Seit Juni 2026 ist das Registrierungsportal des BSI offen – und für rund 29.500 Unternehmen in Deutschland wird NIS2 damit vom abstrakten EU-Thema zur konkreten Pflicht. Wer als „besonders wichtige“ oder „wichtige“ Einrichtung betroffen ist, muss sich binnen drei Monaten registrieren. Bei Versäumnissen drohen Bußgelder bis in den zweistelligen Millionenbereich – und persönliche Haftung der Geschäftsführung. Höchste Zeit also, Klarheit zu schaffen.
Was ist NIS2 – und warum trifft es jetzt den Mittelstand?
NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. In deutsches Recht gegossen wird sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Der entscheidende Unterschied zur Vorgängerregelung: Der Kreis der betroffenen Unternehmen wächst deutlich. Waren früher vor allem große Betreiber „kritischer Infrastrukturen“ gemeint, fallen nun rund 18 Sektoren und viele mittelständische Betriebe darunter – laut BSI erstmals rund 29.500 „besonders wichtige“ und „wichtige“ Einrichtungen.
Der Grund für die Verschärfung ist real: Laut Lagebild des BSI zielen inzwischen fast 80 Prozent aller Ransomware-Angriffe gezielt auf den Mittelstand. Angreifer wissen, dass hier oft handfeste Werte auf schlanke IT-Sicherheitsbudgets treffen.
Cybersicherheit ist keine Frage der Unternehmensgröße mehr – sondern eine Frage der Lieferkette. Wer für ein betroffenes Unternehmen produziert oder Software liefert, wird selbst Teil von dessen Sicherheitsanforderungen.
Die Registrierung beim BSI: Portal offen, Frist läuft
Der erste handfeste Schritt ist die Registrierung. Seit Juni 2026 stellt das BSI dafür ein Portal bereit; die Anmeldung läuft über das Organisationskonto („Mein Unternehmenskonto“ / ELSTER) und anschließend das BSI-Portal. Wichtig: Eine behördliche Einladung gibt es nicht – betroffene Unternehmen müssen sich selbst melden, und zwar in der Regel binnen drei Monaten, nachdem sie erstmals betroffen sind.
Genau hier liegt die Tücke: Viele Mittelständler sind sich schlicht nicht sicher, ob sie überhaupt gemeint sind – und werden deshalb gar nicht erst aktiv. Dabei ist die Registrierung nur der formale Anfang. Die eigentlichen Anforderungen an Risikomanagement, Meldewege und die Absicherung der Lieferkette gelten unabhängig davon.
Bin ich betroffen? Drei Faustregeln
Eine rechtssichere Einordnung braucht immer den Einzelfall, aber diese Anhaltspunkte helfen bei der ersten Selbsteinschätzung:
- Größe: In der Regel ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz – kombiniert mit der Zugehörigkeit zu einem der regulierten Sektoren.
- Sektor: Von Energie, Gesundheit und Transport über Maschinenbau und Automotive bis zu digitalen Diensten und IT-Dienstleistern reicht das Spektrum deutlich weiter als früher.
- Lieferkette: Auch wer selbst unter den Schwellen liegt, kann indirekt in die Pflicht kommen – nämlich als Zulieferer oder IT-Dienstleister eines betroffenen Unternehmens.
Was jetzt konkret zu tun ist
Wer die Zeit sinnvoll nutzen will, sollte pragmatisch vorgehen:
- Betroffenheit klären: Sektor, Größe und Konzernstruktur sauber prüfen – gerade Zurechnungsfragen führen häufig zu Fehleinschätzungen.
- Registrieren: Bei Betroffenheit die Meldung über das BSI-Portal fristgerecht vornehmen.
- Risikomanagement aufsetzen: Technische und organisatorische Maßnahmen dokumentieren – von Zugriffskonzepten über Backups bis zur Notfallplanung.
- Meldewege etablieren: Sicherheitsvorfälle müssen künftig fristgebunden gemeldet werden. Die internen Prozesse dafür sollten stehen.
- Software und Lieferkette absichern: Welche Anwendungen und Dienstleister verarbeiten sensible Daten? Eine sauber gebaute, wartbare Software-Landschaft ist hier die halbe Miete.
Wo NIS2 und Künstliche Intelligenz aufeinandertreffen
Mit der schnellen Verbreitung generativer KI in Geschäftsprozessen hat sich die Angriffsfläche spürbar verschoben. Ein anschauliches Beispiel: Ein Vertriebsteam, das Kundendaten ohne Auftragsverarbeitungsvertrag in einen öffentlichen Chatbot kippt, produziert im Zweifel einen meldepflichtigen Sicherheitsvorfall – nicht nur ein Datenschutzproblem.
Für Unternehmen, die KI einsetzen, greifen damit NIS2 und die EU-KI-Verordnung ineinander. Und der Kalender macht es nicht leichter: Am 2. August 2026 greifen die Transparenzpflichten des EU AI Act. Beide Themen zusammen zu denken, spart Doppelarbeit und schließt Lücken, bevor sie zum Risiko werden.
Fazit: aus Pflicht einen Vorsprung machen
NIS2 ist lästig – aber die Anforderungen sind im Kern schlicht guter IT-Betrieb: klare Zuständigkeiten, saubere Prozesse, abgesicherte Software und eine belastbare Lieferkette. Unternehmen, die das jetzt strukturiert angehen, erfüllen nicht nur eine gesetzliche Pflicht, sondern werden nebenbei widerstandsfähiger gegen genau die Angriffe, die den Mittelstand aktuell am härtesten treffen. Wenn Sie bei der Betroffenheitsprüfung, der Absicherung Ihrer Software-Landschaft oder der Bewertung von Dienstleistern Unterstützung brauchen, sprechen Sie uns an.
Weiterführende Quellen
- BSI – NIS-2-regulierte Unternehmen (Betroffenheit, Pflichten, Registrierung)
- DIHK – NIS-2: Mehr Verantwortung für Cybersicherheit ab 2026
- Europäische Kommission – Regulatory framework on Artificial Intelligence
Hinweis: Dieser Beitrag gibt den öffentlich berichteten Stand wieder und ersetzt keine individuelle Rechtsberatung. Ob und in welchem Umfang Ihr Unternehmen betroffen ist, sollte im Einzelfall geprüft werden.
Sie möchten das in Ihrem Unternehmen umsetzen? Wir unterstützen Sie pragmatisch – von der Idee bis zum Betrieb.