NIS2-Pflicht prüfen: Ist mein Unternehmen betroffen?
Prüfe deine NIS2-Pflicht: Welche Schwellenwerte im Mittelstand gelten, wer betroffen ist und wie du mit CAVRIX ab Tag 1 rechtssicher aufgestellt bist.
Der neue Rechtsrahmen: Das NIS-2-Umsetzungsgesetz ist in Kraft
Am 6. Dezember 2025 hat sich die Landschaft der Cybersicherheit in Deutschland grundlegend verändert: Das neue NIS-2-Umsetzungsgesetz ist offiziell in Kraft getreten. Mit dieser Novellierung des BSI-Gesetzes (BSIG) weitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Aufsicht massiv aus. Während zuvor nur etwa 4.500 Betriebe als Kritische Infrastrukturen reguliert waren, fallen nun schätzungsweise 29.500 Unternehmen in den direkten Anwendungsbereich des Gesetzes. Für Dich als Geschäftsführer oder IT-Verantwortlichen im deutschen Mittelstand bedeutet das: Ein Ignorieren dieser Vorgaben ist keine Option mehr, da die Pflichten unmittelbar gelten und das BSI die Einhaltung streng überwacht.
Das Gesetz teilt betroffene Organisationen in wichtige und besonders wichtige Einrichtungen ein, die sich nach Sektoren und bestimmten Schwellenwerten wie Mitarbeiterzahl und Jahresumsatz definieren. Wer unter diese Kategorien fällt, muss drei wesentliche gesetzliche Säulen erfüllen, um den neuen Cybersicherheitsstandard zu wahren. Die Nichtbeachtung führt nicht nur zu empfindlichen Bußgeldern, sondern gefährdet auch die operativen Abläufe und das Vertrauen Deiner Geschäftspartner.
- Zweistufige Registrierung: Betroffene Betriebe müssen sich beim BSI als NIS-2-Unternehmen registrieren. Dies erfolgt über das Portal Mein Unternehmenskonto (MUK) und das neue BSI-Portal, welches am 6. Januar 2026 freigeschaltet wird.
- Meldepflicht bei Vorfällen: Erhebliche Sicherheitsvorfälle müssen innerhalb strenger Fristen an das BSI gemeldet werden, um eine schnelle Reaktion und Schadensbegrenzung auf nationaler Ebene zu ermöglichen.
- Risikomanagement und Dokumentation: Die betroffenen Unternehmen müssen proaktive Sicherheitsmaßnahmen implementieren und diese lückenlos für Prüfungen dokumentieren.
Warum passives Abwarten im Mittelstand riskant ist
Im deutschen Mittelstand herrscht oft noch die Annahme, dass Cybersicherheit ein Thema für Großkonzerne sei. Das BSI warnt jedoch vor einer angespannten Sicherheitslage im digitalen Raum. Für mittelständische Betriebe mit unter 500 Mitarbeitern kann ein unvorbereiteter Vorfall existenzbedrohend sein. Passives Abwarten erhöht nicht nur das Risiko erfolgreicher Cyberangriffe, sondern führt auch zu empfindlichen rechtlichen Konsequenzen. Denn die Geschäftsführung haftet unter dem neuen Rechtsrahmen persönlich für die Umsetzung der vorgeschriebenen Sicherheitsvorkehrungen. Für Compliance-Beauftragte und interne IT-Verantwortliche ist diese lückenlose Transparenz der Schlüssel zum Erfolg. Hier kommt CAVRIX ins Spiel: Als KI-native Plattform bieten wir Dir genau die Unterstützung, die Du benötigst. Unsere Dienstleistungen wie Managed IT und Cybersecurity decken alle technischen Schutzmaßnahmen ab, während Compliance für die kontinuierliche und auditsichere Dokumentation sorgt.
Der Aufwand, all diese Sicherheitsvorkehrungen selbst aufzubauen und kontinuierlich zu überwachen, übersteigt oft die Kapazitäten im Mittelstand. CITO GmbH aus Hamburg betreibt CAVRIX als All-in-one-Lösung: Du erhältst einen einzigen Anbieter und einen festen Ansprechpartner für Deine gesamte IT-Infrastruktur. Über unser Command Center kannst Du Deinen Sicherheitsstatus und anstehende Aufgaben in Echtzeit über Deine gewohnten Kommunikationskanäle einsehen. So verhinderst Du operative Risiken, erfüllst das Gesetz vom ersten Tag an und kannst Dich wieder voll auf Dein Kerngeschäft konzentrieren.
Die Schwellenwerte: Ab wann gilt die Pflicht für dein Unternehmen?
Für Geschäftsführer und IT-Verantwortliche im deutschen Mittelstand ist die Frage der NIS2-Betroffenheit keine theoretische Spielerei, sondern eine dringende strategische Aufgabe. Seit dem Inkrafttreten des NIS2-Umsetzungsgesetzes gelten die verschärften Sicherheitsvorgaben ohne Übergangsfrist für betroffene Organisationen[1]. Ob dein Unternehmen rechtlich in der Pflicht steht, entscheidet sich im ersten Schritt an klar definierten Schwellenwerten für Mitarbeiterzahl und Umsatz, der sogenannten Size-Cap-Regel.
Die zentralen Grenzwerte im Überblick
- Mitarbeitergrenze: Dein Unternehmen beschäftigt mindestens 50 Mitarbeitende.
- Finanzielle Schwellenwerte: Dein Unternehmen erzielt einen Jahresumsatz von mindestens 10 Millionen Euro oder weist eine Jahresbilanzsumme von mehr als 10 Millionen Euro auf[1].
- Konzernklausel: Achtung bei Tochtergesellschaften. Wenn dein Betrieb Teil einer größeren Unternehmensgruppe ist, werden die Mitarbeiter- und Umsatzzahlen der verbundenen Unternehmen zusammengerechnet, um die Gesamtgröße zu ermitteln[1].
Die reinen Unternehmensdaten reichen jedoch nicht aus, um eine Betroffenheit endgültig festzustellen. Maßgeblich ist zudem, ob dein Betrieb in einem der 18 gesetzlich definierten Sektoren der kritischen Infrastruktur oder der digitalen Wirtschaft tätig ist. Diese teilen sich auf in Sektoren hoher Kritikalität (wie Energie, Gesundheit oder digitale Infrastruktur) und sonstige kritische Sektoren (wie das verarbeitende Gewerbe oder die Lebensmittelproduktion)[1].
| Kategorie | Mitarbeiter & Umsatz | Aufsicht durch das BSI | Sektor-Zugehörigkeit |
|---|---|---|---|
| Besonders wichtige Einrichtung (bwE) | Ab 250 Mitarbeiter ODER ab 50 Mio. EUR Umsatz | Proaktiv und reaktiv (inklusive hoher Bußgelder) | Sektoren hoher Kritikalität (Anhang I) |
| Wichtige Einrichtung (wE) | 50 bis 249 Mitarbeiter ODER 10 bis 50 Mio. EUR Umsatz | Überwiegend reaktiv bei Vorfällen | Sektoren hoher Kritikalität (Anhang I) oder sonstige Sektoren (Anhang II) |
NIS2-Compliance pragmatisch umsetzen mit CAVRIX
Um diese regulatorischen Hürden ohne zusätzliche interne Ressourcen zu meistern, greift der deutsche Mittelstand auf maßgeschneiderte Services zurück. Mit CAVRIX profitierst du von einem ganzheitlichen Ansatz: Die Module Managed IT, Cybersecurity und Compliance arbeiten nahtlos ineinander, um alle Sicherheitsanforderungen zuverlässig im Hintergrund abzuwickeln. Über das intuitive Command Center steuerst du deine IT-Sicherheit und den Compliance-Status per Chat in Teams oder Slack, ganz ohne mühsame manuelle Dokumentation. So bleibt dein Betrieb ab Tag 1 NIS2-konform, während du dich voll auf dein Kerngeschäft konzentrieren kannst.
Achtung bei Sonderregelungen: Betroffenheit ohne Schwellenwerte
Wer die Betroffenheit seines Unternehmens prüft, verlässt sich häufig blind auf die klassischen Schwellenwerte der EU-KMU-Definition. Wer unter 50 Mitarbeitern beschäftigt und weniger als 10 Millionen Euro Jahresumsatz erwirtschaftet, wiegt sich oft fälschlicherweise in Sicherheit[1]. Doch diese Annahme kann im Rahmen des neuen NIS2-Umsetzungsgesetzes (NIS2UmsuCG) zu einem riskanten Trugschluss werden. Der Gesetzgeber hat bewusste Sonderregelungen geschaffen, bei denen die Unternehmensgröße überhaupt keine Rolle spielt.
Welche Anbieter sind von der Size-Cap-Regel ausgenommen?
Bestimmte Sektoren und Dienstleistungen sind so kritisch für die allgemeine Stabilität der digitalen Infrastruktur und des gesellschaftlichen Lebens, dass sie ab dem ersten Mitarbeiter reguliert werden. Wenn dein Unternehmen in einem dieser Spezialbereiche agiert, greift die NIS2-Pflicht ohne jede Übergangsfrist und unabhängig von deinen Umsatzzahlen[1].
| Dienstleistung / Sektor | Schwellenwert-Ausnahme | Einstufung unter NIS2 |
|---|---|---|
| DNS-Dienste (Domain Name System) | Gilt unabhängig von der Größe | Besonders wichtige Einrichtung |
| Qualifizierte Vertrauensdiensteanbieter | Gilt unabhängig von der Größe | Besonders wichtige Einrichtung |
| Top-Level-Domain-Registries (TLD) | Gilt unabhängig von der Größe | Besonders wichtige Einrichtung |
| Telekommunikationsnetze und -dienste | Gilt unabhängig von der Größe | Wichtige oder besonders wichtige Einrichtung |
Diese Tabelle verdeutlicht, dass selbst Kleinstunternehmen und spezialisierte IT-Dienstleister im deutschen Mittelstand über Nacht in den Geltungsbereich der Regulierung rücken können. Insbesondere Anbieter im Bereich der digitalen Infrastruktur müssen daher ihre rechtliche Einstufung exakt prüfen lassen, um empfindliche Bußgelder oder Haftungsrisiken für die Geschäftsführung zu vermeiden.
So identifizierst du versteckte Compliance-Fallstricke
Um böse Überraschungen zu vermeiden, solltest du deine Dienstleistungsstruktur systematisch analysieren. Oftmals sind sich IT-Verantwortliche gar nicht bewusst, dass ein kleiner, historisch gewachsener Service im Portfolio (wie ein eigener DNS-Resolver für Kunden oder ein kleiner gehosteter Vertrauensdienst) bereits das gesamte Unternehmen in die NIS2-Regulierung katapultiert. Eine lückenlose Bestandsaufnahme aller angebotenen Dienste ist deshalb der erste und wichtigste Schritt.
Mit CAVRIX und unserem integrierten Modul für Compliance musst du diese komplexe Analyse nicht alleine bewältigen. Die Plattform der CITO GmbH aus Hamburg bietet dir eine strukturierte, vollkommen transparente Begleitung. Über das Command Center hast du jederzeit den Überblick über deinen aktuellen Status und kannst Compliance-Nachweise automatisiert erfassen lassen. Kombiniert mit unseren Services für Managed IT und Cybersecurity bist du ab Tag 1 NIS2-konform aufgestellt, ohne eigene personelle Ressourcen in unendlichen Gesetzestexten zu binden.
Haftung und Pflichten: Was Geschäftsführung und IT-Leitung wissen müssen
Mit dem neuen NIS2-Umsetzungsgesetz in Deutschland rückt die IT-Sicherheit endgültig in den direkten Verantwortungsbereich der Führungsebene. Für dich als Geschäftsführer oder IT-Verantwortlichen im deutschen Mittelstand bedeutet dies eine grundlegende Kehrtwende: Cybersicherheit ist keine reine IT-Aufgabe mehr, sondern Chefsache mit erheblichen persönlichen Risiken. Der Gesetzgeber fordert von der Geschäftsleitung eine aktive Steuerung und Kontrolle aller Sicherheitsmaßnahmen. Wenn du diese Pflichten vernachlässigst, drohen nicht nur empfindliche Unternehmensstrafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, sondern auch eine persönliche Haftung, die dich direkt treffen kann. Daher ist es für mittelständische Unternehmen unerlässlich, die gesetzlichen Vorgaben präzise zu verstehen und einen rechtssicheren Prozess im Betrieb zu etablieren.
Die persönliche Haftung: Warum das Privatvermögen im Spiel ist
Die größte Veränderung betrifft die persönliche finanzielle Verantwortung der Geschäftsführung. Nach den Regeln des deutschen Gesellschaftsrechts haften Geschäftsleiter für schuldhaft verursachte Schäden, wenn sie ihre Pflichten zur Risikoanalyse und Absicherung verletzen. Kommt es beispielsweise zu einem schweren Cyberangriff, der den Betrieb lahmlegt, und es wird festgestellt, dass notwendige Sicherheitsvorkehrungen gefehlt haben, kann das Unternehmen die Geschäftsleitung mit dem Privatvermögen in Regress nehmen. Besonders kritisch: Ein Haftungsausschluss oder ein pauschaler Verzicht auf diese Haftung im Gesellschaftervertrag ist rechtlich ausdrücklich ausgeschlossen[2]. Du stehst somit persönlich in der Pflicht und kannst das Risiko nicht einfach auf die IT-Abteilung abschieben. Jedes Mitglied der Geschäftsführung haftet gesamtschuldnerisch, was eine lückenlose Dokumentation und Überwachung aller eingeleiteten Maßnahmen unumgänglich macht.
Effektiver Schutz vor Haftungsfallen: Billigen, Überwachen, Schulen
Um dich vor diesen Haftungsrisiken wirksam zu schützen, verlangt das Gesetz von dir die Erfüllung von drei konkreten, nicht delegierbaren Pflichten. Erstens musst du alle IT-Sicherheits- und Risikomanagementmaßnahmen aktiv billigen. Zweitens musst du deren tatsächliche Umsetzung kontinuierlich überwachen und dir regelmäßig Bericht erstatten lassen. Drittens verpflichtet dich das Gesetz, an speziellen Cybersicherheitsschulungen teilzunehmen, um die Risiken für dein Unternehmen fachgerecht beurteilen zu können. Diese Anforderungen klingen komplex, lassen sich aber mit der richtigen Struktur im Arbeitsalltag etablieren. Eine Übersicht zeigt dir, was diese Pflichten genau umfassen und wie du sie gemeinsam mit einer integrierten Plattformlösung umsetzt, um vom ersten Tag an rechtssicher aufgestellt zu sein.
| Gesetzliche Pflicht nach § 38 BSIG | Konkrete Anforderung für Geschäftsführer | Unterstützung durch CAVRIX |
|---|---|---|
| Billigungspflicht | Aktive, schriftlich oder digital dokumentierte Genehmigung der getroffenen Sicherheitsmaßnahmen. | Rechtssichere und automatisierte Nachweise aller Freigaben über das Modul Compliance. |
| Überwachungspflicht | Regelmäßige Kontrolle der Umsetzung und KPIs sowie Einholen von Statusberichten. | Echtzeit-Einblick über das Command Center sowie fortlaufende Kontrolle im Rahmen der Services Managed IT und Cybersecurity. |
| Schulungspflicht | Verpflichtende und nachweisbare Teilnahme der Geschäftsführung an Cybersicherheits-Schulungen. | Integrierte, gesetzlich anerkannte Schulungsmodule für Geschäftsführer direkt im Service Cybersecurity. |
Mit CAVRIX, betrieben von der CITO GmbH in Hamburg, erhältst du alle diese Leistungen aus einer Hand. Das bedeutet für dich: ein einziger kompetenter Anbieter und ein fester Ansprechpartner für deine gesamte IT, Cybersecurity und Compliance. Anstatt mühsam verschiedene Einzellösungen für IT-Administration, Sicherheitsüberwachung und regulatorische Dokumentation zu koordinieren, sorgt die Plattform von CAVRIX dafür, dass alle gesetzlichen Anforderungen nahtlos ineinandergreifen. Dadurch ist dein Unternehmen ab dem ersten Tag NIS2-konform aufgestellt und du kannst jederzeit den Nachweis erbringen, dass du deinen gesetzlichen Überwachungs- und Billigungspflichten vollumfänglich nachgekommen bist. Das reduziert dein persönliches Haftungsrisiko auf ein Minimum und lässt dir den Freiraum, dich auf das Kerngeschäft deines Unternehmens zu konzentrieren.
Rechtssicher ab Tag 1: So macht CAVRIX deinen Mittelstand NIS2-konform
Die Anforderungen der NIS2-Richtlinie stellen viele mittelständische Betriebe vor eine erhebliche organisatorische Herausforderung, da oft die internen IT-Ressourcen und das spezifische Security-Fachwissen fehlen. Das NIS2-Umsetzungsgesetz, das im Dezember 2025 verkündet wurde und nun in Kraft ist, betrifft in Deutschland über 30.000 Unternehmen[3]. CAVRIX bietet hier eine schlüsselfertige Lösung, die speziell auf Geschäftsführer und IT-Verantwortliche im deutschen Mittelstand zugeschnitten ist. Als ganzheitliche, KI-native Plattform für Managed IT, Cybersecurity und Compliance vereint CAVRIX alle notwendigen Schutzmaßnahmen in einem einzigen System. Betrieben von der CITO GmbH in Hamburg erhält dein Unternehmen einen zentralen Ansprechpartner und ist vom ersten Tag an rechtssicher aufgestellt.
Drei aufeinander abgestimmte Module für lückenlosen Schutz
Die Plattform basiert auf drei eng miteinander verzahnten Modulen, die deine IT-Infrastruktur lückenlos absichern. Das Modul Managed IT übernimmt die proaktive Überwachung, das Patch-Management sowie die normgerechte IT-Dokumentation aller Endgeräte im Betrieb. Parallel dazu sorgt das Modul Cybersecurity für eine kontinuierliche Bedrohungserkennung rund um die Uhr, inklusive modernem Endpunktschutz und regelmäßigen Sicherheits-Trainings für deine Angestellten. Das Modul Compliance automatisiert schließlich die Sammlung von Nachweisen und Audit-Berichten, die für den Nachweis der NIS2-Konformität gesetzlich vorgeschrieben sind. Durch dieses Zusammenspiel entfällt der manuelle Aufwand für deine interne IT-Abteilung fast vollständig.
| CAVRIX Modul | Kernfunktion für den Mittelstand | Beitrag zur NIS2-Konformität |
|---|---|---|
| Managed IT | Proaktives Endpoint-Management, automatisiertes Staging und lückenlose IT-Dokumentation | Erfüllung der gesetzlichen Dokumentations- und Systempflegepflichten |
| Cybersecurity | 24/7 SIEM- und SOC-Überwachung, EDR sowie kontinuierliches Schwachstellenmanagement | Etablierung robuster Maßnahmen zur Risikoanalyse und Vorfallsbewältigung |
| Compliance | Automatisierte Nachweiserhebung und fertige Berichts-Templates für Audits | Sicherstellung der kontinuierlichen Audit-Bereitschaft und Einhaltung der GRC-Vorgaben |
Volle Transparenz im Chat über das Command Center
Um den aktuellen Sicherheits- und Compliance-Status deines Unternehmens zu überprüfen, musst du keine komplexen Dashboards bedienen. Über das integrierte Command Center kommunizierst du mit der Plattform in natürlicher Sprache direkt über deine gewohnten Arbeitswerkzeuge wie Microsoft Teams oder Slack. Du kannst jederzeit einfache Fragen stellen, Echtzeit-Sicherheitswarnungen empfangen oder den aktuellen Fortschritt der NIS2-Dokumentation einsehen. Dieser transparente Ansatz sorgt dafür, dass Geschäftsführer und IT-Verantwortliche im Mittelstand stets die volle Kontrolle behalten, ohne kostbare Zeit in administrativen Prozessen zu verlieren.
Häufig gestellte Fragen
Wann ist das deutsche NIS-2-Umsetzungsgesetz in Kraft getreten?
Das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie ist am 6. Dezember 2025 in Kraft getreten. Seit diesem Stichtag gelten die verschärften Sicherheits- und Meldepflichten für betroffene Unternehmen in Deutschland.
Welche Schwellenwerte gelten für mittelständische Unternehmen?
Ein Unternehmen ist in der Regel betroffen, wenn es mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz sowie eine Jahresbilanzsumme von über 10 Millionen Euro erzielt und in einem der 18 kritischen Sektoren tätig ist.
Gibt es Ausnahmen von diesen Schwellenwerten?
Ja, bestimmte Dienstleister wie DNS- und Registrierungsdienstleister, Anbieter von Vertrauensdiensten oder Unternehmen im Bereich der Telekommunikation sind unabhängig von ihrer Größe ab dem ersten Mitarbeitenden voll betroffen.
Wer haftet persönlich bei Verstößen gegen die Vorgaben?
Die Geschäftsführung haftet persönlich für die Einhaltung der Cybersicherheitsmaßnahmen. Das Gesetz verbietet eine Übertragung dieser Verantwortung; bei grober Fahrlässigkeit drohen erhebliche zivilrechtliche Bußgelder und Regressansprüche.
Welche Kernpflichten müssen betroffene Betriebe erfüllen?
Unternehmen müssen sich beim BSI registrieren, Sicherheitsvorfälle innerhalb von 24 Stunden vorläufig melden und technische Schutzmaßnahmen wie Verschlüsselung, Zugriffskontrollen sowie regelmäßige Mitarbeiterschulungen nachweisen.
Wie vereinfacht CAVRIX die NIS2-Compliance für mein Unternehmen?
CAVRIX bündelt Managed IT, Cybersecurity und Compliance in einer KI-nativen Komplettlösung. Dadurch bist du ab Tag 1 rechtskonform geschützt und kannst deinen Sicherheitsstatus ganz einfach über das Command Center per Chat in Echtzeit überwachen.