KI-Lexikon

NIS2: Die EU-Cybersicherheitsrichtlinie, die jetzt für den Mittelstand gilt

NIS2 (Richtlinie EU 2022/2555) ist das Cybersicherheitsgesetz der Europäischen Union, das Risikomanagementmassnahmen und eine strenge Meldepflicht für 18 kritische Sektoren vorschreibt. Deutschlands Umsetzungsgesetz trat im Dezember 2025 ohne Übergangsfrist in Kraft und bringt schätzungsweise 29.500 Unternehmen unter BSI-Aufsicht. Dieser Artikel erklärt, was NIS2 verlangt, wen es betrifft und was Mittelstandsunternehmen jetzt tun müssen.

Kernpunkte
  • NIS2 (Richtlinie EU 2022/2555) verlangt Risikomanagement und Meldepflichten für 18 kritische Sektoren EU-weit.
  • Deutschlands NIS2UmsetzungsG trat am 6. Dezember 2025 in Kraft und bringt rund 29.500 Unternehmen unter BSI-Aufsicht, laut Bitkoms Analyse von 2026.
  • Betroffene Unternehmen mussten sich innerhalb von drei Monaten, bis zum 6. März 2026, beim BSI registrieren.
  • Die Meldepflicht folgt einem gestaffelten Zeitplan: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats.
  • Bussgelder erreichen bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes für besonders wichtige Einrichtungen, mit persönlicher Haftung der Geschäftsleitung.

Definition: NIS2

NIS2 (Richtlinie (EU) 2022/2555) ist das Cybersicherheitsgesetz der EU, das Organisationen in kritischen Sektoren zu Risikomanagementmassnahmen und zur Meldung erheblicher Sicherheitsvorfälle innerhalb fester Fristen verpflichtet.

Kernmerkmale von NIS2

NIS2 löst die NIS-Richtlinie von 2016 ab und verdreifacht deren Geltungsbereich auf 18 statt 7 Sektoren.

  • Erfasst mittlere (50+ Mitarbeitende) und grosse (250+ Mitarbeitende) Unternehmen nach Grösse oder Umsatz
  • Teilt Organisationen in “besonders wichtige” und “wichtige” Einrichtungen mit unterschiedlicher Aufsichtsintensität
  • Verlangt dokumentierte Massnahmen zu Lieferkettensicherheit, Zugriffskontrolle und Vorfallbehandlung
  • Schreibt Verantwortung der Geschäftsleitung vor, inklusive nicht delegierbarer Schulungspflicht und persönlicher Haftung

NIS2 vs. EU-KI-Verordnung

NIS2 und die EU-KI-Verordnung regeln unterschiedliche Dinge, gelten aber oft gleichzeitig für dasselbe Unternehmen. NIS2 regelt die Sicherheit von Netz- und Informationssystemen unabhängig davon, ob sie KI betreiben, und konzentriert sich auf Meldepflichten und Risikomanagement. Die EU-KI-Verordnung regelt Design und Aufsicht von KI-Systemen nach Risikostufe. Ein Hersteller, der ein KI-gestütztes Prüfsystem betreibt, muss beide Pflichten gleichzeitig erfüllen.

Bedeutung von NIS2 im Enterprise-KI-Umfeld

NIS2 ist für Enterprise-KI relevant, weil KI-Agenten, die mit ERP, CRM und Produktionssystemen verbunden sind, Teil der Infrastruktur werden, die NIS2 schützt. Bitkoms Analyse von 2026 beziffert rund 29.500 deutsche Unternehmen unter BSI-Aufsicht - viele Mittelstandsunternehmen sehen sich damit erstmals mit formalen Cybersicherheitspflichten konfrontiert.

Methoden und Verfahren für NIS2

Die Umsetzung stützt sich auf drei strukturierte Arbeitsschritte.

Betroffenheitsprüfung

Der erste Schritt ist die Prüfung, ob das Unternehmen überhaupt in den Geltungsbereich fällt, da Sektor- und Grössenschwellen auf nicht immer offensichtliche Weise zusammenwirken.

  • Mitarbeiterzahl und Umsatz gegen die Schwellenwerte abgleichen
  • Geschäftstätigkeiten gegen die 18 erfassten Sektoren prüfen
  • Die Einstufungsentscheidung schriftlich dokumentieren

Umsetzung des Risikomanagements

NIS2 verlangt festgelegte technische und organisatorische Massnahmen statt einer allgemeinen Sicherheitsrichtlinie, insbesondere zu Vorfallbehandlung, Betriebskontinuität und Zugriffskontrolle. Registrierte Unternehmen müssen diese dem BSI auf Anfrage nachweisen.

Meldeworkflow bei Vorfällen

NIS2 legt einen gestaffelten Zeitplan fest: eine Frühwarnung binnen 24 Stunden, eine detaillierte Meldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats. Wer diesen Workflow vor einem Vorfall aufbaut statt währenddessen, hält die Frist auch unter Druck ein.

Wichtige Kennzahlen für NIS2

Die NIS2-Bereitschaft lässt sich anhand von Dokumentation, Reaktionsgeschwindigkeit und Lieferantenabdeckung messen.

Operative Bereitschaftskennzahlen

  • BSI-Registrierungsstatus: abgeschlossen vs. ausstehend
  • Risikomanagement-Dokumentation: Anteil abgeschlossen gemäss Paragraph 30 BSIG
  • Häufigkeit von Vorfallübungen: mindestens jährlich
  • Geprüfte kritische Lieferanten: Anteil bewertet

Governance- und Verantwortungskennzahlen

Forresters Untersuchung von 2026 ergab, dass 81 % der europäischen Unternehmen wegen NIS2 und DORA höhere Cybersicherheitsbudgets erwarten - ein Grund, den Abschluss der Geschäftsleitungsschulung als führenden Bereitschaftsindikator zu verfolgen.

Qualität der Vorfallreaktion

Über den 24/72/30-Stunden-Zeitplan auf dem Papier hinaus sollten Unternehmen die tatsächliche Zeit von der Erkennung bis zu jeder Meldestufe in Übungen sowie die Vollständigkeit des Abschlussberichts verfolgen.

Risikofaktoren und Kontrollen bei NIS2

Unterschätzter Geltungsbereich

Der häufigste Fehler ist die Annahme, NIS2 gelte nur für klassische kritische Infrastruktur, während viele Fertigungs- und Logistikunternehmen mit 50 oder mehr Mitarbeitenden ebenfalls betroffen sind.

  • Geltungsbereich bei Änderungen von Mitarbeiterzahl oder Tätigkeiten neu prüfen
  • Tochtergesellschaften und Konzernstrukturen einbeziehen
  • Unsicherheit als Anlass zur Prüfung behandeln, nicht als Grund zur Annahme der Befreiung

Lücken in der Lieferkettensicherheit

NIS2 erweitert Risikomanagementpflichten auf Lieferanten, sodass Compliance teils von Anbietern abhängt, die das Unternehmen nicht kontrolliert, und viele Verträge die nötigen Sicherheitsklauseln nicht enthalten.

Unkontrollierte KI-Agenten-Deployments

Shadow AI-Tools, die Mitarbeitende ausserhalb der IT-Aufsicht einsetzen, schaffen genau den unüberwachten Netzwerkzugriff, den NIS2 verhindern soll. Jeder KI-Agent mit Schreibzugriff auf Unternehmenssysteme braucht dieselbe Protokollierung und Vorfallbehandlung wie jede andere kritische Systemkomponente.

Praxisbeispiel

Ein 160-Personen-Speditionsunternehmen in Nordrhein-Westfalen stellte bei seiner Betroffenheitsprüfung fest, dass es als wichtige Einrichtung unter NIS2 galt, obwohl es sich nie als kritische Infrastruktur betrachtet hatte - ohne formalen Meldeprozess und ohne dokumentierte Risikomassnahmen. Innerhalb von vier Monaten baute das Unternehmen ein Compliance-Programm auf der bestehenden IT-Sicherheitsstruktur auf, statt einen kostspieligen Neuaufbau zu starten.

  • BSI-Registrierung mit dokumentierter Einstufung abgeschlossen
  • Meldeworkflow durch Planübungen erprobt
  • Verträge mit kritischen Lieferanten um Sicherheitsklauseln ergänzt
  • Schulung der Geschäftsleitung zur Haftung nach Paragraph 38 BSIG abgeschlossen

Aktuelle Entwicklungen und Auswirkungen

Registrierung und anlaufende Durchsetzung

Deutschlands NIS2UmsetzungsG trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft, und betroffene Unternehmen mussten sich innerhalb von drei Monaten beim BSI registrieren.

  • BSI-Registrierungsportal seit Januar 2026 aktiv
  • Keine Übergangsfrist für Risikomanagementmassnahmen
  • Frühe Durchsetzung fokussiert auf Registrierungsvollständigkeit statt tiefe Prüfungen

Abstimmung mit dem KRITIS-Dachgesetz

Ein paralleles Gesetz, das KRITIS-Dachgesetz, adressiert die physische Resilienz kritischer Infrastrukturbetreiber und überschneidet sich teilweise mit NIS2. Unternehmen in beiden Geltungsbereichen brauchen ein gemeinsames Governance-Programm statt zwei getrennter Spuren.

KI-Agenten als neue NIS2-relevante Systemklasse

Da Unternehmen KI-Agenten mit Kernsystemen verbinden, müssen KI-Governance-Programme zunehmend NIS2s Protokollierungspflichten einbeziehen. Eine KI-Agenten-Plattform wie Superkind, die Agenten mit Systemen wie CRM und ERP verbindet und jede Aktion protokolliert, liefert genau den Prüfpfad, den die NIS2-Aufsicht erwartet.

Fazit

NIS2 ist vom Richtlinientext zu bindendem deutschem Recht geworden, und sein Geltungsbereich reicht weit über die klassischen Infrastrukturbetreiber hinaus, die viele Mittelstandsführungskräfte mit Cybersicherheitsregulierung verbinden. Die Prioritäten sind klar: Betroffenheit klären, Risikomanagementmassnahmen dokumentieren und den Meldeworkflow einüben, bevor er unter Druck gebraucht wird. Unternehmen, die NIS2 als strukturiertes Sicherheitsupgrade statt als Papierkram behandeln, gewinnen Resilienz unabhängig von der Durchsetzung, und da KI-Agenten mehr operative Arbeit übernehmen, hält dieselbe Governance-Disziplin diese Deployments prüfbar.

Häufig gestellte Fragen

Gilt NIS2 auch für Unternehmen mit weniger als 250 Mitarbeitenden?

Ja. NIS2 nutzt eine Mittelunternehmens-Schwelle von 50 oder mehr Mitarbeitenden oder mehr als 10 Millionen Euro Umsatz, sodass die meisten Mittelstandsunternehmen in den 18 erfassten Sektoren auch die niedrigere Schwelle prüfen müssen.

Wie verhält sich NIS2 zur DSGVO-Compliance?

Beide gelten parallel. Die DSGVO regelt die Verarbeitung personenbezogener Daten, während NIS2 die Systemsicherheit unabhängig von den verarbeiteten Daten regelt. Eine Datenschutz-Folgenabschätzung deckt Datenschutzrisiken für Einzelpersonen ab, NIS2s Massnahmen decken die Systemresilienz ab.

Was kostet NIS2-Compliance für ein Unternehmen mit rund 200 Mitarbeitenden?

Die Kosten variieren mit der bestehenden Sicherheitsreife, aber Mittelstandsunternehmen berichten häufig von anfänglichen Programmen im niedrigen bis mittleren sechsstelligen Eurobereich. Unternehmen mit bestehendem ISO-27001- oder ISO-42001-System geben in der Regel weniger aus.

Brauchen wir dafür eigene IT-Sicherheitsressourcen?

Nicht zwingend ein volles internes Team. Viele Mittelstandsunternehmen kombinieren bestehende IT-Mitarbeitende mit einem externen Sicherheitspartner für die Erstbewertung und pflegen das Programm danach intern weiter, auch wenn NIS2 einen benannten Verantwortlichen verlangt.

Wie lange dauert es, NIS2-bereit zu werden?

Ein fokussiertes Programm dauert typischerweise drei bis sechs Monate von der Betroffenheitsprüfung bis zum erprobten Meldeworkflow, schneller für Unternehmen mit bestehendem Sicherheitsmanagementsystem.

Gibt es Förderung für NIS2-Compliance im Mittelstand?

Einige Bundesländer und KfW-Digitalisierungsprogramme bieten Cybersicherheitsförderung, die auf NIS2-bezogene Massnahmen angerechnet werden kann, auch wenn NIS2-Compliance selten als eigenständiges Projekt gefördert wird - regionale Digitalisierungsförderung sollte vorab geprüft werden.

Bessere Software bauen Kontakt gemeinsam