Ein belastbares IT-Sicherheitskonzept war für kleine und mittlere Unternehmen lange eine Frage der Vernunft, nicht der Pflicht. Seit dem 6. Dezember 2025 hat sich diese Logik umgedreht. An diesem Tag ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft getreten, und zwar ohne jede Übergangsfrist.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDas Bundesamt für Sicherheit in der Informationstechnik (BSI) beziffert die Zahl der unmittelbar betroffenen Einrichtungen auf rund 29.500, verteilt auf 18 Sektoren. Vorher unterlagen der BSI-Aufsicht nur etwa 2.000 Betreiber kritischer Infrastrukturen. Die Größenordnung hat sich also mehr als verzehnfacht.
Der entscheidende Punkt für den Mittelstand steckt aber nicht in dieser Zahl, sondern in der Lieferkette. Genau dort wird es für Betriebe unangenehm, die sich bisher in Sicherheit gewähnt haben.
Kernaussagen im Überblick
- NIS-2 ist in Deutschland seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist für die technischen und organisatorischen Maßnahmen.
- Direkt betroffen sind rund 29.500 Einrichtungen ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz in 18 Sektoren.
- Die Geschäftsleitung haftet persönlich, Bußgelder reichen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
- Auch formal nicht betroffene KMU geraten über die Lieferkette in die Pflicht.
- Ein dokumentiertes IT-Sicherheitskonzept sichert Compliance, Haftung und Geschäftsfähigkeit zugleich ab.
NIS-2 in einem Satz: Was sich am 6. Dezember 2025 geändert hat
NIS-2 ist die Abkürzung für die europäische Richtlinie 2022/2555, die ein einheitlich hohes Cybersicherheitsniveau in der gesamten Union schaffen soll. Deutschland hat die EU-Frist zur Umsetzung im Oktober 2024 deutlich gerissen und das nationale Gesetz erst über ein Jahr später nachgereicht.
Mit der Verkündung im Bundesgesetzblatt gilt seit dem 6. Dezember 2025 ein grundlegend reformiertes BSI-Gesetz. Das BSI-Portal MUK zur Registrierung und Vorfallsmeldung ist am 6. Januar 2026 freigeschaltet worden, die Registrierungsfrist am 6. März 2026 abgelaufen. Wenige Tage später, am 17. März 2026, ist zusätzlich das KRITIS-Dachgesetz in Kraft getreten.
Das Tempo hat viele Geschäftsführungen kalt erwischt. Über Monate hatte die Branche gehofft, der Zeitplan verschiebe sich erneut. Diese Hoffnung hat sich als trügerisch erwiesen, und das halten wir für die eigentliche Härte dieser Gesetzgebung: Eine Pflicht ohne Einführungsphase bestraft gerade die vorsichtigen Betriebe, die auf eine geordnete Frist gewartet haben. Ein Betrieb mit einem soliden IT-Sicherheitskonzept steht heute besser da als jeder Wettbewerber, der auf Aufschub gesetzt hat.
Bin ich überhaupt betroffen? Schwellenwerte und ein blinder Fleck
Die direkte Betroffenheit hängt an zwei Schwellen. Ein Unternehmen fällt unter NIS-2, sofern es in einem der 18 Sektoren tätig ist und mindestens 50 Beschäftigte zählt oder einen Jahresumsatz beziehungsweise eine Bilanzsumme von mindestens 10 Millionen Euro erreicht.
Das Gesetz unterscheidet dabei zwei Kategorien, die unterschiedlich streng beaufsichtigt werden. Die folgende Tabelle ordnet die wichtigsten Eckpunkte.
| Kriterium | Besonders wichtige Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Größe (Richtwert) | ab 250 Beschäftigte oder 50 Mio. € Umsatz | ab 50 Beschäftigte oder 10 Mio. € Umsatz |
| Beispielsektoren | Energie, Transport, Finanzen, Gesundheit | Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe |
| Aufsicht | proaktiv, auch ohne Anlass | reaktiv, nach Vorfällen oder Hinweisen |
| Bußgeldrahmen | bis 10 Mio. € oder 2 % Weltumsatz | bis 7 Mio. € oder 1,4 % Weltumsatz |
Bei Unsicherheit lohnt zuerst die offizielle NIS-2-Betroffenheitsprüfung des BSI, bevor teure Beratungsleistungen eingekauft werden. Eine fundierte Einordnung der Grundbegriffe rund um Schutzziele und Bedrohungslagen liefern die Cybersecurity-Grundlagen für KMU, die wir an anderer Stelle ausführlich aufbereitet haben.
Der blinde Fleck liegt unterhalb der Schwellen. Viele Geschäftsführungen lesen die 50-Mitarbeiter-Grenze und atmen auf. Dieses Aufatmen ist verfrüht, denn die Pflicht erreicht den kleinen Betrieb auf einem Umweg. Genau hier wird ein IT-Sicherheitskonzept auch für sehr kleine Betriebe zur faktischen Voraussetzung.
Der Lieferketten-Effekt: Warum auch kleine Betriebe liefern müssen
NIS-2 verpflichtet betroffene Unternehmen ausdrücklich zur Lieferkettensicherheit. Das bedeutet konkret: Ein betroffener Konzern muss die Cybersicherheit seiner Dienstleister und Zulieferer bewerten und absichern. Diese Pflicht reicht der Große an den Kleinen weiter, über Verträge, Audits und Sicherheitsfragebögen.
Ein Maschinenbauer mit 30 Beschäftigten fällt nicht direkt unter das Gesetz. Sein größter Kunde, ein Automobilzulieferer mit 4.000 Mitarbeitern, fällt sehr wohl darunter. Und dieser Kunde wird den Maschinenbauer nicht weiter beliefern lassen, ohne einen Nachweis über dessen Sicherheitsniveau zu verlangen. So wandert die Anforderung bis um die Ecke, bis zum letzten Zulieferer in der Kette.
Warum greift der Gesetzgeber ausgerechnet jetzt durch, obwohl Cyberangriffe seit Jahrzehnten zunehmen? Die ehrliche Antwort liegt in der Verflechtung. Die europäische Wirtschaft ist so eng verzahnt, dass ein einziger kompromittierter Mittelständler eine Kettenreaktion auslösen kann. Wie real dieses Risiko ist, hat zuletzt der Cyberangriff auf den Dienstleister Unimed gezeigt, bei dem 120.000 Patientendatensätze über einen ausgelagerten Dienstleister abgeflossen sind.
Unsere Einschätzung dazu fällt eindeutig aus: Der kleine Zulieferer, der heute auf seine fehlende Größe verweist, verliert morgen Aufträge. Die Frage lautet nicht mehr, ob ein IT-Sicherheitskonzept nötig ist, sondern nur noch, wer es als Erster vorlegen kann.
Was ein IT-Sicherheitskonzept konkret enthält
Das NIS2UmsuCG schreibt in Paragraf 30 BSIG zehn Bereiche vor, die ein angemessenes Risikomanagement abdecken muss. Diese zehn Punkte sind der inhaltliche Kern jedes belastbaren IT-Sicherheitskonzepts.
- Risikoanalyse und Konzepte für die Sicherheit der Informationssysteme
- Bewältigung von Sicherheitsvorfällen samt Meldeprozessen
- Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement
- Sicherheit der Lieferkette einschließlich der Beziehungen zu Dienstleistern
- Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen
- Bewertung der Wirksamkeit der getroffenen Maßnahmen
- Schulung und grundlegende Cyberhygiene der Belegschaft
- Konzepte für Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Anlagenmanagement
- Multi-Faktor-Authentifizierung und gesicherte Kommunikation
Diese Liste wirkt auf den ersten Blick technisch. Tatsächlich ist sie zur Hälfte organisatorisch, denn Punkte wie Schulung, Verantwortlichkeiten und Krisenmanagement betreffen Prozesse, nicht Hardware. Ein gutes IT-Sicherheitskonzept beschreibt also nicht nur Firewalls, sondern auch Zuständigkeiten und Abläufe.
Wichtig ist die Abgrenzung zu gängigen Normen. Eine Zertifizierung nach ISO 27001 verfolgt ähnliche Ziele, ersetzt die gesetzlichen Pflichten aber nicht automatisch, wie das Beratungshaus W+ST in seinem NIS-2-Leitfaden zutreffend betont. Entscheidend bleibt stets, ob der konkrete Betrieb die Anforderungen aus dem Gesetz erfüllt, nicht ob er ein Zertifikat besitzt.
Selbst aufbauen oder auslagern?
Vor jeder Geschäftsführung steht dieselbe Grundsatzfrage. Lässt sich ein IT-Sicherheitskonzept intern stemmen, oder gehört die Aufgabe in externe Hände? Die Antwort hängt von Personaldecke, Branche und vorhandenem Know-how ab.
Der interne Weg lohnt sich für Betriebe mit eigener IT-Abteilung und klaren Verantwortlichkeiten. Ein praktischer Einstieg führt über eine Gap-Analyse, die den Ist-Stand des IT-Sicherheitskonzepts mit den zehn Pflichtbereichen abgleicht und die Lücken sichtbar macht. Daraus entsteht ein priorisierter Fahrplan, der die dringendsten Maßnahmen zuerst angeht.
Der externe Weg entlastet vor allem dort, wo eigenes Personal fehlt. Ein erfahrener Dienstleister bringt nicht nur Werkzeuge mit, sondern auch die Dokumentationsroutine, die das Gesetz verlangt. Für den Einstieg ins Thema und eine erste Orientierung lohnt ein Blick auf fundierte Wissensressourcen wie die Übersicht zur IT-Sicherheit für Unternehmen, die zentrale Begriffe und Schutzmaßnahmen kompakt einordnet.
Eine Warnung halten wir an dieser Stelle für angebracht: Ein ausgelagertes IT-Sicherheitskonzept entlastet die Geschäftsführung organisatorisch, aber nicht haftungsrechtlich. Die Verantwortung bleibt oben, auch nach der Beauftragung eines Systemhauses.
Meldepflicht und Haftung: Was bei einem Vorfall zu tun ist
Ein erheblicher Sicherheitsvorfall löst eine gestaffelte Meldekette an das BSI aus. Die Fristen sind knapp bemessen und beginnen mit der Kenntnisnahme des Vorfalls.
| Frist | Pflicht |
|---|---|
| 24 Stunden | Frühwarnung mit erster Einschätzung |
| 72 Stunden | ausführliche Meldung mit Bewertung und Schweregrad |
| 1 Monat | Abschlussbericht mit Ursachen und Gegenmaßnahmen |
Diese Taktung lässt keinen Raum für tagelange Krisensitzungen. Ein vorbereiteter Notfallplan mit klaren Rollen ist deshalb fester Bestandteil jedes IT-Sicherheitskonzepts und die Voraussetzung dafür, die 24-Stunden-Marke überhaupt einzuhalten. Welche Folgen mangelnde Vorbereitung haben kann, zeigt unser Beitrag dazu, welche Bedeutung IT-Sicherheit im Unternehmen tatsächlich hat.
Die zweite Verschärfung betrifft die persönliche Haftung. Paragraf 38 BSIG verpflichtet die Geschäftsleitung, die Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und sich selbst zu schulen. Diese Pflicht lässt sich nicht delegieren. Geschäftsführer und Vorstände können künftig persönlich in Anspruch genommen werden, sofern angemessene Schutzmaßnahmen fehlen.
Damit ist Cybersicherheit endgültig vom IT-Thema zur Chefsache geworden. Ein dokumentiertes IT-Sicherheitskonzept ist die Nachweisgrundlage, die im Ernstfall zwischen ordnungsgemäßer Sorgfalt und persönlicher Haftung entscheidet.
Die spannendste Zahl an NIS-2 sind nicht die 29.500 direkt betroffenen Einrichtungen, sondern die zehntausenden Zulieferer dahinter, die das Gesetz über Verträge erreicht. Genau dort, beim Maschinenbauer mit 30 Leuten, entscheidet sich, ob die Lieferkette hält.
— Markus Seyfferth, Chefredakteur Dr. Web
Für wen gilt die NIS-2-Richtlinie?
NIS-2 gilt für Unternehmen in 18 festgelegten Sektoren ab einer Größe von 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz beziehungsweise Bilanzsumme. Die genaue Betroffenheit lässt sich über die offizielle NIS-2-Betroffenheitsprüfung des BSI feststellen.
Was passiert, wenn ich die NIS-2-Pflichten nicht erfülle?
Verstöße können Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach sich ziehen, je nach Kategorie der Einrichtung. Hinzu kommt die persönliche Haftung der Geschäftsleitung nach Paragraf 38 BSIG.
Brauche ich für mein IT-Sicherheitskonzept eine ISO-27001-Zertifizierung?
Nein, eine Zertifizierung ist nicht zwingend vorgeschrieben. Eine ISO 27001 verfolgt ähnliche Ziele und erleichtert die Umsetzung, ersetzt die gesetzlichen Pflichten aber nicht automatisch. Entscheidend bleibt die tatsächliche Erfüllung der Anforderungen aus dem Gesetz.
Bin ich als kleiner Zulieferer auch betroffen?
Indirekt sehr wahrscheinlich. Betroffene Kunden müssen ihre Lieferkette absichern und reichen die Sicherheitsanforderungen vertraglich an ihre Dienstleister und Zulieferer weiter, auch an Betriebe unterhalb der gesetzlichen Schwellen.
Wie schnell muss ich einen Sicherheitsvorfall melden?
Die Meldung erfolgt gestaffelt: eine Frühwarnung binnen 24 Stunden, eine ausführliche Meldung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats nach Kenntnisnahme.
