Bin ich betroffen? Die Schwellenwerte
NIS2 unterscheidet besonders wichtige Einrichtungen und wichtige Einrichtungen. Für den Mittelstand ist meist die zweite Kategorie relevant: mindestens 50 Mitarbeitende oder mehr als 10 Mio. € Jahresumsatz und Tätigkeit in einem der 18 Sektoren — darunter Fertigung/Maschinenbau, Lebensmittelproduktion, Chemie, Entsorgung, Logistik, digitale Dienste und Energieversorgung. Für Thüringen bedeutet das: Viele klassische Fertigungs- und Zulieferbetriebe, die sich nie als „kritische Infrastruktur" verstanden haben, fallen jetzt unter die Regulierung. Auch wer selbst unter den Schwellen liegt, spürt NIS2 oft indirekt — als Zulieferer in der Lieferkette eines regulierten Kunden.
Die vier Kernpflichten
1. Registrierung beim BSI
Betroffene Einrichtungen müssen sich selbst identifizieren und beim Bundesamt für Sicherheit in der Informationstechnik registrieren — die erste Registrierungswelle lief bis zum 6. März 2026. Wer das versäumt hat, sollte die Registrierung umgehend nachholen; die Pflicht besteht fort.
2. Risikomanagement nach § 30 BSIG
Das Gesetz verlangt Maßnahmen in zehn Bereichen, unter anderem: Risikoanalyse und Sicherheitskonzepte, Umgang mit Sicherheitsvorfällen, Backup- und Krisenmanagement, Sicherheit der Lieferkette, sichere Entwicklung und Beschaffung, Schulungen, Kryptografie, Zugriffskontrolle und Multifaktor-Authentifizierung — sowie die Bewertung der Wirksamkeit dieser Maßnahmen. Genau hier setzen dokumentierte Sicherheitsprüfungen an: Ein Penetrationstest liefert den empirischen Wirksamkeitsnachweis, den Auditoren sehen wollen.
3. Meldepflichten bei Vorfällen
Erhebliche Sicherheitsvorfälle sind gestaffelt zu melden: Frühwarnung binnen 24 Stunden, ausführlichere Meldung binnen 72 Stunden, Abschlussbericht nach einem Monat. Das setzt voraus, dass Vorfälle überhaupt erkannt werden — ohne Monitoring und klare interne Prozesse ist die Frist nicht zu halten.
4. Verantwortung der Geschäftsleitung
Nach § 38 BSIG muss die Geschäftsleitung die Risikomanagement-Maßnahmen selbst billigen, ihre Umsetzung überwachen und sich regelmäßig schulen. Diese Pflicht ist nicht delegierbar — Geschäftsführer haften bei Verstößen persönlich mit ihrem Privatvermögen.
Was droht bei Verstößen?
Die Bußgelder reichen je nach Kategorie bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen (7 Mio. € bzw. 1,4 % für wichtige Einrichtungen). Dazu kommen Aufsichtsmaßnahmen des BSI — von Anordnungen bis zur Prüfung vor Ort.
Pragmatischer Fahrplan für den Mittelstand
- Betroffenheit prüfen und dokumentieren — auch ein begründetes „nicht betroffen" gehört in die Akte.
- BSI-Registrierung erledigen bzw. nachholen.
- Ist-Aufnahme: Welche der zehn Maßnahmenbereiche sind abgedeckt, wo sind Lücken? (Gap-Analyse)
- Technische Basis prüfen: Ein Schwachstellenscan oder Pentest zeigt, wie es real um die Angriffsfläche steht — und liefert die Prioritätenliste gleich mit.
- Meldeprozess definieren: Wer erkennt, wer entscheidet, wer meldet binnen 24 Stunden?
- Geschäftsleitung schulen und die Billigung der Maßnahmen protokollieren.
Fazit
NIS2 ist seit Dezember 2025 geltendes Recht ohne Schonfrist. Für Thüringer Mittelständler ist der erste Schritt trivial, aber dringend: Betroffenheit prüfen, registrieren, Lücken ehrlich erfassen. Der dokumentierte Nachweis wirksamer Maßnahmen — etwa durch einen Pentest-Bericht nach CVSS — ist dabei kein Bürokratie-Artefakt, sondern genau das Dokument, das im Audit und gegenüber der Cyber-Versicherung zählt. Fragen zur praktischen Umsetzung? Sprechen Sie uns an.
Hinweis: Dieser Beitrag gibt den Stand Juli 2026 wieder und ersetzt keine Rechtsberatung. Verbindliche Auskünfte zur eigenen Betroffenheit gibt das BSI (bsi.bund.de).
Unverbindlich anfragen
Schildern Sie uns kurz Ihre Situation — Sie erhalten innerhalb von 24 Stunden eine konkrete Rückmeldung mit Vorschlag und Preisrahmen.