NIS-2 für KMU — Was jetzt zu tun ist

Was ist NIS-2 — und warum betrifft es plötzlich KMU?

Die NIS-2-Richtlinie (EU 2022/2555) ist die europäische Antwort auf die wachsende Bedrohung durch Cyberangriffe. Deutschland hat sie mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft getreten ist.

Der entscheidende Unterschied zur bisherigen Regulierung: NIS-2 betrifft nicht mehr nur große Konzerne und Betreiber kritischer Infrastrukturen. Erstmals werden auch mittelständische Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz erfasst — vorausgesetzt, sie sind in einem der 18 regulierten Sektoren tätig.

Bin ich betroffen? Die Schwellenwerte

Das Gesetz unterscheidet zwei Kategorien:

Besonders wichtige Einrichtungen

Unternehmen mit über 250 Mitarbeitern oder über 50 Mio. € Jahresumsatz in regulierten Sektoren. Für sie gelten die strengsten Anforderungen und die höchsten Bußgelder.

Wichtige Einrichtungen

Unternehmen mit 50–250 Mitarbeitern oder 10–50 Mio. € Umsatz in denselben Sektoren. Die Pflichten sind identisch, die Bußgelder etwas niedriger.

Die regulierten Sektoren umfassen unter anderem: Energie, Verkehr, Wasser, Gesundheit, Finanzwesen, digitale Infrastruktur, verarbeitendes Gewerbe (Produktion), Chemie, Lebensmittel, Post und Logistik, Abfallwirtschaft sowie IT-Dienstleister.

Gerade produzierende KMU und Zulieferer sind häufig betroffen, ohne es zu wissen.

Was genau müssen betroffene Unternehmen tun?

Das Gesetz verlangt eine Reihe konkreter Maßnahmen, die sofort gelten — es gibt keine Übergangsfrist für die technischen und organisatorischen Maßnahmen:

1. Registrierung beim BSI

Seit Januar 2026 ist das Registrierungsportal des BSI (Bundesamt für Sicherheit in der Informationstechnik) geöffnet. Für besonders wichtige Einrichtungen lief die Frist am 6. März 2026 ab. Das BSI hat allerdings signalisiert, dass es bei verspäteten Registrierungen zunächst auf Kooperation statt Strafen setzt.

2. Risikomanagement etablieren

Betroffene Unternehmen müssen ein systematisches Risikomanagement für ihre IT-Systeme einführen. Das umfasst: Risikoanalyse, Sicherheitskonzept, regelmäßige Überprüfung und Dokumentation. Kein abstraktes Papier — sondern nachweisbare Maßnahmen.

3. Technische Schutzmaßnahmen umsetzen

Zu den geforderten Maßnahmen gehören:

Endpoint Detection & Response (EDR/XDR) — klassischer Virenschutz reicht nicht mehr aus
Patch-Management — regelmäßige, dokumentierte Aktualisierung aller Systeme
Netzwerksegmentierung — Trennung kritischer Systeme vom restlichen Netzwerk
Zugriffsmanagement — Multi-Faktor-Authentifizierung, rollenbasierte Zugriffe
Backup & Wiederherstellung — getestete Backup-Strategie mit definierten Wiederherstellungszeiten
Monitoring & Logging — kontinuierliche Überwachung und protokollierte Ereignisse

4. Meldepflicht bei Sicherheitsvorfällen

Bei erheblichen Sicherheitsvorfällen müssen betroffene Unternehmen innerhalb von 24 Stunden eine Erstmeldung an das BSI absetzen. Eine detaillierte Meldung muss innerhalb von 72 Stunden folgen. Das erfordert funktionierende Prozesse und klare Zuständigkeiten — nicht erst im Ernstfall.

5. Persönliche Haftung der Geschäftsleitung

Neu und bedeutsam: Die Geschäftsführung haftet persönlich für die Einhaltung der NIS-2-Anforderungen — auch bei leichter Fahrlässigkeit. Das bedeutet: IT-Sicherheit ist keine reine IT-Abteilungs-Aufgabe mehr, sondern Chefsache.

Bußgelder bei Verstößen: Für besonders wichtige Einrichtungen drohen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % des Umsatzes. Allein die Nichtregistrierung kann bis zu 500.000 € kosten.

Was das für KMU praktisch bedeutet

Für viele mittelständische Unternehmen, die bisher ohne dedizierte IT-Sicherheitsstrategie ausgekommen sind, bedeutet NIS-2 einen echten Paradigmenwechsel. Die gute Nachricht: Die meisten geforderten Maßnahmen sind keine Raketenwissenschaft — aber sie müssen systematisch und dokumentiert umgesetzt werden.

Realistisch sollten betroffene KMU im ersten Jahr mit 15.000–40.000 € für die Umsetzung rechnen, plus 10.000–20.000 € jährlich für die laufende Betreuung. Das klingt nach viel — ist aber ein Bruchteil der möglichen Bußgelder oder der Kosten eines tatsächlichen Cyberangriffs.

So gehen Sie es pragmatisch an

Wenn Sie unsicher sind, ob und wie NIS-2 Sie betrifft, empfehlen wir diesen Fahrplan:

Betroffenheitsprüfung: Prüfen Sie anhand Ihrer Mitarbeiterzahl, Ihres Umsatzes und Ihrer Branche, ob Sie unter die NIS-2-Schwellenwerte fallen.
IST-Analyse: Dokumentieren Sie den aktuellen Stand Ihrer IT-Sicherheit. Welche Maßnahmen existieren bereits? Wo gibt es Lücken?
Registrierung beim BSI: Falls Sie als besonders wichtige oder wichtige Einrichtung gelten, registrieren Sie sich über das BSI-Portal.
Maßnahmenplan erstellen: Auf Basis der IST-Analyse einen realistischen Umsetzungsplan mit Prioritäten und Zeitschiene erstellen.
Umsetzung starten: Beginnen Sie mit den kritischsten Lücken — typischerweise EDR/XDR, Patch-Management und Backup-Strategie.
Prozesse verankern: Incident-Response-Plan erstellen, Meldewege definieren, Zuständigkeiten festlegen.

Fazit

NIS-2 ist keine theoretische Bedrohung mehr — das Gesetz gilt seit Dezember 2025. Für betroffene KMU ist jetzt der Zeitpunkt, systematisch zu handeln. Nicht aus Angst vor Bußgeldern, sondern weil die geforderten Maßnahmen genau das sind, was sowieso sinnvoll wäre: eine solide IT-Sicherheitsbasis, die Ihr Unternehmen vor realen Bedrohungen schützt.

Unsicher, ob NIS-2 Sie betrifft?

Wir prüfen kostenfrei, ob Ihr Unternehmen unter die NIS-2-Schwellenwerte fällt und zeigen Ihnen, welche Maßnahmen Priorität haben.

Kostenlose Erstanalyse anfragen →