Julia Wolf 
Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Wer jetzt noch nicht gehandelt hat, sitzt auf einer tickenden Bußgeldbombe. Besonders KMU im Gesundheits- und Energiesektor unterschätzen dramatisch, wen das Gesetz tatsächlich trifft – und was konkret zu tun ist.
Plot Twist: Während 19 Mitgliedstaaten im Mai 2025 noch begründete Stellungnahmen der EU-Kommission wegen verspäteter NIS2-Transponierung kassierten, hat Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft gesetzt. Ohne Übergangsphase. Ohne Aufwärmpause. Wer an dem Morgen in den Anwendungsbereich fiel, war sofort pflichtig.
Das Pikante daran: Viele betroffene KMU haben das schlicht verpasst. Die erste harte Deadline – die Registrierung beim BSI über das Portal „Mein Unternehmenskonto“ mit ELSTER-Zertifikat – lief genau drei Monate nach Inkrafttreten ab, also am 6. März 2026. Wer jetzt nachliest, ist bereits in Verzug. Die Aufsichtsbehörden werden das registrieren, und Branchenbeobachter erwarten erste Bußgeldverfahren mit Signalwirkung – ganz analog zu den frühen DSGVO-Fällen.
Die Obergrenzen stehen fest: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für Verstöße gegen NIS2-Pflichten. Kein KMU-Bonus, keine Rücksicht auf knappe IT-Budgets. Das ist kein Schreckgespenst, das ist Gesetzestext.
Hier liegt der größte Irrtum. „NIS2 gilt für alle KMU“ ist falsch und verbreitet sich trotzdem hartnäckig. Das Gesetz unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“ – und beide Kategorien hängen von Sektor und Größe ab.
„Wichtige Einrichtungen“ im Energie- und Gesundheitssektor erreichen den Schwellenwert ab mindestens 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanzsumme von jeweils mindestens 10 Millionen Euro. „Besonders wichtige Einrichtungen“ liegen bei mindestens 250 Mitarbeitern oder einem Jahresumsatz über 50 Millionen Euro kombiniert mit einer Jahresbilanzsumme über 43 Millionen Euro. Wer darunter bleibt, ist formal raus – in der Regel.
Der Clou: Bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter das Gesetz. Betreiber kritischer Anlagen nach BSI-KritisV, Anbieter öffentlicher Telekommunikationsnetze, DNS-Resolver, TLD-Registries und Vertrauensdiensteanbieter nach eIDAS – die alle sind drin, egal ob 12 oder 1.200 Mitarbeitende. Ein mittelständischer Stadtwerke-IT-Dienstleister mit 45 Beschäftigten, der aber die Netzleitsoftware für den regionalen Energieversorger betreibt, sollte sehr genau prüfen, ob er als Zulieferer mit kritischer Schnittstelle erfasst ist.
Wenig überraschend: Genau diese Grenzfälle sind es, bei denen KMU im Gesundheits- und Energiesektor aktuell am meisten stolpern. Eine Reha-Klinik mit 60 Angestellten und 11 Millionen Euro Umsatz? Betroffen. Ein spezialisierter Wartungsdienstleister für Medizintechnik mit 48 Mitarbeitern, aber exklusiven Verträgen mit drei Klinikverbünden? Grenzfall, der rechtliche Beratung braucht.
Die BSI-Anforderungen im Rahmen der NIS2-Transponierung lassen sich in drei Blöcke einteilen: Registrierung, Meldepflichten und technisch-organisatorische Maßnahmen. Alle drei haben konkrete Fristen und Konsequenzen.
Der erste Schritt war die Registrierung im BSI-Portal bis zum 6. März 2026. Wer das verpasst hat, muss das nachholen – sofort, nicht nach dem nächsten Strategiemeeting. Das Portal läuft über „Mein Unternehmenskonto“ mit ELSTER-Zertifikat. Klingt bürokratisch. Ist es auch. Aber es ist der formale Nachweis der Existenz gegenüber der Aufsicht.
Brisant ist vor allem der Meldekaskade bei Sicherheitsvorfällen. Erstmeldung spätestens 24 Stunden nach Kenntnisnahme. Ausführliche Meldung nach 72 Stunden. Abschlussbericht nach 30 Tagen – mit Schweregrad, Auswirkungen und Indikatoren der Kompromittierung. Das bedeutet: Wer keinen strukturierten Incident-Response-Prozess hat, wird bei einem echten Vorfall in Panik verfallen und gleichzeitig eine behördliche Meldepflicht verletzen.
Für KMU im Gesundheitssektor ist das besonders heikel. Ein Ransomware-Angriff auf ein Klinikinformationssystem legt nicht nur IT lahm, sondern tangiert direkt die Patientenversorgung. Die 24-Stunden-Meldung beim BSI läuft dann parallel zu internem Krisenmanagement, Klinikbetrieb und möglicherweise einer DSGVO-Meldung an die Datenschutzbehörde. Ransomware gegen kritische Infrastruktur gilt branchenweit als eine der gefährlichsten aktuellen Bedrohungslagen – und der Gesundheitssektor steht dabei ganz vorne auf der Angriffsliste.
Hier liegt das Gros der Implementierungsarbeit. NIS2 und das NIS2UmsuCG verlangen konkret: ein Informationssicherheits-Risikomanagementsystem (häufig angelehnt an ISO 27001 oder BSI-Grundschutz), Patch-Management, Netzsegmentierung, Backup- und Recovery-Konzepte, Zugangskontrollen, kontinuierliches Monitoring und eben jenen Incident-Response-Plan. Dazu kommen Schulungen für Geschäftsleitung und relevante Mitarbeitende.
Das klingt nach Enterprise-IT. Ist es im Kern auch. Aber die Schwellenwerte stellen sicher, dass KMU mit 50 bis 249 Mitarbeitern hier nicht mit demselben Aufwand wie ein DAX-Konzern konfrontiert werden – sofern sie pragmatisch vorgehen. Ein vollständiges ISMS nach ISO 27001 ist für viele KMU das Fernziel, nicht der erste Schritt. Der erste Schritt ist eine ehrliche Gap-Analyse: Was haben wir? Was fehlt? Was ist das größte Risiko?
Meiner Einschätzung nach sind Asset-Inventory und Supplier-Management die zwei am häufigsten unterschätzten Anforderungen bei KMU im Energie- und Gesundheitssektor. Beides klingt banal, ist in der Praxis aber erschreckend oft nicht vorhanden.
Asset-Inventory bedeutet: vollständige, aktuelle Dokumentation aller IT-Systeme, Geräte, Software und Schnittstellen. Klingt trivial. Aber ein Stadtwerk mit 80 Mitarbeitenden, gewachsener IT und einem halben Dutzend Legacy-Systeme für Netzleitung und Abrechnungen weiß in der Praxis oft nicht vollständig, welche Systeme wo laufen, was gepatcht ist und welche Schnittstellen nach außen bestehen. Wer das nicht weiß, kann kein sinnvolles Risikomanagement betreiben.
Supplier-Management ist noch brisanter. NIS2 fordert explizit, dass betroffene Einrichtungen auch die Sicherheit ihrer Lieferkette im Blick behalten. Ein Krankenhaus, das seinen IT-Betrieb an einen externen Dienstleister auslagert, muss nachweisen, dass dieser Dienstleister ebenfalls Mindeststandards erfüllt. Das bedeutet Vertragsklauseln, Nachweispflichten und regelmäßige Überprüfungen. Die großen Energie- und Gesundheitskonzerne fangen bereits an, entsprechende Anforderungen in ihre Lieferverträge zu schreiben – womit der Trickle-Down-Effekt auf KMU einsetzt, die formal gar nicht direkt betroffen wären.
Das NIS2UmsuCG macht Informationssicherheit zur Chefsache – mit persönlichen Konsequenzen. Geschäftsleitungen müssen sich regelmäßig zu Cyberrisiken fortbilden, Sicherheitsmaßnahmen aktiv bewerten und über deren Umsetzung entscheiden. Bei nachgewiesenen Pflichtverletzungen droht persönliche Haftung mit Privatvermögen – zivilrechtlich, möglicherweise auch aufsichtsrechtlich.
Plot Twist für alle Geschäftsführer, die das Thema bislang an die IT-Abteilung delegiert haben: Das reicht nicht mehr. Wer bei einem NIS2-Verstoß nachweislich keine Kenntnis der Risikomanagement-Prozesse hatte, ist nicht geschützt – sondern exponiert. Juristische Fachbeiträge, unter anderem von der Kanzlei Heuking, vergleichen den Haftungsdruck mit dem frühen DSGVO-Enforcement, das ebenfalls zunächst belächelt und dann schmerzhaft ernst genommen wurde.
Für KMU im Gesundheits- und Energiesektor bedeutet das konkret: Der Geschäftsführer oder Vorstand muss nachweisen können, dass er die NIS2-Compliance als Governance-Thema behandelt hat. Protokolle, Beschlüsse, Schulungsnachweise – das ist der Schutzschild bei einer Prüfung.
In der Praxis begegnen Berater und IT-Verantwortliche bei KMU immer wieder denselben Einwänden, wenn es um die Umsetzung der NIS2-Anforderungen geht. Es lohnt sich, diese direkt zu adressieren.
„Wir sind zu klein, um wirklich kontrolliert zu werden.“ Das war auch das gängige Argument unter DSGVO. Tatsächlich haben Aufsichtsbehörden nach den ersten großen DSGVO-Bußgeldern auch kleinere Unternehmen ins Visier genommen – nicht zuletzt, weil Beschwerden und Vorfallmeldungen die Kontrollprozesse anstoßen. Ein gemeldeter Ransomware-Vorfall zieht zwangsläufig eine Behördenprüfung nach sich. Die Größe schützt nicht, wenn der Vorfall erst einmal bekannt ist.
„Wir haben keinen IT-Sicherheitsbeauftragten und können uns keinen leisten.“ Das NIS2UmsuCG fordert keinen zwingend fest angestellten CISO. Es fordert nachweisbare Prozesse und Verantwortlichkeiten. In der Praxis können KMU diese Funktion extern vergeben – an Managed Security Service Provider oder spezialisierte Beratungen. Entscheidend ist die Dokumentation: Wer ist verantwortlich, welche Maßnahmen wurden wann beschlossen und umgesetzt?
„Unsere IT-Systeme sind nicht vernetzt genug, um ein echtes Risiko darzustellen.“ Dieser Einwand ist besonders gefährlich, weil er oft auf einer Fehleinschätzung der eigenen Angriffsfläche basiert. Medizintechnikgeräte mit Netzwerkanbindung, Cloud-basierte Abrechnungssysteme oder auch schlicht der Fernwartungszugang eines Dienstleisters sind potenzielle Einfallstore. Die tatsächliche Vernetzung in mittelständischen Gesundheits- und Energiebetrieben wird systematisch unterschätzt.
Eine realistische Timeline für KMU im Gesundheits- und Energiesektor, die noch nicht vollständig compliant sind, sieht in der Praxis so aus:
Wer als KMU keine eigene Kapazität für 24/7-Monitoring hat, sollte ernsthaft externe Managed Security Services oder zumindest einen Incident-Response-Retainer prüfen. Das ist keine Schwäche, das ist ökonomische Vernunft. Auch aktuelle Bedrohungsanalysen zeigen, dass Angriffe auf mittlere Unternehmen in kritischen Sektoren systematisch zunehmen – Ressourcenknappheit schützt nicht vor Angreifern.
Wer Geschäfte in mehreren EU-Staaten macht, hat ein zusätzliches Problem. Laut Wavestone hatten bis 2025 zwar 20 von 27 Mitgliedstaaten die NIS2-Richtlinie formal umgesetzt, aber Detailregelungen unterscheiden sich. Österreich zum Beispiel hat mit dem NISG 2026 ein eigenes Gesetz verabschiedet, das ab 1. Oktober 2026 für rund 4.000 Unternehmen gilt. Die Bußgeldstruktur weicht leicht ab: bis zu 10 Millionen Euro oder 2 Prozent Umsatz für „wesentliche Einrichtungen“, 7 Millionen Euro oder 1,4 Prozent für „wichtige Einrichtungen“.
Das bedeutet: Ein deutsches KMU, das als Dienstleister für österreichische Energieversorger tätig ist, muss gegebenenfalls zwei nationale Umsetzungsgesetze beachten. Kein Drama, aber ein weiteres Argument dafür, dass die Compliance-Prüfung nicht intern-ad-hoc, sondern strukturiert mit rechtlicher Begleitung erfolgen sollte.
Das Pikante daran ist, dass die Richtlinie eigentlich EU-weit harmonisieren sollte. In der Praxis entstehen durch nationale Umsetzungsspielräume neue Komplexitätsebenen – besonders für KMU ohne eigene Rechtsabteilung.
Ein oft übersehener Aspekt der NIS2-Transponierung ist das erhebliche Synergiepotenzial mit Anforderungen, die viele KMU im Gesundheits- und Energiesektor bereits kennen. Wer im Gesundheitsbereich tätig ist, hat typischerweise bereits mit der DSGVO, dem PDSG oder branchenspezifischen Datenschutzvorgaben zu tun. Wer Medizinprodukte betreibt oder wartet, kennt die MDR-Anforderungen. Im Energiesektor sind IT-Sicherheitsvorgaben aus der BSI-KritisV und der Bundesnetzagentur keine Neuheit.
In der Praxis lassen sich erhebliche Teile der NIS2-Anforderungen aus diesen bestehenden Strukturen ableiten oder ergänzen, statt komplett neu aufzubauen. Ein KMU, das bereits ein Datenschutzmanagementsystem betreibt und regelmäßige Datenschutz-Folgenabschätzungen durchführt, hat die methodische Grundlage für das NIS2-Risikomanagement bereits gelegt. Fehlende Elemente sind häufig die sicherheitsspezifische Dokumentation, ein formalisierter Incident-Response-Prozess und die explizite Governance-Verankerung auf Geschäftsleitungsebene.
Dieser Synergie-Ansatz ist budgetschonend und überzeugend gegenüber Prüfbehörden: Es geht nicht darum, ein komplett neues Compliance-System zu errichten, sondern das bestehende gezielt zu erweitern und zu dokumentieren. Für viele KMU ist das der realistischste Weg zur NIS2-Compliance ohne prohibitive Mehrkosten.
Ich sage das direkt: Die größte Gefahr für KMU im Gesundheits- und Energiesektor ist nicht der böswillige Angreifer – sondern die Kombination aus Fachkräftemangel, knappen Budgets und der Illusion, das Thema später anzugehen. NIS2-Compliance ist kein Projekt, das man in zwei Wochen vor der Betriebsprüfung durchziehen kann. Es ist ein Prozess, der Management-Aufmerksamkeit, Budget und kontinuierliche Pflege braucht.
Die gute Nachricht: Viele Anforderungen des NIS2UmsuCG überschneiden sich mit sinnvollen Sicherheitspraktiken, die ein KMU ohnehin implementieren sollte. Wer bereits DSGVO-konform arbeitet, ein funktionierendes Backup-Konzept hat und seine Mitarbeitenden schult, ist nicht bei null. Die Lücken liegen häufig bei Formalisierung, Dokumentation und dem strukturierten Incident-Response-Prozess.
Die BSI-Anforderungen sind kein Selbstzweck. Ransomware-Angriffe auf Kliniken, ausgefallene Stadtwerke-Systeme, kompromittierte Netzleittechnik – das sind reale Szenarien aus den letzten Jahren. NIS2-Compliance ist unangenehm, kostet Geld und Zeit. Aber ein ungeplanter Produktionsausfall oder ein Datenverlust kostet mehr – und eine Behördenprüfung mit Bußgeld on top ist der Gallows-Humor-Moment, den niemand braucht.
Was bleibt: Der Zug ist längst abgefahren für alle, die auf eine großzügige Übergangsfrist gehofft haben. Die Frage ist nicht mehr, ob KMU im Gesundheits- und Energiesektor handeln müssen – sondern wie schnell und mit welcher Priorisierung. Haben Sie Ihre Gap-Analyse bereits abgeschlossen?
