Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland geltendes Recht. Für viele Mittelständler in Baden-Württemberg kam das Thema lange abstrakt daher – eine EU-Richtlinie, die vor allem Großkonzerne und Kritische Infrastrukturen betrifft. Doch diese Einschätzung ist falsch. Die NIS2-Richtlinie erfasst deutlich mehr Unternehmen als ihre Vorgängerin, und die Pflichten sind konkret, terminiert und mit empfindlichen Bußgeldern hinterlegt.
Was ist die NIS2-Richtlinie – und warum betrifft sie den Mittelstand?
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Regulierung, die einheitliche Mindeststandards für Cybersicherheit schaffen soll. Deutschland hat sie mit dem NIS2UmsuCG in nationales Recht überführt. Das Gesetz trat am 6. Dezember 2025 in Kraft.
Der entscheidende Unterschied zur Vorgängerrichtlinie NIS1: Der Anwendungsbereich wurde massiv ausgeweitet. Betroffen sind jetzt nicht nur Betreiber Kritischer Infrastrukturen, sondern auch Unternehmen aus 18 Sektoren – darunter Fertigung, Lebensmittelproduktion, Abfallwirtschaft, Post- und Kurierdienste, digitale Infrastruktur und das verarbeitende Gewerbe.
Konkret unterscheidet das Gesetz zwischen wesentlichen Einrichtungen (ab 250 Mitarbeiter oder 50 Mio. EUR Umsatz) und wichtigen Einrichtungen (ab 50 Mitarbeiter oder 10 Mio. EUR Umsatz). Aber Achtung: Auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer für kritische Sektoren arbeiten oder bestimmte digitale Dienste erbringen.
Für den Raum Stuttgart mit seiner dichten Landschaft aus Zulieferern, Maschinenbauern und IT-Dienstleistern bedeutet das: Ein erheblicher Teil des Mittelstands fällt unter die neuen Regelungen – oft ohne es zu wissen.
Bin ich betroffen? Die Betroffenheitsprüfung
Die erste und wichtigste Pflicht ist die Selbsteinschätzung. Anders als bei vielen Regulierungen gibt es keine Behörde, die Unternehmen individuell benachrichtigt. Sie müssen selbst prüfen, ob Sie in den Anwendungsbereich fallen.
Prüfen Sie folgende Kriterien:
- Sektorzugehörigkeit: Gehört Ihr Unternehmen zu einem der 18 regulierten Sektoren? Dazu zählen unter anderem Energie, Transport, Gesundheit, digitale Infrastruktur, IKT-Dienstleistungsmanagement, verarbeitendes Gewerbe (z. B. Maschinenbau, Fahrzeugbau, Elektrotechnik), Lebensmittel, Chemie und Forschung.
- Unternehmensgröße: Ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz gelten Sie als „wichtige Einrichtung“. Aber auch kleinere Betriebe können betroffen sein.
- Lieferketten-Rolle: Sind Sie Zulieferer für ein betroffenes Unternehmen? Dann können vertragliche Sicherheitsanforderungen auf Sie durchschlagen.
Im Zweifelsfall empfiehlt sich eine strukturierte Prüfung zusammen mit einem IT-Dienstleister, der die regulatorischen Anforderungen kennt. Ein professionelles Security Audit kann hier als Ausgangspunkt dienen.
Die konkreten NIS2-Pflichten im Überblick
Wer unter das NIS2UmsuCG fällt, muss eine Reihe von Maßnahmen umsetzen. Die wichtigsten im Überblick:
1. Registrierungspflicht beim BSI
Seit dem 6. Januar 2026 ist das BSI-Portal für die Registrierung freigeschaltet. Betroffene Einrichtungen müssen sich dort registrieren und grundlegende Angaben zu ihrem Unternehmen machen. Die Registrierung ist keine Kür, sondern Pflicht – und ein Verstoß ist bußgeldbewehrt.
2. Risikomanagement-Maßnahmen
Unternehmen müssen ein systematisches Risikomanagement für ihre IT- und Netzwerksicherheit etablieren. Das umfasst:
- Risikoanalyse und Bewertung der IT-Systeme
- Technische und organisatorische Schutzmaßnahmen
- Konzepte für den Umgang mit Sicherheitsvorfällen
- Business-Continuity-Management und Backup-Strategien
- Sicherheit in der Lieferkette
- Schulungen und Sensibilisierung der Mitarbeitenden
- Einsatz von Verschlüsselung und Multi-Faktor-Authentifizierung
Wer bereits ein IT-Sicherheitskonzept betreibt, hat einen Vorsprung. Wer keines hat, muss jetzt handeln. Die Anforderungen orientieren sich am Stand der Technik – eine Orientierung bietet beispielsweise die ISO 27001.
3. Meldepflichten bei Sicherheitsvorfällen
Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden – und zwar in einem dreistufigen Verfahren:
- Erstmeldung innerhalb von 24 Stunden nach Kenntnis des Vorfalls
- Aktualisierte Meldung innerhalb von 72 Stunden mit erster Bewertung
- Abschlussbericht innerhalb eines Monats mit detaillierter Analyse und ergriffenen Maßnahmen
Für Unternehmen, die bisher keine strukturierte Incident-Response-Prozesse hatten, bedeutet das einen erheblichen organisatorischen Aufwand. Denn die Fristen laufen unabhängig davon, ob Sie die internen Ressourcen für eine Analyse haben oder nicht.
4. Geschäftsführerhaftung
Die NIS2-Richtlinie macht Cybersicherheit zur Chefsache – im wörtlichen Sinn. Die Geschäftsleitung muss die Risikomanagement-Maßnahmen billigen und deren Umsetzung überwachen. Geschäftsführer und Vorstände haften persönlich, wenn sie diese Pflicht verletzen. Zudem müssen sie selbst an Cybersicherheitsschulungen teilnehmen.
5. Sicherheit der Lieferkette
Betroffene Unternehmen müssen die Cybersicherheit ihrer Lieferkette berücksichtigen. Das bedeutet: Auch wenn Ihr Zulieferer ein kleines Unternehmen mit 20 Mitarbeitern ist – wenn Sie selbst unter NIS2 fallen, müssen Sie sicherstellen, dass dieser Zulieferer angemessene Sicherheitsstandards einhält. Das führt zu einem Kaskadeneffekt, der weit über die unmittelbar betroffenen Unternehmen hinausgeht.
Bußgelder und Sanktionen
Die Sanktionen sind deutlich schärfer als unter der alten Regelung:
- Wesentliche Einrichtungen: Bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: Bis zu 7 Millionen EUR oder 1,4 % des weltweiten Jahresumsatzes
Dazu kommen mögliche Anordnungen des BSI, die bis hin zur vorübergehenden Untersagung von Leitungsfunktionen gehen können. Das sind keine theoretischen Szenarien – die Aufsichtsbehörden haben mit dem NIS2UmsuCG deutlich erweiterte Befugnisse erhalten.
Was Mittelständler in Baden-Württemberg jetzt konkret tun sollten
Die gute Nachricht: Wer jetzt systematisch vorgeht, kann die Anforderungen in überschaubarer Zeit umsetzen. Die folgenden Schritte bilden einen pragmatischen Fahrplan:
Schritt 1: Betroffenheit prüfen
Klären Sie, ob Ihr Unternehmen direkt unter NIS2 fällt oder indirekt über die Lieferkette betroffen ist. Das BSI bietet hierzu eine Betroffenheitsprüfung auf seinem Portal an.
Schritt 2: Ist-Analyse durchführen
Wo stehen Sie aktuell? Welche Sicherheitsmaßnahmen existieren bereits, welche Lücken gibt es? Ein Penetrationstest oder ein Security Audit liefert hier belastbare Ergebnisse statt Bauchgefühl.
Schritt 3: Risikomanagement aufbauen
Etablieren Sie ein dokumentiertes Risikomanagement-System. Das muss kein bürokratisches Monster sein – aber es muss systematisch, nachvollziehbar und aktuell sein.
Schritt 4: Incident-Response-Prozesse definieren
Definieren Sie klare Abläufe für den Fall eines Sicherheitsvorfalls. Wer meldet was, an wen, innerhalb welcher Frist? Üben Sie diese Abläufe mindestens einmal jährlich.
Schritt 5: Geschäftsleitung einbinden
Stellen Sie sicher, dass Ihre Geschäftsführung die NIS2-Pflichten kennt, die Maßnahmen genehmigt und an Cybersicherheitsschulungen teilnimmt. Das ist nicht delegierbar.
Schritt 6: Registrierung beim BSI
Registrieren Sie sich über das BSI-Portal, das seit Januar 2026 freigeschaltet ist. Die Registrierung ist Pflicht und Voraussetzung für die ordnungsgemäße Meldung von Sicherheitsvorfällen.
Warum gerade Baden-Württemberg besonders betroffen ist
Baden-Württemberg – und insbesondere der Großraum Stuttgart – ist geprägt von einer dichten Struktur mittelständischer Unternehmen im verarbeitenden Gewerbe, in der Automobilzulieferung, im Maschinenbau und in der Elektrotechnik. Genau diese Branchen fallen in erheblichem Umfang unter die NIS2-Sektoren.
Hinzu kommt der Kaskadeneffekt über die Lieferkette: Wenn ein OEM von seinem Zulieferer den Nachweis angemessener Cybersicherheitsmaßnahmen verlangt, wird NIS2 auch für Unternehmen relevant, die formal nicht unter das Gesetz fallen. In einem Wirtschaftsraum, der so stark von Zulieferbeziehungen lebt wie die Region Stuttgart, ist dieser Effekt besonders spürbar.
NIS2 als Chance begreifen
Bei aller Regulierungslast: NIS2 zwingt Unternehmen dazu, Dinge zu tun, die ohnehin überfällig sind. Die Bedrohungslage durch Ransomware, Phishing und gezielte Angriffe auf den Mittelstand hat sich in den letzten Jahren dramatisch verschärft. Laut BSI-Lagebericht 2025 waren kleine und mittlere Unternehmen überproportional häufig Ziel von Cyberangriffen.
Ein strukturiertes Sicherheitskonzept schützt nicht nur vor Bußgeldern, sondern vor realen Schäden: Produktionsausfälle, Datenverlust, Reputationsschäden und existenzbedrohende Erpressungsforderungen. Unternehmen, die NIS2 als Anlass nehmen, ihre IT-Sicherheit auf ein solides Fundament zu stellen, investieren in ihre eigene Zukunftsfähigkeit.
Weiterlesen
Diese Artikel liefern Ihnen weiteres Hintergrundwissen zu den relevanten Themen:
- Was ist NIS2? – Grundlagen der Richtlinie
- Was ist ein IT-Sicherheitskonzept?
- Was ist ISO 27001?
- Was bedeutet Cybersicherheit?
Nächster Schritt: Ihre NIS2-Readiness prüfen
Sie sind unsicher, ob Ihr Unternehmen unter NIS2 fällt – oder wissen es bereits und brauchen Unterstützung bei der Umsetzung? Die Biteno GmbH unterstützt Mittelständler im Raum Stuttgart bei der systematischen Vorbereitung auf die NIS2-Anforderungen: von der Betroffenheitsprüfung über die Gap-Analyse bis zur Implementierung der erforderlichen Maßnahmen.
