Seit Dezember 2025 ist NIS2 geltendes deutsches Recht. Was viele Geschäftsführer kleiner und mittlerer Unternehmen bis heute nicht realisiert haben: Die Richtlinie betrifft sie direkt – mit Strafen bis zu 10 Millionen Euro und persönlicher Haftung der Unternehmensleitung.
Was NIS2 gegenüber der Vorgängerrichtlinie verändert
Die ursprüngliche NIS-Richtlinie von 2016 erfasste in Deutschland rund 2.000 Unternehmen. NIS2 erweitert diesen Kreis auf geschätzt 30.000 bis 40.000 Organisationen. Der Grund: Die Definition kritischer Sektoren wurde massiv ausgeweitet. Neben den klassischen KRITIS-Bereichen wie Energie, Wasser und Telekommunikation fallen jetzt auch Gesundheitsdienstleister, Abfallwirtschaft, Lebensmittelproduktion, Post- und Kurierdienste sowie die öffentliche Verwaltung unter die Regulierung.
Besonders brisant für KMU: Unternehmen, die als Zulieferer in kritischen Lieferketten agieren, sind ebenfalls betroffen – unabhängig von ihrer eigenen Größe. Ein IT-Dienstleister mit 25 Mitarbeitern, der Softwarekomponenten an einen Energieversorger liefert, unterliegt denselben Meldepflichten und Sicherheitsanforderungen wie der Versorger selbst.
Strafen und persönliche Haftung
Der Sanktionsrahmen orientiert sich an der DSGVO: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ausfällt. Für wesentliche Einrichtungen gelten noch strengere Obergrenzen.
Die persönliche Haftung der Geschäftsführung ist der eigentliche Paradigmenwechsel. CEOs und Vorstände können nicht mehr auf Delegation an die IT-Abteilung verweisen. Sie müssen Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und an Schulungen teilnehmen. Bei Verstößen haften sie mit ihrem Privatvermögen.
Die Realität: Viele Unternehmen sind nicht vorbereitet
Eine ISG-Analyse bringt es auf den Punkt: „Viele deutsche Organisationen haben die Tiefe von NIS2 unterschätzt.“ Die Richtlinie verlangt nicht nur technische Maßnahmen, sondern ein dokumentiertes, auditierbares Informationssicherheits-Managementsystem. Unternehmen brauchen Risikobewertungen, Incident-Response-Pläne, Supply-Chain-Audits und regelmäßige Penetrationstests.
2026 wird ein Jahr des Nachholens. Firmen suchen händeringend nach Fachpersonal, externen Beratern und Tooling für Compliance-Nachweise, die sie eigentlich schon erbringen müssten. Der Markt für NIS2-Compliance-Dienstleistungen boomt – mit entsprechenden Preisen.
Dreifache Compliance-Belastung: NIS2 + EU AI Act + Cyber Resilience Act
NIS2 steht nicht isoliert. Parallel laufen die Umsetzungsfristen des EU AI Act und des Cyber Resilience Act (CRA). Unternehmen, die KI-Systeme entwickeln oder einsetzen, stehen vor einer dreifachen Compliance-Herausforderung: NIS2 reguliert ihre Cybersicherheitsprozesse, der AI Act ihre KI-Anwendungen, der CRA ihre digitalen Produkte.
Für den Finanzsektor kommt mit DORA (Digital Operational Resilience Act) eine weitere Schicht hinzu. Banken und Versicherungen müssen ihre gesamte IKT-Lieferkette durchleuchten und Resilienz nachweisen – ein Aufwand, der selbst große Institute an Kapazitätsgrenzen bringt.
Die EU hat im November 2025 mit der „Digital-Omnibus“-Reform zusätzlich signalisiert, dass Datenschutz, Datennutzung und KI-Regulierung künftig noch stärker verwoben werden. Für Compliance-Abteilungen bedeutet das: Silodenken ist gescheitert, integrative Governance-Frameworks sind Pflicht.
Warum KMU besonders verwundbar sind
Die aktuelle Bedrohungslage für deutsche Unternehmen trifft KMU mit besonderer Wucht. Laut Bitkom können deutsche Unternehmen ihren Betrieb bei einem Internetausfall im Durchschnitt nur 20 Stunden aufrechterhalten. Bei KMU dürfte dieser Wert noch deutlich niedriger liegen.
83 % der befragten Unternehmen erwarten eine ernsthafte Krise durch hybride Angriffe – also Attacken, die digitale und physische Angriffsvektoren kombinieren. KMU verfügen selten über ein Security Operations Center oder auch nur einen dedizierten CISO. Sie sind auf externe Dienstleister angewiesen, die aktuell ausgelastet und teuer sind.
Praktische Maßnahmen: Was KMU sofort umsetzen sollten
Trotz der Komplexität der Regulierung lässt sich die Einstiegshürde mit konkreten Schritten senken:
- Multi-Faktor-Authentifizierung (MFA) flächendeckend einführen – für alle Mitarbeiter, alle Systeme, ohne Ausnahmen. MFA blockiert über 90 % der Credential-basierten Angriffe.
- Endpoint Detection & Response (EDR) ausrollen – klassischer Virenschutz reicht nicht mehr. EDR-Lösungen erkennen verdächtiges Verhalten in Echtzeit.
- Incident-Response-Plan erstellen und testen – NIS2 verlangt Meldung an das BSI innerhalb von 24 Stunden nach Erkennung eines erheblichen Vorfalls. Wer keinen Plan hat, verliert im Ernstfall kritische Stunden.
- Backup-Strategie nach der 3-2-1-Regel – drei Kopien, zwei verschiedene Medien, eine Kopie offline. Regelmäßige Restore-Tests durchführen.
- Supply-Chain-Audits starten – Kritische Zulieferer identifizieren, deren Sicherheitsmaßnahmen prüfen, vertragliche Sicherheitsanforderungen festschreiben.
- Geschäftsführung einbinden – Dokumentierte Sicherheitsbriefings mindestens quartalsweise. Die persönliche Haftung macht dies nicht optional.
Ausblick: 2026 wird das Jahr der Wahrheit
Die Schonfrist ist vorbei. Während 2024 und 2025 von politischen Verzögerungen und Umsetzungsdebatten geprägt waren, wird 2026 das Jahr der ersten Prüfungen und potenziell der ersten Sanktionen. Das BSI baut seine Aufsichtskapazitäten aus, und die Behörde hat wiederholt klargestellt, dass Unwissenheit kein Schutz vor Strafe ist.
Für KMU gibt es einen klaren Handlungsimperativ: Nicht warten, bis der Prüfer vor der Tür steht. Die Umsetzung eines NIS2-konformen Sicherheitsniveaus dauert erfahrungsgemäß 6 bis 18 Monate – Zeit, die viele Unternehmen nicht mehr haben.