NIS2UmsuCG in Kraft seit 6. Dezember 2025

NIS2-Beratung für den Mittelstand

Das deutsche NIS2-Umsetzungsgesetz gilt – ohne Übergangsfrist. Als IT-Systemhaus in Düsseldorf begleiten wir kleine und mittlere Unternehmen in ganz NRW von der Betroffenheitsanalyse über das Gap-Assessment bis zum nachweisbaren Betrieb aller geforderten Sicherheitsmaßnahmen. Pragmatisch, dokumentiert und ohne Panikmache.

Meldefrist für Erstmeldungen an das BSI
24 h
Meldefrist für Erstmeldungen an das BSI
Bußgeldrahmen für besonders wichtige Einrichtungen
10 Mio. €
Bußgeldrahmen für besonders wichtige Einrichtungen
regulierte Sektoren nach BSI-Gesetz
18
regulierte Sektoren nach BSI-Gesetz
Übergangsfrist – das Gesetz gilt seit 06.12.2025
0 Tage
Übergangsfrist – das Gesetz gilt seit 06.12.2025

Was ist NIS2? Die EU-Richtlinie und das NIS2UmsuCG

NIS2 ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie verpflichtet deutlich mehr Unternehmen als ihr Vorgänger zu einem nachweisbaren Cybersicherheits-Niveau – nicht mehr nur klassische KRITIS-Betreiber, sondern breite Teile des Mittelstands: vom Maschinenbauer über den Lebensmittelhersteller bis zum IT-Dienstleister.

In Deutschland wurde die Richtlinie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft getreten ist. Es schreibt die Anforderungen in das BSI-Gesetz und unterscheidet zwei Kategorien: besonders wichtige Einrichtungen und wichtige Einrichtungen – mit abgestuften Pflichten und Bußgeldern.

Entscheidend für den Mittelstand: Das Gesetz kennt keine Übergangsfrist. Die Pflichten – Risikomanagement, Registrierung beim BSI, Meldung erheblicher Vorfälle – gelten seit dem Tag des Inkrafttretens. Die dreimonatige Registrierungsfrist für von Beginn an betroffene Unternehmen ist im März 2026 abgelaufen; wer noch nicht registriert ist, sollte das umgehend nachholen.

NIS2 auf einen Blick

EU-Richtlinie
NIS2 (EU 2022/2555) – Nachfolger der NIS-Richtlinie von 2016
Deutsches Gesetz
NIS2-Umsetzungsgesetz (NIS2UmsuCG), novelliert das BSI-Gesetz (BSIG)
In Kraft seit
6. Dezember 2025 – ohne Übergangsfrist
Betroffene Unternehmen
rund 29.500 Einrichtungen in Deutschland (BSI-Schätzung)
Aufsichtsbehörde
Bundesamt für Sicherheit in der Informationstechnik (BSI)

Wer ist von NIS2 betroffen? Sektoren und Schwellenwerte

Ob Ihr Unternehmen unter das Gesetz fällt, entscheiden zwei Fragen: Sind Sie in einem der 18 regulierten Sektoren tätig? Und überschreiten Sie die Größenschwellen? Als Faustregel gilt: ab 50 Mitarbeitenden oder mehr als 10 Mio. € Jahresumsatz und Bilanzsumme ist ein Unternehmen in einem regulierten Sektor mindestens eine „wichtige Einrichtung“. Ab 250 Mitarbeitenden oder über 50 Mio. € Umsatz (bei mehr als 43 Mio. € Bilanzsumme) wird ein Unternehmen der Anlage-1-Sektoren zur „besonders wichtigen Einrichtung“ – ebenso Betreiber kritischer Anlagen, unabhängig von der Größe.

Anlage 1 · Hohe Kritikalität

Sektoren mit hoher Kritikalität

  • Energie (Strom, Gas, Wasserstoff, Fernwärme, Öl)
  • Transport und Verkehr (Luft, Schiene, Wasser, Straße)
  • Finanz- und Versicherungswesen
  • Gesundheit (Versorger, Labore, Pharma, Medizintechnik-Forschung)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Rechenzentren, Cloud, DNS, TLD)
  • Verwaltung von IKT-Diensten (Managed Services, MSSP)
  • Weltraum
Anlage 2 · Sonstige kritische Sektoren

Sonstige kritische Sektoren

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Produktion, Herstellung, Handel)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe (u. a. Maschinenbau, Fahrzeugbau, Elektronik, Medizinprodukte)
  • Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Unsicher, ob Ihr Unternehmen betroffen ist? Gerade im verarbeitenden Gewerbe und bei Zulieferern ist die Einordnung oft nicht eindeutig. Unser kostenloser Betroffenheits-Check liefert in rund drei Minuten eine erste, ehrliche Einschätzung – inklusive Einordnung als wichtige oder besonders wichtige Einrichtung.

Zum NIS2 Betroffenheits-Check

NIS2-Pflichten: Risikomanagement, Meldepflichten, Registrierung

Das novellierte BSI-Gesetz formuliert konkrete Mindestmaßnahmen – keine vagen Empfehlungen. Diese sechs Pflichtenfelder muss jedes betroffene Unternehmen abdecken und die Umsetzung gegenüber dem BSI nachweisen können:

Risikomanagement nach § 30 BSIG

Betroffene Unternehmen müssen technische und organisatorische Maßnahmen nach Stand der Technik umsetzen: Risikoanalysen, Zugriffs- und Berechtigungskonzepte, Verschlüsselung, Multi-Faktor-Authentifizierung, Schwachstellen-Management sowie Konzepte zur Bewertung der Wirksamkeit – dokumentiert und nachweisbar.

Meldepflichten: 24 h / 72 h / 1 Monat

Erhebliche Sicherheitsvorfälle sind dem BSI in drei Stufen zu melden: Erstmeldung binnen 24 Stunden, bewertende Folgemeldung binnen 72 Stunden, Abschlussbericht spätestens nach einem Monat. Ohne Monitoring, das Vorfälle überhaupt erkennt, ist diese Frist praktisch nicht einzuhalten.

Registrierung beim BSI

Wichtige und besonders wichtige Einrichtungen müssen sich innerhalb von drei Monaten nach Eintritt der Betroffenheit über das BSI-Portal registrieren und eine erreichbare Kontaktstelle benennen. Eine unterlassene Registrierung ist bußgeldbewehrt.

Sicherheit der Lieferkette

NIS2 verlangt, die Cybersicherheit entlang der Lieferkette zu managen: Dienstleister und Zulieferer müssen bewertet, vertragliche Sicherheitsanforderungen definiert und kritische Abhängigkeiten dokumentiert werden. Regulierte Kunden reichen diese Pflicht an ihre Lieferanten weiter.

Business Continuity & Backup

Gefordert sind Konzepte zur Aufrechterhaltung des Betriebs: Backup-Management, Wiederherstellungspläne und Krisenmanagement. Ein regelmäßig getestetes, gegen Ransomware gehärtetes Backup ist damit keine Kür mehr, sondern gesetzliche Anforderung.

Pflichten der Geschäftsleitung

Die Geschäftsleitung muss die Risikomanagement-Maßnahmen selbst billigen und ihre Umsetzung überwachen – und regelmäßig an Schulungen zur Cybersicherheit teilnehmen. Diese Verantwortung lässt sich nicht vollständig an die IT-Abteilung oder externe Dienstleister delegieren.

NIS2-Bußgelder und Geschäftsleitungshaftung

Das BSI-Gesetz staffelt die Bußgelder nach Schwere des Verstoßes und Kategorie der Einrichtung. Die Obergrenzen orientieren sich bewusst an der DSGVO – NIS2 ist als Aufsichtsrecht mit Durchsetzungswillen konzipiert, nicht als Papiertiger:

Besonders wichtige Einrichtungen
bis 10 Mio. €

oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist

Wichtige Einrichtungen
bis 7 Mio. €

oder 1,4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist

Formalverstöße
100.000 – 500.000 €

z. B. unterlassene BSI-Registrierung oder fehlende Erreichbarkeit der Kontaktstelle

Neben dem Unternehmen steht die Geschäftsleitung persönlich in der Pflicht: Geschäftsführer und Vorstände müssen die Risikomanagement-Maßnahmen billigen, deren Umsetzung überwachen und regelmäßig an Cybersicherheits-Schulungen teilnehmen. Verletzen sie diese Überwachungspflicht, kommt eine Haftung gegenüber dem eigenen Unternehmen nach den allgemeinen gesellschaftsrechtlichen Regeln in Betracht.

Für den Mittelstand heißt das: NIS2-Compliance ist Chefsache. Ein dokumentierter Umsetzungsplan, klare Verantwortlichkeiten und regelmäßige Berichte an die Geschäftsführung sind der wirksamste Schutz – sowohl gegen Bußgelder als auch gegen persönliche Haftungsrisiken.

Ihr NIS2-Fahrplan mit HUNARI: In vier Schritten zur Compliance

Wir sind kein Beratungshaus, das nach dem Konzept verschwindet – als IT-Systemhaus setzen wir die Maßnahmen selbst um und betreiben sie danach. Ein Ansprechpartner von der Analyse bis zum 24/7-Betrieb, mit Reaktionszeiten unter 30 Minuten im Remote-Support.

  1. 01

    Betroffenheitsanalyse

    Wir klären verbindlich, ob und in welcher Kategorie Ihr Unternehmen unter das BSI-Gesetz fällt: Sektorzuordnung, Größenschwellen, Sonderfälle und Konzernstrukturen. Ergebnis ist eine dokumentierte Einordnung als Grundlage für die BSI-Registrierung.

  2. 02

    Gap-Assessment

    Wir prüfen Ihre IT gegen die Anforderungen des § 30 BSIG: Firewall und Netzwerksegmentierung, Backup und Wiederherstellung, Monitoring, MFA, Patch-Stand, Notfallpläne und Lieferkette. Sie erhalten eine priorisierte Maßnahmenliste mit Aufwandsschätzung – keine 80-seitige Theorie.

  3. 03

    Umsetzung der Maßnahmen

    Wir schließen die Lücken mit bewährter Technik: Fortinet-Firewalls und Netzwerksicherheit, gehärtete Backups mit Veeam oder Acronis, 24/7-Monitoring mit definierten Alarmketten, MFA und Zugriffskonzepte. Jede Maßnahme wird revisionssicher dokumentiert.

  4. 04

    Betrieb & Nachweis

    NIS2 ist keine einmalige Aktion. Im laufenden Betrieb überwachen wir Ihre Systeme rund um die Uhr, halten die Meldeprozesse für die 24-Stunden-Frist bereit und liefern die Dokumentation, mit der Sie Wirksamkeit gegenüber BSI, Kunden und Versicherern nachweisen.

Sie wollen zunächst nur den Ist-Zustand kennen? Unser IT-Security-Audit liefert die technische Bestandsaufnahme, auf der das NIS2 Gap-Assessment aufsetzt.

Häufige Fragen zur NIS2-Beratung

Die Fragen, die Geschäftsführer und IT-Verantwortliche aus dem Mittelstand uns zu NIS2 am häufigsten stellen – ehrlich beantwortet.

Betroffen sind Unternehmen aus 18 regulierten Sektoren, die mindestens 50 Mitarbeitende beschäftigen oder mehr als 10 Mio. € Jahresumsatz und Bilanzsumme erreichen. Dazu zählen u. a. Energie, Transport, Gesundheit, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und IT-Dienstleister. Einzelne Einrichtungen wie Betreiber kritischer Anlagen sind unabhängig von der Größe erfasst. Unser kostenloser NIS2 Betroffenheits-Check liefert in wenigen Minuten eine erste Einordnung.

Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten. Eine Übergangsfrist gibt es nicht: Die Pflichten aus dem novellierten BSI-Gesetz gelten für betroffene Unternehmen seit dem Tag des Inkrafttretens. Wer die Anforderungen noch nicht erfüllt, sollte die Umsetzung jetzt priorisieren.

Das hängt stark vom Reifegrad Ihrer IT ab. Ein strukturiertes Gap-Assessment für ein mittelständisches Unternehmen liegt typischerweise im niedrigen bis mittleren vierstelligen Bereich. Die technische Umsetzung (Firewall, Backup, Monitoring, MFA) reicht je nach Ausgangslage von wenigen tausend Euro bis in den fünfstelligen Bereich. Der laufende Betrieb als Managed Service beginnt bei HUNARI ab ca. 50 € pro Arbeitsplatz und Monat. Nach der kostenlosen Erstanalyse erhalten Sie ein transparentes Festpreisangebot.

Das BSI-Gesetz sieht gestaffelte Bußgelder vor: Für besonders wichtige Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Wert zählt), für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 %. Auch kleinere Verstöße wie eine unterlassene Registrierung oder fehlende Erreichbarkeit können mit Bußgeldern von 100.000 € bis 500.000 € geahndet werden.

Indirekt ja. NIS2 verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu managen. Regulierte Kunden geben diese Anforderungen daher vertraglich an Zulieferer und IT-Dienstleister weiter – etwa über Sicherheitsfragebögen, Mindeststandards oder Auditrechte. Wer als Zulieferer keine belastbaren Sicherheitsnachweise liefern kann, riskiert Aufträge, auch wenn er selbst nicht direkt unter das Gesetz fällt.

Ja. Betroffene Einrichtungen müssen sich innerhalb von drei Monaten nach Eintritt der Betroffenheit über das BSI-Portal registrieren. Für Unternehmen, die seit Inkrafttreten am 6. Dezember 2025 betroffen sind, ist diese Frist bereits abgelaufen – eine Nachregistrierung sollte umgehend erfolgen, denn eine unterlassene Registrierung ist bußgeldbewehrt.

Erhebliche Sicherheitsvorfälle müssen dem BSI in drei Stufen gemeldet werden: eine Erstmeldung innerhalb von 24 Stunden, eine bewertende Folgemeldung innerhalb von 72 Stunden und ein Abschlussbericht spätestens einen Monat nach dem Vorfall. Das setzt voraus, dass Vorfälle überhaupt rechtzeitig erkannt werden – ohne funktionierendes Monitoring ist die 24-Stunden-Frist kaum einzuhalten.

Die Geschäftsleitung ist gesetzlich verpflichtet, die Risikomanagement-Maßnahmen zu billigen und deren Umsetzung zu überwachen – diese Aufgabe kann sie nicht vollständig delegieren. Verletzt sie diese Pflichten, kann sie dem Unternehmen gegenüber nach den allgemeinen gesellschaftsrechtlichen Regeln auf Ersatz des entstandenen Schadens haften. Zusätzlich besteht eine Schulungspflicht: Geschäftsleiter müssen regelmäßig an Cybersicherheits-Schulungen teilnehmen.

Nein, NIS2 schreibt keine bestimmte Zertifizierung vor. Ein Informationssicherheits-Managementsystem nach ISO 27001 deckt aber viele der geforderten Maßnahmen ab und erleichtert den Nachweis erheblich. Für die meisten KMU ist der pragmatische Weg: die konkreten Maßnahmen aus § 30 BSIG strukturiert umsetzen und sauber dokumentieren – eine Zertifizierung kann später folgen, wenn Kunden sie fordern.

Realistisch sind drei bis neun Monate, abhängig vom Ausgangszustand. Betroffenheitsanalyse und Gap-Assessment dauern wenige Wochen. Die technische Umsetzung – Firewall, Backup-Konzept, Monitoring, MFA, Notfallpläne – läuft danach priorisiert nach Risiko. Wichtig: Da das Gesetz keine Übergangsfrist kennt, zählt der nachweisbare Fortschritt. Ein dokumentierter Umsetzungsplan ist besser als monatelanges Abwarten.

NIS2-Compliance in Düsseldorf und NRW: Beratung und Umsetzung aus einer Hand

Viele NIS2-Angebote am Markt enden mit einem Berichtsdokument – die eigentliche Arbeit beginnt danach. HUNARI ist ein IT-Systemhaus in Düsseldorf mit über 150 Kunden in NRW, das beide Seiten abdeckt: die regulatorische Einordnung und die technische Umsetzung. Das Fundament dafür ist unsere IT-Security für den Mittelstand: mehrschichtige Sicherheitsarchitekturen, die die Anforderungen des § 30 BSIG nicht nur auf dem Papier, sondern im laufenden Betrieb erfüllen.

Auf Netzwerkebene setzen wir als zertifizierter Fortinet-Partner auf Next-Generation-Firewalls mit Intrusion Prevention, Segmentierung und zentralem Logging – genau die Bausteine, die NIS2 unter „Stand der Technik“ versteht. Für die geforderte Betriebskontinuität sorgt ein gehärtetes Backup & Disaster Recovery mit Veeam oder Acronis, inklusive unveränderlicher Sicherungen gegen Ransomware und dokumentierter Wiederherstellungstests. Und weil die 24-Stunden-Meldefrist nur einhalten kann, wer Vorfälle überhaupt bemerkt, bildet unser 24/7-Monitoring & RMM das Frühwarnsystem: Anomalien werden erkannt, eskaliert und im Remote-Support typischerweise in unter 30 Minuten aufgegriffen.

Der Einstieg ist bewusst niederschwellig: Mit einem IT-Security-Audit machen wir den Ist-Zustand Ihrer Infrastruktur sichtbar, bevor über Maßnahmen gesprochen wird. Daraus entsteht das NIS2 Gap-Assessment mit priorisierter Maßnahmenliste – nachvollziehbar budgetiert, ohne Angstverkauf. Ob Ihr Unternehmen in Düsseldorf, Köln, Essen oder anderswo in Nordrhein-Westfalen sitzt: Wir sind regional vor Ort und betreiben Ihre Sicherheitsmaßnahmen anschließend als Managed Service weiter, damit die NIS2-Compliance auch in zwei Jahren noch dem entspricht, was das BSI erwartet.

Jetzt NIS2-Betroffenheit klären – bevor es das BSI tut

In einem kostenlosen Erstgespräch klären wir Ihre Betroffenheit, benennen die größten Lücken und skizzieren einen realistischen Fahrplan. Unverbindlich, auf Deutsch und ohne Berater-Buzzwords.

Antwort innerhalb von 24 Stunden · IT-Systemhaus in Düsseldorf · über 150 Kunden in NRW