Mocum
CybersecrurityCompliance

NIS2 in Deutschland: Zwischen Millionen-Bußgeldern und Vollzugs-Realität

Am 13. November 2025 hat der Bundestag das NIS2-Umsetzungsgesetz verabschiedet - über ein Jahr nach der EU-Frist. Statt 4.500 müssen künftig über 30.000 deutsche Unternehmen verschärfte Cybersicherheitspflichten erfüllen.

VonLouis Pfeiffer
NIS2-Umsetzungsgesetz - 30.000 Unternehmen betroffen, Millionen-Bußgelder drohen. Doch was passiert wirklich? Realitätscheck zur deutschen Cybersicherheit.

Am 13. November 2025 hat der Deutsche Bundestag das NIS2-Umsetzungsgesetz verabschiedet, über ein Jahr nach der ursprünglich von der EU gesetzten Frist vom 17. Oktober 2024. Das Gesetz erweitert den Kreis der regulierten Unternehmen drastisch. Statt bisher rund 4.500 Betreibern kritischer Infrastrukturen müssen künftig über 30.000 Unternehmen in 18 Sektoren umfassende Cybersicherheitsmaßnahmen umsetzen (Das sind nur die direkt betroffenen Unternehmen). Betroffen sind alle Unternehmen ab 250 Mitarbeitern oder mit mehr als 50 Millionen Euro Jahresumsatz. Das Gesetz sieht keine Übergangsfrist vor, ab Inkrafttreten, voraussichtlich Anfang 2026, müssen alle Anforderungen erfüllt sein. Zu den möglichen Bußgeldern und der Umsetzung später mehr.

Was ändert sich durch NIS2?

Die NIS2-Richtlinie baut auf ihrer Vorgängerin von 2016 auf, geht aber deutlich weiter. Statt nur sieben Sektoren umfasst sie nun 18 kritische Bereiche. Das deutsche Umsetzungsgesetz unterscheidet dabei zwischen zwei Kategorien: "Besonders wichtige Einrichtungen" (die bisherigen KRITIS-Betreiber plus große Unternehmen) und "wichtige Einrichtungen" nach Unternehmensgröße. Hierbei stehen die Unternehmen allerdings in der Eigenverantwortung, die NIS2 Betroffenheit zu prüfen.

Doch Vorsicht vor vorschnellen Schlüssen. Die Betroffenheit hängt nicht nur von der Unternehmensgröße ab, sondern auch davon, in welchem Sektor das Unternehmen tätig ist und welche Dienstleistungen es erbringt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet deshalb eine systematische Betroffenheitsprüfung an. Diese Prüfung ist essentiell, denn viele Betriebe unterschätzen ihre Relevanz. Besonders in neu regulierten Bereichen wie der Lebensmittelproduktion oder bei digitalen Dienstleistern.

Die neuen Pflichten umfassen Risikomanagement, Vorfallsmeldungen binnen 24 Stunden an das BSI, regelmäßige Sicherheitsaudits und umfassende Dokumentation aller Cybersicherheitsmaßnahmen. Anders als bisher reicht es nicht mehr, nur die IT-Abteilung zu beauftragen: Die Geschäftsleitung trägt persönlich die Verantwortung und muss nachweislich geschult werden.

Die Bußgeld-Realität

Die Zahlen, die erschrecken sollen

Die Bußgeldandrohungen des NIS2-Umsetzungsgesetzes haben es in sich. Bei schwerwiegenden Verstößen drohen Geldstrafen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, wenn der Gesamtumsatz des Unternehmens über 500 Mio. EUR liegt. Zusätzlich wichtig ist, dass erstmalig die Geschäftsleitung persönlich für Verstöße gegen die Sicherheitspflichten. Es ist somit nicht mehr möglich sich hinter dem Kollektiv zu verstecken.

Besonders wichtig ist, dass es keine Übergangszeit gibt, die Anforderungen von NIS2 müssen theoretisch ab dem Inkrafttreten umgesetzt sein. Während andere Gesetze Übergangsfristen von ein bis zwei Jahren gewähren, heißt es bei NIS2: sofort compliant oder Bußgeld. Diese Härte ist dem Zeitdruck geschuldet – Deutschland ist bereits über ein Jahr im Verzug.

Die Realität hinter den Zahlen

Doch zwischen Gesetzestext und Vollzugspraxis liegen Welten. Das BSI, das als zentrale Aufsichtsbehörde fungiert, steht vor einer monumentalen Herausforderung. Statt bisher rund 100 KRITIS-Betreiber zu überwachen, müssen künftig über 30.000 Unternehmen kontrolliert werden, eine Verfünfzigfachung der Aufgaben praktisch über Nacht. Selbst mit Personalaufwuchs und digitalen Hilfsmitteln ist fraglich, ob flächendeckende Kontrollen in den ersten Jahren realistisch sind.

Zusätzlich entfallen Präzedenzfälle für die Bußgeld-Praxis völlig. Niemand weiß, ob Deutschland tatsächlich den harten Kurs fahren wird, den das Gesetz auf dem Papier vorsieht. Die politische Realität spricht eher dagegen. Will eine Regierung wirklich mittelständische Unternehmen mit Millionenbußen überziehen, die gerade die digitale Transformation bewältigen müssen? Andere EU-Staaten wie die Niederlande setzen bewusst auf einen kooperativen Ansatz mit Beratung vor Bestrafung.

Ein Blick auf die DSGVO-Entwicklung kann an dieser Stelle als Vorbild dienen. Als die Datenschutzgrundverordnung 2018 in Kraft trat, verhängten deutsche Behörden zunächst nur symbolische Bußgelder. Erst nach Jahren entwickelte sich eine schärfere Sanktionspraxis. Bei NIS2 dürfte sich ein ähnliches Muster abzeichnen. Bevor die Behörden allerdings überhaupt in der Lage sind, entsprechend großflächig zu prüfen, müssen Kapazitäten aufgebaut werden. Deshalb bleibt es zu Beginn der Umsetzung wahrscheinlich eher bei symbolischen Bußgeldern, auch um Präzedenzfälle zu schaffen. Die großen Bußgelder kommen vermutlich erst, wenn sich Unternehmen nach mehrfachen Warnungen weiterhin beratungsresistent zeigen oder schwerwiegende Vorfälle durch grobe Fahrlässigkeit verursachen.

NIS2 führt zum Mittelstand-Dilemma

Der deutsche Mittelstand steht vor einem fundamentalen Problem. NIS2 trifft eine Unternehmenslandschaft, die digital oft noch nicht ausreichend aufgestellt ist. Während größere Konzerne bereits spezialisierte Cybersicherheitsteams haben, fehlen vielen KMU nicht nur die Budgets für entsprechende Experten, sondern oft auch das grundlegende Verständnis für digitale Sicherheitsrisiken. In mittelständischen Betrieben übernehmen Mitarbeitende häufig mehrere Rollen. Der Produktionsleiter kümmert sich nebenbei um die IT, die Buchhaltung verwaltet gleichzeitig die Kundendaten.

Die Realität ist aber, IT-Sicherheitsexperten sind Mangelware. Ein mittelständischer Maschinenbauer aus der Provinz konkurriert dabei mit Tech-Konzernen aus München oder Frankfurt um dieselben Talente. Gleichzeitig fehlt vielen KMU das Bewusstsein dafür, dass Cybersicherheit längst zur Existenzfrage geworden ist. Eine Studie zeigt, dass 32 Prozent der befragten mittelständischen Unternehmen erlebten in den letzten drei Jahren schwerwiegende Sicherheitsvorfälle.

Druck durch die Lieferkette

Das eigentliche Problem von NIS2 liegt jedoch tiefer. Denn auch Unternehmen, die formal nicht unter die Richtlinie fallen, geraten massiv unter Druck, wenn ihre Kunden NIS2-pflichtig sind.

Ein Beispiel: Ein Automobilzulieferer mit 180 Mitarbeitern fällt nicht direkt unter NIS2. Doch seine Abnehmer – große Automobilhersteller – sind verpflichtet, ihre Lieferketten abzusichern. Plötzlich muss auch der kleine Zulieferer Cybersicherheitsstandards erfüllen, eventuell Zertifizierungen vorweisen oder umfassende Dokumentation liefern.

Dieser "Compliance-Durchgriff" betrifft potenziell zehntausende kleiner Unternehmen, die eigentlich nie im Fokus des Gesetzgebers standen. Ein regionaler IT-Dienstleister, der Software für ein NIS2-pflichtiges Krankenhaus wartet, braucht möglicherweise ISO 27001-Zertifizierungen und umfassende Incident-Response-Pläne.

Während das Gesetz offiziell nur 30.000 Unternehmen direkt betrifft, werden indirekt hunderttausende weitere in die Pflicht genommen.

Zeitdruck ohne Realitätsbezug

Offiziell tritt NIS2 ohne Übergangsfrist in Kraft, theoretisch müssen alle Anforderungen ab Ende 2025 oder Anfang 2026 erfüllt sein. Die Realität sieht anders aus. Das BSI muss erst einmal die Kapazitäten aufbauen, um 30.000 statt bisher 100 Unternehmen zu überwachen. Bis flächendeckende Kontrollen möglich sind, werden Jahre vergehen. Diese Diskrepanz zwischen gesetzlichem Anspruch und behördlicher Durchsetzbarkeit schafft eine gefährliche Rechtsunsicherheit. Niemand weiß, wann und wie scharf kontrolliert wird, aber das Damoklesschwert der Millionen-Bußgelder hängt trotzdem über den Unternehmen.

Die Cybersicherheitslandschaft von morgen

NIS2 markiert den Übergang von freiwilliger zu verpflichtender Cybersicherheit und macht Compliance zum neuen Hygienefaktor der deutschen Wirtschaft. Was heute noch als lästige Pflichtübung empfunden wird, entwickelt sich zum strategischen Differenzierungsmerkmal. Unternehmen, die über die Mindestanforderungen hinausgehen, können sich als vertrauenswürdige Partner positionieren und Wettbewerbsvorteile generieren.

Die zunehmende Digitalisierung und Regulierung schaffen gleichzeitig neue Geschäftsmodelle. ISMS-as-a-Service-Anbieter boomen bereits, automatisierte Compliance-Tools werden für mittelständische Unternehmen unverzichtbar. Der Markt für Cybersicherheits-Dienstleistungen wächst rasant.

Besonders spannend ist die Entwicklung vom IT-Grundschutz++. Das BSI revolutioniert seinen bewährten Standard mit maschinenlesbaren Regeln, automatisierten Compliance-Checks und GitHub-basierter Entwicklung. Statt PDF-Checklisten gibt es künftig JSON-Dateien, statt manueller Audits kontinuierliche Überwachung. Dieser Ansatz könnte Deutschland vom europäischen Nachzügler zum Vorreiter für automatisierte Cybersicherheit machen.

Die Cybersicherheitslandschaft wird damit effizienter, messbarer und letztendlich auch wirksamer. NIS2 war nur der Anfang einer umfassenden Digitalisierung der Compliance-Welt.

Tags:

#NIS2#EU#BSI