Rund 18.500 Unternehmen haben die NIS-2-Registrierungsfrist am 6. März 2026 verstreichen lassen – mehr als die Hälfte aller betroffenen Einrichtungen, schätzt das BSI. Dabei ist das NIS-2-Umsetzungsgesetz seit Dezember 2025 geltendes Recht, und die Aufsicht hat angekündigt, aktiv zu prüfen.

Gerade im Mittelstand herrscht Unsicherheit: Sind wir überhaupt betroffen? Was müssen wir bis wann nachweisen? Und womit fangen wir an? Dieser Artikel beantwortet die drei Fragen kompakt – und liefert mit unserer kostenlosen NIS-2-Checkliste ein dreiseitiges Arbeitsdokument, mit dem Sie Betroffenheit, Pflichten und die zehn Mindestmaßnahmen nach § 30 BSIG strukturiert abarbeiten.

NIS-2 gilt – auch wenn viele noch nicht reagiert haben

Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) hat Deutschland die EU-Richtlinie im Dezember 2025 in nationales Recht überführt – ohne Übergangsfristen. Seitdem gelten Registrierungs-, Nachweis- und Meldepflichten für rund 29.500 Einrichtungen in 18 Sektoren: von Energie, Transport und Gesundheit über das verarbeitende Gewerbe bis zu IT-Diensten.

Das BSI hat im Januar 2026 sein Registrierungsportal freigeschaltet; die Frist endete am 6. März 2026. Wer sich noch nicht registriert hat, ist nicht aus der Pflicht – im Gegenteil: Die Behörde gleicht aktiv ab, welche Unternehmen fehlen. Eine verspätete Registrierung ist möglich und deutlich besser als Abwarten.

Betroffen oder nicht? Die Schwellenwerte

NIS-2 betrifft keineswegs nur Konzerne und KRITIS-Betreiber. Es genügt, wenn Ihr Unternehmen in einem der 18 regulierten Sektoren tätig ist und eine der beiden Größenschwellen reißt:

- **Wichtige Einrichtung:** ab 50 Beschäftigten oder mehr als 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme – Bußgelder bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
- **Besonders wichtige Einrichtung:** ab 250 Beschäftigten oder mehr als 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme – Bußgelder bis 10 Mio. € oder 2 %

Im Zweifel schafft die kostenfreie [Betroffenheitsprüfung des BSI](https://www.bsi.bund.de) in wenigen Minuten Klarheit. Dokumentieren Sie das Ergebnis – auch ein negatives.

Diese Pflichten gelten jetzt

Drei Pflichtenblöcke sollten Sie sofort adressieren:

1. **Registrierung:** Einrichtung im BSI-Portal anmelden, Kontaktstelle benennen, Erreichbarkeit sicherstellen.
2. **Governance:** Die Geschäftsleitung muss die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und sich nachweisbar schulen lassen. Versäumnisse führen zur persönlichen Haftung (§ 38 BSIG).
3. **Meldepflichten:** Erhebliche Sicherheitsvorfälle sind dreistufig zu melden – Frühwarnung binnen 24 Stunden, Folgemeldung binnen 72 Stunden, Abschlussbericht nach einem Monat (§ 32 BSIG). Das funktioniert nur mit vorbereiteten Prozessen.

Die zehn Mindestmaßnahmen nach § 30 BSIG

Kern des Gesetzes ist ein Katalog von zehn Risikomanagement-Maßnahmen, die jede betroffene Einrichtung umsetzen muss:

1. Risikoanalyse und Sicherheitskonzepte
2. Bewältigung von Sicherheitsvorfällen
3. Backups, Notfallwiederherstellung und Krisenmanagement
4. Sicherheit der Lieferkette
5. Sicherheit bei Beschaffung, Entwicklung und Wartung (inkl. Schwachstellenmanagement)
6. Bewertung der Wirksamkeit der Maßnahmen
7. Cyberhygiene und Schulungen
8. Kryptografie und Verschlüsselung
9. Personalsicherheit, Zugriffskontrolle und Asset-Management
10. Multi-Faktor-Authentifizierung und sichere Kommunikation

Die gute Nachricht: Wer bereits nach ISO 27001 arbeitet oder ein ISMS betreibt, deckt vieles davon ab. Für alle anderen gilt – priorisieren statt paralysieren.

Wo Sie am schnellsten Wirkung erzielen

Auffällig ist, wie viele der zehn Maßnahmen auf dasselbe Thema einzahlen: privilegierte Zugriffe. Zugriffskontrolle (9), MFA (10), die Absicherung von Dienstleistern in der Lieferkette (4) und die lückenlose Dokumentation für Nachweis- und Meldepflichten lassen sich mit einer Privileged-Access-Management-Lösung in einem Schritt adressieren.

Mit [VISULOX](https://amitego.com) laufen externe und interne privilegierte Zugriffe über einen zentralen Zugangspunkt – mit MFA, Just-in-Time-Freigaben und revisionssicherer Session-Aufzeichnung, agentenlos implementiert in unter zwei Tagen. Wie das im Detail funktioniert, zeigt unser [PAM-Einsteiger-Guide](LINK-WHITEPAPER).

Die Checkliste: drei Seiten, drei Schritte

Damit Sie nicht bei null starten, haben wir die wichtigsten To-dos in einer kompakten PDF-Checkliste zusammengefasst:

- **Schritt 1 – Betroffenheit prüfen:** Sektor, Schwellenwerte, BSI-Betroffenheitsprüfung, Einstufung
- **Schritt 2 – Registrierung & Governance:** BSI-Portal, Kontaktstelle, Pflichten der Geschäftsleitung
- **Schritt 3 – Maßnahmen umsetzen:** alle zehn § 30-Maßnahmen zum Abhaken, plus Meldekette für den Ernstfall

Drucken, abhaken, Lücken erkennen – und mit klaren Prioritäten in die Umsetzung gehen.