Am 18. April 2026 hat in Belgien die erste echte NIS2-Audit-Welle der EU begonnen. Wesentliche Einrichtungen mussten bis zu diesem Datum eine formale Konformitätsbewertung durch eine vom CCB akkreditierte und von BELAC zertifizierte Stelle vorlegen. Eigenerklärung reicht nicht, das Wort "self-assessment" steht im belgischen Umsetzungsgesetz nicht. Wer am 18. April nicht liefern konnte, ist nicht nur formal säumig, sondern materiell angreifbar – Geschäftsführungen haften nach Artikel 20 NIS2 persönlich.

Was zunächst wie eine belgische Spezialität klingt, ist in Wirklichkeit der Vorbote dessen, was zwischen Mai und Oktober 2026 in der gesamten EU sichtbar wird. Frankreich, Italien, die Niederlande und auch Deutschland haben ihre Aufsichtsstrukturen in den vergangenen Monaten so aufgebaut, dass formalisierte Audits, harte Beweisanforderungen und Management-Sign-Offs zum Regelfall werden. Deutschland geht parallel einen Schritt weiter: Mit dem KRITIS-Dachgesetz, das am 17. März 2026 in Kraft getreten ist, kommt zur NIS2-Cybersicherheitslogik eine zweite, physisch-organisatorische Resilienzschicht hinzu. Der Kreis der Adressaten wächst dadurch von rund 2.000 KRITIS-Betreibern auf mehr als 30.000 Organisationen.

Für mittelständische IT-Verantwortliche, Geschäftsführer und CISOs heißt das: Der Compliance-Sommer 2026 ist kein Termin in der Roadmap, sondern ein Stresstest für Organisationsstrukturen, Budgetplanung und Lieferantenmanagement. Dieser Beitrag ordnet die Lage ein, erzählt anhand einer realistischen User Story, wo die Brüche im Alltag sitzen, und liefert einen handfesten Plan bis Ende Q3 2026.

Die Ausgangslage: Drei Regime, ein Kalender

Drei Rechtsrahmen treffen im Frühsommer 2026 in Deutschland aufeinander. NIS2 ist seit dem 6. Dezember 2025 als deutsches Umsetzungsgesetz in Kraft, mit einer Registrierungspflicht von drei Monaten ab Inkrafttreten – die Frist ist Ende März 2026 abgelaufen, das BSI-Registrierungsportal ist seit Januar 2026 produktiv. Das KRITIS-Dachgesetz setzt die EU-CER-Richtlinie um und greift seit dem 17. März 2026; die Registrierungspflicht für betroffene Anlagenbetreiber beginnt am 17. Juli 2026. Hinzu kommt das in der Branche meist unterschätzte europäische Audit-Klima, das mit der belgischen 18.-April-Frist erstmals zeigt, wie ernst die Aufsicht meint, was sie schreibt.

Wo NIS2 die Cyberresilienz fordert – Risikoanalyse, Zugangsmanagement, MFA, Vorfallreaktion, Lieferkettensicherheit, Verschlüsselung, Schulungen – ergänzt das KRITIS-Dachgesetz die physische Dimension: Business Continuity Management, physische Sicherheit, Personalkontrollen, Krisenmanagement. Ein einziges Unternehmen kann unter beide Regime fallen – im Zweifel gleichzeitig –, und die Pflichten überschneiden sich nur teilweise.

Was NIS2 in der Praxis konkret verlangt

Die zehn Mindestpflichten der NIS2 (Artikel 21) lesen sich auf dem Papier nach gesundem Menschenverstand: Risikomanagement, Vorfallbehandlung, Geschäftskontinuität, Lieferkette, Sicherheit bei Erwerb und Entwicklung, Wirksamkeitsmessung, grundlegende Cyberhygiene und Schulung, Kryptografie, Zugangskontrolle und Asset-Management, MFA und gesicherte Kommunikation. In der Audit-Praxis aus Belgien zeigt sich, dass insbesondere vier Punkte zu Streit führen: die Lieferkettensicherheit, weil sie vertragliche Anpassungen mit Dritten verlangt; die Wirksamkeitsmessung, weil sie KPIs erfordert, die viele Unternehmen erstmals erheben müssen; die Vorfallreaktion mit der 24-Stunden-Frühwarnpflicht; und die Geschäftsführerhaftung, weil sie eine dokumentierte Genehmigung der Maßnahmen durch das Management voraussetzt.

Was das KRITIS-Dachgesetz hinzufügt

Das KRITISDachG verlangt eine Registrierung auf der gemeinsamen Plattform von BSI und BBK, eine Risikoanalyse auf Grundlage der nationalen Risikoanalyse des BMI sowie einen Resilienzplan, der zehn Monate nach der Registrierung vorzulegen ist – realistisch also für viele betroffene Unternehmen das zweite Quartal 2027. Hinzu kommen Meldepflichten innerhalb von 24 Stunden bei erheblichen Störungen, Pflichten zum Business Continuity Management, zur physischen Sicherheit, zu Personalkontrollen und Krisenmanagement.

Die Bußgeldlogik ist gestaffelt: Bis zu 1 Mio. Euro für Verstöße gegen Auskunftspflichten bei der Registrierung, bis zu 500.000 Euro bei Verstößen gegen die Vorlagepflicht von Audits, bis zu 200.000 Euro bei Verstößen gegen Anordnungen zur Mängelbeseitigung, bis zu 100.000 Euro bei unvollständiger oder verspäteter Registrierung. Wichtig ist der Interpretationsspielraum: Die Aufsichten haben angekündigt, im ersten Jahr formaler Pflichten überwiegend mit "Anordnungen zur Mängelbeseitigung" zu arbeiten – wer dann nicht reagiert, kommt in den höheren Bußgeld-Bereich.

User Story: Helmschmidt Energie & Wärme GmbH

Um zu zeigen, wie die drei Regime im Alltag eines deutschen Mittelständlers landen, lohnt ein Blick in ein typisches Unternehmen. Die Helmschmidt Energie & Wärme GmbH – fiktiv, aber realistisch nach Branche, Größe und Struktur – ist ein regionaler Energieversorger mit Sitz im südlichen Niedersachsen. Das Unternehmen betreibt zwei Heizkraftwerke, ein Fernwärmenetz mit rund 12.000 angeschlossenen Haushalten und ein eigenes Stromnetz. 240 Mitarbeitende, 95 Mio. Euro Umsatz, eine IT-Abteilung mit sieben Personen unter dem CIO Andreas Wendel, ein externer DSB, kein dedizierter CISO. Die Geschäftsführung besteht aus zwei Personen: Sabine Helmschmidt (Tochter des Gründers, kaufmännisch) und Markus Reuter (technisch).

Januar 2026: Die Selbsttäuschung

Im Januar 2026 schaut sich Andreas Wendel zum ersten Mal das BSI-Registrierungsportal an. Sein Eindruck nach 30 Minuten: "Wir sind doch nur ein regionaler Versorger – das wird uns kaum betreffen." Er meldet seiner Geschäftsführung, dass das Thema NIS2 "im Blick" sei, und kehrt zum Tagesgeschäft zurück. Was Wendel übersehen hat: Helmschmidt fällt durch das Fernwärmenetz und das eigene Stromnetz doppelt in den NIS2-Anwendungsbereich (Sektor Energie, Teilsektor Fernwärme/-kälte und Strom). Die Schwellenwerte für "wesentliche Einrichtung" sind über das Fernwärmenetz ohnehin überschritten.

März 2026: Der erste Brief

Mitte März trifft ein Anschreiben des BSI ein. Der Inhalt ist freundlich, aber bestimmt: Helmschmidt sei nach den vorliegenden Daten potenziell registrierungspflichtig, eine Selbsteinordnung sei zu prüfen, das Portal stehe bereit. Eine Woche später folgt parallel die Information zum KRITIS-Dachgesetz: Beide Heizkraftwerke fallen unter die Anlagenkategorien des KRITISDachG. Die Registrierungsfrist beginnt am 17. Juli 2026.

Wendel meldet die Lage in der nächsten Geschäftsführungssitzung. Sabine Helmschmidt fragt nach der Größenordnung. Wendel rechnet: "Vielleicht 30.000 Euro für externe Beratung, ein paar Wochen Aufwand intern." Markus Reuter, der technische Geschäftsführer, runzelt die Stirn. Er kennt die Zahlen aus dem Branchenverband: Eine ordentliche NIS2-Implementierung in einem Versorger dieser Größenordnung kostet typischerweise zwischen 250.000 und 600.000 Euro im ersten Jahr.

April 2026: Die Realitätsprobe

Auf Reuters Drängen beauftragt die Geschäftsführung Anfang April eine externe Bestandsaufnahme. Drei Wochen später liegt das Ergebnis auf dem Tisch:

  • Die Risikoanalyse aus 2023 ist veraltet, deckt nur drei der zehn NIS2-Pflichtbereiche ab und enthält keine Lieferkettenbetrachtung.
  • MFA ist für die Microsoft-365-Konten aktiv, fehlt aber an den Fernwartungszugängen der Leitsysteme – exakt dort, wo Angreifer am liebsten ansetzen.
  • Vorfälle werden zwar dokumentiert, aber ohne SLA. Die 24-Stunden-Frühwarnung an das BSI wäre in der aktuellen Aufstellung nicht zuverlässig haltbar.
  • Lieferkettenseitig haben fünf von 23 strategischen Lieferanten weder einen IT-Sicherheits-Anhang im Vertrag noch ein Audit-Recht. Der wichtigste – ein SCADA-Hersteller aus Süddeutschland – sitzt ebenfalls in der Zone "wesentliche Einrichtung" und befindet sich seinerseits in der NIS2-Findungsphase.
  • Aufseiten des KRITIS-Dachgesetzes existiert ein BCM-Plan auf Papier, aber ohne Übungsnachweis seit 2022. Die Kraftwerke sind physisch gut gesichert, aber das Prozessleitsystem ist nicht von der Office-Domäne segmentiert.

Sabine Helmschmidt liest den Bericht und stellt eine Frage, die viele Geschäftsführungen in diesem Frühjahr stellen: "Sind wir damit jetzt 'compliant' oder 'in Ordnung'?" Die Antwort des Beraters: "Sie sind mit hoher Wahrscheinlichkeit beides nicht – aber Sie haben jetzt eine ehrliche Karte."

Mai 2026: Die Strukturentscheidung

Die Geschäftsführung entscheidet im Mai drei Dinge. Erstens: Helmschmidt registriert sich proaktiv im BSI-Portal als wesentliche Einrichtung. Zweitens: Das Unternehmen schafft die Rolle eines CISO, vorerst halbtags und kombiniert mit der bestehenden Stelle eines Compliance-Managers. Drittens: Es wird ein 12-monatiges Programm aufgelegt, das die Maßnahmen nach NIS2 und KRITISDachG bündelt – mit klarer Haftungs- und Berichtskette an die Geschäftsführung.

Juli 2026: Das Audit-Gespenst aus Belgien

Im Juli 2026 kommt eine Anfrage eines belgischen Großkunden, an den Helmschmidt Wärme aus Industriewärme-Kooperation bezieht. Der Kunde verlangt Nachweise zu Helmschmidts NIS2-Maßnahmen, weil er selbst einer belgischen Konformitätsprüfung unterzogen wird. Plötzlich ist die belgische Audit-Welle vom 18. April nicht mehr nur Schlagzeile, sondern ein konkretes Geschäftsrisiko: Ohne dokumentierte und auditierbare Sicherheitsmaßnahmen droht der Verlust des Vertrags. Wendel schätzt den Vertrag auf rund 4 Mio. Euro Jahresumsatz – ein Mehrfaches der gesamten Compliance-Kosten.

Oktober 2026: Erste Ernte

Bis Oktober hat Helmschmidt die Risikoanalyse aktualisiert, MFA an allen relevanten Zugängen ausgerollt, eine SOC-Anbindung mit einem regionalen Dienstleister vereinbart, die Verträge der fünf kritischen Lieferanten nachverhandelt, einen geübten Incident-Response-Plan etabliert und das Prozessleitsystem segmentiert. Der Resilienzplan nach KRITISDachG ist im Entwurf, der formale Beschluss ist für das erste Quartal 2027 vorgesehen. Das Unternehmen ist nicht "fertig", aber es ist auditfähig – und das ist im neuen Compliance-Klima die eigentliche Währung.

Was die User Story strukturell zeigt

Helmschmidt steht stellvertretend für tausende mittelständische Unternehmen, deren strategische Schmerzpunkte auffällig ähnlich sind:

Erkennungsblindheit. Viele Geschäftsführungen wissen schlicht nicht, dass sie unter NIS2 oder das KRITIS-Dachgesetz fallen. Die Schwellenwertlogik ist sektorspezifisch, die Anhänge der Verordnungen sind sperrig, und die Aufsichtsbehörden haben gute Gründe, sich bei der Erstkommunikation zurückzuhalten. Wer wartet, bis das BSI sich meldet, hat bereits Zeit verloren.

Falsche Kostenschätzung. Die Diskrepanz zwischen dem, was IT-Verantwortliche erstmal "ins Auge fassen", und dem, was real notwendig ist, beträgt regelmäßig den Faktor 5 bis 10. Ursache ist weniger Naivität als vielmehr ein verständlicher Reflex: Niemand will der Geschäftsführung als Erster eine sechsstellige Zahl präsentieren.

Lieferkette als Türöffner. NIS2 macht erstmals den Druck nach unten messbar. Wer als großer Kunde auditiert wird, reicht den Druck an seine Lieferanten weiter. Das wirkt schneller als jede Bußgeldandrohung – weil es ans Geschäft geht, nicht an die Kasse.

Personelle Lücke. Der Mittelstand hat keine CISOs in der Schublade. Hybride Modelle – Teilzeit-CISO, gemeinsame CISO-Funktionen mit Schwesterunternehmen, externe CISO-as-a-Service – werden zur Normalität, nicht zur Ausnahme.

Breitere Einordnung: Warum das System gerade jetzt umkippt

Drei Entwicklungen verstärken sich gegenseitig zu dem, was die Aufsicht in Brüssel bereits "zweite NIS-Welle" nennt. Erstens: Die Mitgliedstaaten haben ihre nationalen Umsetzungen 2025 weitgehend abgeschlossen und gehen ab 2026 in den Vollzug. Belgien geht voran, Frankreich und die Niederlande folgen, Deutschland lehnt sich dabei traditionell stark an die KRITIS-Logik an und produziert mit dem KRITISDachG zusätzlich eine eigene Rechtsschicht.

Zweitens: Die Aufsichtspraxis ist anders als bei Datenschutz. Wo die DSGVO im ersten Jahr ein Lernkurven-Klima hatte, kommt NIS2 mit einer klaren Erwartungshaltung an Beweisbarkeit. Audits werden früh kommen, und sie werden Beweise verlangen – Konfigurationsauszüge, Tickets, Schulungsnachweise, Übungsprotokolle. Wer nur eine Policy-Sammlung im Wiki hat, fällt durch.

Drittens: Die Bedrohungslage zwingt die Aufsicht zur Eile. Die russische Phishing-Kampagne gegen die Bundesregierung, die Zero-Days in Microsoft Defender Anfang April, die SAP-Schwachstelle im BPC – all das sind Indizien, dass die Lage für regulierte Sektoren strukturell schlechter wird, nicht besser. NIS2 und das KRITIS-Dachgesetz sind die regulatorische Antwort darauf, und sie werden ab 2026 mit politischem Rückhalt durchgesetzt.

Handlungsempfehlungen: Der Plan bis Sommer 2026

Für mittelständische Unternehmen, die jetzt – Ende April 2026 – ehrlich auf den Stand schauen, ergibt sich ein ziemlich klares Sechs-Felder-Programm:

Feld 1 – Anwendbarkeitsprüfung in zwei Wochen

Wer noch nicht final geklärt hat, ob NIS2, KRITISDachG oder beides anwendbar ist, sollte die Klärung jetzt in zwei Wochen abschließen. Sektor, Subsektor, Größenklasse, Schwellenwerte – das ist eine Aufgabe von typisch zwei bis drei Personentagen plus juristische Validierung. Verschieben kostet Geld, weil es jeden Folgeschritt verzögert.

Feld 2 – Registrierung und Erstmeldung

Wo Pflicht besteht, sollte die Registrierung im BSI-Portal nicht abgewartet werden. Wer registrierungspflichtig ist und nicht registriert, kommt in den Bußgeldbereich. Die KRITISDachG-Registrierung ab 17. Juli 2026 ist für betroffene Anlagen verpflichtend; wer das übersieht, hat in dieser Frage einen schweren Stand.

Feld 3 – Risikoanalyse und Maßnahmenkatalog

Die Risikoanalyse ist das Rückgrat aller weiteren Schritte. Sie sollte alle zehn NIS2-Felder abdecken, den Lieferkettenblick mitführen und – für KRITIS-Unternehmen – den physischen Resilienzteil ergänzen. Der Maßnahmenkatalog wird in Etappen umgesetzt; Vollständigkeit am Tag eins ist nicht das Ziel, geübte Pfade und nachweisbare Maßnahmenumsetzung sind es.

Feld 4 – Lieferkette nachverhandeln

Die kritischen Lieferantenverträge sollten bis zum Sommer überarbeitet werden, mit klaren Anhängen zu IT-Sicherheit, Vorfallmeldung, Audit-Recht und Datenflüssen. Der Aufwand wird in der Regel unterschätzt, weil er nicht nur juristisch, sondern auch operativ einzuordnen ist. Wer hier wartet, hat bei der Audit-Welle ein Problem.

Feld 5 – Detektion und Vorfallreaktion

Die 24-Stunden-Frühwarnpflicht ist der Punkt, an dem viele Unternehmen erstmals merken, dass ihre Detektionsfähigkeit nicht ausreicht. Eine SOC-Anbindung – intern oder ausgelagert – ist für die meisten regulierten Mittelständler keine Frage des Ob, sondern des Wie. Übungen, Tabletop-Szenarien und konkrete Eskalationspfade sind das, was im Audit nachweisbar zählt.

Feld 6 – Governance und Haftung

Die Geschäftsführung haftet persönlich. Was bedeutet, dass Risikoanalyse und Maßnahmenkatalog formal von der Geschäftsführung genehmigt sein müssen, mit dokumentierter Schulung der verantwortlichen Personen. Aus Audit-Sicht ist das einer der einfachsten Punkte – und einer der häufigsten Befunde, weil er gerne vergessen wird.

Ausblick: Was bis Ende 2026 sicher kommt

Erstens werden die ersten formalen NIS2-Audits in Belgien Ergebnisse zeigen, und diese Ergebnisse werden in den anderen Mitgliedstaaten Standards setzen. Wer als Lieferant in EU-weite Wertschöpfungsketten eingebunden ist, wird die belgischen Audit-Anforderungen indirekt erleben – über Fragebögen, Vertragsklauseln und Kundenaudits.

Zweitens wird das BSI ab dem zweiten Halbjahr 2026 die Stichprobenkontrollen hochfahren. Die Häufung der Erstgespräche zeigt das Muster: Aufsichten beginnen leise, eskalieren strukturiert und gehen erst dann in den Bußgeldbereich, wenn klare Mitwirkungsverweigerung vorliegt. Wer kooperativ ist, hat einen erheblich besseren Stand.

Drittens werden DORA (für Finanzunternehmen seit Januar 2025), EU AI Act (Hochrisiko-KI ab 2. August 2026) und CRA (Cyber Resilience Act, ab Dezember 2027) die Compliance-Landschaft weiter verdichten. Wer NIS2 und KRITISDachG sauber aufbaut, hat den größten Teil der organisatorischen Grundlage für diese kommenden Regime bereits gelegt.

Die belgische Audit-Welle vom 18. April 2026 ist nicht das Ende der Geschichte, sondern ihr Auftakt. Wer das versteht und im Sommer 2026 aufgeräumt dasteht, gewinnt nicht nur die Compliance, sondern auch den Wettbewerbsvorteil, den ein gut geführtes Sicherheitsprogramm für die nächsten Jahre verschafft. Das pleXtec-Team begleitet diesen Prozess in der Regel als zweiter Blick auf die Risikoanalyse, als Sparringspartner für die Programmsteuerung oder als operativer Verstärker bei technischen Maßnahmen wie Segmentierung, MFA-Rollouts und Detektion. Wer wissen will, wie der eigene Stand aussieht und welche drei Schritte den größten Hebel haben, kann das in einem strukturierten Erstgespräch in 60 Minuten klären – Kontakt aufnehmen und den Sommer 2026 in geordneter Bahn beginnen.