Volljurist und Compliance-Experte
20 Mar 2026
9 min
.svg)
Die Bundesregierung beziffert den Erfüllungsaufwand auf 2,1 Milliarden EUR einmalig und 2,2 Milliarden EUR jährlich für rund 30.000 betroffene Unternehmen. Pro Unternehmen sind das im Schnitt 70.000 EUR einmalig und 73.000 EUR jährlich.
Die größten Kostentreiber sind externe Beratung, technische Infrastruktur und Personal. Unternehmen mit einem bestehenden ISMS (z. B. nach ISO 27001) sparen bei der NIS2-Umsetzung erheblich, weil die Grundstruktur bereits steht.
Jeder investierte Euro in NIS2-Compliance verhindert im Schnitt 250.000 EUR Schaden pro Jahr. Das ergibt sich aus der Gesetzesfolgenabschätzung, die von einem Gesamtschadensvolumen von 210 Milliarden EUR ausgeht.
ISMS-Plattformen wie SECJUR starten ab 10.000 EUR und senken den Aufwand gegenüber klassischer Beratung um bis zu 50 %. Für KMU mit begrenztem Budget ist das oft der wirtschaftlichste Einstieg.
Die NIS2-Umsetzung kostet Geld. Wie viel genau, hängt von der Unternehmensgröße, der bestehenden IT-Sicherheitsstruktur und dem gewählten Umsetzungsweg ab. Die Bundesregierung hat in der Gesetzesfolgenabschätzung zum NIS2UmsuCG konkrete Zahlen veröffentlicht: 2,1 Milliarden EUR einmaliger Aufwand und 2,2 Milliarden EUR jährlich für die gesamte Wirtschaft. Dieser Artikel schlüsselt auf, was das pro Unternehmen bedeutet, welche Posten die Kosten treiben und wo sich sparen lässt, ohne Abstriche bei der Compliance zu machen.
Die verlässlichste Quelle für NIS2-Kosten ist die Gesetzesfolgenabschätzung aus dem Gesetzentwurf der Bundesregierung (Bundestag Drucksache 20/13184). Dort steht unter "E.2 Erfüllungsaufwand für die Wirtschaft": Der jährliche Erfüllungsaufwand erhöht sich um rund 2,2 Milliarden EUR. Der einmalige Aufwand beträgt rund 2,1 Milliarden EUR, fast ausschließlich für die Einführung oder Anpassung digitaler Prozessabläufe.
Betroffen sind rund 30.000 Unternehmen in Deutschland. Heruntergerechnet ergibt das pro Unternehmen durchschnittlich 70.000 EUR einmalig und 73.000 EUR jährlich. Das ist ein Durchschnitt, der kleine Unternehmen mit einfacher IT-Landschaft und DAX-Konzerne mit internationalen Standorten gleichermaßen einschließt. Die tatsächlichen Kosten variieren erheblich.
Die NIS2-Umsetzung ist im Kern ein ISMS-Aufbau. Die zehn Maßnahmenbereiche aus §30 NIS2UmsuCG (Risikoanalyse, Incident Response, Business Continuity, Lieferkettensicherheit und weitere) entsprechen inhaltlich dem, was ISO 27001 als Informationssicherheits-Managementsystem definiert. Wer die Kosten für NIS2 einschätzen will, schätzt die Kosten für ein ISMS. Das ist die Grundlage aller folgenden Zahlen.
Der Durchschnitt von 70.000 EUR einmalig sagt wenig über das einzelne Unternehmen. Ein KMU mit 80 Mitarbeitern und überschaubarer IT zahlt deutlich weniger als ein Mittelständler mit 2.000 Mitarbeitern an fünf Standorten. Die folgende Tabelle zeigt realistische Spannen, abgeleitet aus den Regierungszahlen und typischen ISMS-Projektkosten.
| Unternehmensgröße | Einmaliger Aufwand | Jährliche Kosten | Typischer Zeitrahmen |
|---|---|---|---|
| KMU (50–250 MA) | 20.000–60.000 EUR | 15.000–40.000 EUR | 3–9 Monate |
| Mittelstand (250–1.000 MA) | 60.000–200.000 EUR | 40.000–120.000 EUR | 6–12 Monate |
| Großunternehmen (1.000+ MA) | 200.000–1.000.000+ EUR | 120.000–500.000+ EUR | 9–18 Monate |
Die Spannen sind bewusst breit, weil ein Faktor die Kosten stärker beeinflusst als die Unternehmensgröße: das bestehende Sicherheitsniveau. Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, müssen für NIS2 nur die Lücken schließen (Meldepflicht, BSI-Registrierung, Lieferkettenbewertung). Die Grundstruktur steht bereits. Wie groß die Überschneidung zwischen ISO 27001 und NIS2 ist, erklären wir unter NIS2 und ISO 27001.
Die 70.000 EUR Durchschnitt verteilen sich nicht gleichmäßig. Fünf Posten machen den Großteil aus.
Welche konkreten NIS2 Anforderungen hinter diesen Kostentreibern stehen, beschreibt der zugehörige Artikel im Detail. Für den strukturierten Einstieg in die Umsetzung eignet sich die NIS2 Checkliste.
Die Erstinvestition ist planbar. Die Folgekosten oft nicht. Vier Posten tauchen in den meisten Budgetplanungen zu spät auf.
Lieferkettenbewertung: §30 NIS2UmsuCG verlangt die Sicherheit der Lieferkette. In der Praxis bedeutet das: Zulieferer bewerten, Sicherheitsanforderungen vertraglich verankern, regelmäßig prüfen. Pro Großlieferant können 1.000 bis 2.000 EUR jährlich anfallen. Wer 50 Lieferanten hat, rechnet mit 50.000 bis 100.000 EUR. Mehr dazu unter NIS2 Lieferkette.
Incident-Response-Fähigkeit: NIS2 fordert eine 24-Stunden-Meldefähigkeit beim BSI. Das bedeutet nicht nur ein dokumentiertes Verfahren, sondern auch Personal, das außerhalb der Geschäftszeiten reagieren kann. Für KMU ohne 24/7-IT ist das ein neuer Kostenfaktor, der oft einen externen Incident-Response-Retainer erfordert.
Dokumentation und Nachweispflicht: Ein ISMS lebt von Dokumentation. Richtlinien, Risikoanalysen, Maßnahmenpläne, Audit-Berichte. Der Aufwand für die Erstellung und Pflege dieser Dokumente wird regelmäßig unterschätzt. Er bindet interne Kapazitäten, die in der Budgetplanung selten auftauchen.
Jährliche Kostensteigerung: Compliance-Kosten sinken nach der Ersteinrichtung nicht auf Null. Sie steigen. Neue Bedrohungen erfordern neue Maßnahmen, regulatorische Updates erfordern Anpassungen, und die Dokumentation wächst mit jedem Jahr. Erfahrungswerte zeigen eine jährliche Steigerung von 10 bis 25 Prozent in den ersten drei Jahren nach der Ersteinrichtung.
Die Kosten sind real. Aber die Schäden ohne NIS2-Maßnahmen sind höher. Die Bundesregierung rechnet in der Gesetzesfolgenabschätzung mit einem jährlichen Gesamtschadensvolumen von rund 210 Milliarden EUR durch Cyberangriffe auf deutsche Unternehmen (Bitkom-Erhebung). Selbst unter der konservativen Annahme, dass NIS2-Maßnahmen nur die Hälfte der Schäden bei betroffenen Unternehmen verhindern, ergibt sich ein abgewehrter Schaden von 250.000 EUR pro Unternehmen und Jahr.
Eine Investition von 70.000 EUR, die 250.000 EUR Schaden verhindert, amortisiert sich innerhalb weniger Monate. Dazu kommt: Wer die Meldepflicht versäumt, riskiert Bußgelder von bis zu 10 Millionen EUR oder 2 Prozent des weltweiten Jahresumsatzes. Die persönliche Haftung der Geschäftsleitung nach §38 NIS2UmsuCG erhöht den Druck zusätzlich. Was das konkret für Geschäftsführer bedeutet, steht unter NIS2 Haftung Geschäftsführer.
"Die meisten Unternehmen überschätzen die Audit-Kosten und unterschätzen die laufenden Betriebskosten. Ein ISMS ist kein Projekt mit Enddatum, sondern ein dauerhafter Prozess. Wer das bei der Budgetplanung berücksichtigt, erlebt im zweiten und dritten Jahr keine Überraschungen."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Neben der reinen Schadensvermeidung hat ein funktionierendes ISMS einen wirtschaftlichen Nebeneffekt: Kunden und Partner bewerten die Informationssicherheit zunehmend als Vergabekriterium. Unternehmen mit nachweisbarer NIS2-Compliance haben einen Wettbewerbsvorteil bei Ausschreibungen, besonders in regulierten Branchen.
Die Regierung rechnet mit 70.000 EUR pro Unternehmen. Der größte Anteil fließt in externe Beratung und den manuellen Aufbau von Dokumentation und Prozessen. Genau hier setzen ISMS-Plattformen an. Statt monatelang mit einem Berater Richtlinien und Risikoanalysen von Grund auf zu entwickeln, liefert eine Plattform wie SECJUR Digital Compliance Office die Struktur, Workflows und Vorlagen als Ausgangsbasis.
SECJUR ist ab 10.000 EUR verfügbar. Verglichen mit dem Durchschnitt von 70.000 EUR für die Ersteinrichtung liegt das bei einem Bruchteil der üblichen Kosten. Der Grund: Die Plattform ersetzt nicht das ISMS, sie beschleunigt den Aufbau. Statt neun bis zwölf Monate mit einem Berater rechnen viele KMU mit einer Plattform wie SECJUR mit drei bis sechs Monaten. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 Prozent, weil Mappings und Nachweise strukturiert geführt werden. Einen Vergleich verschiedener NIS2-Tools finden Sie unter NIS2 Software Vergleich.
Praxisbeispiel
Ein mittelständischer Logistiker mit 300 Mitarbeitern und zwei Standorten hat sein NIS2-Projekt mit externen Beratern kalkuliert: 180.000 EUR für den ISMS-Aufbau, 12 Monate Projektdauer, 0,5 FTE interne Kapazität. Nach dem Wechsel auf eine ISMS-Plattform lag die Ersteinrichtung bei unter 40.000 EUR. Die Umsetzung dauerte sieben Monate. Die Dokumentation ist dauerhaft in der Plattform gepflegt, nicht in einem Ordner beim Berater.
NIS2 kostet Geld. Die Bundesregierung rechnet mit 70.000 EUR einmalig und 73.000 EUR jährlich pro Unternehmen. KMU liegen typischerweise darunter, Großunternehmen darüber. Die größten Posten sind Beratung, technische Infrastruktur und Personal. Wer die versteckten Folgekosten (Lieferkette, Incident Response, jährliche Steigerung) nicht einplant, wird im zweiten Jahr überrascht.
Gleichzeitig lohnt sich die Investition: 70.000 EUR stehen 250.000 EUR verhinderbarer Schaden gegenüber. Und ISMS-Plattformen wie SECJUR zeigen, dass der Einstieg auch ab 10.000 EUR möglich ist. Die detaillierte Umsetzung Schritt für Schritt beschreiben wir unter NIS2 Checkliste. Welche Anforderungen §30 NIS2UmsuCG konkret stellt, steht unter NIS2 Anforderungen. Wie das BSI als Aufsichtsbehörde die Umsetzung kontrolliert, erfahren Sie im zugehörigen Artikel.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Laut Gesetzesfolgenabschätzung der Bundesregierung kostet die NIS2-Umsetzung durchschnittlich 70.000 EUR einmalig und 73.000 EUR jährlich pro Unternehmen. KMU liegen typischerweise bei 20.000 bis 60.000 EUR, Großunternehmen bei 200.000 EUR und mehr.
Die fünf größten Kostentreiber sind externe Beratung (1.000-2.000 EUR/Tag), technische Infrastruktur (30.000-200.000 EUR), Personal für Informationssicherheit (60.000-100.000 EUR/Jahr), Schulungen (§38 NIS2UmsuCG) und laufende Betriebskosten für das ISMS.
Ja. Die Bundesregierung rechnet mit 250.000 EUR verhinderbarem Schaden pro Unternehmen und Jahr. Eine Investition von 70.000 EUR amortisiert sich damit innerhalb weniger Monate. Zusätzlich drohen bei Verstößen Bußgelder von bis zu 10 Millionen EUR. SECJUR bietet einen Einstieg ab 10.000 EUR.
Der CEO-Fraud ist eine Variante des „Social Engineerings“, bei welchem die Täter auf das oft schwächste Glied in der IT-Sicherheitskette setzen: Den Menschen. Infolge der immer besseren technischen Schutzmaßnahmen, angefangen bei einer einfachen Firewall bis hin zu Verschlüsselungsmethoden, ist es schwieriger geworden, auf „klassischem“ Weg, wie beispielsweise Hacking, an vertrauliche Informationen zu gelangen. Wie schützt man sich als CEO?
Viele Unternehmen starten ihre ISO 27001-Zertifizierung, doch der entscheidende Fehler passiert bereits am Anfang: ein unklar definierter Geltungsbereich. Dieser Leitfaden zeigt, wie Sie den Scope Ihres ISMS präzise festlegen, Ressourcen gezielt einsetzen und typische Audit-Fallen vermeiden. Erfahren Sie, wie Sie Informationswerte, Standorte, Cloud-Dienste und Lieferantenbeziehungen sinnvoll abgrenzen für ein schlankes, wirksames und erfolgreich zertifizierbares ISMS, das echte Sicherheit schafft statt Bürokratie.
NIS2 ersetzt NIS1 mit erweitertem Geltungsbereich, strengeren Pflichten und höheren Bußgeldern. Was sich konkret geändert hat und was das NIS2UmsuCG seit Dezember 2025 für Unternehmen in Deutschland bedeutet.
.svg)
.svg)
.svg){kind=small}