Praxis
NIS2 ist in Kraft: Die ersten fünf Schritte für den Mittelstand
Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025 ohne Übergangsfrist. Was Geschäftsführer betroffener Unternehmen jetzt konkret und in welcher Reihenfolge tun sollten.
Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland. Ohne Übergangsfrist, ohne Schonzeit. In den Wochen seitdem hören wir in Vorgesprächen immer wieder denselben Satz: “Wir wissen, dass es das gibt, aber wir wissen nicht, wo wir anfangen sollen.” Genau dafür ist dieser Beitrag.
Was hier steht, ersetzt keine Rechtsberatung. Es ist die Reihenfolge, die sich in unseren Begehungen bewährt hat, um von der Unsicherheit zu einem belastbaren Plan zu kommen.
Schritt 1: Betroffenheit klären, bevor Sie irgendetwas anderes tun
Der häufigste Fehler ist, sofort in Technik zu investieren, ohne zu wissen, ob und wie stark man überhaupt betroffen ist. NIS2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen, mit unterschiedlichen Pflichten und Sanktionshöhen.
Drei Fragen entscheiden:
- Fällt Ihr Unternehmen in einen der achtzehn Sektoren?
- Überschreiten Sie die Größenschwellen (in der Regel 50 Mitarbeiter oder 10 Millionen Euro Umsatz)?
- Gibt es Sonderfälle, die unabhängig von der Größe greifen?
Erst wenn das geklärt ist, lohnt sich der nächste Schritt.
Schritt 2: Ist-Stand ehrlich erheben
Bevor Sie Lücken schließen, müssen Sie wissen, wo sie sind. § 30 BSIG listet zehn Mindestmaßnahmen auf, von Risiko-Management über Vorfalls-Meldung bis Lieferketten-Sicherheit. Gehen Sie jede Maßnahme durch und beantworten Sie ehrlich: vorhanden, teilweise, fehlt.
Genau hier setzt unsere Begehung an. Ein halber Tag vor Ort liefert ein klareres Bild als drei Wochen Fragebögen, die niemand vollständig ausfüllt.
Schritt 3: Nach Wirkung priorisieren, nicht nach Paragraf
Nicht jede Lücke ist gleich kritisch. Die Kunst ist, die Maßnahmen zu finden, die mit dem geringsten Aufwand das größte Risiko senken. Eine saubere Risikobewertung sortiert die zehn bis fünfzehn wichtigsten Maßnahmen so, dass Sie mit den wirksamsten beginnen.
Schritt 4: Die Geschäftsführung absichern
§ 38 BSIG nimmt die Geschäftsleitung persönlich in die Pflicht. Diese Haftung ist nicht delegierbar und nicht auf die Gesellschaft übertragbar. Konkret heißt das: Die Geschäftsführung muss die Risiko-Management-Maßnahmen billigen, überwachen und sich schulen lassen. Eine dokumentierte Geschäftsführungs-Schulung ist kein Nice-to-have, sie ist ausdrücklich gefordert.
Schritt 5: Dokumentieren, als käme die Prüfung morgen
Im Ernstfall zählt nicht, was Sie getan haben, sondern was Sie nachweisen können. Jede Maßnahme, jede Entscheidung, jede Schulung gehört dokumentiert. Wer seinen Reifegrad fortlaufend misst, hat diesen Nachweis automatisch. Das ist der Grund, warum wir nach der Begehung mit S3:Analytics weitermachen: damit der Stand nicht in einem PDF altert, sondern Monat für Monat sichtbar bleibt.
Wo Sie anfangen können
Wenn Sie nicht sicher sind, ob Sie betroffen sind, ist der schnellste erste Schritt der NIS2-Quick-Check für den Mittelstand. Er klärt Betroffenheit und Ist-Stand in einer strukturierten Begehung und liefert Ihnen den priorisierten Maßnahmenplan, mit dem Sie arbeiten können.
Häufige Fragen
Was Sie noch wissen wollen
Gibt es für NIS2 noch eine Übergangsfrist?
Nein. Das NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 ohne Übergangsfrist in Kraft getreten. Die Pflichten gelten seit dem Inkrafttreten unmittelbar. Wer betroffen ist und noch nichts getan hat, ist bereits in Verzug.
Woher weiß ich, ob mein Unternehmen betroffen ist?
Maßgeblich sind Sektor, Unternehmensgröße und Umsatz. Betroffen sind in der Regel mittlere und große Unternehmen (ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz) in einem der achtzehn Sektoren. Ein strukturierter Quick-Check klärt die Betroffenheit in der Regel innerhalb eines Gesprächs.
Was passiert, wenn ich nichts tue?
Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, plus persönliche Haftung der Geschäftsleitung nach § 38 BSIG. Diese Haftung lässt sich nicht auf die Gesellschaft abwälzen.
Über den Autor
Patrick Devosse
Co-CEO, SecureStay Solutions UG
Über zehn Jahre Felderfahrung in Sicherheits-Auditierung und Compliance-Beratung. Co-Entwickler der S3-Methode und der zugehörigen Software-Werkzeuge Gemba Walk und S3:Analytics.
LinkedIn-Profil →