der Gap-Analyse und bei einer umsetzbaren Roadmap für Ihren Betrieb. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch – bevor aus einem IT-Thema ein Haftungsfall wird.
