NIS2-Gesetz: Tausende deutsche KMU drohen Strafen und Ausschluss

Nur noch einen Monat bis zur Frist: Viele deutsche Mittelständler sind nicht auf die verschärften IT-Sicherheitsvorschriften vorbereitet. Das birgt erhebliche Risiken.

BERLIN – Der Countdown läuft: Bis zum 6. März 2026 müssen sich tausende Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Grund ist das neue NIS2-Umsetzungsgesetz, das seit Dezember 2025 in Kraft ist. Doch Branchenverbände und Wirtschaftsauskunfteien wie Creditreform schlägt Alarm: Viele kleine und mittlere Unternehmen (KMU) sind unvorbereitet und riskieren hohe Strafen oder den Ausschluss aus Lieferketten.

Letzte Chance: Registrierungsfrist Ende Februar

Die unmittelbare Hürde ist die Meldepflicht. Als „wichtig“ oder „besonders wichtig“ eingestufte Unternehmen haben nur drei Monate Zeit, sich beim BSI zu registrieren. Diese Frist endet am 6. März. Wer sie verpasst, macht sich bereits verwaltungsrechtlich angreifbar.

Viele KMU unterschätzen die neuen Cyber‑Pflichten – die NIS2‑Regeln machen IT‑Sicherheit zur Lieferketten‑Anforderung. Ein kostenloser Leitfaden erklärt in klaren Schritten, welche Sofortmaßnahmen jetzt Priorität haben (Risikomanagement, technische Basismaßnahmen, Dokumentation) und liefert eine Checkliste für Geschäftsführer. So vermeiden Sie Bußgelder und den Ausschluss aus wichtigen Lieferketten. Jetzt kostenlosen Cyber‑Security‑Leitfaden sichern

Das BSI rechnet damit, dass nun rund 30.000 Unternehmen der Aufsicht unterliegen – statt bisher 4.500. Betroffen sind Branchen von der Abfallwirtschaft bis zur Lebensmittelproduktion. Creditreform warnte am 5. Februar, dass mangelndes Cyber‑Risikomanagement sich direkt auf die Kreditwürdigkeit auswirken kann. Aus Sicht der Rechtsanwaltskanzlei BTL ist die Registrierung der erste harte Meilenstein, der Verstöße für Behörden sichtbar macht.

Unsicherheit bei Ausnahmeregelungen

Besondere Verwirrung herrscht bei den Ausnahmeregelungen. Paragraf 28 des neuen BSI‑Gesetzes sieht eine „Vernachlässigbarkeitsklausel“ vor. Sie soll Unternehmen entlasten, deren Tätigkeit für die Versorgungssicherheit als nebensächlich gilt.

Doch was genau „vernachlässigbar“ ist, bleibt vage. Ohne klare Rechtsprechung oder detaillierte Leitlinien stehen viele KMU im Ungewissen. Experten raten zur Vorsicht: Wer als Zulieferer für einen kritischen Betrieb – etwa ein Krankenhaus oder einen Energieversorger – tätig ist, sollte nicht leichtfertig von einer Ausnahme ausgehen. Die Beweislast liegt beim Unternehmen.

Dominoeffekt in den Lieferketten

Die wirtschaftlichen Folgen gehen weit über gesetzliche Strafen hinaus. Die österreichische Wirtschaftskammer (WKO) wies am 4. Februar auf grenzüberschreitende Effekte hin. Große Konzerne sind verpflichtet, ihre Lieferketten abzusichern. Daher fordern sie von ihren Partnern zunehmend den Nachweis der NIS2‑Konformität.

Dieser „Lieferketten-Dominoeffekt“ zwingt auch solche KMU zum Handeln, die nicht direkt unter das Gesetz fallen. Gleichzeitig beginnen Banken und Versicherer, die IT‑Sicherheit in ihre Risikobewertung einzubeziehen. Mangelnde Compliance kann zu höheren Kreditzinsen oder Problemen beim Abschluss einer Cyber‑Versicherung führen.

Hohe Strafen und persönliche Haftung

Nach Ablauf der Frist wird das BSI von Aufklärung zu Kontrollen übergehen. Die Behörde erhält weitreichende Befugnisse, einschließlich Vor‑Ort‑Prüfungen.

Die finanziellen Risiken sind enorm:
* Für „besonders wichtige“ Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
* Für „wichtige“ Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des Umsatzes.

Eine entscheidende Neuerung: Das Gesetz führt eine persönliche Haftung für Geschäftsführer und Vorstände ein. Sie haften persönlich, wenn sie die geforderten Risikomanagement‑Maßnahmen nicht umsetzen. Cybersicherheit wird damit zur Chefsache.

Die Branche appelliert an alle potenziell betroffenen Unternehmen: Den Status umgehend prüfen und die Registrierung über das BSI‑Portal einleiten. Die Zeit drängt.

PS: Sie möchten Angriffe konkret abwehren und Ihre Mitarbeiter sensibilisieren? Der Gratis‑Report „Cyber Security Awareness Trends“ zeigt praxisnahe, kostengünstige Maßnahmen gegen Phishing und Ransomware – inkl. Vorlagen für Awareness‑Schulungen und sofort umsetzbaren technischen Maßnahmen. Ideal für Geschäftsführer und IT‑Verantwortliche, die NIS2‑Pflichten praktisch umsetzen wollen. Gratis Cyber‑Security‑Report herunterladen