6 Monate NIS2-Umsetzungsgesetz: Die ehrliche Zwischenbilanz für den Mittelstand

Vom Compliance-Team | CompliantDesk | Juni 2026

Sechs Monate. So lange ist das deutsche NIS2-Umsetzungsgesetz inzwischen in Kraft. Verkündet am 5. Dezember 2025, gültig seit dem Tag darauf - und anders als viele gehofft hatten, ganz ohne Übergangsfrist. Wer am 6. Dezember betroffen war, war ab dem 6. Dezember in der Pflicht.

Ein halbes Jahr ist genug Abstand für eine ehrliche Standortbestimmung. Und die fällt durchwachsen aus. Viele Unternehmen haben erste Maßnahmen angestoßen, einige haben sich registriert - aber ein großer Teil des betroffenen Mittelstands steht weiterhin am Anfang. Nicht aus Nachlässigkeit, sondern weil die zwei schwierigsten Fragen bis heute unbeantwortet im Raum stehen: Bin ich überhaupt betroffen? Und: Wie weise ich die Umsetzung nach, wenn das Gesetz keine Schonfrist kennt?

Was seit Dezember gilt - und warum es viele unterschätzt haben

Mit dem NIS2UmsuCG wurde das BSI-Gesetz grundlegend reformiert. Rund 29.500 Unternehmen in 18 Sektoren fallen seitdem neu unter Aufsicht - vorher waren es nur etwa 2.000. Das ist kein gradueller Zuwachs, das ist ein Sprung um den Faktor 15.

Betroffen sind zwei Kategorien: wesentliche Einrichtungen ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz in elf zentralen Sektoren, und wichtige Einrichtungen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in sieben weiteren Sektoren. Energie, Logistik, Maschinenbau, Chemie, Abfallwirtschaft, digitale Dienste - viele klassische Mittelständler, die sich nie als „kritische Infrastruktur" verstanden hätten, sind heute mittendrin.

Der entscheidende Punkt, den in den ersten Wochen viele falsch eingeschätzt haben: Es gibt keine Übergangsfrist. Das Gesetz sieht keine Schonfrist für die Implementierung der technischen und organisatorischen Maßnahmen vor. Compliance muss ab dem ersten Tag nachweisbar sein.

Die Registrierung: Frist verpasst - und jetzt?

Das BSI hat sein Meldeportal pünktlich zum 6. Januar 2026 freigeschaltet. Die Registrierung läuft über das Portal „Mein Unternehmenskonto" und setzt ein ELSTER-Organisationszertifikat voraus. Wer den Account nicht rechtzeitig angelegt hat, stand vor einem mehrstufigen Prozess, der locker ein bis zwei Wochen Vorlauf braucht.

Die eigentliche Registrierungsfrist ist am 6. März 2026 abgelaufen. Das ist die unbequeme Wahrheit hinter dieser Zwischenbilanz: Ein erheblicher Teil der betroffenen Unternehmen hat diese Frist verpasst - oft schlicht, weil die Betroffenheit nie sauber geprüft wurde.

Wenn das auf Sie zutrifft, lautet die Antwort nicht „abwarten", sondern „jetzt nachholen". Die Registrierungspflicht entfällt nicht, nur weil die Frist verstrichen ist. Im Gegenteil: Eine verspätete, aber freiwillige Registrierung ist deutlich besser als eine, die das BSI im Schadensfall erzwingt. Der erste Schritt ist immer dieselbe Frage - und genau hier hakt es bei den meisten.

Wo es in der Praxis wirklich klemmt

Wenn man mit Geschäftsführern und IT-Verantwortlichen spricht, kristallisieren sich nach sechs Monaten drei wiederkehrende Bremsen heraus.

Erstens die Betroffenheitsprüfung. Sektorzuordnung, Schwellenwerte, Lieferantenbeziehungen - die Einstufung ist komplizierter, als ein Blick in die Mitarbeiterzahl vermuten lässt. Viele Unternehmen sind unsicher, ob sie als „wesentlich", „wichtig" oder gar nicht erfasst sind. Diese Unsicherheit lähmt: Wer nicht weiß, ob er betroffen ist, fängt erst gar nicht an.

Zweitens die Umsetzung der zehn Kernmaßnahmen. Das Gesetz verlangt nach § 30 BSIG unter anderem Risikoanalyse, Backup-Management, Lieferkettensicherheit, Multifaktor-Authentifizierung, Incident-Response und Schulungen. Das sind keine exotischen Anforderungen - die meisten IT-Abteilungen tun längst Teile davon. Das Problem ist nicht das Tun, sondern das strukturierte, vollständige Abdecken aller Bereiche.

Drittens - und das wird am häufigsten unterschätzt - der Nachweis. NIS2 ist im Kern eine Dokumentationspflicht. Eine Maßnahme umzusetzen reicht nicht; man muss belegen können, dass und wie sie umgesetzt ist. Genau hier scheitert die Excel-Welt: verstreute Tabellen, veraltete Word-Dokumente, Wissen in den Köpfen einzelner Mitarbeiter. Im Ernstfall ist das kein prüffähiger Nachweis.

Geschäftsführerhaftung: der unterschätzte Hebel

Was NIS2 von früheren IT-Sicherheitsanforderungen unterscheidet, ist die persönliche Verantwortung. Die Geschäftsleitung muss die Risikomanagementmaßnahmen nicht nur billigen, sondern ihre Umsetzung überwachen - und haftet bei Verstößen persönlich. Bußgelder reichen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Diese persönliche Haftung verschiebt das Thema dorthin, wo es hingehört: auf die Führungsebene. NIS2 ist keine reine IT-Aufgabe mehr, die man an die Technik delegiert. Es ist ein Governance-Thema. Und genau das ist für viele Mittelständler die eigentliche kulturelle Umstellung.

Was Unternehmen - und ihre IT-Dienstleister - jetzt tun sollten

Sechs Monate Rückstand sind aufholbar, wenn man strukturiert vorgeht statt in Aktionismus zu verfallen. Konkret heißt das:

• Betroffenheit sauber klären. Erst die Einstufung, dann alles andere. Ohne diese Grundlage arbeitet man ins Blaue.
• Registrierung nachholen, falls noch nicht geschehen - ELSTER-Zertifikat besorgen, BSI-Portal nutzen.
• Die zehn Maßnahmenbereiche systematisch durchgehen, statt einzelne Punkte herauszupicken. Lücken erkennt nur, wer den Gesamtrahmen kennt.
• Jede Maßnahme audit-fähig dokumentieren - Richtlinien, Nachweise, Schulungsbelege, Incident-Prozesse.
• Den Status laufend aktuell halten. NIS2 ist kein Projekt mit Enddatum, sondern ein Dauerzustand.

Für IT-Systemhäuser und Managed-Service-Provider liegt darin übrigens eine doppelte Chance: Sie sind häufig selbst betroffen und Teil der Lieferkette ihrer Kunden. Wer seine Mandanten strukturiert durch NIS2 begleitet, schafft ein neues Servicefeld - und sichert sich gleichzeitig gegen eigene Haftungsrisiken ab.

Fazit

Die Zwischenbilanz nach sechs Monaten ist kein Grund zur Panik, aber ein klares Signal: Die Phase des Abwartens ist vorbei. Das Gesetz gilt, die erste Frist ist verstrichen, und die Aufsicht wird mit der Zeit konkreter. Der Unterschied zwischen Unternehmen, die ruhig schlafen, und solchen, die ein Risiko mit sich herumtragen, ist selten die Technik - es ist die Frage, ob die Umsetzung strukturiert und nachweisbar ist.

Genau dafür ist CompliantDesk gebaut: Aus einer Betroffenheitsprüfung wird ein strukturierter Pfad, aus jeder Maßnahme ein dokumentierter Nachweis. Kein Excel-Chaos, sondern ein durchgängiger Weg vom Ist-Zustand zur prüffähigen Dokumentation.

Sie wissen nicht, wo Sie nach sechs Monaten NIS2 stehen? Starten Sie mit dem kostenlosen NIS2-Betroffenheitscheck - in wenigen Minuten zur ersten Einschätzung. Jetzt CompliantDesk testen →