NIS2 für den Mittelstand: Was KMU jetzt tun müssen

Von 0data automation solutionsMar 23, 2026
nis2cybersecuritycompliancekmu

Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) im Dezember 2025 hat die Cybersicherheit in Deutschland eine neue regulatorische Dimension erreicht. Was viele Geschäftsführer im Mittelstand noch nicht auf dem Schirm haben: Die neuen Pflichten betreffen nicht nur Großkonzerne und kritische Infrastrukturen, sondern auch tausende kleine und mittlere Unternehmen. Wer jetzt nicht handelt, riskiert empfindliche Bußgelder und persönliche Haftung.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Regulierung, die den Schutz kritischer und wichtiger Einrichtungen vor Cyberangriffen deutlich verschärft. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich massiv. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Der entscheidende Unterschied zur Vorgängerregelung: NIS2 erfasst rund 30.000 Unternehmen in Deutschland -- gegenüber bisher nur etwa 2.000 Betreibern kritischer Infrastrukturen. Die Schwelle liegt bei Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in insgesamt 18 Sektoren.

Wer ist betroffen?

NIS2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Die Zuordnung hängt von Sektor, Unternehmensgröße und Umsatz ab.

Besonders wichtige Einrichtungen

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Transport und Verkehr
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser- und Abwasserversorgung
  • Digitale Infrastruktur und IT-Dienstleister
  • Öffentliche Verwaltung
  • Weltraum

Wichtige Einrichtungen

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Industrie
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe (Maschinenbau, Fahrzeugbau, Elektrotechnik)
  • Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Wichtig für KMU: Auch wenn Ihr Unternehmen nicht direkt in einen dieser Sektoren fällt, können Sie als Zulieferer oder Dienstleister eines betroffenen Unternehmens indirekt in den Anwendungsbereich geraten. Die Supply-Chain-Anforderungen von NIS2 setzen sich entlang der gesamten Lieferkette fort.

Welche Fristen gelten?

Das NIS2UmsuCG ist im Dezember 2025 in Kraft getreten. Die wichtigsten Fristen im Überblick:

  • Seit Dezember 2025: Die Anforderungen an Risikomanagement, Meldepflichten und Governance gelten unmittelbar.
  • Bis März 2026: Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Diese Frist läuft aktuell -- handeln Sie jetzt, falls Sie Ihr Unternehmen noch nicht registriert haben.
  • Laufend: Regelmäßige Nachweise und Audits gegenüber dem BSI.

Wer die Registrierungsfrist versäumt, signalisiert dem BSI nicht nur mangelnde Compliance, sondern riskiert bereits erste Ordnungswidrigkeitsverfahren.

Die vier Kernpflichten im Detail

1. Risikomanagement

Betroffene Unternehmen müssen ein systematisches Risikomanagement für ihre IT- und Netzwerksicherheit etablieren. Dazu gehören:

  • Risikoanalyse und Sicherheitskonzepte für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen (Incident Response)
  • Business Continuity Management mit Backup-Management und Krisenmanagement
  • Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zu Zulieferern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, einschließlich Schwachstellenmanagement
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
  • Kryptographie und Verschlüsselung
  • Zugriffskontrolle und Asset-Management
  • Multi-Faktor-Authentifizierung und gesicherte Kommunikation

2. Meldepflichten

Bei erheblichen Sicherheitsvorfällen gelten strenge Meldefristen gegenüber dem BSI:

  • Innerhalb von 24 Stunden: Erste Frühwarnung nach Kenntnis eines Vorfalls
  • Innerhalb von 72 Stunden: Detaillierte Meldung mit erster Bewertung, Schweregrad und Auswirkungen
  • Innerhalb eines Monats: Abschlussbericht mit detaillierter Beschreibung, Ursachenanalyse und ergriffenen Maßnahmen

Diese Fristen sind ambitioniert und erfordern vorbereitete Prozesse. Ohne einen getesteten Incident-Response-Plan werden die meisten KMU diese Vorgaben nicht einhalten können.

3. Supply-Chain-Sicherheit

NIS2 verpflichtet Unternehmen, die Cybersicherheit entlang ihrer gesamten Lieferkette zu bewerten und sicherzustellen. Das bedeutet konkret:

  • Sicherheitsanforderungen an Zulieferer und Dienstleister vertraglich festlegen
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen bei Partnern
  • Risikobewertung der Abhängigkeiten von einzelnen Zulieferern

Für viele mittelständische Zulieferer bedeutet dies: Selbst wenn Sie knapp unter den Schwellenwerten liegen, werden Ihre Kunden NIS2-konforme Sicherheitsnachweise von Ihnen verlangen.

4. Geschäftsführerhaftung

Die wohl einschneidendste Neuerung für den Mittelstand: Geschäftsführer haften persönlich für die Umsetzung der Cybersicherheitsmaßnahmen. Die Geschäftsleitung muss:

  • Die Risikomanagementmaßnahmen genehmigen und deren Umsetzung überwachen
  • Regelmäßig an Cybersicherheitsschulungen teilnehmen
  • Bei Pflichtverletzungen persönlich mit ihrem Privatvermögen haften

Diese Haftung kann nicht auf Dritte delegiert werden. Auch die Beauftragung eines IT-Dienstleisters entbindet die Geschäftsführung nicht von ihrer Verantwortung.

Welche Strafen drohen?

Die Bußgelder bei Verstößen sind erheblich und orientieren sich an der DSGVO:

  • Besonders wichtige Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Hinzu kommt die persönliche Haftung der Geschäftsführung sowie mögliche Reputationsschäden bei Bekanntwerden von Sicherheitsvorfällen. Das BSI kann zudem Anordnungen zur Umsetzung bestimmter Maßnahmen erlassen und deren Einhaltung durch Zwangsgelder durchsetzen.

7 konkrete Handlungsschritte für KMU

Schritt 1: Betroffenheit prüfen

Ermitteln Sie systematisch, ob Ihr Unternehmen in den Anwendungsbereich von NIS2 fällt. Prüfen Sie Ihren Sektor, Ihre Mitarbeiterzahl und Ihren Jahresumsatz. Berücksichtigen Sie auch die indirekte Betroffenheit über Ihre Kunden.

Schritt 2: BSI-Registrierung durchführen

Falls noch nicht geschehen: Registrieren Sie Ihr Unternehmen umgehend beim BSI. Die Frist im März 2026 steht unmittelbar bevor. Die Registrierung erfolgt über das BSI-Portal und erfordert grundlegende Angaben zu Ihrem Unternehmen und Ihrer IT-Infrastruktur.

Schritt 3: GAP-Analyse durchführen

Stellen Sie den Ist-Zustand Ihrer IT-Sicherheit dem Soll-Zustand nach NIS2 gegenüber. Identifizieren Sie Lücken in den Bereichen Risikomanagement, Incident Response, Zugriffskontrolle und Lieferkettensicherheit. Eine professionelle GAP-Analyse bildet die Grundlage für Ihren Umsetzungsfahrplan.

Schritt 4: Incident-Response-Plan erstellen

Entwickeln Sie einen dokumentierten Plan für den Umgang mit Sicherheitsvorfällen, der die 24-Stunden-Meldefrist berücksichtigt. Definieren Sie klare Verantwortlichkeiten, Eskalationswege und Kommunikationsabläufe. Testen Sie den Plan in einer Übung.

Schritt 5: Lieferantenmanagement aufbauen

Erfassen Sie alle relevanten Zulieferer und IT-Dienstleister. Bewerten Sie deren Sicherheitsniveau und passen Sie Ihre Verträge an. Etablieren Sie regelmäßige Überprüfungen der Sicherheitsmaßnahmen Ihrer Partner.

Schritt 6: Geschäftsführung schulen

Stellen Sie sicher, dass Ihre Geschäftsleitung die NIS2-Anforderungen und ihre persönliche Haftung versteht. Planen Sie regelmäßige Schulungen ein -- nicht nur als Pflichtübung, sondern als Grundlage für informierte Entscheidungen zur Cybersicherheitsstrategie.

Schritt 7: Kontinuierliche Verbesserung etablieren

NIS2-Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS), das regelmäßige Überprüfungen, Audits und Verbesserungen vorsieht. Eine Orientierung an ISO 27001 erleichtert den Nachweis der Compliance.

Fördermöglichkeiten nutzen

Die Kosten für die NIS2-Umsetzung können gerade für kleinere Unternehmen eine Herausforderung darstellen. Die gute Nachricht: Über die BAFA-Förderung (Bundesamt für Wirtschaft und Ausfuhrkontrolle) können KMU Zuschüsse für externe Beratungsleistungen im Bereich IT-Sicherheit beantragen. Informieren Sie sich frühzeitig über die aktuellen Förderprogramme, denn die Mittel sind begrenzt und die Nachfrage hoch.

Darüber hinaus bieten einzelne Bundesländer ergänzende Förderprogramme für Digitalisierung und IT-Sicherheit an, die ebenfalls für NIS2-bezogene Maßnahmen genutzt werden können.

Fazit: Handeln Sie jetzt

Die NIS2-Richtlinie ist keine ferne Zukunftsvision -- sie ist geltendes Recht. Die Registrierungsfrist beim BSI läuft, und die Anforderungen an Risikomanagement und Meldepflichten gelten bereits. Für Geschäftsführer im Mittelstand steht nicht nur die Compliance des Unternehmens auf dem Spiel, sondern auch die persönliche Haftung.

Wer jetzt systematisch vorgeht, kann die Anforderungen effizient umsetzen und gleichzeitig die eigene Cyberresilienz nachhaltig stärken. Denn unabhängig von regulatorischen Pflichten: Angesichts der steigenden Bedrohungslage durch Ransomware, Supply-Chain-Angriffe und staatlich gelenkte Cyberoperationen ist ein robustes Sicherheitskonzept eine unternehmerische Notwendigkeit.

Sie sind unsicher, ob Ihr Unternehmen von NIS2 betroffen ist oder wo Sie anfangen sollen? Wir unterstützen mittelständische Unternehmen bei der Betroffenheitsanalyse, GAP-Analyse und Umsetzungsplanung -- pragmatisch und auf Augenhöhe.

Kostenlose Erstberatung vereinbaren