NIS2 ist kein IT-Projekt. Es ist eine Compliance-Show – wenn Sie es falsch angehen.

Seit dem 6. Dezember 2025 ist NIS2 in Deutschland Recht. Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Und nun? Bis März 2026 hatten sich nur rund 38,5 Prozent der geschätzt 29.500 betroffenen Unternehmen registriert. Mehr als 18.000 Unternehmen befinden sich damit in einer rechtlichen Grauzone. Die Registrierung ist nicht das Problem. Das Problem ist, dass viele Unternehmen NIS2 als Aktenordner-Übung verstehen – und damit weder Bußgeld noch Angreifer aufhalten.

Der BSI-Lagebericht 2025 zeigt: Kleine und mittlere Unternehmen erfüllen im Schnitt nur etwa 56 Prozent der Basisanforderungen an IT-Sicherheit und überschätzen oft ihr Schutzniveau. Gleichzeitig wurden durchschnittlich täglich 119 neue Schwachstellen in IT-Systemen bekannt – ein Wachstum von rund 24 Prozent gegenüber dem vergangenen Berichtszeitraum und KI Angriffe werden das Problem verstärken und zukünftig werden wir mehr Angriffen sehen.

Wer ein ISMS aufbaut, um Auditoren zufriedenzustellen, hat verloren. Wer es aufbaut, weil er weiß, dass die Existenz des Unternehmens davon abhängt, schützt sein Unternehmen vor §65 BSIG Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes t – und sich vor persönlicher Haftung.

Wie viele Unternehmen kennen Sie, die ein ISMS ernst meinen – und wie viele, die nur Häkchen setzen?

Erwartete Gegenargumente & Konter:

  • „Wir sind zu klein.“

§28 BSIG: Schwelle liegt bei 50 Mitarbeitern oder 10 Mio. € Umsatz in 18 Sektoren. Lebensmittel, Maschinenbau, Chemie, Logistik – das ist Mittelstand pur.

  • „Wir haben einen Dienstleister.“

Auslagerung der Tätigkeit, nicht der Verantwortung. §38 BSIG nimmt die Geschäftsleitung in die Pflicht.

  • „Es passiert ja noch nichts.“

Genau. Das BSI baut gerade Vollzugskapazität auf. Wer jetzt nicht handelt, wird in 12 Monaten Beispielfall.

Weitere Einblicke finden Sie im Video unten.


Nach oben scrollen