NIS-2-Umsetzung 2026: Der Compliance-Check für den Mittelstand
Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 geltendes Recht in Deutschland. Und die erste handfeste Deadline ist bereits verstrichen: Bis zum 6. März 2026 mussten sich alle Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert haben, die bereits mit Inkrafttreten des Gesetzes in den Anwendungsbereich fielen. Für tausende Mittelständler begann damit der erste echte Praxisschritt.
Zeit für eine ehrliche Zwischenbilanz: Was hat sich in den ersten Monaten seit Inkrafttreten des NIS-2-Gesetzes wirklich getan? Wo stecken mittelständische Unternehmen bei der Umsetzung fest, welche Maßnahmen haben sich bewährt – und was passiert jetzt mit denen, die die Frist verpasst haben?
Der Stand der Dinge: So steht es um die NIS-2-Umsetzung
Die nackten Zahlen sprechen eine deutliche Sprache. Der am 5. März 2026 auf der Cyber Security Conference in Heilbronn vorgestellte „Cyber Security Report 2026“ (Schwarz Digits) liefert ein ernüchterndes Bild: Von den rund 1.000 befragten deutschen Unternehmen unterschätzen 48 Prozent ihre regulatorische Betroffenheit durch NIS-2. Viele gehen davon aus, dass die neuen Pflichten sie gar nicht oder nur am Rande betreffen. Bei umsatzstarken Kleinunternehmen mit 10 bis 49 Mitarbeitenden und über 10 Millionen Euro Jahresumsatz liegt diese Fehleinschätzung laut dem Report sogar bei bis zu 92 Prozent.
Parallel dazu steigen die IT-Sicherheitsbudgets zwar auf durchschnittlich 17 Prozent der IT-Gesamtausgaben, doch laut Schwarz Digits bleiben die Maßnahmen überwiegend reaktiv und regulatorisch getrieben. Der Report offenbart zudem eine gefährliche Schwachstelle in der Lieferkette: 75 Prozent der befragten Unternehmen verzichten nach wie vor auf regelmäßige Sicherheitsaudits bei ihren Zulieferern, obwohl jedes zweite Unternehmen bereits Angriffe auf seine Partner registriert hat.
Die Diskrepanz zwischen steigenden Budgets und mangelnder Umsetzung deutet darauf hin, dass vielen Unternehmen weniger das Geld fehlt als die Klarheit darüber, was konkret zu tun ist. Dabei lassen sich die Kernpflichten klar benennen.
Kurz erklärt: Was NIS-2 vom Mittelstand verlangt
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die europäische Antwort auf eine Bedrohungslandschaft, die sich in den letzten Jahren deutlich verschärft hat. Allein in Deutschland beliefen sich die Schäden durch Cyberangriffe 2025 auf 202,4 Milliarden Euro – bei einem Gesamtschaden durch Datendiebstahl, Sabotage und Industriespionage von 289,2 Milliarden Euro.
Mit dem deutschen Umsetzungsgesetz sind nicht mehr nur die klassischen KRITIS-Betreiber wie Energieversorger und Krankenhäuser betroffen. Rund 30.000 Unternehmen und Organisationen in Deutschland fallen nun unter die verschärften Regeln, darunter weite Teile des produzierenden Gewerbes, der Logistik, der Lebensmittelbranche und der digitalen Infrastruktur.
Wer ist konkret von NIS-2 betroffen?
Die Einstufung hängt von der Zugehörigkeit zu einem der 18 regulierten Sektoren sowie der Unternehmensgröße ab. Das Gesetz unterscheidet zwei Kategorien.
- Wesentliche Einrichtungen: Unternehmen ab 250 Mitarbeiter oder über 50 Mio. Euro Umsatz in kritischen Sektoren wie Energie, Gesundheit, Trinkwasser oder digitaler Infrastruktur. Hier überwacht das BSI proaktiv.
- Wichtige Einrichtungen: Unternehmen ab 50 Mitarbeiter oder über 10 Mio. Euro Umsatz in Bereichen wie Maschinenbau, Chemie, Lebensmittel, Logistik oder Abfallwirtschaft. Hier greift das BSI erst bei konkreten Vorfällen ein.
Gerade die zweite Kategorie trifft den Mittelstand: Viele kleinere Unternehmen fallen erstmals unter eine Cybersicherheitsregulierung des Bundes. Und selbst wer unterhalb der Schwellenwerte liegt, kann indirekt betroffen sein. Denn NIS-2-pflichtige Auftraggeber geben die Anforderungen entlang der Lieferkette weiter. Wer als Zulieferer keine Sicherheitsstandards nachweisen kann, riskiert den Verlust bestehender Geschäftsbeziehungen. NIS-2-Compliance wird damit zum Wettbewerbsfaktor.
Die wichtigsten Pflichten auf einen Blick
| Pflicht | Frist / Turnus | Strafen bei Verstoß |
| BSI-Registrierung über das Meldeportal | 6. März 2026 | Bis zu 500.000 € bei Nicht-Registrierung |
| Benennung einer 24/7-Kontaktstelle | 6. März 2026 | 100.000 € bei Nicht-Erreichbarkeit |
| Meldung erheblicher Sicherheitsvorfälle | 24 h Erstmeldung, 72 h Update, 30 Tage Abschlussbericht | Bis zu 10 Mio. € oder 2 Prozent des weltweiten Jahresumsatzes (wesentliche) bzw. 7 Mio. € oder 1,4 Prozent (wichtige Einrichtungen)* |
| Risikomanagement und Sicherheitsmaßnahmen | Ab sofort, laufend | Bis zu 10 Mio. € oder 2 Prozent des weltweiten Jahresumsatzes (wesentliche) bzw. 7 Mio. € oder 1,4 Prozent (wichtige Einrichtungen)* |
| Lieferketten-Sicherheit | Laufend | Bis zu 10 Mio. € oder 2 Prozent des weltweiten Jahresumsatzes (wesentliche) bzw. 7 Mio. € oder 1,4 Prozent (wichtige Einrichtungen)* |
| Schulung der Geschäftsführung | Regelmäßig (mind. alle 3 Jahre) mit Dokumentation | Geschäftsführerhaftung gegenüber der eigenen Einrichtung in Höhe des entstandenen Schadens |
* Es gilt jeweils der höhere Betrag.
Unsicher, ob Ihr Unternehmen betroffen ist? Das BSI bietet als Orientierungshilfe eine kostenlose Betroffenheitsprüfung an. Und wenn Sie genau wissen wollen, wie Ihre IT-Infrastruktur für NIS-2 aufgestellt ist: Lassen Sie Ihre Systeme und Prozesse von NMMN prüfen – der erste Schritt ist ein unverbindliches Beratungsgespräch.
Was hat sich bewährt? Drei Monate NIS-2 in der Praxis
Auch wenn die Umsetzung holprig angelaufen ist: Es gibt Lichtblicke. Unternehmen, die sich frühzeitig auf den Weg gemacht haben, berichten von handfesten Vorteilen.
ISO 27001 als Sprungbrett
Wer bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 betreibt, hat einen erheblichen Vorsprung. Die Norm deckt große Teile der NIS-2-Anforderungen ab – insbesondere bei Risikomanagement, Zugriffskontrolle und Dokumentation. Allerdings geht NIS-2 in einigen Punkten auch deutlich über ISO 27001 hinaus: Die 24-Stunden-Meldepflicht bei Vorfällen, die persönliche Haftung der Geschäftsleitung sowie die expliziten Anforderungen an die Lieferkettensicherheit sind Neuland und erfordern zusätzliche Prozesse.
Wichtig zu wissen: Das Gesetz schreibt kein ISMS namentlich vor, verlangt aber zehn konkrete Mindestmaßnahmen, deren strukturierte Umsetzung und Dokumentation ohne ein solches Managementsystem in der Praxis kaum zu leisten ist.
Der Infrastrukturpartner macht den Unterschied
Für viele mittelständische Unternehmen hat sich ein Faktor als entscheidend herausgestellt: die Wahl des richtigen Infrastrukturpartners. Wer seine IT bei einem Anbieter betreibt, der selbst nach ISO 27001, ISO 22301 (Business Continuity) und weiteren Standards zertifiziert ist, kann im Rahmen eines Shared-Responsibility-Modells auf die auditierten Nachweise des Anbieters verweisen – etwa für physische Sicherheit, Zutrittskontrolle, redundante Stromversorgung oder Backup-Prozesse.
NMMN verfügt über die für NIS-2 relevanten Zertifizierungen – darunter ISO 27001, ISO 22301, ISO 9001, ISO 14001 und ISAE 3402 Type II – und betreibt zertifizierte Rechenzentren an mehreren Standorten in Hamburg, Berlin, Düsseldorf, Stuttgart und weiteren Standorten. Das spart nicht nur Dokumentationsaufwand, sondern schafft eine belastbare Compliance-Grundlage.
Wo es noch hakt: Die größten Fallstricke bei der Umsetzung von NIS-2
Fallstrick 1: Die Registrierung ist erst der Anfang
Viele Unternehmen haben die BSI-Registrierung als Hauptaufgabe betrachtet – und sich danach zurückgelehnt. Ein Irrtum. Die Registrierung ist der Verwaltungsakt, die eigentliche Arbeit beginnt danach: Risikomanagement aufbauen, Meldeprozesse etablieren, Lieferketten prüfen, Geschäftsführung schulen. Die Anmeldung im BSI-Portal ist nur der erste Schritt.
Fallstrick 2: Wenn die Schwachstelle beim Dienstleister liegt
Laut dem Cyber Security Report 2026 verzichten 75 Prozent der Unternehmen auf regelmäßige Sicherheitsaudits bei ihren Zulieferern. Dabei war gerade die Lieferkette in den letzten Monaten das zentrale Einfallstor: Vom AWS-Ausfall im Oktober 2025 über den Cloudflare-Zwischenfall im November bis hin zu kompromittierten Software-Updates – die Praxis zeigt, dass die größten Risiken oft nicht im eigenen Haus lauern, sondern bei Dienstleistern und Vorlieferanten.
NIS-2 nimmt Unternehmen hier ausdrücklich in die Pflicht: Sie müssen vertragliche Sicherheitsanforderungen an ihre Dienstleister stellen und deren Einhaltung überprüfen. Das betrifft insbesondere IT-Dienstleister, Cloud-Anbieter und Managed Service Provider.
Fallstrick 3: Persönliche Haftung wird unterschätzt
Mit NIS-2 wird Cybersicherheit zur Chefsache – im wahrsten Sinn des Wortes. Die Verantwortung für die Umsetzung der Sicherheitsmaßnahmen liegt bei der Geschäftsleitung, die nachweislich an Cybersicherheits-Schulungen teilnehmen muss. Bei Versäumnissen droht eine Haftung mit dem Privatvermögen. Diese Verantwortung ist nicht delegierbar, weder an die IT-Abteilung noch an externe Dienstleister.
Fallstrick 4: Behördliche Unterstützung lässt zu wünschen übrig
Ein Punkt, der im Mittelstand für besondere Frustration sorgt: Laut der Schwarz-Digits-Erhebung sehen sich 62 Prozent der Unternehmen von den Behörden bei der NIS-2-Einführung unzureichend unterstützt. Nur 21 Prozent empfinden die staatlichen Maßnahmen als ausreichende Entlastung. Das ist kein Freibrief zum Abwarten – aber ein klares Signal, dass Unternehmen die Umsetzung vor allem in Eigenregie und mit kompetenten Partnern stemmen müssen.
Sie sind der Registrierungspflicht beim BSI nachgekommen – und fragen sich jetzt „Was nun?“ NMMN unterstützt Sie bei den nächsten Schritten: vom Infrastruktur-Audit über die Migration auf eine NIS-2-konforme Private Cloud bis hin zu laufenden Managed Services inklusive 24/7-Support.
NIS-2 und mehr: Das regulatorische Gesamtbild 2026
NIS-2 kommt nicht allein. 2026 entsteht ein regelrechtes Regulierungsnetz für Cybersicherheit und Resilienz, das Unternehmen im Blick behalten sollten:
- KRITIS-Dachgesetz: Am 29. Januar 2026 vom Bundestag beschlossen, am 6. März 2026 vom Bundesrat bestätigt. Es ergänzt NIS-2 um sektorenübergreifende Mindeststandards für den physischen Schutz kritischer Infrastrukturen – also Brandschutz, Zutrittskontrolle, Sabotagesicherung und physische Resilienz. Betreiber kritischer Anlagen müssen sich bis spätestens 17. Juli 2026 registrieren.
- Cyber Resilience Act (CRA): Ab September 2026 greift der CRA für Hersteller digitaler Produkte – Schwachstellen und Sicherheitsvorfälle müssen gemeldet werden. Das verstärkt die Interaktion mit NIS-2, insbesondere bei der Lieferkettensicherheit.
- DORA (Digital Operational Resilience Act): Seit Januar 2025 für den Finanzsektor verbindlich. Für Banken, Versicherungen und Finanzdienstleister hat DORA in zentralen Bereichen wie Cybersicherheits-Risikomanagement und Vorfallsmeldung Vorrang vor den NIS-2-Regelungen. Unternehmen im Finanzsektor sollten daher primär die DORA-Anforderungen prüfen.
Die Botschaft ist klar: Cybersicherheit wird 2026 auf allen Ebenen reguliert – physisch, digital, branchenübergreifend. Wer jetzt ein solides Informationssicherheits-Managementsystem aufbaut und seine IT-Infrastruktur auf eine belastbare Basis stellt, ist nicht nur regulatorisch besser aufgestellt, sondern stärkt zugleich die eigene Widerstandsfähigkeit.
Von der Pflicht zur Praxis: So sieht NIS-2-Compliance mit NMMN aus
Stellen Sie sich ein mittelständisches Logistikunternehmen vor – 120 Mitarbeitende, Jahresumsatz knapp über der 10-Millionen-Grenze, geschäftskritische IT-Systeme für Tourenplanung, Lagerverwaltung und Kundenkommunikation. Klassischer Fall einer „wichtigen Einrichtung“ nach NIS-2.
Die Herausforderung: Die IT lief bisher auf einem einzigen Server beim lokalen Anbieter, Backups existierten auf einer externen Festplatte, ein ISMS gab es nicht, und der Geschäftsführer hatte von NIS-2 zum ersten Mal auf einer IHK-Veranstaltung gehört.
Ein typischer Lösungsweg mit NMMN sähe so aus:
Schritt 1 – Bestandsaufnahme: Gemeinsame Gap-Analyse der bestehenden IT-Infrastruktur gegen die zehn Mindestanforderungen des § 30 BSIG. Wo stehen die Systeme? Welche Abhängigkeiten bestehen? Was fehlt?
Schritt 2 – Infrastruktur-Migration: Umzug der geschäftskritischen Systeme in eine Private Cloud – gehostet in einem zertifizierten Rechenzentrum in Deutschland, mit dedizierter Hardware, individuellen Sicherheitsrichtlinien und redundanter Glasfaser-Anbindung. Optional ergänzt durch Colocation für eigene Hardware, die unter professionellen Bedingungen betrieben werden soll.
Schritt 3 – Schutzmaßnahmen: Integration von DDoS Protection, Managed CDN mit Web Application Firewall und georedundante Backup-Strategien über NMMNs City-Netz, das die Hamburger Rechenzentrumsstandorte über redundante Glasfaserverbindungen vernetzt.
Schritt 4 – Laufende Compliance: Über Managed Services übernimmt NMMN das Monitoring, Patch-Management und die Security-Dokumentation – mit 24/7-Support durch echte Ansprechpartner, nicht durch Chatbots oder Callcenter.
„NMMN bietet die ideale Infrastruktur – sicher, schnell und zuverlässig. So können wir uns ganz auf unsere Kunden fokussieren.“
Thomas Laborn, Geschäftsführer InformationsTechnologische Consulting GmbH
Datensouveränität als strategischer Vorteil
Ein Aspekt, der im NIS-2-Kontext oft zu kurz kommt: Datensouveränität. Wer seine Daten bei einem US-amerikanischen Hyperscaler hostet, muss sich unangenehme Fragen gefallen lassen – insbesondere mit Blick auf den US CLOUD Act, der US-Behörden potenziell Zugriff auf dort gespeicherte Daten ermöglicht. NIS-2 verschärft diese Problematik, weil Unternehmen nun dokumentieren müssen, wo ihre Daten verarbeitet werden und wer darauf Zugriff hat.
NMMN unterliegt als deutsches Unternehmen nicht dem US CLOUD Act. Alle Daten bleiben in zertifizierten deutschen Rechenzentren – ein Punkt, der für NIS-2-Compliance und für das Vertrauen von Kunden und Geschäftspartnern gleichermaßen relevant ist.
NIS-2-Compliance-Checkliste: Wo stehen Sie?
Nutzen Sie die folgende Checkliste als schnellen Selbsttest. Jedes „Nein“ ist ein Handlungsfeld:
☐ Betroffenheit geprüft? Haben Sie die BSI-Betroffenheitsprüfung durchgeführt und dokumentiert?
☐ Registrierung erledigt? Sind Sie im BSI-Portal registriert (Frist: 6. März 2026)?
☐ Risikomanagementmaßnahmen umgesetzt? Haben Sie ein Informationssicherheits-Managementsystem aufgebaut – oder zumindest begonnen?
☐ Meldeprozesse definiert? Können Sie einen erheblichen Sicherheitsvorfall innerhalb von 24 Stunden melden?
☐ 24/7-Kontaktstelle benannt? Ist eine erreichbare Anlaufstelle für das BSI hinterlegt?
☐ Geschäftsführung geschult? Haben alle Mitglieder der Geschäftsleitung eine Cybersicherheits-Schulung nachweislich absolviert?
☐ Lieferkette geprüft? Stellen Sie vertragliche Sicherheitsanforderungen an Ihre IT-Dienstleister?
☐ Backup und Recovery getestet? Wurde der Wiederanlauf Ihrer Systeme unter realen Bedingungen getestet?
☐ Infrastruktur zertifiziert? Betreiben Ihre IT-Dienstleister zertifizierte Rechenzentren (ISO 27001, ISO 22301)?
☐ Datensouveränität gewährleistet? Wissen Sie, wo Ihre Daten physisch gespeichert werden – und wer darauf zugreifen kann?
Registrierungsfrist verpasst – und jetzt?
Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen und nur rund 11.500 der knapp 30.000 betroffenen Einrichtungen haben sich rechtzeitig registriert. Das entspricht einer Quote von knapp 40 Prozent. Mehr als 18.000 Unternehmen sind demnach im Verzug. Falls Ihr Unternehmen dazugehört, gilt jetzt: ruhig bleiben, aber zügig handeln.
Die wichtigsten Fakten für Nachzügler
Das BSI-Portal bleibt offen. Die Registrierung ist weiterhin technisch möglich – sie sollte so schnell wie möglich nachgeholt werden, um das Bußgeldrisiko zu minimieren. Wer sich nicht registriert, verstößt gegen § 33 BSIG. Bei verspäteter Registrierung drohen Strafen von bis zu 500.000 Euro. Und: Die Pflichten zur 24-h-Erstmeldung gelten seit Dezember 2025 – unabhängig davon, ob Sie registriert sind. Wenn Ihr Unternehmen einen erheblichen Sicherheitsvorfall erleidet und nicht registriert ist, treffen Sie gleich zwei Pflichtverstöße auf einmal.
Entscheidend ist jetzt, nicht den Kopf in den Sand zu stecken, sondern strukturiert nachzuarbeiten: Betroffenheit prüfen, Registrierung nachholen, parallel mit dem Aufbau der Sicherheitsmaßnahmen beginnen. Ein erfahrener Infrastrukturpartner wie NMMN kann dabei helfen, den Rückstand aufzuholen: mit zertifizierten Rechenzentren, fertigen Compliance-Bausteinen und persönlicher Beratung.
Fazit: NIS-2 ist kein Sprint, sondern ein Dauerlauf
Machen wir uns nichts vor: Für viele mittelständische Unternehmen hat die NIS-2-Umsetzung gerade erst begonnen – auch wenn das Gesetz schon seit Dezember 2025 gilt. Die Registrierungsfrist ist abgelaufen, die Meldepflichten greifen, die Bußgelder stehen im Raum. Wer jetzt noch zögert, verliert mit jedem weiteren Monat Zeit und Geld.
Aber NIS-2 ist auch eine echte Chance. Unternehmen, die das Thema ganzheitlich angehen, erhalten mehr als nur Compliance-Papiere. Sie gewinnen Resilienz gegen Cyberangriffe und IT-Ausfälle, Klarheit über ihre IT-Abhängigkeiten und – vielleicht am wichtigsten – das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.
NMMN unterstützt Sie dabei, regulatorische Anforderungen an Ihre IT nicht nur zu erfüllen, sondern Ihre gesamte digitale Infrastruktur so aufzustellen, dass Sicherheit, Datensouveränität und Compliance zur Stärke Ihres Unternehmens werden.
Lars Sommerfeldt
Geschäftsführer, NMMN