Die NIS-2-Richtlinie hätte in Deutschland bis zum 17. Oktober 2024 umgesetzt werden müssen. Ist sie nicht. Aktuell (Stand 2026) wird weiter am NIS2-Umsetzungsgesetz (NIS2UmsuCG) gefeilt. Das klingt für Unternehmen wie eine Atempause — ist aber das Gegenteil. Wer jetzt noch nicht angefangen hat, wird mit Inkrafttreten in Zeitnot geraten. Dieser Artikel erklärt, was genau zu tun ist.

Warum die Verzögerung nichts ändert

Drei Fakten, die wichtig sind:

1. Die EU-Richtlinie ist verbindlich. Deutschland muss sie umsetzen. Die Frage ist nur noch „wann“, nicht „ob“.
2. Die Anforderungen stehen fest. Die 10 Sicherheitsmaßnahmen nach Artikel 21 sind aus der EU-Richtlinie bekannt. Das deutsche Gesetz wird diese vermutlich 1:1 übernehmen, eventuell mit Verschärfungen.
3. Die Umsetzung dauert Monate. Ein seriöses NIS-2-Projekt braucht 5-8 Monate. Wenn das Gesetz Ende 2026 kommt und drei Monate Umsetzungsfrist einräumt, haben Sie ein Problem.

Unsere Empfehlung: Behandeln Sie NIS-2 als wäre es bereits in Kraft. Die rechtliche Verzögerung ist Ihre Planungszeit.

Schritt 1: Prüfen Sie Ihre Betroffenheit

Bevor Sie irgendetwas investieren, klären Sie die wichtigste Frage: Sind Sie von NIS-2 betroffen?

Drei Faktoren entscheiden das:

A. Sektor

NIS-2 unterscheidet zwei Gruppen. Wesentliche Einrichtungen (Anhang I) unterliegen strengerer Aufsicht — Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser/Abwasser, Digitale Infrastruktur (DNS, Cloud, Rechenzentren), IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Raumfahrt.

Wichtige Einrichtungen (Anhang II) haben etwas leichtere Pflichten — Post-/Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, produzierendes Gewerbe (Medizinprodukte, Elektrotechnik, Maschinenbau, Automotive u.v.m.), digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung.

Wichtig: Die Schwellenwerte zur Abgrenzung haben sich gegenüber NIS-1 stark erweitert. Schätzungen gehen von etwa 30.000 betroffenen Unternehmen allein in Deutschland aus.

B. Unternehmensgröße

Die Grundregel: mittlere Unternehmen und größer. Konkret:

• 50 oder mehr Mitarbeitende, oder
• mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme

Unterhalb dieser Schwellen sind Sie typischerweise nicht betroffen — es sei denn, Sie gehören zu einer Sonderkategorie (DNS-Anbieter, TLD-Registries, qualifizierte Vertrauensdienste etc.), die unabhängig von der Größe NIS-2-pflichtig sind.

C. Indirekte Betroffenheit über die Lieferkette

Auch wenn Sie formal nicht unter NIS-2 fallen: Ihre Großkunden werden die Anforderungen vertraglich an Sie weiterreichen. „Lieferketten-Sicherheit“ ist eine der zehn Pflichtmaßnahmen für betroffene Unternehmen — diese müssen ihre Zulieferer prüfen und binden.

Konkret: Ein Maschinenbauer mit 80 Mitarbeitern, der an einen Automobilhersteller liefert, wird zu NIS-2-Konformität verpflichtet, auch wenn er selbst nicht direkt im Anwendungsbereich ist.

Unklar, ob Sie betroffen sind? Prüfen Sie das in 3 Minuten mit dem NIS-2 Betroffenheitscheck.

Schritt 2: Verstehen Sie die 10 Pflichtmaßnahmen

Artikel 21 der NIS-2-Richtlinie definiert zehn Mindestmaßnahmen, die jedes betroffene Unternehmen umsetzen muss. Viele davon sind aus bestehenden Sicherheitsframeworks bekannt — aber das „Pflicht“-Wort macht den Unterschied.

1. Risikoanalyse und Sicherheitspolitiken für Informationssysteme
2. Bewältigung von Sicherheitsvorfällen (Incident Handling)
3. Aufrechterhaltung des Betriebs: Backup, Wiederherstellung, Krisenmanagement
4. Sicherheit der Lieferkette, inkl. Beziehungen zu Anbietern
5. Sicherheit bei Erwerb, Entwicklung und Wartung von Informationssystemen inkl. Schwachstellenmanagement
6. Konzepte zur Wirksamkeitsbewertung der Cybersicherheitsmaßnahmen
7. Grundlegende Cyber-Hygiene und Cybersicherheits-Schulungen
8. Kryptografie und Verschlüsselung
9. Personalsicherheit, Zugriffskontrolle, Asset Management
10. Mehr-Faktor-Authentifizierung oder kontinuierliche Authentifizierung, sichere Kommunikation

Wer bereits ISO 27001 implementiert hat, erfüllt ca. 60-80 Prozent dieser Anforderungen bereits.

Schritt 3: Die Meldefristen — das größte Risiko

NIS-2 verlangt bei „erheblichen“ IT-Sicherheitsvorfällen eine dreistufige Meldung an die zuständige Behörde (in Deutschland: BSI):

• 24 Stunden — Frühwarnung
• 72 Stunden — Detaillierte Meldung mit erster Bewertung
• 1 Monat — Abschlussbericht

Das ist die härteste Anforderung von NIS-2. Warum? Die meisten Unternehmen haben heute keinen eingeübten 24-Stunden-Meldeprozess. Wenn nachts um 2 Uhr ein Vorfall passiert, wer meldet? An wen? Wie?

Praxistipp: Legen Sie ein konkretes Playbook an. Wer ist Incident-Owner? Wer eskaliert an Geschäftsführung? Welches Template nutzen Sie fürs BSI? Üben Sie mit Tabletop-Simulationen mindestens einmal jährlich.

Schritt 4: Plan für die nächsten 6 Monate

Wenn das deutsche Gesetz Ende 2026 in Kraft tritt und Sie bis dahin bereits die Grundlagen haben, sind Sie in der komfortablen Position. Ein realistischer Zeitplan:

Monat	Aktivität	Ergebnis
1	Betroffenheitsanalyse	Dokumentierte Einschätzung: betroffen ja/nein, wesentlich/wichtig
1-2	Gap-Analyse gegen Art. 21	Priorisierte Lückenliste
2-3	Governance + Management-Commitment	Beauftragter benannt, Pflicht-Schulung GF
3-5	Umsetzung 10 Sicherheitsmaßnahmen	Technisch + organisatorisch abgesichert
3-5	Lieferantenmanagement	Kritische Lieferanten identifiziert, Verträge angepasst
5-6	Incident-Response + Meldewesen	Prozess dokumentiert, Tabletop-Übung durchgeführt
6	BSI-Registrierung	Eingetragen beim BSI, Nachweise archiviert

Schritt 5: Die 10 häufigsten Fehler vermeiden

Aus den Projekten, die wir begleiten, kennen wir die typischen Stolpersteine:

1. Zu spätes Starten — „Wir warten auf das Gesetz.“ Funktioniert nicht, die Implementierungszeit ändert sich nicht.
2. RoI unterschätzt — Das Register of Information (RoI) wirkt einfach, ist aber hochdetailliert.
3. Lieferanten ignoriert — Vier der zehn Pflichtmaßnahmen betreffen die Supply Chain.
4. Meldeprozess nicht eingeübt — 24 Stunden sind schnell vorbei, wenn niemand weiß, wer meldet.
5. NIS-2 als reines IT-Projekt behandelt — NIS-2 betrifft HR, Einkauf, Recht, Vertrieb, GF.
6. Dokumentation unterschätzt — Das BSI verlangt belastbare Nachweise.
7. Management-Schulung vergessen — Art. 20 macht GF-Schulung zur Pflicht.
8. Klassifikation von Vorfällen fehlerhaft — „Erheblich“ ist nicht einfach definiert.
9. BSI-Registrierung versäumt — Ohne Registrierung droht Bußgeld automatisch.
10. Billiganbieter gewählt — „NIS-2 ready in 4 Wochen“ ist unrealistisch.

Was kostet die NIS-2-Umsetzung?

Realistische Bandbreiten für KMU:

• 50-100 MA: 12.500 – 16.500 € einmalig
• 100-250 MA: 16.500 – 24.000 €
• 250-500 MA: 22.000 – 33.000 €
• 500+ MA: ab 30.000 €

Wer bereits ISO 27001 hat, spart 40-60 Prozent. Sehr große oder komplexe Unternehmen liegen deutlich höher. Für konkrete Zahlen nutzen Sie den NIS-2 Kostenrechner auf unserer NIS-2-Seite.

Fazit: Was Sie jetzt konkret tun sollten

Drei sofortige Schritte:

1. Betroffenheit klären — NIS-2 Betroffenheitscheck (3 Minuten)
2. Leitfaden durchlesen — NIS-2 Leitfaden als PDF (18 Seiten, kostenlos)
3. Erstgespräch vereinbaren — 30 Minuten unverbindlich, konkreter Fahrplan

Die Uhr tickt — nicht dramatisch, aber stetig. Wer mit Inkrafttreten schon umgesetzt hat, schläft ruhig. Wer erst dann anfängt, sucht binnen Wochen nach Beratern, die bereits ausgebucht sind.