Seit Dezember 2025 gilt NIS-2 ohne Übergangsfrist und erfasst auch mittelständische Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz. Die Geschäftsführung haftet persönlich für Versäumnisse. Gleichzeitig wird NIS-2-Konformität zum Eintrittsticket für regulierte Lieferketten, denn wer die Anforderungen nicht nachweisen kann, verliert Kunden und Ausschreibungen.
NIS-2 macht Cybersicherheit zur Bedingung für die Marktteilnahme. Wer die Anforderungen nicht nachweisen kann, riskiert den Ausschluss aus regulierten Lieferketten.
Lange fristete IT-Schutz ein Schattendasein – oft als bloße Kostenstelle oder defensive Reaktion auf punktuelle Bedrohungen verstanden. Doch NIS-2 transformiert die Security nun in eine Lizenz zur Marktteilnahme. Mit der Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) verlässt die EU den bisherigen Pfad, lediglich isolierte Brancheninseln zu schützen. Stattdessen wird ein Gutteil der Wertschöpfungskette gegen systemische Risiken gehärtet. Für Unternehmen bedeutet dies einen Paradigmenwechsel: Cybersicherheit ist kein optionales IT-Feature mehr, das man nach Gutdünken skaliert, sondern ein integraler Bestandteil der Corporate Governance.
Nach über einjähriger Verzögerung hat der deutsche Gesetzgeber das NIS-2-Umsetzungsgesetz am 13. November 2025 verabschiedet; die Verkündung im Bundesgesetzblatt erfolgte am 5. Dezember 2025. Seit dem 6. Dezember 2025 sind die technischen und organisatorischen Maßnahmen gemäß § 30 BSIG-neu ohne Übergangsfrist für betroffene Einrichtungen verbindlich. Für die Unternehmensführung bedeutet dies: Das Abwarten auf weitere Konkretisierungen ist seit Beginn des Jahres 2026 keine Option mehr.
Ein zentraler Meilenstein war dabei die Registrierungspflicht im neuen BSI-Portal, das am 6. Januar 2026 freigeschaltet wurde. „Besonders wichtige Einrichtungen“ mussten diesen Prozess bis spätestens zum 6. März 2026 abgeschlossen haben. Wer diese Frist versäumt hat, begeht bereits eine Compliance-Verletzung, die mit Bußgeldern von bis zu 50.000 Euro geahndet werden kann.
Die NIS-2-Richtlinie bricht mit der traditionellen KRITIS-Logik, die sich primär auf Großunternehmen konzentrierte, ab. Der Geltungsbereich umfasst nun 18 Sektoren, darunter neu auch die Lebensmittelindustrie, das verarbeitende Gewerbe (Maschinenbau, Fahrzeugbau) sowie die Chemieindustrie. Die Reichweite der Regulierung ist massiv: In der Regel reichen 50 Mitarbeitende oder ein Jahresumsatz von 10 Millionen Euro aus, um in den Bereich der „wichtigen Einrichtungen“ zu fallen. Zusätzlich greift die Regulierung unabhängig von der Größe bei spezifischen Schlüsselfunktionen ein. Managed Service Providers (MSPs) werden aufgrund ihres privilegierten Zugriffs auf Kundensysteme grundsätzlich als Hochrisiko-Vektoren eingestuft. Ein lokaler IT-Dienstleister, der kritische Infrastrukturen wie Kliniken oder Behörden betreut, unterliegt damit den NIS-2-Pflichten, selbst wenn er die allgemeinen Mitarbeiterschwellenwerte nicht erreicht.
Ein Kernstück des NIS2UmsuCG ist die explizite Adressierung der Geschäftsleitung in § 38 BSIG-neu. Informationssicherheit ist keine Aufgabe mehr, die lediglich in die IT-Abteilung delegiert werden kann. Das Management trägt die Letztverantwortung für die Billigung und Überwachung der Risikomanagementmaßnahmen.
Persönliche Haftung: Bei schuldhaften Verstößen haften Geschäftsführer oder Vorstände gegenüber der eigenen Gesellschaft für den entstandenen Schaden.
Schulungspflicht: Die Geschäftsführung ist gesetzlich verpflichtet, regelmäßig – mindestens alle drei Jahre – an Cybersicherheits-Schulungen teilzunehmen.
Bußgeldrahmen: Gegen die Unternehmen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden.
Besondere Brisanz entfaltet das dreistufige Meldesystem bei erheblichen Sicherheitsvorfällen. Unternehmen müssen nun Prozesse etablieren, die extrem kurze Reaktionszeiten ermöglichen:
1. Frühwarnung: Eine erste Meldung an das BSI muss innerhalb von 24 Stunden nach Kenntnisnahme erfolgen.
2. Vorfallsbewertung: Innerhalb von 72 Stunden ist ein detaillierter Zwischenbericht fällig.
3. Abschlussbericht: Spätestens innerhalb eines Monats muss eine umfassende Analyse vorliegen.
Ohne vorbereitete Incident-Response-Strukturen ist die Einhaltung dieser gesetzlichen Fristen im Realfall kaum zu bewerkstelligen.
Über die rein gesetzlichen Pflichten hinaus etabliert die Richtlinie einen knallharten ökonomischen Selektionsprozess. Da regulierte Konzerne gesetzlich gezwungen sind, die Cyber-Resilienz ihrer gesamten Zulieferstruktur zu überwachen, wird die NIS-2-Konformität zum entscheidenden Faktor im Risk-Management des Einkaufs. Wer die geforderten Sicherheitsstandards nicht lückenlos nachweisen kann, riskiert nicht nur eine schlechtere Bewertung im Supplier-Audit, sondern den kompletten Verlust der Lieferberechtigung.
Cybersecurity wandelt sich von einer internen IT-Frage zu einem kritischen Verkaufsargument: Nur wer seine Hausaufgaben bei der Absicherung digitaler Prozesse gemacht hat, wird in Zukunft als vertrauenswürdiger Partner in hochgradig vernetzten Liefernetzen bestehen können. Die Konformität fungiert hierbei wie ein ‚Eintrittsticket‘ für globale Ausschreibungen.
Über den Autor: Martin Bastius ist Chief Legal Officer (CLO) und Co-Founder bei heyData. Als Experte für Datenschutz und IT-Recht begleitet er Unternehmen durch den Dschungel der europäischen Regulatorik. Sein Fokus liegt darauf, komplexe Gesetze wie NIS2 in pragmatische Prozesse zu übersetzen, die den Mittelstand widerstandsfähiger machen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/63/62/6362dfe12e8a27979f7c703b7bbc7c78/0131010769v1.jpeg "Die Schwachstellen in NeMo und PyTorch ermöglichen beim Laden manipulierter Modelle Remote Code Execution, den Abgriff von Credentials und Secrets und damit möglicherweise auch die vollständige Kompromittierung von ML‑Systemen und angebundenen Cloud‑Ressourcen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/59/43/5943312de71f19fc816f2e93f2c6a5fe/0131151874v1.jpeg "Trellix untersucht einen Cyberangriff auf interne Quellcode-Repositorys. Hinweise auf eine Manipulation oder missbräuchliche Nutzung des Codes gibt es nach Unternehmensangaben bislang nicht. (Bild: Envato Elements)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/51/3f/513fb8ad773735234d88126b9a537ec9/0131014819v2.jpeg "Mit einem Root‑Zugriff in OpenSSH könnten Cyberkriminelle die Kontrolle über den Server erlangen, beliebige Befehle ausführen, alle Daten lesen, Konten und Dienste manipulieren sowie Sicherheitsmechanismen umgehen oder deaktivieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8c/95/8c952169f3c1d02127180ede18de651a/0130535511v2.jpeg "Claude Mythos wird von seinen Entwicklern als so gefährlich für weltweite IT-Systeme und Infrastrukturen eingeschätzt, dass das LLM nicht öffentlich verfügbar gemacht wird. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/c8/edc84890cc37b3a6bd0a49ad22d84e2c/0130382558v1.jpeg "Die Swarm Appliance ist eine schlüsselfertige Lösung für Data-Protection, Archivierung und Datenaufbewahrung in Edge- und ROBO-Umgebungen. (Bild: DataCore)")
:quality(80)/p7i.vogel.de/wcms/eb/6d/eb6d7fd969a97cd8508b3f3a0af566ae/0130846598v1.jpeg "Cybersicherheit endet nicht an der Unternehmensgrenze. Die Lieferkette wird zunehmend zum trojanischen Pferd, über das Angreifer in geschützte Systeme eindringen. (Bild: © Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/49/7949c554b8b44ff842447cea44401824/0129016997v1.jpeg "Mit WeSendit Dateien bequem über den Webbrowser teilen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/a2/0ea2191c9c894533d3f3e62be1b6a1d9/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/90/c1/90c13acae662d8e91c6526ea441b1ab4/0130712596v1.jpeg "Deutschland zählt zu den größten Playern in der Cybersicherheitsforschung. Doch die theoretischen Ergebnisse verlassen zu selten die Labore. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/82/1b82f6c30153361498d21d56d8a0a44e/0130843915v2.jpeg "Statische Secrets sind die strukturelle Schwäche hybrider IT. SPIFFE und SPIRE ersetzen sie durch automatisierte, kurzlebige Workload-Identitäten für den Mittelstand. (Bild: © Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/ab/d7ab758d53e1715c628d27dda3d9b308/0130832273v2.jpeg "Unkontrollierte VPN-Zugänge sind eine offene Tür für Angreifer. Privileged Access Management ersetzt VPN durch granulare Kontrolle und automatisierte Rechtevergabe. (Bild: © ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/eb/f9eb0ec3acf7efc9b0b695a9760acd9f/0130736463v1.jpeg "Ab Juni laufen die Secure-Boot-Zertifikate für Windows und Linux ab. Das Problem für viele Admins ist nun, dass das bloße Importieren aktueller Zertifikate nicht reicht heißt. Diese müssen auch aktiviert werden. Erst wenn Provisioning, Verarbeitung und Reboot erfolgreich abgeschlossen sind, ist ein System wirklich auf dem neuen Stand! (Bild: JDisc GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/7d/947d5b2330dfde36be987ba8c1c7ab87/0130913294v2.jpeg "NIS-2 macht Cybersicherheit zur Bedingung für die Marktteilnahme. Wer die Anforderungen nicht nachweisen kann, riskiert den Ausschluss aus regulierten Lieferketten. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b3/f6/b3f6bbdf0f6bffac6f5a51a2579644f4/0128963385v1.jpeg "Wir sprechen im Podcast mit Jannik Christ über pragmatische Ansätze für die NIS2-Umsetzung im Mittelstand. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/34/94/34947a712dc7940127c21632028d998e/0129945344v2.jpeg "Kurz vor Ende der Registrierungsfrist haben sich circa 6.600 Unternehmen beim BSI-Portal angemeldet, um ihren Pflichten nach NIS 2 nachzukommen. (Bild: alphaspirit - stock.ad)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/de/7fde7f3479bb930bd007e1d8e7a09ffb/0128963385v1.jpeg "Wir sprechen im Security-Insider-Podcast mit Rechtsanwalt Dr. Dr. Fabian Teichmann über Haftungsfragen im Rahmen der NIS-2-Richtlinie und geben auch gleich konkrete Handlungsempfehlungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/2a/002a4b0ed38af3ca946f174ecdb4fd90/0112150345v1.jpeg "In der Folge 114 des Security-Insider-Podcasts erörtern wir, wie Unternehmen Synergien zwischen den EU-Gesetzen NIS 2 und dem Cyber Resilience Act (CRA) nutzen können, um Zeit und Ressourcen bei der Umsetzung der Cybersicherheitsanforderungen zu sparen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ff/f5/fff5360bc369f9af6d901e9c2d083819/0129495526v1.jpeg "Das KRITIS-Dachgesetz ist noch jung und es stehen viele Fragen offen: Ab wann ist eine Einrichtung eine kritische Anlage? Welche Pflichten und Fristen gelten? Wann muss was gemeldet werden? Dr. Daniel Meßmer gibt den Hörerinnen und Hörern von Security-Insider die Antworten. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/42/3b/423b6be5bae377d3225c8efeff74f860/0130839691v2.jpeg "NIS-2 betrifft nun auch Hersteller vernetzter Industrieanlagen. Maschinenbauer, die ihre Kunden nicht bei der Compliance unterstützen, riskieren sie zu verlieren. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")