News. Und.
Insights.

NIS-2 – Cybersecurity betrifft auch den Mittelstand 

Cybersecurity war lange ein Thema für IT-Abteilungen großer Konzerne. 

Das ändert sich jetzt. 

Mit dem NIS-2-Umsetzungsgesetz hat der Gesetzgeber die Anforderungen an die IT-Sicherheit massiv verschärft. Seit 6. Dezember 2025 gilt das neue Gesetz in Deutschland. Es setzt die europäische NIS-2-Richtlinie (EU) 2022/2555 um und erweitert vor allem das BSI-Gesetz (BSIG) deutlich.  

Die wichtigste Folge: 

Viele mittelständische Unternehmen fallen erstmals unter eine gesetzliche Cybersecurity-Regulierung. 

Schätzungen zufolge steigt die Zahl der regulierten Organisationen von etwa 4.500 auf rund 29.500 Unternehmen.  

Du bist Geschäftsführer, Gesellschafter oder CFO? 

Dann solltest du dir eine Frage dringend stellen: 

Fällt mein Unternehmen unter NIS-2? 

Das kann schneller der Fall sein, als viele denken. 

Das Gesetz unterscheidet zwischen 

  • „besonders wichtigen Einrichtungen“ (§ 28 Abs. 1 BSIG) 
  • „wichtigen Einrichtungen“ (§ 28 Abs. 2 BSIG) 

Betroffen sind u. a. Unternehmen aus Bereichen wie 

  • Energie 
  • Transport und Verkehr 
  • Finanzwesen 
  • Gesundheit 
  • digitale Infrastruktur 
  • Produktion und Industrie 
  • Lebensmittelproduktion 
  • Forschung oder digitale Dienste. 

Bereits Unternehmen mit 

  • mindestens 50 Mitarbeitern oder 
  • mehr als 10 Mio. € Umsatz bzw. Bilanzsumme 

können unter die neuen Regeln fallen.  

Was verlangt das Gesetz konkret? 

Betroffene Unternehmen müssen u. a.: 

1. IT-Risiken systematisch managen 

(§ 30 BSIG) 

Das bedeutet z. B.: 

  • Risikoanalysen 
  • Notfall- und Backup-Strategien 
  • Schutz vor Cyberangriffen 
  • Dokumentation der Sicherheitsmaßnahmen. (idw.de

2. Sicherheitsvorfälle melden 

Schwere Cybervorfälle müssen teilweise 

  • innerhalb von 24 Stunden gemeldet werden 
  • mit weiteren Updates nach 72 Stunden und einem Abschlussbericht nach einem Monat. (idw.de

3. Geschäftsleitung stärker einbinden 

Die Geschäftsführung muss die Umsetzung überwachen und Schulungen absolvieren 

(§ 38 BSIG).  

Cybersecurity ist damit nicht mehr nur ein IT-Thema. Es wird zur Management- und Haftungsfrage. 

Wichtiger Fristtermin 

Betroffene Unternehmen müssen sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.  

Die erste Registrierungsfrist läuft aktuell am 6. März 2026 ab. 

Was Unternehmer jetzt tun sollten 

Ein sinnvoller Start kann sein: 

  1. Prüfen, ob das Unternehmen unter NIS-2 fällt 
  2. Ist-Analyse der IT-Sicherheitsstruktur durchführen 
  3. Verantwortlichkeiten festlegen (Cybersecurity Governance) 
  4. Risikomanagement und Meldeprozesse aufsetzen 
  5. Mitarbeiter und Management schulen 

Das IDW Knowledge Paper vom 22.02.2026 (IDW-Knowledge-Paper-NIS2-2026-web.pdf) gibt dazu einen guten Überblick und konkrete Handlungsempfehlungen. 

Fazit 

Für viele mittelständische Unternehmen ist NIS-2 ein echter Paradigmenwechsel. 

Cybersecurity wird 

  • regulatorisch überwacht 
  • organisatorisch verpflichtend 
  • und zur Aufgabe der Geschäftsleitung. 

Wer sich früh damit beschäftigt, reduziert nicht nur Risiken –sondern stärkt auch das Vertrauen von Kunden, Banken und Investoren. 

Quelle: 

IDW Knowledge Paper „Das NIS-2-Umsetzungsgesetz – Vorgaben und Handlungsempfehlungen im Überblick“, Stand 22.02.2026 (IDW-Knowledge-Paper-NIS2-2026-web.pdf). 

#KMproNews 

#Cybersecurity 

#NIS2 

#ITSecurity 

#Mittelstand 

#Geschäftsführer 

#CFO 

#Risikomanagement 

#Compliance 

#Wirtschaftsprüfung