NIS2 für KMU: Wie Sie sich richtig vorbereiten

Aktualisierung vom 21.11.2025: NIS2 gilt in Deutschland ab dem Tag der Veröffentlichung des Umsetzungsgesetzes im Bundesgesetzblatt, was derzeit für Ende 2025 oder Anfang 2026 erwartet wird. Dann werden die Pflichten für Unternehmen rechtlich verbindlich.

‍

Die meisten Geschäftsführer von kleinen und mittleren Unternehmen (KMU) haben einen vollen Schreibtisch. Zwischen Kundenakquise, Personalmanagement und der täglichen Betriebsführung bleibt kaum Zeit, sich mit komplexen EU-Richtlinien zu befassen. Die Abkürzung "NIS2" wird daher oft als ein weiteres Thema für Großkonzerne abgetan. Doch das ist ein Trugschluss, der teuer werden kann.

‍

Die Wahrheit ist: Die NIS2-Richtlinie betrifft weit mehr Unternehmen, als man auf den ersten Blick vermuten würde. Es geht nicht nur um die offensichtlich "kritischen" Branchen. Oft reicht eine einzige, entscheidende Kundenbeziehung aus, um Ihr KMU in den Fokus der Regulierung zu rücken. Dieser Artikel ist Ihr praxisorientierter Leitfaden. Wir klären, wann genau Ihr Unternehmen betroffen ist und zeigen Ihnen, wie Sie sich ohne Panik, aber mit System vorbereiten können.

‍

Bin ich betroffen? Der 60-Sekunden-Check für Ihr KMU

‍

Bevor wir in die Tiefe gehen, lassen Sie uns die wichtigste Frage klären: Fällt Ihr Unternehmen überhaupt unter die NIS2-Richtlinie? Die Antwort hängt von drei Faktoren ab: Ihrem Sektor, Ihrer Unternehmensgröße und Ihrer Rolle in der Lieferkette.

‍

‍

Prüfen Sie diese drei Punkte für Ihr Unternehmen:

1. Sektor: Gehört Ihr Unternehmen zu einem der 18 als kritisch eingestuften Sektoren? (Eine vollständige Liste finden Sie im nächsten Abschnitt).
   ‍
2. Unternehmensgröße: Erfüllen Sie die Kriterien für ein mittleres Unternehmen? Das ist in der Regel der Fall, wenn Sie mindestens 50 Mitarbeiter beschäftigen ODER einen Jahresumsatz von mindestens 10 Millionen Euro erzielen.
   ‍
3. Rolle in der Lieferkette: Unabhängig von Ihrer Größe, sind Sie ein kritischer Zulieferer für ein Unternehmen, das selbst von NIS2 betroffen ist? Wenn der Ausfall Ihrer Dienstleistung den Betrieb Ihres Kunden lahmlegen würde, sind Sie mit hoher Wahrscheinlichkeit ebenfalls betroffen.

‍

Wenn Sie Punkt 1 und 2 mit "Ja" beantworten, sind Sie sehr wahrscheinlich betroffen. Wenn Sie nur Punkt 1, aber nicht Punkt 2 erfüllen, kann die "Lieferketten-Regel" (Punkt 3) Sie dennoch in die Pflicht nehmen. Dies ist der entscheidende Punkt, den viele KMU übersehen.

‍

NIS2 verständlich erklärt: Was steckt wirklich dahinter?

‍

Bevor wir zu den konkreten Schritten kommen, ist es wichtig, die Grundlagen zu verstehen. Nur so können Sie die Anforderungen richtig einordnen.

‍

Was ist NIS2?

‍

Stellen Sie sich NIS2 als ein EU-weites Upgrade für die Cybersicherheit vor. Die erste Version (NIS1) war ein guter Anfang, aber die digitale Welt hat sich rasant weiterentwickelt. NIS2 ist die Antwort auf die zunehmende Vernetzung und die gewachsene Bedrohungslage. Die Richtlinie zielt darauf ab, das digitale Immunsystem der gesamten europäischen Wirtschaft zu stärken, indem sie für viele Unternehmen einheitliche und verbindliche Sicherheitsstandards vorschreibt. Für eine tiefere Einführung können Sie unseren Beitrag lesen, der erklärt, was NIS2 ist.

‍

Wesentlich vs. Wichtig: Eine entscheidende Unterscheidung

‍

NIS2 teilt die betroffenen Unternehmen in zwei Kategorien ein: "wesentliche Einrichtungen" (Essential Entities) und "wichtige Einrichtungen" (Important Entities).

‍

• Wesentliche Einrichtungen: Das sind die "Schwergewichte" in kritischen Sektoren wie Energie, Verkehr, Gesundheitswesen oder digitale Infrastruktur. Sie unterliegen strengeren Aufsichtspflichten und höheren Strafen.
  ‍
• Wichtige Einrichtungen: Hierunter fallen die meisten anderen betroffenen Unternehmen, einschließlich vieler KMU. Die Sicherheitsanforderungen sind identisch, aber die staatliche Aufsicht ist weniger proaktiv (sie erfolgt in der Regel erst nach einem Vorfall) und die potenziellen Strafen sind geringer.

‍

Für Sie als KMU ist die zentrale Botschaft: Die umzusetzenden Maßnahmen sind für beide Kategorien nahezu gleich. Der Unterschied liegt primär in der Art der behördlichen Kontrolle.

‍

Die 18 betroffenen Sektoren auf einen Blick

‍

Die Richtlinie umfasst 11 Sektoren mit "hoher Kritikalität" (meist wesentliche Einrichtungen) und 7 weitere "kritische" Sektoren (meist wichtige Einrichtungen).

‍

Sektoren mit hoher Kritikalität:

1. Energie (Strom, Gas, Wärme, Wasserstoff)
2. Verkehr (Luft, Schiene, Wasser, Straße)
3. Bankwesen
4. Finanzmarktinfrastrukturen
5. Gesundheitswesen
6. Trinkwasser
7. Abwasser
8. Digitale Infrastruktur (z.B. Rechenzentren, Cloud-Anbieter)
9. Verwaltung von IKT-Diensten (B2B)
10. Öffentliche Verwaltung
11. Weltraum

‍

Weitere kritische Sektoren:

1. Post- und Kurierdienste
2. Abfallbewirtschaftung
3. Chemie (Herstellung, Produktion, Handel)
4. Lebensmittel (Produktion, Verarbeitung, Vertrieb)
5. Verarbeitendes/Herstellendes Gewerbe (z.B. Medizintechnik, Maschinenbau, Kfz)
6. Anbieter digitaler Dienste (z.B. Online-Marktplätze, Suchmaschinen)
7. Forschung

‍

Die 10 Kernanforderungen: Was Ihr Unternehmen jetzt tun muss

‍

Wenn Sie zu dem Schluss gekommen sind, dass Ihr KMU betroffen ist, lautet die nächste Frage: Was genau wird von mir erwartet? Die Richtlinie fordert einen risikobasierten Ansatz. Das bedeutet, Sie müssen angemessene technische und organisatorische Maßnahmen ergreifen, um Ihre Netz- und Informationssysteme zu schützen.

‍

Die NIS2-Anforderungen umfassen mindestens diese zehn Punkte:
‍

1. Risikoanalyse und Sicherheitskonzepte: Sie müssen Ihre Risiken kennen und ein Konzept haben, um sie zu managen.
2. Bewältigung von Sicherheitsvorfällen: Ein Plan für den Ernstfall ist Pflicht.
3. Business Continuity Management: Wie stellen Sie sicher, dass Ihr Betrieb nach einem Angriff weiterläuft?
4. Sicherheit der Lieferkette: Sie müssen auch die Sicherheit Ihrer direkten Zulieferer bewerten und sicherstellen.
5. Sicherheit in der IT-Entwicklung und -Wartung: Schutzmaßnahmen müssen von Anfang an mitgedacht werden.
6. Konzepte zur Bewertung der Wirksamkeit: Überprüfen Sie regelmäßig, ob Ihre Maßnahmen greifen.
7. Cyber-Hygiene und Schulungen: Ihre Mitarbeiter sind die erste Verteidigungslinie und müssen geschult werden.
8. Kryptografie und Verschlüsselung: Der richtige Einsatz von Verschlüsselung ist entscheidend.
9. Sicherheit des Personals und Zugriffskontrolle: Wer darf auf welche Daten zugreifen?
10. Multi-Faktor-Authentifizierung (MFA): Sichere Anmeldeverfahren sind ein Muss.

‍

Die oft übersehene Gefahr: Die Lieferkette

‍

Der wohl wichtigste "Aha-Moment" für viele KMU liegt in der Verantwortung für die Lieferkette. Selbst wenn Ihr Unternehmen nur 20 Mitarbeiter hat und nicht direkt in einem kritischen Sektor tätig ist, können Sie betroffen sein.

‍

Ein praktisches Beispiel: Sie sind ein IT-Dienstleister und betreuen die gesamte Server-Infrastruktur eines regionalen Krankenhauses. Das Krankenhaus ist eine "wesentliche Einrichtung" nach NIS2. Ein erfolgreicher Cyberangriff auf Ihr Unternehmen könnte die Systeme des Krankenhauses lahmlegen. Damit werden Sie zu einem kritischen Glied in der Lieferkette und fallen ebenfalls unter die NIS2-Richtlinie. Sie erben quasi die Kritikalität Ihres Kunden.

‍

‍

Das bedeutet, Sie müssen nicht nur Ihre eigene Sicherheit im Griff haben, sondern auch die Ihrer wichtigsten Lieferanten bewerten. Dies erfordert eine neue, proaktive Auseinandersetzung mit der Sicherheit in der Lieferkette.

‍

Ihr Fahrplan zur NIS2-Compliance: In 3 Phasen zum Ziel

‍

Die Liste der Anforderungen mag lang erscheinen, aber mit einem strukturierten Vorgehen ist die Umsetzung machbar. Betrachten Sie es als ein Projekt in drei Phasen.

‍

‍

Phase 1: Bestandsaufnahme & Risikoanalyse (Woche 1-4)

• Betroffenheit klären: Nutzen Sie die Kriterien aus diesem Artikel, um Ihre Situation final zu bewerten.
• Verantwortlichkeiten festlegen: Benennen Sie eine Person im Unternehmen, die das Thema treibt.
• Systeme identifizieren: Welche IT-Systeme und Daten sind für Ihren Geschäftsbetrieb kritisch?
• Risikoanalyse durchführen: Wo liegen Ihre größten Schwachstellen? Was sind die wahrscheinlichsten Bedrohungen? Eine professionelle NIS2-Risikoanalyse ist das Fundament aller weiteren Maßnahmen.

‍

Phase 2: Maßnahmen umsetzen (Monat 2-6)

• Sicherheitsrichtlinien erstellen: Entwickeln Sie klare Regeln für Themen wie Passwörter, Datensicherung und den Umgang mit E-Mails.
• Technische Maßnahmen implementieren: Führen Sie z.B. Multi-Faktor-Authentifizierung ein, verbessern Sie Ihre Firewall-Konfiguration und sorgen Sie für regelmäßige Backups.
• Notfallplan entwickeln: Definieren Sie, wer im Falle eines Angriffs was zu tun hat.
• Mitarbeiter schulen: Sensibilisieren Sie Ihr Team für Phishing-Gefahren und sicheres Verhalten.

‍

Phase 3: Betrieb & Meldung (Laufend)

• Maßnahmen überwachen: Überprüfen Sie regelmäßig, ob Ihre Sicherheitskonzepte noch aktuell sind und funktionieren.
• Meldeprozesse etablieren: Im Falle eines erheblichen Sicherheitsvorfalls müssen Sie dies innerhalb von 24 Stunden an die zuständige Behörde (in Deutschland das BSI) melden. Diese NIS2-Meldepflichten sind strikt.
• Kontinuierliche Verbesserung: Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.

‍

Die Rolle der Geschäftsführung: Mehr als nur eine IT-Aufgabe

‍

Ein entscheidender Punkt, der NIS2 von früheren IT-Vorschriften unterscheidet, ist die explizite Betonung der Verantwortung der Geschäftsleitung. Die Richtlinie macht unmissverständlich klar: Cybersicherheit ist Chefsache.

‍

Als Geschäftsführer sind Sie nicht nur dafür verantwortlich, die Umsetzung der Maßnahmen zu billigen und zu überwachen, Sie haften auch persönlich für die Einhaltung. Das Ignorieren der NIS2-Pflichten ist kein Kavaliersdelikt, sondern ein potenzielles Haftungsrisiko. Dies unterstreicht die Notwendigkeit, das Thema strategisch anzugehen und nicht einfach an die IT-Abteilung zu delegieren. Für weitere Details empfehlen wir unseren Leitfaden für Geschäftsführer.

‍

Der kluge Weg zur Compliance: Wie digitale Tools KMU unterstützen

‍

Die manuelle Umsetzung und Dokumentation aller NIS2-Anforderungen in Excel-Listen und Word-Dokumenten ist für KMU eine enorme Belastung. Es ist zeitaufwendig, fehleranfällig und schwer aktuell zu halten.

‍

Hier kommen digitale Compliance-Plattformen ins Spiel. Sie fungieren wie ein digitaler Experte, der Sie Schritt für Schritt durch den Prozess führt:

‍

• Geführte Prozesse: Statt sich durch Gesetzestexte zu quälen, beantworten Sie verständliche Fragen und die Plattform leitet die notwendigen Aufgaben ab.
  ‍
• Automatisierte Risikoanalyse: Tools helfen Ihnen, Ihre Risiken systematisch zu identifizieren und zu bewerten.
  ‍
• Zentrales Management: Alle Nachweise, Richtlinien und Aufgaben sind an einem Ort gebündelt und jederzeit für Prüfungen verfügbar.
  ‍
• Effizienz: Sie sparen wertvolle Zeit und Ressourcen, die Sie stattdessen in Ihr Kerngeschäft investieren können.

‍

Mit den richtigen Werkzeugen, wie NIS2-konformen Vorlagen und Checklisten, wird die Umsetzung der NIS2-Anforderungen von einer unüberwindbaren Hürde zu einer beherrschbaren Aufgabe.

‍

NIS2 ist mehr als nur eine lästige Pflicht. Es ist die Chance, die digitale Widerstandsfähigkeit Ihres Unternehmens nachhaltig zu stärken und sich als vertrauenswürdiger Partner in einer immer stärker vernetzten Wirtschaft zu positionieren. Beginnen Sie noch heute mit dem ersten Schritt.

‍

Häufige Fragen (FAQ) zu NIS2 für KMU

‍

Wann tritt NIS2 in Kraft?

‍

Die EU-Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Ab dem 18. Oktober 2024 müssen die betroffenen Unternehmen die Vorgaben erfüllen.

‍

Was sind die Strafen bei Nichteinhaltung?

‍

Für "wichtige Einrichtungen", wozu die meisten KMU zählen, können die Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

‍

Falle: Sollte ich auf das deutsche Umsetzungsgesetz warten?

‍

Nein, das wäre ein Fehler. Die Kernanforderungen der EU-Richtlinie stehen fest und werden sich nicht grundlegend ändern. Die Zeit bis Oktober 2024 ist knapp bemessen. Wer jetzt anfängt, verschafft sich einen entscheidenden Vorsprung und vermeidet hektischen Aktionismus kurz vor der Frist.

‍

Kann ich das als KMU alleine schaffen?

‍

Die Umsetzung erfordert spezifisches Know-how. Während einige Basismaßnahmen intern umgesetzt werden können, ist es für komplexe Themen wie die Risikoanalyse oder die Erstellung eines Notfallkonzepts oft sinnvoll, sich externe Expertise oder digitale Unterstützung zu holen.

‍