NIS2 im Mittelstand: Was KMU jetzt wirklich tun müssen

NIS2 ist die am meisten unterschätzte Compliance-Verpflichtung der letzten Jahre. Viele Mittelständler glauben, die Richtlinie betreffe nur große Konzerne oder Betreiber kritischer Infrastruktur. Das ist ein teurer Irrtum. Die NIS2-Richtlinie weitet den Geltungsbereich massiv aus und macht Geschäftsführer persönlich haftbar. Wer heute nicht handelt, riskiert Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Dieser Artikel erklärt in klarer Sprache, wer betroffen ist, was zu tun ist und wie ein realistischer 90-Tage-Umsetzungsfahrplan aussieht. Vorab ein Hinweis: Dieser Beitrag ersetzt keine juristische Beratung. Er liefert eine praxisnahe Einordnung auf Basis unserer Gap-Analysen in über 40 Mittelstandsprojekten – genau das, was ein Geschäftsführer für eine erste Entscheidung braucht.

Was ist NIS2 – in einem Absatz?

NIS2 (Network and Information Security Directive 2) ist die Weiterentwicklung der EU-Cybersecurity-Richtlinie von 2016. Sie verpflichtet Unternehmen aus 18 Sektoren zu einem einheitlichen, messbaren Cybersicherheitsniveau. Deutschland setzt NIS2 national über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) um. Kern ist ein Pflichtenkatalog zu Risikomanagement, Meldepflichten, technischen Mindestmaßnahmen und Geschäftsleitungsverantwortung – inklusive persönlicher Haftung.

Wer im Mittelstand ist betroffen?

Das ist die wichtigste Frage – und die meisten Unternehmen liegen mit ihrer Ersteinschätzung daneben. Relevant sind zwei Kriterien: Sektor und Größe.

Sektor: Betroffen sind Unternehmen aus sogenannten wesentlichen oder wichtigen Einrichtungen. Dazu zählen unter anderem: Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitsversorgung (inkl. Labore und Medizinproduktehersteller), Trinkwasser, digitale Infrastruktur, IKT-Dienstmanagement, öffentliche Verwaltung, Weltraum, Post und Kurier, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitende Industrie (u. a. Medizintechnik, Maschinenbau, Kraftfahrzeugbau), Anbieter digitaler Dienste, Forschung.

Größe: Ab 50 Mitarbeitern ODER ab 10 Mio. Euro Jahresumsatz ist Ihr Unternehmen in den meisten betroffenen Sektoren direkt in der Pflicht – als wichtige Einrichtung. Ab 250 Mitarbeitern / 50 Mio. Euro Umsatz gelten Sie als wesentliche Einrichtung mit höheren Anforderungen.

Wichtig: Auch kleinere Unternehmen sind indirekt betroffen. Wenn Sie Lieferant eines regulierten Unternehmens sind, wird Ihr Kunde NIS2-konforme Sicherheitsstandards von Ihnen verlangen – vertraglich.

Ein praktisches Beispiel: Ein mittelständischer Maschinenbauer aus Oberbayern mit 180 Mitarbeitern dachte zunächst, er sei nicht betroffen. Tatsächlich fällt er unter den Sektor verarbeitende Industrie (Maschinenbau) und überschreitet die Schwelle als wichtige Einrichtung. Zusätzlich liefert er an zwei NIS2-betroffene Automobilzulieferer – womit die Anforderungen vertraglich über die Lieferkette ohnehin zurückgespielt würden.

Ebenfalls häufig unterschätzt: IT-Dienstleister selbst. IKT-Dienstmanagement ist ein eigener NIS2-Sektor. Das bedeutet: Ihr Managed Service Provider ist selbst verpflichtet – und Sie können im Audit den Nachweis verlangen.

Die Kernanforderungen in fünf Punkten

NIS2 schreibt keine einzelnen Produkte vor, sondern Maßnahmen. Diese fünf Bereiche sind verpflichtend umzusetzen:

1. Risikomanagement

Identifikation, Bewertung und Behandlung von IT-Risiken – dokumentiert und regelmäßig aktualisiert.

2. Technische und organisatorische Maßnahmen (TOM)

Dazu zählen: Zugriffskontrollen (MFA, Rollenkonzepte), Backup- und Recovery-Strategie, Verschlüsselung, Schwachstellenmanagement, Netzwerksegmentierung, Endpoint Protection.

3. Incident-Response und Meldepflicht

Bei einem erheblichen Sicherheitsvorfall: Frühwarnung binnen 24 Stunden, erste Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats – an das BSI.

4. Business Continuity und Krisenmanagement

Backup, Notfallplan, Recovery-Prozeduren – getestet, nicht nur dokumentiert.

5. Lieferketten-Sicherheit

Ihre Dienstleister und Lieferanten müssen ebenfalls ein Mindestniveau an Sicherheit bieten – das ist vertraglich abzusichern.

Die meisten Mittelständler haben bereits Bausteine umgesetzt – aber selten als Gesamtsystem. Genau das fordert NIS2: keine isolierten Maßnahmen, sondern ein dokumentierter, regelmäßig überprüfter Sicherheitsprozess. Die gute Nachricht: Wer ISO 27001 oder einen vergleichbaren Standard nutzt, hat 60 bis 70 Prozent der Anforderungen bereits abgedeckt.

Persönliche Haftung der Geschäftsleitung

Das ist der Paradigmenwechsel, den viele Geschäftsführer noch nicht verinnerlicht haben: NIS2 verpflichtet die Leitungsorgane persönlich, Cybersicherheit zu überwachen, zu genehmigen und sich regelmäßig schulen zu lassen. Wird dies nachweisbar versäumt, drohen persönliche Sanktionen – unabhängig vom Unternehmensbußgeld. Das bedeutet: Cybersicherheit lässt sich nicht mehr nur an die IT delegieren. Sie ist Chefsache – auch juristisch.

Konkret bedeutet das für Geschäftsführer: Mindestens einmal pro Jahr eine dokumentierte Schulung zu Cybersicherheit (ca. 2 Stunden), regelmäßige Berichte aus der IT-Sicherheits-Funktion entgegennehmen und nachweislich Maßnahmen genehmigen. Wer das nicht tut und in einen Vorfall gerät, riskiert nicht nur das Unternehmensbußgeld, sondern persönliche Sanktionen. D&O-Versicherungen prüfen NIS2-Compliance bereits heute aktiv – wer nicht nachweisen kann, kann seinen Versicherungsschutz verlieren.

Typische Umsetzungsfallen im Mittelstand

Aus unseren NIS2-Gap-Analysen bei Mittelständlern wiederholen sich vier Fehler:

• Betroffenheit wird falsch eingeschätzt. Viele Geschäftsführer glauben, sie fielen nicht unter die Richtlinie – obwohl Sektor und Größe eindeutig passen.

• Dokumentation fehlt. Maßnahmen existieren, sind aber nicht schriftlich festgehalten. NIS2 fordert Nachweisbarkeit.

• Incident-Response ist unrealistisch. Die 24-Stunden-Frühwarnung funktioniert nicht mit einem Prozess, der erst im Ernstfall erfunden wird.

• Lieferkette wird vergessen. Die eigene IT ist abgesichert, aber der externe Dienstleister mit VPN-Zugang ist ungeprüft.

Ein fünfter Fallstrick wird oft übersehen: die Geschäftsleitung wird nicht sichtbar eingebunden. NIS2 verlangt explizit, dass das Leitungsorgan die Maßnahmen genehmigt und sich regelmäßig schulen lässt. Wenn diese Nachweise fehlen, hilft auch eine technisch saubere Umsetzung nicht – die Audit-Tauglichkeit hängt an der dokumentierten Geschäftsleitungsbeteiligung.

Der pragmatische 90-Tage-Fahrplan

Tag 1 – 30: Standortbestimmung

Betroffenheitsanalyse, Gap-Analyse gegen die NIS2-Anforderungen, Priorisierung. Ergebnis: Ein klarer Maßnahmenkatalog mit Verantwortlichen.

Tag 31 – 60: Umsetzung der kritischen Lücken

MFA flächendeckend, Backup-Restore getestet, Zugriffsmanagement überarbeitet, Incident-Response-Prozess dokumentiert und einmal durchgespielt, Lieferanten-Vertraulichkeitsvereinbarungen aktualisiert.

Tag 61 – 90: Nachweisbarkeit herstellen

Alle Maßnahmen dokumentieren, Geschäftsführung schulen (Pflicht), Meldewege etablieren, regelmäßige Audits terminieren, Notfallplan testen.

Was kostet die NIS2-Umsetzung realistisch?

Die Frage beschäftigt jeden Geschäftsführer, wenn das erste Zahlengerüst entsteht. Aus unseren Projekten lassen sich grobe Bandbreiten ableiten – stark abhängig vom Reifegrad, den ein Unternehmen mitbringt.

• Erstaufwand (einmalig): 15.000 bis 60.000 Euro für Betroffenheitsanalyse, Gap-Analyse, Policy-Erstellung, Schulungskonzept und initiale technische Nachbesserungen. Unternehmen mit ISO-27001-Vorarbeit liegen am unteren Ende, vollständige Greenfield-Projekte am oberen.

• Laufender Mehraufwand pro Jahr: 8.000 bis 25.000 Euro für Dokumentationspflege, Schulungen, Audit-Vorbereitung, Incident-Response-Tests. In vielen Managed-IT-Verträgen lässt sich ein Teil dieser Aufwände integrieren.

• Technische Investitionen: Falls Basis-Security-Tools fehlen (EDR/MDR, Backup, MFA, SIEM), kommen zusätzliche 10.000 bis 80.000 Euro hinzu. Viele Mittelständler haben einen Großteil davon allerdings bereits im Einsatz.

Entscheidend ist die Priorisierung: Nicht alle Anforderungen müssen sofort auf Audit-Niveau stehen. Die ersten 90 Tage fokussieren auf Nachweisbarkeit und Kronjuwelen-Schutz – der Rest reift über die folgenden zwölf Monate.

Drei häufige Missverständnisse zu NIS2

In jedem Erstgespräch begegnen uns dieselben Fehlannahmen. Räumen wir die wichtigsten auf:

Missverständnis 1: NIS2 ist nur ein technisches Thema.

NIS2 verlangt deutlich mehr Organisation als Technik. Die meisten Punkte (Risikomanagement, Lieferkette, Schulung, Geschäftsleitungsverantwortung) sind Governance-Themen. Ein reines Tool-Investment ohne Prozessarbeit erfüllt die Richtlinie nicht.

Missverständnis 2: Wir warten ab, bis die genauen Vorgaben klar sind.

Die Kernanforderungen stehen seit Veröffentlichung der EU-Richtlinie 2022 fest. Das nationale Umsetzungsgesetz schärft Details, ändert aber nicht die Substanz. Wer wartet, verschenkt Zeit – und steht beim ersten Audit ohne nachweisbare Maßnahmen da.

Missverständnis 3: Unser Versicherer schützt uns.

Cyberversicherungen verlangen heute aktiv den Nachweis von NIS2-relevanten Maßnahmen. Wer keine Maßnahmen nachweisen kann, verliert im Schadensfall den Versicherungsschutz – wir haben in 2024 zwei solche Fälle bei Mittelständlern gesehen, beide mit existenziellen Folgen.

Unsere Empfehlung: Behandeln Sie NIS2 wie ein normales Compliance-Programm – mit Owner, Roadmap, Budget und einem klaren Reporting an die Geschäftsleitung. Dann wird aus einer Pflicht ein gestaltbarer Prozess.

Fazit: NIS2 ist keine Fleißaufgabe – sondern Chefsache

NIS2 ist kein IT-Projekt. Es ist ein Governance-Thema mit IT-Anteil. Geschäftsführer, die es an die IT delegieren, erfüllen die Richtlinie nicht und haften persönlich. Wer pragmatisch anfängt, kann die meisten Anforderungen in 90 Tagen auf ein belastbares Niveau heben. Wer wartet, zahlt doppelt: einmal für die Bußgelder, einmal für den Cyber-Vorfall, den NIS2 eigentlich verhindern sollte.

→ Sind Sie von NIS2 betroffen? Wir bieten eine kostenfreie 30-Minuten-Ersteinschätzung für Ihr Unternehmen an.

Häufige Fragen (FAQ)

Diese Q&A-Blöcke eignen sich für FAQ-Schema-Markup und Google-SGE-Featured-Snippets.

F1. Ab wann gilt NIS2 in Deutschland?

Die Umsetzungsfrist der EU-Richtlinie lief im Oktober 2024 ab. Das deutsche NIS2-Umsetzungsgesetz wird in 2025 in Kraft treten – die materiellen Pflichten gelten mit Inkrafttreten sofort.

F2. Wie hoch sind die Bußgelder bei Verstößen?

Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent.

F3. Muss ich NIS2 auch dann umsetzen, wenn wir unter 50 Mitarbeiter haben?

Direkt meist nicht. Indirekt fast sicher – über Ihre Kunden, die ihre Lieferkette absichern müssen und NIS2-konforme Standards vertraglich einfordern.

F4. Welche Rolle spielt ISO 27001 für NIS2?

ISO 27001 ist keine Ersatz-Zertifizierung, deckt aber viele NIS2-Anforderungen ab. Wer ISO 27001 umsetzt, hat bei NIS2 deutlichen Startvorteil.