securityIT-Security·8 Min. Lesezeit

NIS2 Praxisstand Mitte 2026: Das Gesetz ist da — was Sie jetzt konkret tun müssen

Das NIS2-Umsetzungsgesetz ist in Kraft — ohne Übergangsfrist. Status Mitte 2026, Betroffenheit auch als Zulieferer, und eine umsetzbare Reihenfolge für KMU.

person
Christoph Helminger
9. Juni 2026
NIS2 Umsetzung KMU 2026 Cybersicherheit Risikomanagement Bayern

Im Dezember 2024 haben wir einen Einstieg zu NIS2 für den bayerischen Mittelstand geschrieben — damals noch mit dem Konjunktiv, der das ganze Thema über Monate begleitet hat: „Das Gesetz kommt, irgendwann." Diese Phase ist vorbei. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft, und zwar ohne Übergangsfrist. Wer betroffen ist, ist es seit dem Tag der Veröffentlichung.

Wir wollen hier nicht die Grundlagen wiederholen — die stehen im verlinkten Artikel. Stattdessen geht es um den Praxisstand Mitte 2026: Was hat sich tatsächlich geändert, was sehen wir in den Mandaten gerade, und in welcher Reihenfolge bringen Sie ein KMU pragmatisch in einen vertretbaren Zustand.

Der Stand: in Kraft, registrierungspflichtig, ohne Schonfrist

Die wichtigsten Fakten in Kurzform, damit alle vom selben Stand ausgehen:

  • Inkrafttreten: Der Bundestag hat das Gesetz im November 2025 beschlossen, der Bundesrat hat zugestimmt, in Kraft ist es seit dem 6. Dezember 2025.
  • Keine Übergangsfrist. Anders als bei früheren IT-Sicherheitsgesetzen gibt es kein Jahr Anlauf. Die Pflichten gelten ab Tag eins.
  • Registrierung beim BSI: Das Meldeportal des BSI ist Anfang Januar 2026 freigeschaltet worden. Die gesetzliche Frist zur Erstregistrierung betroffener Einrichtungen lief im März 2026 ab.
  • Reichweite: Nach Schätzungen sind rund 29.500 Unternehmen in Deutschland direkt betroffen — gegenüber etwa 2.000 Einrichtungen unter der alten KRITIS-Regulierung. Das ist der eigentliche Bruch: NIS2 holt den breiten Mittelstand in die Pflicht.

Wer Mitte 2026 betroffen ist und sich noch nicht registriert hat, ist also bereits über der Frist. Das ist kein Grund zur Panik, aber ein Grund, es jetzt zu tun und nicht weiter zu schieben.

Wer betroffen ist — und warum „wir sind doch zu klein" oft nicht stimmt

NIS2 unterscheidet zwei Klassen. Vereinfacht gilt: Ab 50 Beschäftigten oder mehr als 10 Mio. Euro Jahresumsatz in einem der regulierten Sektoren fallen Sie in der Regel unter das Gesetz. Größere Einrichtungen (grob ab 250 Beschäftigten beziehungsweise 50 Mio. Euro Umsatz in den besonders kritischen Sektoren) gelten als besonders wichtige Einrichtungen und stehen unter proaktiver BSI-Aufsicht — die Behörde darf prüfen, ohne dass etwas passiert ist. Wichtige Einrichtungen werden reaktiv beaufsichtigt, also erst nach einem gemeldeten Vorfall oder bei konkretem Verdacht.

Der Punkt, den wir in der Praxis am häufigsten erklären müssen, ist aber ein anderer: die Lieferkette. Selbst wenn Sie als 30-Personen-Betrieb formal nicht direkt unter NIS2 fallen, kommt die Anforderung über Ihre Kunden zu Ihnen. Ein betroffenes Unternehmen ist gesetzlich verpflichtet, die Sicherheit seiner Lieferkette zu managen. In der Folge schreiben größere Auftraggeber ihre NIS2-Anforderungen per Vertrag und Lieferantenfragebogen an ihre Zulieferer weiter. Wir sehen das im Berchtesgadener und Traunsteiner Land bereits konkret: Maschinenbauer, IT-Dienstleister und Zulieferer im DACH-Raum bekommen Fragebögen ihrer großen Kunden, in denen MFA, Backup-Tests und ein Incident-Response-Plan abgefragt werden — Monate bevor das eigene Unternehmen je vom BSI gehört hätte.

Unsere Empfehlung: Wenn Sie unsicher sind, ob Sie direkt betroffen sind, klären Sie das sauber (die Betroffenheitsprüfung ist Teil unserer Beratung). Aber warten Sie damit nicht, an den Maßnahmen zu arbeiten — die kommen ohnehin, spätestens über den ersten Kundenvertrag.

Die drei Pflichtblöcke, auf die es ankommt

NIS2 lässt sich auf drei Pflichten herunterbrechen, die für Geschäftsführer entscheidend sind:

1. Risikomanagement. Das Gesetz verlangt konkrete technische und organisatorische Maßnahmen: Risikoanalyse, Vorfallbehandlung, Business Continuity und Backup-Management, Sicherheit in der Lieferkette, Zugriffskontrolle, Verschlüsselung, Multi-Faktor-Authentifizierung. Das ist keine exotische Liste — es ist im Kern solide IT-Sicherheit, die ein gut geführtes Unternehmen ohnehin braucht. Neu ist, dass sie nachweisbar dokumentiert sein muss.

2. Meldepflichten. Bei einem erheblichen Sicherheitsvorfall gilt eine dreistufige Frist: eine Frühwarnung innerhalb von 24 Stunden, ein ausführlicherer Bericht innerhalb von 72 Stunden, und ein Abschlussbericht innerhalb eines Monats. In der Praxis ist das der Punkt, an dem die meisten scheitern — nicht, weil sie nicht melden wollen, sondern weil im Ernstfall niemand weiß, wer entscheidet, was „erheblich" ist und wie man das Portal überhaupt bedient. Das muss vorher geübt sein.

3. Geschäftsleitungs-Pflicht und Haftung. Das ist die unbequemste Neuerung. Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen — und haftet bei Pflichtverletzung persönlich. Außerdem ist eine Schulung der Leitungsebene zu Cybersicherheit vorgeschrieben. Cybersicherheit ist mit NIS2 endgültig keine reine IT-Angelegenheit mehr, die man „an die EDV delegiert". Sie ist Chefsache, und zwar haftungsbewehrt.

Eine umsetzbare Reihenfolge für KMU

Die häufigste Reaktion, die wir erleben, ist Lähmung: Die Liste wirkt erschlagend, also passiert nichts. Dagegen hilft eine klare Reihenfolge. So gehen wir in Projekten vor:

Schritt 1 — Betroffenheit klären und registrieren. Erst die Frage „Bin ich direkt betroffen?" sauber beantworten. Wenn ja: beim BSI registrieren, auch wenn die Frist verstrichen ist. Eine verspätete Registrierung ist immer besser als keine.

Schritt 2 — Ist-Aufnahme statt Aktionismus. Bevor Sie Geld ausgeben, machen Sie eine ehrliche Bestandsaufnahme: Was ist heute schon da? MFA überall? Funktionierende, getestete Backups? Ein Patch-Prozess? Aktuelle Zugriffsrechte? Diese Bestandsaufnahme deckt sich stark mit dem, was wir in unseren IT-Security-Audits ohnehin prüfen — und mit den zwölf Punkten aus unserem DSGVO-Audit für KMU. Datenschutz und NIS2 überschneiden sich erheblich; doppelt arbeiten muss niemand.

Schritt 3 — Die schnellen, wirksamen Maßnahmen zuerst. MFA flächendeckend aktivieren. Verwaiste Konten ehemaliger Mitarbeiter schließen. Ein Backup, das nachweislich wiederherstellbar ist (ein Backup, das man nie zurückgespielt hat, ist eine Hoffnung, kein Backup). Diese Maßnahmen kosten wenig und senken das Risiko sofort spürbar.

Schritt 4 — Meldekette definieren und einmal durchspielen. Wer entscheidet, ob ein Vorfall „erheblich" ist? Wer meldet binnen 24 Stunden? Wo liegen die Zugangsdaten zum BSI-Portal? Ein einseitiges Notfallblatt, das im Ernstfall griffbereit ist, ist mehr wert als ein 80-seitiges Konzept im Sharepoint.

Schritt 5 — Dokumentation und Geschäftsleitungs-Schulung. Erst zum Schluss das, was die meisten zuerst befürchten: die Dokumentation. Sie wird schlank, wenn die Maßnahmen real umgesetzt sind — Sie beschreiben dann nur noch, was tatsächlich existiert. Parallel die vorgeschriebene Schulung der Leitungsebene erledigen.

Der angenehme Nebeneffekt: Cyberversicherung

Ein Argument, das in der Geschäftsführung oft mehr zieht als das Gesetz selbst: Versicherer verlangen Mitte 2026 für eine Cyber-Police im Kern genau dieselben Maßnahmen — MFA, EDR statt klassischem Virenschutz, getestete Backups, sauberes Patch-Management, einen Incident-Response-Plan. Wer NIS2 ordentlich umsetzt, erfüllt damit einen großen Teil dessen, was ohnehin Voraussetzung für eine bezahlbare Police und im Schadenfall für die Leistung des Versicherers ist. Die Arbeit zahlt also doppelt ein.

Unser Fazit

NIS2 ist Mitte 2026 keine Zukunftsfrage mehr, sondern geltendes Recht ohne Schonfrist — und über die Lieferkette betrifft es deutlich mehr Betriebe im Berchtesgadener Land und im DACH-Raum, als sich direkt betroffen fühlen. Die gute Nachricht: Die geforderten Maßnahmen sind solide, vernünftige IT-Sicherheit, kein bürokratischer Selbstzweck. Wer in der richtigen Reihenfolge vorgeht — erst klären und registrieren, dann die wirksamen Basismaßnahmen, dann dokumentieren — kommt mit überschaubarem Aufwand in einen vertretbaren Zustand. Wir begleiten genau diesen Weg: nicht mit Berichten für die Schublade, sondern mit Maßnahmen, die im Ernstfall halten. Wenn Sie wissen wollen, wo Sie stehen, ist eine strukturierte Bestandsaufnahme der richtige erste Schritt.

NIS2NIS2UmsuCGIT-SecurityCybersicherheitComplianceKMUBayernLieferkette

Projekt besprechen?

Wir setzen um, was wir hier beschreiben — in Bayern und dem gesamten DACH-Raum.

mailKontakt aufnehmen

Weitere Artikel

Cyberversicherung KMU Bayern technische Voraussetzungen IT-Security Audit
securityIT-Security·9 Min.

Cyberversicherung für KMU: Was Versicherer 2026 technisch verlangen

Eine Cyberpolice gibt es 2026 nicht mehr ohne technischen Mindeststandard. Wir zeigen aus der Audit-Praxis, was Versicherer wirklich prüfen, wo Leistungen verweigert werden und warum die Police kein Ersatz für IT-Security ist.

9. Juni 2026Weiterlesenarrow_forward
Container-Infrastruktur und Server-Sicherheit im Mittelstand
securityIT-Security·8 Min.

Docker-Sicherheit im Mittelstand: Wie Sie Container produktiv und sicher betreiben

Container landen oft ungeplant in der Produktion - ohne Härtung, ohne Monitoring. Was wir bei KMU-Umgebungen immer wieder sehen und wie Sie nachbessern.

18. Februar 2026Weiterlesenarrow_forward
Passkeys und FIDO2 Anmeldung in Microsoft Entra ID für KMU
securityIT-Security·8 Min.

Passkeys (FIDO2) in Microsoft Entra ID: phishing-resistente Anmeldung für KMU

Klassische MFA per SMS oder App-Code lässt sich abfangen. Passkeys nicht. Wie Sie passwortlose, phishing-resistente Anmeldung in Microsoft 365 sauber einführen.

18. Februar 2026Weiterlesenarrow_forward