Das neue NIS2-Umsetzungsgesetz: Herausforderung und Chance für den deutschen Mittelstand

Ein Beitrag von RAin Sarah Kram

Am 13. November 2025 hat der Deutsche Bundestag das lange erwartete NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz („NIS2UmsuCG“) beschlossen – ein Meilenstein, der die Regeln für Cybersicherheit in Deutschland neu justiert und insbesondere für den Mittelstand von großer Bedeutung ist.

Unter das neue Gesetz, welches voraussichtlich Anfang nächsten Jahres in Kraft treten wird, fallen nicht nur die bislang klassischen KRITIS-Akteure, sondern ebenfalls mittelständische Betriebe mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mindestens 10 Mio. Euro.

Betroffene Unternehmen müssen technische und organisatorische Maßnahmen zum Cyber-Risikomanagement etablieren. Dazu gehören unter anderem Verschlüsselung, Zugangskontrollen sowie Krisen- und Notfallpläne.

Neben der internen Sicherheit wird stärker die Lieferkettensicherheit adressiert. Drittanbieter oder Cloud-Anbieter müssen künftig ebenfalls auf Risiken geprüft werden.

Zudem müssen Unternehmen erhebliche Sicherheitsvorfälle binnen 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Erstmeldung übermitteln.

Das BSI erhält durch das neue Gesetz zudem deutlich erweiterte Befugnisse zur Prüfung, zur Anordnung von Maßnahmen und zur Durchsetzung von Sanktionen.

Verstöße können mit Bußgeldern von bis zu 10 Mio. € oder 2 % des Jahresumsatzes geahndet werden.

Darüber hinaus droht eine persönliche Haftung der Geschäftsleitung, wenn Risikomanagementmaßnahmen nicht umgesetzt werden, das bedeutet, Sicherheitsmanagement ist nicht mehr nur „nice to have“, sondern Chefsache.

Unternehmen, die in den Anwendungsbereich des neuen Gesetzes fallen, müssen interne Strukturen aufbauen, Prozesse etablieren und dokumentieren.

In Abgrenzung zum bisher bestehenden präventiven und freiwilligen Cyber-Risiko-Check für kleine und mittlere Unternehmen, stellt das NIS2- Umsetzungsgesetz für Unternehmen, die die oben genannten Schwellenwerte und Sektor-Kriterien erfüllen, ein verbindliches Regularium mit konkreten Pflichten, Meldeanforderungen und Sanktionen dar. Dennoch bietet das neue Gesetz auch Chancen: Unternehmen, die frühzeitig aktiv werden, können ihre Resilienz deutlich steigern, Vertrauen bei Kunden und Partnern stärken und sich wettbewerblich besser positionieren.