NIS2: Welche Pflichten Thüringer Mittelständler jetzt haben

Das deutsche NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Betroffen sind rund 29.500 Unternehmen — grob: ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in einem der 18 regulierten Sektoren. Die Kernpflichten: Registrierung beim BSI, Risikomanagement-Maßnahmen nach § 30 BSIG, Meldung erheblicher Sicherheitsvorfälle (24 h / 72 h / 1 Monat) und persönliche Verantwortung der Geschäftsleitung. Übergangsfristen gibt es nicht.

Bin ich betroffen? Die Schwellenwerte

NIS2 unterscheidet besonders wichtige Einrichtungen und wichtige Einrichtungen. Für den Mittelstand ist meist die zweite Kategorie relevant: mindestens 50 Mitarbeitende oder mehr als 10 Mio. € Jahresumsatz und Tätigkeit in einem der 18 Sektoren — darunter Fertigung/Maschinenbau, Lebensmittelproduktion, Chemie, Entsorgung, Logistik, digitale Dienste und Energieversorgung. Für Thüringen bedeutet das: Viele klassische Fertigungs- und Zulieferbetriebe, die sich nie als „kritische Infrastruktur" verstanden haben, fallen jetzt unter die Regulierung. Auch wer selbst unter den Schwellen liegt, spürt NIS2 oft indirekt — als Zulieferer in der Lieferkette eines regulierten Kunden.

Die vier Kernpflichten

1. Registrierung beim BSI

Betroffene Einrichtungen müssen sich selbst identifizieren und beim Bundesamt für Sicherheit in der Informationstechnik registrieren — die erste Registrierungswelle lief bis zum 6. März 2026. Wer das versäumt hat, sollte die Registrierung umgehend nachholen; die Pflicht besteht fort.

2. Risikomanagement nach § 30 BSIG

Das Gesetz verlangt Maßnahmen in zehn Bereichen, unter anderem: Risikoanalyse und Sicherheitskonzepte, Umgang mit Sicherheitsvorfällen, Backup- und Krisenmanagement, Sicherheit der Lieferkette, sichere Entwicklung und Beschaffung, Schulungen, Kryptografie, Zugriffskontrolle und Multifaktor-Authentifizierung — sowie die Bewertung der Wirksamkeit dieser Maßnahmen. Genau hier setzen dokumentierte Sicherheitsprüfungen an: Ein Penetrationstest liefert den empirischen Wirksamkeitsnachweis, den Auditoren sehen wollen.

3. Meldepflichten bei Vorfällen

Erhebliche Sicherheitsvorfälle sind gestaffelt zu melden: Frühwarnung binnen 24 Stunden, ausführlichere Meldung binnen 72 Stunden, Abschlussbericht nach einem Monat. Das setzt voraus, dass Vorfälle überhaupt erkannt werden — ohne Monitoring und klare interne Prozesse ist die Frist nicht zu halten.

4. Verantwortung der Geschäftsleitung

Nach § 38 BSIG muss die Geschäftsleitung die Risikomanagement-Maßnahmen selbst billigen, ihre Umsetzung überwachen und sich regelmäßig schulen. Diese Pflicht ist nicht delegierbar — Geschäftsführer haften bei Verstößen persönlich mit ihrem Privatvermögen.

Was droht bei Verstößen?

Die Bußgelder reichen je nach Kategorie bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen (7 Mio. € bzw. 1,4 % für wichtige Einrichtungen). Dazu kommen Aufsichtsmaßnahmen des BSI — von Anordnungen bis zur Prüfung vor Ort.

Pragmatischer Fahrplan für den Mittelstand

  1. Betroffenheit prüfen und dokumentieren — auch ein begründetes „nicht betroffen" gehört in die Akte.
  2. BSI-Registrierung erledigen bzw. nachholen.
  3. Ist-Aufnahme: Welche der zehn Maßnahmenbereiche sind abgedeckt, wo sind Lücken? (Gap-Analyse)
  4. Technische Basis prüfen: Ein Schwachstellenscan oder Pentest zeigt, wie es real um die Angriffsfläche steht — und liefert die Prioritätenliste gleich mit.
  5. Meldeprozess definieren: Wer erkennt, wer entscheidet, wer meldet binnen 24 Stunden?
  6. Geschäftsleitung schulen und die Billigung der Maßnahmen protokollieren.

Fazit

NIS2 ist seit Dezember 2025 geltendes Recht ohne Schonfrist. Für Thüringer Mittelständler ist der erste Schritt trivial, aber dringend: Betroffenheit prüfen, registrieren, Lücken ehrlich erfassen. Der dokumentierte Nachweis wirksamer Maßnahmen — etwa durch einen Pentest-Bericht nach CVSS — ist dabei kein Bürokratie-Artefakt, sondern genau das Dokument, das im Audit und gegenüber der Cyber-Versicherung zählt. Fragen zur praktischen Umsetzung? Sprechen Sie uns an.

Hinweis: Dieser Beitrag gibt den Stand Juli 2026 wieder und ersetzt keine Rechtsberatung. Verbindliche Auskünfte zur eigenen Betroffenheit gibt das BSI (bsi.bund.de).

Marc Seeber, Geschäftsführer der Shared Business Service UG
Marc Seeber
Geschäftsführer und Gründer der Shared Business Service UG (Westgreußen, Thüringen). Führt Penetrationstests für KMU durch und unterstützt Unternehmen bei Buchhaltung, E-Rechnung und Backoffice-Prozessen. IHK-Mitglied Erfurt, HRB 524180 AG Jena. Kontakt: info@sbs-ug.de · 0171 4108980

Unverbindlich anfragen

Schildern Sie uns kurz Ihre Situation — Sie erhalten innerhalb von 24 Stunden eine konkrete Rückmeldung mit Vorschlag und Preisrahmen.