Anrufen
StartseiteBlogNIS2 für KMU
NIS2 & Compliance Mai 2026 8 Min. Lesezeit

NIS2-Richtlinie für KMU: Was jetzt wirklich Pflicht ist

Die NIS2-Richtlinie ist seit Oktober 2024 in nationales Recht umgesetzt. Seitdem häufen sich die Beratungsangebote und Compliance-Checklisten. Was davon relevant ist — und was Sie getrost ignorieren können.

Inhaltsverzeichnis

Wer ist von NIS2 tatsächlich betroffen?

Die erste wichtige Frage: Gilt NIS2 überhaupt für Ihr Unternehmen? Die kurze Antwort lautet: wahrscheinlich nicht direkt — aber möglicherweise indirekt.

NIS2 richtet sich an sogenannte „wesentliche" und „wichtige" Einrichtungen. Direkt betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz, die in einem der folgenden Sektoren tätig sind:

  • Energie, Wasserversorgung, Digitale Infrastruktur
  • Gesundheitswesen, Pharma
  • Transport und Logistik
  • Finanzdienstleistungen
  • Öffentliche Verwaltung
  • Rüstung und Raumfahrt

Wenn Ihr Betrieb in keiner dieser Kategorien liegt und weniger als 50 Mitarbeiter hat, sind Sie nicht direkt von NIS2 betroffen.

Die indirekte Betroffenheit: Lieferketten

Hier liegt der eigentliche Handlungsbedarf für viele KMU: Als Zulieferer oder IT-Dienstleister einer NIS2-pflichtigen Organisation werden Sie mit hoher Wahrscheinlichkeit von Ihren Kunden aufgefordert, bestimmte Sicherheitsstandards nachzuweisen.

NIS2 verpflichtet große Unternehmen explizit, ihre Lieferkettensicherheit zu managen. Das bedeutet in der Praxis: Ihr Auftraggeber darf Sie nach Sicherheitsnachweisen fragen — und das Vertragsverhältnis kann von entsprechenden Zertifikaten oder Selbstauskünften abhängen.

Wenn Sie Softwareentwicklung, IT-Dienstleistungen, Wartung oder Fernzugriff auf Systeme eines größeren Unternehmens anbieten, sollten Sie sich auf entsprechende Anfragen vorbereiten.

Was NIS2-pflichtige Unternehmen umsetzen müssen

Für direkt betroffene Unternehmen sieht das deutsche NIS2UmsuCG (Umsetzungsgesetz) folgende Kernpflichten vor:

Risikomanagement-Maßnahmen

Betroffene Einrichtungen müssen ein dokumentiertes Risikomanagement einführen. Dazu gehören:

  • Risikoanalyse und Sicherheitskonzept für Informationssysteme
  • Maßnahmen zur Angriffserkennung (IDS/SIEM)
  • Verschlüsselung von Daten im Ruhezustand und bei der Übertragung
  • Incident-Response-Prozesse und Notfallpläne
  • Schulungen und Awareness-Programme für Mitarbeiter
  • Physische Sicherheit der IT-Infrastruktur

Meldepflichten

Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden — und zwar in gestaffelten Fristen: Erstmeldung innerhalb von 24 Stunden, detaillierter Bericht nach 72 Stunden, abschließende Bewertung nach einem Monat.

Was als „erheblich" gilt, ist gesetzlich definiert: Störungen mit signifikanter Auswirkung auf Verfügbarkeit oder Datenintegrität, Vorfälle mit potenziellen finanziellen Schäden über Schwellenwerten.

Verantwortlichkeit der Geschäftsführung

Ein wichtiges Detail: NIS2 macht die Geschäftsführung persönlich haftbar für die Umsetzung der Sicherheitsmaßnahmen. Unwissenheit schützt nicht. Bußgelder können bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen.

Was Sie praktisch tun sollten

Für KMU ohne direkte NIS2-Pflicht — aber mit Kunden in regulierten Sektoren — empfehlen wir folgende pragmatische Schritte:

  1. Betroffenheit klären: Überprüfen Sie, in welchen Sektoren Ihre Kunden tätig sind. Wenn mehr als 20 % Ihres Umsatzes aus NIS2-regulierten Branchen stammt, sollten Sie sich aktiv vorbereiten.
  2. Basismaßnahmen umsetzen: Patch-Management, MFA, Netzwerksegmentierung, Backup-Strategie — das sind keine Compliance-Exoten, sondern sinnvolle Sicherheitsmaßnahmen, die Sie ohnehin haben sollten.
  3. Dokumentation aufbauen: Was nicht dokumentiert ist, kann nicht nachgewiesen werden. Beginnen Sie damit, Ihre IT-Infrastruktur, Zugriffsrechte und Sicherheitsmaßnahmen schriftlich festzuhalten.
  4. Pentest als Nachweis: Ein Penetrationstest durch einen unabhängigen Dienstleister liefert verwertbare Nachweise und deckt konkrete Lücken auf.
Fazit: NIS2 ist keine Panikvorschrift für alle KMU — aber auch kein Thema, das Sie ignorieren können, wenn Sie in regulierten Lieferketten tätig sind. Wer jetzt die Grundlagen sauber aufstellt, ist auf Kundenanfragen vorbereitet und vermeidet echte Sicherheitsrisiken.

Häufige Fragen

NIS2 gilt für Unternehmen in 18 kritischen Sektoren (Energie, Gesundheit, Wasser, Transport, IT/TK u. a.) ab 50 Mitarbeitern ODER 10 Mio. € Jahresumsatz (wesentliche Einrichtungen) oder 250 Mitarbeitern / 50 Mio. Umsatz (wichtige Einrichtungen). Außerdem: Lieferanten und Subunternehmer von KRITIS-Betreibern können indirekt betroffen sein.
Pflichten umfassen: Risikomanagement und dokumentierte Sicherheitsrichtlinien, Meldung erheblicher Sicherheitsvorfälle an das BSI (innerhalb 24h Erstmeldung, 72h Details), Lieferkettenmanagement, Verschlüsselung, Zugangskontrollen, Backup-Konzepte, Mitarbeiterschulungen und Business-Continuity-Planung. Die Geschäftsführung haftet persönlich.
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist in Deutschland seit Oktober 2024 in Kraft. Die meisten Pflichten gelten sofort. Übergangsfristen für einzelne Nachweispflichten wurden bis Oktober 2026 verlängert. Unternehmen, die noch nicht begonnen haben, sind im Rückstand.
Bei wesentlichen Einrichtungen: Bußgelder bis 10 Mio. € oder 2 % des globalen Jahresumsatzes. Bei wichtigen Einrichtungen: bis 7 Mio. € oder 1,4 % des Umsatzes. Hinzu kommen Haftungsrisiken für die Geschäftsführung persönlich — das ist gegenüber der alten Regelung deutlich verschärft.

NIS2-Readiness prüfen lassen

Wir klären im Erstgespräch, ob und wie NIS2 für Ihr Unternehmen relevant ist — und was konkret zu tun wäre.

Erstgespräch vereinbaren Pentest ansehen →