NIS-2-Umsetzungsgesetz tritt ab morgen (06.12.2025) in Kraft und trifft auf mittelständische Unternehmen
Mit der heutigen Verkündung des NIS-2-Umsetzungsgesetzes erweitert sich der Anwendungsbereich des BSI-Gesetzes erheblich und betrifft künftig einen großen Teil des deutschen Mittelstands. Viele mittelständische Unternehmen, die aufgrund ihrer Größe oder Branche bislang nicht unter KRITIS oder bestehende BSI-Regulierungen fielen, müssen nun selbst prüfen, ob sie als „wichtige“ oder „besonders wichtige Einrichtungen“ eingestuft werden. Die Zugehörigkeit ergibt sich aus der Sektorzuordnung sowie Schwellenwerten für Mitarbeiterzahl, Umsatz und Bilanzsumme.
Für betroffene Mittelständler ergeben sich drei unmittelbare Pflichten:
- Registrierung als NIS-2-Unternehmen,
- Meldepflicht für erhebliche Sicherheitsvorfälle,
- Einführung und Dokumentation von Risikomanagementmaßnahmen, die dem Stand der Technik entsprechen.
Die Anforderungen gehen über klassische IT-Sicherheitsmaßnahmen hinaus und betreffen Governance, Incident Response, Lieferkettenrisiken und Business Continuity. Unternehmen, die bislang nur rudimentäre IT-Sicherheitsstrukturen aufgebaut haben, müssen innerhalb kurzer Zeit ein systematisches Informationssicherheitsmanagement etablieren.
Zudem fordert der zweistufige Registrierungsprozess — mit Anlage eines Unternehmenskontos bis Ende 2025 und Registrierung im BSI-Portal ab Januar 2026 — eine frühzeitige organisatorische Vorbereitung.
Für den Mittelstand bedeutet dies eine spürbare Erhöhung des Compliance-Aufwands, aber auch eine Chance zur professionellen Absicherung gegen zunehmende Cyberangriffe. Unternehmen, die proaktiv handeln, können regulatorische Risiken reduzieren und zugleich ihre digitale Resilienz stärken.