· magra-sec

NIS2 KMU: Was kleine und mittlere Unternehmen jetzt wissen und tun müssen

NIS2 betrifft auch KMU in Deutschland. Erfahren Sie, ob Sie betroffen sind, welche Pflichten gelten und wie Sie die Anforderungen effizient umsetzen.

Datenschutz Europa IT KMU Leitfaden NIS2

Seit Januar 2026 ist es amtlich: Die NIS2-Richtlinie gilt in Deutschland. Was viele Geschäftsführer kleiner und mittlerer Unternehmen überrascht - auch sie können betroffen sein, denn nicht nur Konzerne und Betreiber kritischer Infrastrukturen müssen handeln. Rund 30.000 Unternehmen in Deutschland fallen unter die neuen Regelungen, darunter zahlreiche KMU. Wenn Sie sich fragen, ob Ihr Unternehmen dazugehört und was das konkret bedeutet, sind Sie hier richtig. Ich erkläre Ihnen als Praktiker, was NIS2 für KMU bedeutet, wie Sie herausfinden ob Sie betroffen sind und welche Schritte Sie jetzt einleiten sollten.

Was ist die NIS2-Richtlinie eigentlich?

NIS2 steht für “Network and Information Security Directive 2”, also die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie löst die erste NIS-Richtlinie von 2016 ab und erweitert deren Geltungsbereich erheblich. Das Ziel ist ein einheitliches Cybersicherheitsniveau in der gesamten EU, denn Cyberangriffe machen bekanntlich nicht an Landesgrenzen halt - ein Angriff auf einen deutschen Zulieferer kann schnell Produktionsketten in ganz Europa lahmlegen. In Deutschland wurde NIS2 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt, wobei das BSI-Gesetz entsprechend reformiert wurde. Seit Januar 2026 gelten die neuen Pflichten verbindlich.

Der Unterschied zur alten Regelung

Die erste NIS-Richtlinie betraf hauptsächlich Betreiber kritischer Infrastrukturen wie Energieversorger, Krankenhäuser und große Telekommunikationsanbieter. NIS2 geht deutlich weiter: Der Geltungsbereich wurde von 7 auf 18 Sektoren erweitert, auch mittlere Unternehmen sind jetzt einbezogen, und große Unternehmen müssen künftig die Cybersicherheit ihrer Zulieferer prüfen. Besonders brisant ist die neue persönliche Haftung der Geschäftsleitung bei Verstößen. Gerade der letzte Punkt sollte aufhorchen lassen, denn NIS2 ist keine reine IT-Angelegenheit mehr. Es ist ein Thema für die Geschäftsleitung.

Bin ich als KMU von NIS2 betroffen?

Die entscheidende Frage, und die Antwort hängt von zwei Faktoren ab: Ihrer Unternehmensgröße und Ihrer Branche.

Die Größenkriterien

Als direkt betroffenes Unternehmen gelten Sie, wenn Sie mindestens 50 Mitarbeiter beschäftigen oder mindestens 10 Millionen Euro Jahresumsatz erzielen. Zusätzlich muss Ihr Unternehmen in einem der 18 regulierten Sektoren tätig sein.

Infografik zeigt verschiedene Wirtschaftssektoren wie Energie, Transport, Gesundheit und IT - alle von NIS2 betroffen

Die 18 regulierten Sektoren

NIS2 unterscheidet zwischen “wesentlichen” und “wichtigen” Einrichtungen, wobei die Pflichten ähnlich sind, sich aber die Aufsichtsintensität unterscheidet.

Zu den wesentlichen Einrichtungen mit hoher Kritikalität zählen die Sektoren Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme), Transport (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement im B2B-Bereich, öffentliche Verwaltung sowie Weltraum. Als wichtige Einrichtungen gelten Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, das verarbeitende Gewerbe (Medizinprodukte, Computer, Elektronik, Maschinen, Kraftfahrzeuge), digitale Dienste wie Marktplätze, Suchmaschinen und soziale Netzwerke sowie Forschungseinrichtungen. Die vollständige Sektorenliste finden Sie in der offiziellen NIS2-Richtlinie der EU.

Der Lieferketten-Faktor für KMU

Hier wird es für viele KMU relevant: Auch wenn Sie die Größenkriterien nicht erfüllen, können Sie indirekt betroffen sein. Große Unternehmen, die unter NIS2 fallen, müssen die Cybersicherheit ihrer Lieferkette gewährleisten, weshalb diese Sicherheitsanforderungen an Zulieferer weitergereicht werden. Ihr Kunde wird Sie möglicherweise fragen, ob Sie ein Informationssicherheitsmanagementsystem (ISMS) betreiben, wie Ihr Incident Response Plan aussieht und ob Sie Ihre Sicherheitsmaßnahmen nachweisen können. Wer hier nicht liefern kann, riskiert Aufträge zu verlieren - NIS2 wird so zum Wettbewerbsfaktor.

Was muss ich konkret tun? Die NIS2-Anforderungen für KMU

Wenn Sie betroffen sind, egal ob direkt oder über die Lieferkette, müssen Sie handeln. Die gute Nachricht: Die Anforderungen sind klar definiert. Die Herausforderung: Sie müssen sie auf Ihre Unternehmensgröße sinnvoll herunterbrechen.

1. Risikomanagement etablieren

Sie brauchen einen systematischen Ansatz zur Identifikation und Behandlung von Cyberrisiken - kein tausend Seiten dickes Dokument, aber einen nachvollziehbaren Prozess. Konkret bedeutet das, dass Sie wissen müssen, welche IT-Systeme geschäftskritisch sind, welche Bedrohungen realistisch erscheinen, welche Schutzmaßnahmen bereits existieren und wo die größten Lücken klaffen. Ein Zero Trust Ansatz kann hier als Leitbild dienen, denn Vertrauen ist gut, Kontrolle ist NIS2-konform.

2. Technische Sicherheitsmaßnahmen umsetzen

NIS2 fordert “geeignete und verhältnismäßige” technische Maßnahmen. Für KMU bedeutet das zunächst einen soliden Grundschutz mit aktuellen Firewalls und Antivirenlösungen, regelmäßigen Updates und Patches, sicheren Passwörtern mit Mehrfaktor-Authentifizierung sowie Verschlüsselung sensibler Daten. Beim Thema Backup und Wiederherstellung sind regelmäßige Datensicherungen, getestete Wiederherstellungsprozesse und Offline-Backups gegen Ransomware gefordert. Im Bereich Netzwerksicherheit geht es um die Segmentierung kritischer Systeme, Überwachung des Netzwerkverkehrs und sichere Fernzugriffe. Wenn Sie unsicher sind, wo Sie stehen, hilft Ihnen meine Cybersicherheits-Checkliste 2025 als Ausgangspunkt.

3. Meldepflichten kennen und vorbereiten

Bei erheblichen Sicherheitsvorfällen müssen Sie schnell reagieren: Eine Frühwarnung muss innerhalb von 24 Stunden an das BSI erfolgen, eine ausführliche Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Das klingt sportlich - und ist es auch. Ohne vorbereitete Prozesse schaffen Sie das nicht, weshalb Ihr Incident Response Plan diese Fristen berücksichtigen muss.

4. Geschäftskontinuität sicherstellen

Was passiert, wenn Ihre IT ausfällt? NIS2 fordert Business Continuity Pläne, Krisenmanagement-Prozesse sowie regelmäßige Tests und Übungen. Für KMU muss das nicht komplex sein, aber Sie sollten wissen: Welche Systeme brauchen wir unbedingt? Wie lange können wir ohne sie arbeiten? Wie stellen wir sie wieder her?

5. Lieferkettensicherheit gewährleisten

Auch Sie müssen Ihre Lieferanten und Dienstleister unter die Lupe nehmen, zumindest die kritischen wie IT-Dienstleister, Cloud-Anbieter, Software-Lieferanten und Wartungsunternehmen mit Systemzugriff. Fragen Sie nach deren Sicherheitsmaßnahmen, lassen Sie sich Zertifizierungen zeigen und nehmen Sie Sicherheitsanforderungen in Verträge auf.

6. Schulungen durchführen

Ihre Mitarbeiter sind Teil der Verteidigung oder das schwächste Glied. NIS2 fordert regelmäßige Awareness-Schulungen, und das Gute daran: Viele Angriffe wie Phishing lassen sich durch geschulte Mitarbeiter verhindern. Die Geschäftsleitung ist explizit einbezogen, auch Sie als Geschäftsführer müssen an Schulungen teilnehmen und Ihre Kompetenz nachweisen können.

7. Registrierungspflicht beachten

Betroffene Unternehmen müssen sich beim BSI registrieren. Die genauen Modalitäten regelt das BSI. Ignorieren Sie Registrierungsaufforderungen nicht, denn sie sind verpflichtend.

Kostenlose Tools für NIS2 KMU

Sie müssen das Rad nicht neu erfinden, denn es gibt hilfreiche und kostenlose Ressourcen. Der FitNIS2-Navigator auf fitnis2.de hilft Ihnen mit einem geführten Fragebogen herauszufinden, ob Sie unter die Größenkriterien fallen, in einem regulierten Sektor tätig sind und welche Kategorie auf Sie zutrifft. Die Plattform kmu-kompetent-sicher.de richtet sich speziell an kleine und mittlere Unternehmen mit Praxisleitfäden, Checklisten und Handlungsempfehlungen. Der IT-Grundschutz des BSI bietet einen strukturierten Ansatz für Informationssicherheit, wobei es für KMU vereinfachte Einstiegsmodelle wie den “Weg in die Basis-Absicherung” gibt. Viele Branchenverbände bieten mittlerweile NIS2-Leitfäden für ihre Mitglieder an, daher lohnt sich eine Nachfrage bei Ihrem Verband.

Konsequenzen bei Nichteinhaltung

Warnschild und Gefahrensymbol auf digitalem Hintergrund - symbolisiert Risiken bei NIS2-Verstößen

NIS2 hat Zähne, denn die Konsequenzen bei Verstößen sind empfindlich. Bei den Bußgeldern drohen wesentlichen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Für KMU sind das existenzbedrohende Summen. Neu bei NIS2 ist die persönliche Haftung der Geschäftsleitung: Geschäftsführer und Vorstände haften persönlich, bei Pflichtverletzungen können Aufsichtsbehörden Tätigkeitsverbote aussprechen und persönliche Bußgelder verhängen. Sie können die Verantwortung nicht an die IT-Abteilung delegieren, denn NIS2 ist Chefsache. Hinzu kommen Reputationsschäden, da Sicherheitsvorfälle bekannt werden und Kunden, Partner sowie die Öffentlichkeit davon erfahren. Der Vertrauensverlust kann schwerer wiegen als jedes Bußgeld. Wer NIS2-Anforderungen nicht erfüllt, fliegt zudem aus Lieferketten, weil große Kunden solche Unternehmen als Risiko betrachten und Alternativen suchen werden.

Der Zeitplan: Wann muss was erledigt sein?

NIS2 gilt seit Januar 2026, das bedeutet: Jetzt sollten Sie prüfen, ob Sie betroffen sind, sofort mit der Gap-Analyse beginnen, laufend fehlende Maßnahmen umsetzen und sich bei Aufforderung beim BSI registrieren. Es gibt keine Übergangsfrist mehr, die Uhr tickt bereits.

NIS2 als Chance für KMU

Ich verstehe, dass NIS2 erst einmal nach Bürokratie und Kosten klingt. Aber lassen Sie mich eine andere Perspektive anbieten. Cybersicherheit ist kein Selbstzweck, sondern schützt Ihr Geschäft. Ransomware-Angriffe haben schon Unternehmen in die Insolvenz getrieben, und ein strukturierter Sicherheitsansatz wie NIS2 ihn fordert, reduziert dieses Risiko erheblich. NIS2 schafft auch Klarheit: Statt sich zu fragen “Was sollten wir tun?” haben Sie jetzt einen Rahmen, der bei Investitionsentscheidungen und bei der Argumentation gegenüber Gesellschaftern hilft. Sicherheit wird zudem zum Wettbewerbsvorteil. Wenn Sie NIS2-konform sind, können Sie das gegenüber Kunden nachweisen, was in Ausschreibungen zunehmend gefordert wird. Die Maßnahmen helfen auch anderswo, denn viele NIS2-Anforderungen überschneiden sich mit der DSGVO, ISO 27001 oder Branchenstandards - was Sie für NIS2 aufbauen, nutzt Ihnen mehrfach.

Praktische Schritte für den Start

Person mit Checkliste und Laptop plant nächste Schritte - symbolisiert strukturierte NIS2-Umsetzung

Was sollten Sie als KMU-Geschäftsführer jetzt konkret tun?

Im ersten Schritt sollten Sie Ihre Betroffenheit prüfen. Nutzen Sie den FitNIS2-Navigator oder lassen Sie sich beraten, um eindeutig zu klären, ob und wie Sie betroffen sind. Im zweiten Schritt machen Sie eine Bestandsaufnahme: Wo stehen Sie heute? Welche Sicherheitsmaßnahmen existieren bereits? Wo sind die größten Lücken? Schritt drei bedeutet, Verantwortlichkeiten zu klären. Wer kümmert sich um NIS2 in Ihrem Unternehmen? Die IT allein reicht nicht, Sie brauchen jemanden, der den Gesamtüberblick behält. Im vierten Schritt planen Sie das Budget ein, denn NIS2-Konformität kostet Geld für Investitionen in Technik, Schulungen und möglicherweise externe Beratung. Schritt fünf: Prüfen Sie externe Unterstützung. Gerade für KMU kann es sinnvoll sein, sich Hilfe zu holen - Managed Security Services oder spezialisierte Berater können dabei helfen, die Anforderungen effizient umzusetzen.

Handeln Sie jetzt!

NIS2 ist Realität. Als KMU können Sie betroffen sein, direkt durch Größe und Branche oder indirekt über Ihre Kundenbeziehungen. Die Anforderungen sind anspruchsvoll, aber machbar, während die Konsequenzen bei Nichteinhaltung erheblich sind. Mein Rat: Sehen Sie NIS2 nicht als lästige Pflicht, sondern als Anlass, Ihre Cybersicherheit auf ein solides Fundament zu stellen. Das schützt nicht nur vor Bußgeldern, sondern vor allem vor den realen Risiken, die Cyberangriffe für Ihr Unternehmen bedeuten. Die aktuellen Trends in der Cybersecurity zeigen: Die Bedrohungslage verschärft sich. Mit NIS2-konformen Strukturen sind Sie besser aufgestellt als je zuvor. Sie sind unsicher, ob Ihr Unternehmen NIS2-konform ist? Sie brauchen Unterstützung bei der Umsetzung? Ich helfe KMU dabei, die NIS2-Anforderungen pragmatisch und effizient umzusetzen - ohne unnötige Bürokratie, aber mit dem nötigen Tiefgang. Als zertifizierter IT-Sicherheitsberater (CISSP, TÜV-zertifizierter Datenschutzbeauftragter) kenne ich sowohl die regulatorischen Anforderungen als auch die praktischen Herausforderungen im Mittelstand. Vereinbaren Sie ein unverbindliches Gespräch und lassen Sie uns gemeinsam prüfen, wo Sie stehen und was zu tun ist.