NIS 2 Checkliste 2026: Was KMU tun müssen, um Bußgelder zu vermeiden

Im Januar 2026 ist die Zeit der theoretischen Vorbereitung vorbei, die NIS-2-Richtlinie ist im deutschen Recht angekommen – und sie ist schärfer als viele Mittelständler erwartet haben. Nachdem der Bundestag das NIS2-Umsetzungsgesetz am 13.11.2025 verabschiedet hat und es am 05.12.2025 im Bundesgesetzblatt veröffentlicht wurde, stehen tausende Unternehmen in Deutschland vor einer neuen Realität: Es gibt keine Übergangsfristen.

Für Geschäftsführer und IT-Verantwortliche bedeutet dies, dass die Phase der “Good Will”-Bekundungen beendet ist. Die Behörden haben klare Vorgaben für Bußgelder entwickelt, und die Frist zur Selbstregistrierung läuft am 05.03.2026 ab. Dieser Ratgeber führt Sie faktenbasiert durch die notwendigen Schritte, damit Ihr Unternehmen nicht ins Visier der Aufsichtsbehörden gerät.

Status Quo 2026: Die Schonzeit ist vorbei

Viele Unternehmen spekulierten 2024 und 2025 noch auf lange Übergangsphasen. Diese Hoffnung hat sich nicht erfüllt. Der Gesetzgeber hat aufgrund der verspäteten nationalen Umsetzung (EU-Vorgabe war eigentlich Oktober 2024) entschieden, das Gesetz mit sofortiger Wirkung „scharf” zu schalten. Das bedeutet konkret: Streng genommen müssen betroffene Einrichtungen – egal ob “wichtig” oder “besonders wichtig” – bereits heute alle Anforderungen erfüllen.

NIS-2 gilt grundsätzlich für Unternehmen ab 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz. Es gibt jedoch Ausnahmen für Sektoren mit hoher Kritikalität, bei denen die Größe keine Rolle spielt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun weitreichende Befugnisse. Wer jetzt erst anfängt, sich mit Informationssicherheit zu beschäftigen, muss Prioritäten setzen, um die empfindlichsten Sanktionen abzuwenden. Die bloße Installation einer Firewall reicht längst nicht mehr aus. Der Gesetzgeber fordert ein gelebtes Risikomanagement.

Die konkreten Bußgeld-Gefahren

Lange war unklar, wie hart Verstöße tatsächlich geahndet werden. Mit dem aktuellen Bußgeldkatalog (Stand BMI-Entwurf) herrscht nun Klarheit, und die Summen sind für KMU existenzbedrohend. Es geht nicht nur um Millionenstrafen bei riesigen Datenlecks, sondern um administrative Versäumnisse:

• 100.000 €: Wenn der beim BSI hinterlegte Ansprechpartner im Ernstfall nicht erreichbar ist.
• 500.000 €: Wenn kein Nachweis über ein funktionierendes ISMS (Informationssicherheits-Managementsystem) vorgelegt werden kann.
• 500.000 €: Wenn vom BSI angeordnete Maßnahmen nicht innerhalb der gesetzten Frist umgesetzt werden.

Diese Zahlen verdeutlichen: Compliance ist kein “Nice-to-have” mehr, sondern direkter Bestandteil des betriebswirtschaftlichen Risikomanagements.

Schritt 1: Die Registrierung beim BSI (Deadline 05.03.2026)

Der erste und administrativ wichtigste Schritt, um zumindest formale Bußgelder zu vermeiden, ist die Registrierung. Das Gesetz (§ 33 BSIG) gewährt hierfür eine Frist von drei Monaten nach Inkrafttreten. Da das Gesetz am 05.12.2025 veröffentlicht wurde, endet diese Frist am 05.03.2026.

Der zweistufige Prozess

Die Anmeldung erfolgt rein digital, setzt aber Vorbereitung voraus. Sie benötigen Zugang zum “Digitalen Dienst” über das ELSTER-Unternehmenskonto.

1. Mein Unternehmenskonto (MUK): Melden Sie sich unter info.mein-unternehmenskonto.de an. Dies dient der Identifikation.
2. BSI Portal: Über das MUK gelangen Sie zum BSI-Meldeportal (portal.bsi.bund.de). Wählen Sie dort “Zur NIS-2-Registrierung”.

Diese Daten müssen Sie bereithalten

Ein häufiger Fehler ist, den Registrierungsprozess zu starten, ohne die notwendigen technischen Details parat zu haben. Stellen Sie sicher, dass Ihre IT-Abteilung oder Ihr Dienstleister folgende Informationen geliefert hat:

• Unternehmensgröße: Mitarbeiterzahl, Umsatz und Jahresbilanzsumme (wird teils aus dem ELSTER-Zertifikat übernommen).
• IP-Adressbereiche: Eine Liste aller öffentlichen IP-Adressbereiche (IPv4/IPv6 in CIDR-Notation). Haben Sie keine, müssen Sie dies explizit bestätigen.
• Kontaktstelle & Kontaktperson: Das BSI verlangt eine Funktionsadresse (z.B. [email protected]) sowie mindestens eine, besser mehrere konkrete Personen mit Telefonnummern. Diese Personen müssen fachlich kompetent sein.
• Sektor & Einstufung: Über Drop-Down-Menüs definieren Sie Ihre Branche. Das Portal stuft Sie daraufhin automatisch als “wichtig” oder “besonders wichtig” ein.

Änderungen unverzüglich melden

Nach § 33 Absatz 5 BSIG sind Sie verpflichtet, alle Änderungen Ihrer registrierten Daten innerhalb von spätestens zwei Wochen im BSI-Portal zu aktualisieren. Dies betrifft beispielsweise Änderungen bei Kontaktpersonen, IP-Adressbereichen oder der Unternehmensstruktur. Unter “Ihre Registrierung” im Portal können Sie die Daten bei Bedarf jederzeit anpassen. Versäumnisse bei der Aktualisierung können ebenfalls sanktioniert werden.

Schritt 2: Das ISMS als Herzstück der Compliance

Die Registrierung ist nur die Eintrittskarte. Die eigentliche Pflicht besteht im “Nachweis eines ISMS”. Viele KMU unterschätzen diesen Punkt. Ein ISMS (Informationssicherheits-Managementsystem) ist keine Software, die man einmal installiert, sondern eine Sammlung von Richtlinien, Prozessen und Kontrollen. Der Gesetzgeber orientiert sich hierbei stark an der ISO 27001.

Wenn Sie noch kein ISMS etabliert haben, ist Eile geboten. Das Gesetz verlangt technische und organisatorische Maßnahmen (TOMs) auf dem “Stand der Technik”.

Die Mindestanforderungen nach NIS-2

Ihr ISMS muss zwingend folgende Bereiche abdecken, um bußgeldsicher zu sein:

• Risikoanalyse: Identifikation kritischer Assets und Bedrohungen.
• Business Continuity: Backup-Management und Notfallwiederherstellung (Disaster Recovery).
• Lieferkettensicherheit: Überprüfung der Sicherheit Ihrer eigenen Zulieferer.
• Meldewesen: Prozesse, um Vorfälle innerhalb von 24 Stunden zu erkennen und zu melden.
• Kryptografie & MFA: Verschlüsselung und Multi-Faktor-Authentifizierung müssen flächendeckend eingesetzt werden.

Für Unternehmen, die hier bei Null anfangen, ist der manuelle Aufbau über Excel-Listen und Word-Dokumente kaum noch fristgerecht machbar. Automatisierte Lösungen wie TrustSpaceOS helfen hier, durch vordefinierte Prozesse bis zu 70 % des Dokumentationsaufwandes einzusparen und Struktur in das Chaos zu bringen.

Schritt 3: Meldepflichten und Vorfall-Management

Ein Kernaspekt von NIS-2 ist die drastische Verschärfung der Meldepflichten (§ 32 BSIG). Anders als bei der DSGVO (72 Stunden) müssen NIS-2-Vorfälle in einem Kaskaden-System gemeldet werden:

1. Frühwarnung (24 Stunden): Innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine erste Meldung an das BSI erfolgen. Dies ist noch kein vollständiger Bericht, sondern ein “Alarm”.
2. Meldung (72 Stunden): Nach 72 Stunden muss eine erste Bewertung des Vorfalls (Schweregrad, Auswirkungen, Kompromittierungsindikatoren) nachgereicht werden.
3. Abschlussbericht (1 Monat): Spätestens nach einem Monat muss ein finaler Bericht vorliegen.

Handlungsbedarf: Ihre Mitarbeiter müssen geschult sein, einen Vorfall überhaupt zu erkennen. Ein Cybersecurity-Konzept, das technische Überwachung (z.B. Endpoint Protection) mit organisatorischen Meldewegen verknüpft, ist unerlässlich.

Die NIS-2 Checkliste für KMU (Stand Jan. 2026)

Um Ihnen den Überblick zu erleichtern, haben wir die komplexen Anforderungen in eine handlungsleitende Checkliste überführt. Priorisieren Sie diese Maßnahmen sofort.

Bereich 1: Administrative Pflichten (Sofort erledigen)

• Registrierung: Ist das Unternehmen im BSI-Portal registriert? (Deadline 05.03.2026 beachten!)
• Kontaktstelle: Ist eine 24/7 erreichbare Kontaktstelle (Funktionspostfach + Telefon) hinterlegt?
• Geschäftsführer-Pflicht: Haben alle Mitglieder der Geschäftsleitung an einer Cybersecurity-Schulung teilgenommen und wurde dies dokumentiert? (Persönliche Haftung!)
• Änderungspflicht: Ist der Prozess etabliert, um Änderungen (Kontaktpersonen, IP-Adressen etc.) innerhalb von 2 Wochen im BSI-Portal zu aktualisieren?

Bereich 2: Risikomanagement & Technik (§ 30 BSIG)

• Risikoanalyse: Liegt eine aktuelle Liste aller kritischen IT-Systeme und Geschäftsprozesse vor?
• Sicherheitsrichtlinien: Existieren schriftliche, den Mitarbeitern bekannte Anweisungen (Passwort-Policy, Home-Office-Regelung)?
• Backup & Recovery: Werden Daten offline/unveränderbar gesichert und wurde der Restore-Prozess in den letzten 12 Monaten getestet?
• Zugriffsschutz: Ist für alle externen Zugänge (VPN, Cloud, E-Mail) Multi-Faktor-Authentifizierung (MFA) aktiviert?
• Verschlüsselung: Sind Festplatten (BitLocker/FileVault) und sensible Kommunikationswege verschlüsselt?

Bereich 3: Lieferkette & Meldewesen

• Lieferantenprüfung: Wurden IT-Dienstleister (MSPs, Hoster) auf deren NIS-2-Konformität oder Zertifizierungen (ISO 27001) geprüft?
• Meldekette: Weiß jeder Mitarbeiter, wen er bei Verdacht auf einen Hack anrufen muss? Ist der Meldeweg zum BSI definiert?
• Awareness: Werden Mitarbeiter regelmäßig zu Phishing und Social Engineering geschult?

Bereich 4: Überprüfung & kontinuierliche Verbesserung

• Wirksamkeitsprüfung: Wird mindestens einmal im Jahr geprüft, ob die Maßnahmen auch wirklich funktionieren (z.B. durch einen IT-Check, Penetrationstest oder internes Audit)?
• Dokumentation: Werden alle Sicherheitsvorfälle, Schulungen und Änderungen am ISMS dokumentiert und archiviert?

Häufige Fehler vermeiden

Auf dem Weg zur Compliance beobachten wir immer wieder Stolpersteine, die unnötig Ressourcen binden oder Risiken erhöhen:

Fehler 1: Das “Paper-Tiger”-ISMS

Viele Unternehmen kaufen Vorlagenpakete und speichern diese ungesehen auf dem Server. Im Falle einer Prüfung durch das BSI (ca. alle 2-3 Jahre oder anlassbezogen) fällt dies sofort auf. Wenn Prozesse wie das “Onboarding neuer Mitarbeiter” oder “Patch-Management” zwar beschrieben, aber nicht gelebt werden, riskieren Sie hohe Bußgelder wegen Täuschung oder Nichterfüllung.

Fehler 2: Die Lieferkette ignorieren

NIS-2 fordert explizit die “Sicherheit der Lieferkette”. Sie haften mit, wenn Ihr IT-Dienstleister gehackt wird und Sie keine Vorkehrungen getroffen haben. Fordern Sie Zertifikate an. Tipp: Nutzen Sie Dienstleister, die selbst hohe Standards erfüllen – TrustSpaceOS wird beispielsweise in Deutschland gehostet und erfüllt höchste Datenschutzstandards.

Fehler 3: Warten auf das BSI

Warten Sie nicht, bis das BSI sich bei Ihnen meldet. Die Behörde wird nach Ablauf der Registrierungsfrist stichprobenartig prüfen. Da die Ressourcen der Behörde begrenzt sind, werden sie sich vermutlich zuerst auf Unternehmen konzentrieren, die gar nicht registriert sind oder offensichtliche Mängel aufweisen.

Fazit: NIS-2 ist Chefsache

Die Einführung von NIS-2 markiert einen Paradigmenwechsel. IT-Sicherheit ist keine reine Technik-Aufgabe mehr, sondern eine zentrale Compliance-Anforderung an die Geschäftsführung. Mit der Deadline im März 2026 und den nun bekannten Bußgeldkatalogen ist Ignorieren keine Option mehr.

Beginnen Sie heute mit der Registrierung und nutzen Sie die verbleibende Zeit, um Ihr ISMS operational zu machen. Tools und erfahrene Partner wie TrustSpace können den Berg an Arbeit in einen strukturierten, machbaren Prozess verwandeln. Wer jetzt handelt, sichert nicht nur Daten, sondern die Zukunft des gesamten Unternehmens.

Erfahren Sie mehr über unseren Ansatz auf unserer Startseite oder lesen Sie Details in unserem Blog.

Häufig gestellte Fragen (FAQ) zu NIS-2