Am 12. Mai 2026 lag der Brief auf dem Schreibtisch von Dr. Stefan Henkel, kaufmaennischer Geschaeftsfuehrer der fiktiven, aber an Realbeispielen orientierten Henkel Maschinenbau Holding GmbH mit 410 Mitarbeitern und einem Konzernumsatz von 92 Millionen Euro. Absender: Bundesamt fuer Sicherheit in der Informationstechnik, Referat NIS-2-Aufsicht. Inhalt: "Ankuendigung einer dokumentenbasierten Pruefung gemaess Paragraph 30 BSI-Gesetz". Frist fuer die Vorlage der Unterlagen: vier Wochen. Henkel las den Brief zweimal, legte ihn beiseite und rief die IT-Leitung an. Er war einer von 29.500 Unternehmen, die unter den deutschen NIS2-Scope fallen – und einer von geschaetzt 84 Prozent, die im Mai 2026 noch nicht compliance-ready waren.

Was an diesem Maitag in Suedwestfalen begann, ist die Geschichte einer Pruefphase, die der deutsche Mittelstand 2026 zum ersten Mal in voller Haerte erlebt. Sie endet weder mit einem Verschluesselungs-Vorfall noch mit einem Pressesturm, sondern mit einem 19-seitigen Pruefbericht und einer Bussgeldandrohung in Hoehe von 380.000 Euro. Wer diesen Pfad nicht gehen will, sollte verstehen, was sich seit Mai 2026 wirklich geaendert hat – und welche Hausaufgaben bis heute unerledigt liegen.

Die regulatorische Wende: Vom Papier zur Pruefung

Bis Maerz 2026 war NIS2 fuer viele Mittelstaendler ein abstraktes Thema. Das Gesetz war im Dezember 2025 in Kraft getreten, das BSI-Registrierungsportal hatte am 6. Januar 2026 geoeffnet, und die Frist zur Selbstregistrierung endete am 6. Maerz 2026. Wer den Termin verpasste, hatte allein dadurch einen formalen Verstoss begangen – mit moeglichen Bussgeldern bis zu 100.000 Euro, ohne dass zusaetzliche Tatbestaende vorliegen muessten.

Mit dem Beginn des zweiten Quartals 2026 hat sich die Lage erneut verschoben: Das BSI ist seit Mai in der operativen Pruefphase. Die Schwerpunkte liegen klar definiert auf drei Bereichen:

  • Registrierungsstatus – wer registriert? wer nicht? wer falsch klassifiziert?
  • Risikomanagementmassnahmen nach Artikel 21 NIS2 – sind die zehn Pflichtkategorien nachweisbar umgesetzt?
  • Meldewege und Incident-Reporting – funktioniert die 24-Stunden-Erstmeldung? die 72-Stunden-Folgemeldung? der Abschlussbericht nach einem Monat?

Die erste systematische Pruefwelle laeuft. Nach Aussagen aus dem BSI-Umfeld zielt sie zunaechst nicht auf flaechendeckende Vor-Ort-Audits, sondern auf dokumentenbasierte Pruefungen: Das Amt fordert per Schreiben Nachweise an – Risikoregister, Notfallhandbuch, Patch-Policy, Lieferkettenmatrix, Schulungsnachweise, Logging-Konzept. Wer liefern kann, geht in eine zweite Pruefphase ueber. Wer nicht liefern kann, hat ein Problem.

Warum gerade Mai 2026 der Wendepunkt ist

Drei Entwicklungen treffen in diesem Monat zusammen. Erstens hat die belgische Aufsicht am 18. April 2026 die ersten konkreten NIS2-Verfahren gegen "besonders wichtige Einrichtungen" eingeleitet – das Muster wird in Deutschland, Oesterreich und der Schweiz aufmerksam beobachtet. Zweitens hat der EU-Digital-Omnibus die Fristen fuer den AI Act zwar verschoben, die NIS2-Fristen jedoch ausdruecklich nicht. Drittens ist mit der Registrierungs-Deadline 6. Maerz 2026 erstmals eine harte Frist verstrichen, die der BSI als Eintrittstor in die Aufsicht nutzen kann.

Fuer den deutschen Scope bedeutet das: Ab 50 Mitarbeitern ODER 10 Millionen Euro Jahresumsatz, kombiniert mit Sektorzugehoerigkeit zu einer der 18 NIS2-Branchen, fallen Unternehmen unter die "wichtigen" Einrichtungen. Mit 250 Mitarbeitern ODER 50 Millionen Euro Umsatz wird man "besonders wichtig". Die Henkel Maschinenbau Holding aus unserem Szenario faellt in den hoeheren Tatbestand, weil sie als Zulieferer fuer kritische Infrastrukturen (Energie- und Wasserwirtschaft) klassifiziert ist und sowohl die Mitarbeiter- als auch die Umsatzschwelle deutlich ueberschreitet.

Anatomie einer NIS2-Pruefung – aus Sicht des Unternehmens

Zurueck zu Henkel. Die IT-Leiterin, Carla Voss, hatte den Brief in den ersten Stunden noch fuer eine Formalie gehalten. Erst beim Durchlesen der angeforderten Unterlagen wurde klar, wie tief der BSI greift. Zur Vorlage gefordert wurden konkret:

  • Risikoanalyse nach Paragraph 30 BSIG mit dokumentierter Methodik
  • Risikoregister mit Bewertung und Behandlungsmassnahmen
  • Business-Continuity- und Disaster-Recovery-Plan inklusive Pruefprotokolle
  • Verfahrensanweisung fuer das Incident-Reporting (24h/72h/1 Monat)
  • Schulungsnachweise fuer Geschaeftsfuehrung und Sicherheitsbeauftragte
  • Lieferkettenanalyse mit Bewertung der wichtigsten zehn Lieferanten
  • Logging- und Monitoring-Konzept
  • Patch-Management-Policy mit SLAs
  • Multi-Faktor-Authentifizierungs-Konzept fuer alle privilegierten Konten
  • Krypto-Konzept inklusive Schluesselverwaltung

Voss zaehlte intern durch. Vorhanden waren drei Dokumente: ein eher allgemeines IT-Sicherheitshandbuch von 2022, eine Patch-Policy aus dem Audit der Wirtschaftspruefer und ein Notfallplan, der nach dem Brand-Schutzgutachten 2023 erstellt worden war. Sieben weitere Dokumente fehlten. Die Geschaeftsfuehrung hatte zudem keine dokumentierte Schulung zur Cyber-Risiko-Verantwortung absolviert – ein Umstand, der nach NIS2 personenbezogene Haftungsfolgen fuer Geschaeftsfuehrer nach sich ziehen kann, mit Bussgeldern bis 10 Millionen Euro im Falle besonders wichtiger Einrichtungen.

Die zehn Kategorien aus Artikel 21 NIS2 – konkret

Artikel 21 der NIS2-Richtlinie listet zehn Massnahmenkategorien auf, die jedes betroffene Unternehmen "nachweisbar" umsetzen muss. "Nachweisbar" ist das Schluesselwort – die Pruefer akzeptieren keine muendliche Erlaeuterung. Es muss schwarz auf weiss vorliegen. Die Kategorien lauten:

  1. Risikoanalyse und Sicherheitskonzepte fuer Informationssysteme
  2. Vorfallsbewaeltigung (Detection, Reaction, Recovery)
  3. Business Continuity und Krisenmanagement
  4. Lieferkettensicherheit, einschliesslich Beziehungen zu unmittelbaren Anbietern
  5. Sicherheit in der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen
  6. Wirksamkeitsbewertung der Cybersicherheits-Massnahmen
  7. Schulungen zur Cybersicherheit und grundlegende Cyberhygiene
  8. Kryptografie und gegebenenfalls Verschluesselung
  9. Sicherheit des Personals, Konzepte fuer Zugriffskontrolle, Asset-Management
  10. Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation, gesicherte Notfallkommunikation

Wer kein Risikoregister fuehrt, scheitert bereits an Kategorie 1. Wer keine Lieferkettenmatrix hat, scheitert an Kategorie 4. Wer keine Schulungsnachweise vorlegen kann, scheitert an Kategorie 7. Drei Kategorien reichen aus, damit der BSI eine Aufforderung zur Nachbesserung mit Frist und Bussgeldandrohung verschickt.

User Story: Wie Henkel den Audit besteht

Carla Voss hatte vier Wochen. Sie entschied sich gegen den Versuch, intern alles selbst zu erledigen, und kontaktierte am Morgen des 14. Mai 2026 ein spezialisiertes Beratungsteam – nicht fuer eine vollstaendige ISO-27001-Zertifizierung, die Jahre dauert, sondern fuer einen pragmatischen "Audit-Readiness-Sprint" ueber vier Wochen. Der Plan saw drei Phasen vor.

Woche 1: Aufnahme und Lueckenanalyse

Das externe Team setzte sich mit Voss und der CIO-Vertretung zusammen und fuehrte eine Gap-Analyse durch. Verglichen wurde der Ist-Zustand mit den zehn Artikel-21-Kategorien sowie der erweiterten BSI-Indikatorenliste aus der "Mindestanforderungen fuer NIS2-regulierte Unternehmen" vom Februar 2026. Das Ergebnis: 32 von 47 geprueften Indikatoren waren entweder nicht erfuellt oder nicht dokumentiert.

Die kritischen Luecken lagen in vier Bereichen: dem fehlenden Risikoregister, der nicht-existenten Lieferkettenanalyse, dem fehlenden Krypto-Konzept und – besonders heikel – der Tatsache, dass die Geschaeftsfuehrung weder eine NIS2-Schulung absolviert noch einen formal benannten Sicherheitsbeauftragten unter sich hatte.

Woche 2: Dokumentation und Schulung

Auf Basis der Lueckenanalyse erstellte das Team zusammen mit Voss in der zweiten Woche die zwingend benoetigten Dokumente. Das Risikoregister wurde aus einer halbtaegigen Workshop-Reihe mit den Fachbereichen geboren – Produktion, Logistik, Engineering, Finance, HR. Jeder Bereich identifizierte seine top fuenf Risiken, bewertete sie nach Eintrittswahrscheinlichkeit und Auswirkung und definierte Behandlungsmassnahmen. Ergebnis: ein 38-seitiges Dokument, das nicht perfekt war, aber den Pruefkriterien standhalten konnte.

Parallel absolvierte die komplette Geschaeftsleitung – drei Personen – eine zweitaegige NIS2-Pflichtschulung beim externen Dienstleister mit Zertifikat und Pruefung. Die Schulung deckte exakt jene Inhalte ab, die nach Paragraph 38 BSIG fuer die Leitungsebene verbindlich sind: Verantwortlichkeit, Haftungsfolgen, Risikoarchitektur, Meldepflichten, Sanktionsrahmen.

Woche 3: Lieferkette und MFA

Die dritte Woche stand im Zeichen zweier konkreter Massnahmen: der Lieferkettenanalyse und der Multi-Faktor-Authentifizierung. Fuer die Lieferkettenanalyse identifizierte das Team die zehn umsatzkritischsten Lieferanten – ERP-Anbieter, MES-Hersteller, Cloud-Hoster, IT-Service-Provider, Logistik-Anbieter – und fuehrte fuer jeden eine Risikobewertung durch. Bei drei Anbietern wurden Sicherheitslueck zwischen dem geforderten und dem nachgewiesenen Schutzniveau erkannt; mit jedem dieser Anbieter wurde ein Side-Letter zum NIS2-Compliance-Standard vereinbart.

Die MFA-Einfuehrung war technisch der grosse Brocken: Fuer rund 80 privilegierte Konten – Administratoren, Service-Accounts, Remote-Zugriff – musste innerhalb von sieben Tagen ein zweiter Faktor eingefuehrt werden. Das Team setzte auf eine bestehende Microsoft-Entra-ID-Lizenz, rollte FIDO2-Sicherheitsschluessel und Authenticator-App-MFA aus und dokumentierte Ausnahmen separat im Risikoregister.

Woche 4: Notfallplan, Krypto und finale Dokumentation

In der letzten Woche wurden der bestehende Notfallplan ueberarbeitet, ein Krypto-Konzept fuer ruhende und uebertragene Daten erstellt sowie eine Verfahrensanweisung fuer das NIS2-Incident-Reporting verabschiedet. Letztere definierte die drei Meldewege – 24-Stunden-Erstmeldung an das BSI, 72-Stunden-Folgemeldung, Abschlussbericht nach 30 Tagen – mit klaren Eskalationsketten und Rollenzuteilung.

Am 9. Juni 2026 reichte Voss die Unterlagen beim BSI ein, drei Tage vor Fristablauf. Zwei Wochen spaeter kam die Rueckmeldung: Die Pruefung sei "im Wesentlichen positiv" verlaufen, vier Indikatoren wiesen jedoch noch Nachbesserungsbedarf auf, fuer den eine Frist von sechs Monaten gesetzt wurde. Keine Bussgeldandrohung. Keine Veroeffentlichung. Kein Reputationsverlust.

Was diese Geschichte beispielhaft macht

Henkel ist ein Konstrukt – aber die Mechanik dahinter ist real. Unsere Erfahrung aus der Begleitung mittelstaendischer NIS2-Pflichtiger zeigt: Die meisten Unternehmen haben mehr Substanz, als sie selbst glauben. Es gibt Patch-Cycles, es gibt Backup-Konzepte, es gibt ein Berechtigungsmanagement. Was fehlt, ist die Dokumentation in pruefbarer Form. Genau hier zerschellt die Mehrheit der NIS2-Pruefungen: nicht am fehlenden Schutzniveau, sondern an der fehlenden Nachweisbarkeit.

Die zweite haeufige Falle ist die Geschaeftsfuehrungs-Haftung. Paragraph 38 BSIG bindet die Verantwortung explizit an die Leitungsebene. Wer als CEO oder Geschaeftsfuehrer keinen dokumentierten Schulungsnachweis vorlegen kann, ist persoenlich angreifbar – und zwar nicht erst, wenn ein Schaden eintritt, sondern bereits in der Aufsichts-Pruefung.

Bredere Einordnung: NIS2 im europaeischen Kontext

Was in Deutschland im Mai 2026 als BSI-Pruefphase beginnt, ist Teil einer breiteren europaeischen Bewegung. In Belgien laufen seit April konkrete Verfahren, in Italien hat die Agenzia per la Cybersicurezza Nazionale (ACN) ein eigenes Compliance-Audit-Programm aufgesetzt, in Frankreich uebernimmt die ANSSI vergleichbare Aufgaben. Das in Belgien etablierte Minimumniveau wird mit hoher Wahrscheinlichkeit zur de-facto-Benchmark fuer den gesamten DACH-Raum.

Hinzu kommen flankierende Regulierungen: Der Cyber Resilience Act tritt zum 11. September 2026 in seine erste Umsetzungsphase ein und verlangt Sicherheitsanforderungen fuer Produkte mit digitalen Elementen. DORA hat den Finanzsektor seit Januar 2026 im Griff. Der EU AI Act wurde durch den Digital-Omnibus zwar verschoben, bleibt aber als Compliance-Baustein bestehen. Wer im Mai 2026 noch glaubt, dass Cybersecurity-Compliance ein Nebenschauplatz ist, blendet einen wesentlichen Teil der unternehmerischen Risikolandschaft aus.

Handlungsempfehlungen fuer Geschaeftsfuehrer und CISOs

Aus der Henkel-Story und dem aktuellen Stand der BSI-Aufsicht lassen sich sechs konkrete Empfehlungen ableiten:

1. Registrierungsstatus pruefen – sofort

Sind Sie im BSI-Portal registriert? Falls nein, ist das Ihre erste Aufgabe diese Woche. Falls ja: Ist die Klassifizierung als "wichtig" oder "besonders wichtig" korrekt? Fehlklassifizierungen ziehen separate Sanktionen nach sich.

2. Risikoregister als Mindeststandard

Ohne ein nachweisbar gefuehrtes Risikoregister kein NIS2. Es muss nicht perfekt sein, es muss existieren, methodisch nachvollziehbar sein und regelmaessig aktualisiert werden. Eine ISO-27001-Zertifizierung ist nicht zwingend, aber das Dokument als solches schon.

3. Geschaeftsfuehrungs-Schulung dokumentieren

Paragraph 38 BSIG ist eindeutig: Die Leitungsebene muss geschult sein. Buchen Sie eine zertifizierte NIS2-Schulung fuer die komplette Geschaeftsfuehrung – idealerweise mit externem Zertifikat. Diese Investition liegt im niedrigen vierstelligen Bereich pro Person und ist im Ernstfall die billigste Versicherung gegen persoenliche Haftung.

4. Lieferkettenanalyse als laufenden Prozess etablieren

Identifizieren Sie Ihre zehn umsatzkritischsten Lieferanten und bewerten Sie deren Sicherheitsniveau. Bei kritischen Anbietern verankern Sie NIS2-Anforderungen in den Vertraegen. Das ist nicht nur Compliance-Pflicht, sondern auch das einzige Mittel, um Supply-Chain-Angriffe wie die Lieferketten-Vorfaelle der letzten zwei Jahre praeventiv zu adressieren – Stichwort Informationssicherheit entlang der Wertschoepfungskette.

5. MFA und Logging als technische Mindestbasis

Ohne flaechendeckende MFA fuer privilegierte Konten und ohne zentrales Logging mit definierter Aufbewahrungsfrist (mindestens 90 Tage, besser zwoelf Monate) wird die Pruefung scheitern. Beides ist mit modernen Identity-Plattformen wie Microsoft Entra ID oder Okta in wenigen Wochen umsetzbar.

6. Incident-Response-Plan testen

Ein Notfallplan, der nie getestet wurde, ist kein Notfallplan, sondern ein Papier. Mindestens einmal jaehrlich sollte eine Table-Top-Uebung mit realistischem Szenario stattfinden – idealerweise mit externer Moderation, die die ehrlichen Schwachstellen aufzeigt. Bei Bedarf kann pleXtec im Rahmen seiner Cybersecurity-Leistungen diese Uebungen begleiten und protokollieren.

Ausblick: Wohin sich die Aufsichtspraxis bewegt

Die Mai-2026-Pruefphase ist der Beginn, nicht das Ende. Im dritten Quartal 2026 wird die erste systematische Welle von Vor-Ort-Audits erwartet – das BSI hat dafuer rund 80 zusaetzliche Stellen ausgeschrieben. Ab 2027 ist mit der Veroeffentlichung der ersten Bussgeld-Bescheide zu rechnen; in Belgien sind bereits jetzt anonymisierte Faelle bekannt. Die Hoehe der bislang verhaengten Bussgelder bewegt sich im Bereich von 50.000 bis 800.000 Euro fuer mittelgrosse Verstoesse – noch deutlich unter dem theoretisch moeglichen Maximum von 10 Millionen Euro oder 2 Prozent des Jahresumsatzes (je nachdem, was hoeher ist).

Parallel dazu entwickelt sich die Aufsicht inhaltlich weiter. In den BSI-Indikatorenkatalogen tauchen zunehmend Anforderungen aus der KI-Sicherheit auf – Stichwort Schatten-KI im Unternehmen, generative KI in der Softwareentwicklung, agentische Systeme im Geschaeftsprozess. Wer in den naechsten zwoelf Monaten eine KI-Strategie aufsetzt, sollte die NIS2-Anforderungen von Anfang an mitdenken und in einem integrierten Compliance-Framework verankern.

Was pleXtec leistet

Wir begleiten Mittelstandsunternehmen seit Beginn der NIS2-Umsetzung dabei, von der reinen Pflichterfuellung zu einem echten Sicherheitsniveau zu kommen. Unser Vorgehen entspricht dem Sprint-Modell aus der Henkel-Story: Aufnahme in einer Woche, Dokumentation und Schulung in zwei weiteren Wochen, Umsetzung der kritischen technischen Massnahmen in der vierten Woche. Wir liefern die Vorlagen, fuehren die Workshops, schulen die Geschaeftsfuehrung und stellen sicher, dass die Unterlagen pruefungssicher sind.

Wenn Sie heute nicht mit Gewissheit sagen koennen, dass Ihr Unternehmen einer dokumentenbasierten BSI-Pruefung standhalten wuerde, ist das der richtige Moment fuer ein Gespraech. Unsere Compliance-Experten bewerten Ihren aktuellen Reifegrad in einer kostenlosen Erstanalyse und zeigen Ihnen, welche drei Massnahmen Sie in den naechsten 30 Tagen umsetzen sollten. Vereinbaren Sie ein Erstgespraech ueber unsere Kontaktseite oder informieren Sie sich vorab ueber unsere Compliance-Loesungen.

Die naechsten 18 Monate werden zeigen, welche Unternehmen die NIS2-Aufsicht als Anstoss zur Reifung ihrer Sicherheitsarchitektur nutzen – und welche sich auf das Hoffen verlassen, dass schon nicht sie zuerst geprueft werden. Aus den Erfahrungen der ersten Pruefwelle laesst sich eines mit Bestimmtheit sagen: Hoffen ist 2026 keine Strategie mehr.