NIS2: Warum Unternehmen jetzt handeln müssen und was bis zum 6. März 2026 zählt

Cyberangriffe, IT-Ausfälle und digitale Lieferkettenrisiken gehören heute zu den größten Bedrohungen für Unternehmen. Mit der NIS2-Richtlinie reagiert die Europäische Union auf diese Entwicklung und verschärft die gesetzlichen Anforderungen an Cybersicherheit deutlich.

Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz in Kraft. Damit wird Cybersicherheit für viele Unternehmen verbindlich und zur Aufgabe der Geschäftsleitung. 

Besonders wichtig: Bis spätestens 6. März 2026 müssen sich betroffene Unternehmen beim BSI registrieren.

Aktuelle Entwicklung: Neues BSI-Portal und klare Fristen

Seit dem 6. Januar 2026 ist das neue BSI-Melde- und Informationsportal (MIP) online. Es ist die zentrale Plattform für alle Pflichten nach NIS-2, darunter:

• Registrierung betroffener Unternehmen und Einrichtungen
• Meldung erheblicher Sicherheitsvorfälle
• Kommunikation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI)

Die Registrierung muss innerhalb von drei Monaten, spätestens bis zum 6. März 2026, abgeschlossen sein. Wer diese Frist versäumt, riskiert aufsichtsrechtliche Maßnahmen unabhängig davon, ob bereits ein Sicherheitsvorfall eingetreten ist.

Was ist NIS2 und warum betrifft sie so viele Unternehmen?

Die NIS2-Richtlinie zielt darauf ab, das Sicherheitsniveau von Netz- und Informationssystemen europaweit anzuheben. Im Vergleich zur ersten NIS-Richtlinie (2016) wird der Kreis der betroffenen Organisationen stark ausgeweitet:

Statt rund 2.000 KRITIS-Betreibern sind es künftig ca. 30.000 Unternehmen in Deutschland.

Neu ist vor allem:

• verbindliches Risikomanagement
• ein dreistufiges Melderegime mit festen Fristen
• klare Verantwortung der Geschäftsleitung
• deutlich höhere Sanktionen und erweiterte Aufsichtsbefugnisse des BSI

Cybersicherheit ist damit keine IT-Detailfrage mehr, sondern Teil der Unternehmenssteuerung, Haftung und Resilienz.

Wer ist von NIS2 betroffen?

Ob ein Unternehmen unter die NIS2-Pflichten fällt, hängt von der Kombination aus Branche und Größe ab. Betroffen sind unter anderem Unternehmen aus:

• Energie, Wasser, Gesundheit, Finanzwesen
• digitaler Infrastruktur und IKT-Diensten
• verarbeitendem Gewerbe, Lebensmittelindustrie, Chemie
• Post- und Kurierdiensten, digitalen Diensten, Forschung

• öffentlicher Verwaltung

  Unternehmensgröße

• Große Unternehmen (> 250 Mitarbeitende) → betroffen
• Mittlere Unternehmen (50–250 Mitarbeitende) → betroffen
• Kleine Unternehmen (< 50 Mitarbeitende) → in der Regel nicht betroffen

Ausnahmen gelten u. a. bei besonders kritischen Tätigkeiten oder wenn das BSI eine Betroffenheit anordnet. Zusätzlich unterscheidet NIS2 zwischen besonders wichtigen und wichtigen Einrichtungen, mit unterschiedlichen Aufsichts- und Sanktionsfolgen.

Welche Pflichten kommen konkret auf Unternehmen zu?

Für alle betroffenen Unternehmen gelten zentrale Mindestanforderungen:

1. Registrierungspflicht

Registrierung beim BSI bis spätestens 6. März 2026

2. Meldepflichten bei Sicherheitsvorfällen

• Erstmeldung innerhalb von 24 Stunden
• Zwischenmeldung innerhalb von 72 Stunden

• Abschlussbericht innerhalb eines Monats

   

3. Risikomanagement & technische Maßnahmen

Unternehmen müssen Risiken systematisch erfassen und geeignete Maßnahmen umsetzen, z.B.:

• Zugriffskontrollen und Berechtigungskonzepte
• Multi-Faktor-Authentifizierung
• Verschlüsselung

• Backup- und Wiederherstellungskonzepte

   

4. Business Continuity & Notfallmanagement

• Vorbereitung auf Sicherheitsvorfälle
• Wiederherstellung des Betriebs
• abgestimmte Notfall-, Incident- und Meldeprozesse

5. Lieferkettensicherheit

• Berücksichtigung von IT-Sicherheitsrisiken bei unmittelbaren Dienstleistern und Zulieferern

   

6. Verantwortung der Geschäftsleitung

• Billigungs-, Überwachungs- und Schulungspflicht

• Persönliche Haftung bei schuldhaften Pflichtverletzungen

   

Bei Verstößen gegen die NIS2-Vorgaben kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) verbindliche Anordnungen erlassen, Verstöße öffentlich machen und empfindliche Bußgelder verhängen. 

Diese können für besonders wichtige Einrichtungen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes betragen, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes. 

Gerade für kleine und mittlere Unternehmen lohnt sich daher ein frühzeitiges und strukturiertes Vorgehen: Wer NIS2 nicht nur als Pflicht, sondern als Chance begreift, gewinnt Handlungssicherheit im Ernstfall, klare Zuständigkeiten und Abläufe, geringere Ausfallzeiten bei Cybervorfällen sowie Vertrauen bei Kunden, Partnern und Auftraggebern und verbessert zugleich die eigene Position in Lieferketten und Ausschreibungen. 

Den Einstieg erleichtern Betroffenheitsprüfungen, praxisnahe Online-Hilfen wie der FitNIS2-Navigator,  die Lernplattform des Projekts KMU.kompetent.sicher sowie die Orientierung an etablierten Standards wie ISMS oder dem BSI-Grundschutz.

Fazit: NIS2 ist ein Führungs- und Organisationsthema

Mit NIS2 wird Cybersicherheit verbindlich, überprüfbar und haftungsrelevant. Die Registrierungspflicht bis zum 6. März 2026 ist der erste konkrete Meilenstein und ein klarer Startpunkt, um den eigenen Reifegrad realistisch einzuordnen.

Unternehmen, die jetzt handeln, gewinnen Zeit, Übersicht und Sicherheit, statt im Ernstfall unter Druck reagieren zu müssen.

Unterstützung durch die Transferstelle Cybersicherheit im Mittelstand und die Digitalagentur Berlin

Die Transferstelle Cybersicherheit im Mittelstand unterstützt gemeinsam mit der Digitalagentur Berlin kleine und mittlere Unternehmen dabei, regulatorische Anforderungen wie NIS2 praxisnah einzuordnen und geeignete nächste Schritte abzuleiten. 

Ziel ist es, Orientierung zu geben, Risiken sichtbar zu machen und Unternehmen beim Aufbau eines angemessenen Cybersicherheitsniveaus zu begleiten – verständlich, umsetzbar und passgenau für den Mittelstand.

Hier geht es zur NIS2-Schlaglichtseite der Transferstelle Cybersicherheit im Mittelstand.