NIS2: Der Weckruf für den Mittelstand – warum „zu klein“ keine Ausrede mehr ist

Dienstagmorgen, 13. Januar 2026. Der Geschäftsführer eines mittelständischen Maschinenbauers mit 120 Mitarbeitern blickt auf seinen Bildschirm. Seit genau einer Woche, dem 6. Januar 2026, ist das offizielle Registrierungsportal des BSI online. Er hatte das Thema „NIS2“ bisher unter „Konzern-Bürokratie“ abgeheftet. „Wir sind doch kein KRITIS-Betreiber“, war seine Standardantwort auf die Warnungen seines IT-Leiters. Doch ein Blick in sein Postfach belehrt ihn eines Besseren: Sein wichtigster Kunde, ein globaler Automobilkonzern, fordert bis Ende des Quartals den schriftlichen Nachweis über die Umsetzung der NIS2-Sicherheitsmaßnahmen. Plötzlich wird aus einer abstrakten EU-Richtlinie eine existenzielle Bedrohung für die Auftragsbücher.

Marc Oliver Thoma

22.01.2026 · 3 Min Lesezeit

Diese Situation ist seit dem Inkrafttreten des deutschen Umsetzungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 kein Einzelszenario mehr. Die Schonfrist ist endgültig vorbei, und das Spielfeld für den deutschen Mittelstand hat sich fundamental verändert. Wer jetzt noch glaubt, unter dem Radar der Behörden zu fliegen, unterschätzt die Hebelwirkung des neuen Gesetzes.

Der Mythos: „Wir sind zu klein für die Regulierung“

Lange hielt sich in vielen Chefetagen der Irrglaube, dass Cybersicherheitsgesetze nur die „ganz Großen“ – Kraftwerke, Banken oder Telekommunikationsriesen – betreffen. Man wiegte sich in der vermeintlichen Sicherheit der Nische. Doch die NIS2-Richtlinie bricht mit dieser Logik und definiert Betroffenheit über Sektoren und Abhängigkeiten, nicht mehr nur über die reine Größe:

Aus Fehlern lernen

NIS2: Der Weckruf für den Mittelstand – warum „zu klein“ keine Ausrede mehr ist

Der Mythos: „Wir sind zu klein für die Regulierung“

Angebot hinzufügen

Favorit entfernen