NIS2-Richtlinie

NIS2 für den Mittelstand: Wann ein KMU reinrutscht — und wann nicht

Stand: 22. April 20254 Min Lesezeit

Was drin steht

  • NIS2 ist seit 2024 EU-Recht. Die deutsche Umsetzung (NIS2UmsuCG) wird 2025 in Kraft treten — wer betroffen ist, muss bis dahin organisiert sein.
  • Die Grundregel: 50+ Mitarbeiter ODER 10 Mio. EUR+ Jahresumsatz UND Tätigkeit in einem der 18 Sektoren. Wer beides verfehlt, ist meist raus — aber die Sektor-Liste ist breiter, als die meisten Inhaber annehmen.
  • Sonderfall Lieferketten: Auch kleinere Unternehmen können über die Lieferanten-Klausel reinrutschen, wenn sie kritische Dienste für regulierte Unternehmen erbringen.
  • Was du dieses Quartal tun solltest: Selbst-Einstufung anhand der 18 Sektoren plus Mitarbeiter-/Umsatz-Schwelle, dazu Lieferketten-Check für deine Top-Kunden.
  • Wer reinrutscht, hat 21 Pflichten — Risikomanagement, Vorfalls-Meldekette, Lieferanten-Sicherheit, Geschäftsführer-Haftung. Wer raus ist, sollte es trotzdem als Premium-Standard ernst nehmen.

NIS2 ist die EU-Cybersicherheits-Richtlinie, die seit 2024 in Kraft ist und derzeit in deutsches Recht umgesetzt wird. Das deutsche Gesetz — NIS2-Umsetzungs- und Cybersicherheits-Stärkungs-Gesetz, kurz NIS2UmsuCG — soll 2025 in Kraft treten. Wer betroffen ist, muss bis dahin organisiert sein. Und genau hier kommt die erste Frage: Bin ich überhaupt betroffen?

Wir bekommen die Frage mehrmals pro Woche, und die Antwort ist oft überraschend für die Anrufer. Mal in die eine Richtung („Sie sind raus, aber wir empfehlen den Standard trotzdem“), mal in die andere („Sie sind drin, auch wenn Sie das nicht gedacht hätten“). Hier kommt die Anleitung, mit der du selbst entscheiden kannst.

Die Grundregel — und warum sie irreführen kann

Die einfache Formel lautet: Wer mindestens 50 Mitarbeiter ODER mindestens 10 Mio. EUR Jahresumsatz hat UND in einem der 18 NIS2-Sektoren tätig ist, fällt unter die Richtlinie.

Klingt simpel. Ist es nicht. Die Tücke liegt in zwei Stellen:

  1. Die 18 Sektoren sind breiter, als die meisten Inhaber annehmen.
  2. Die Lieferketten-Klausel kann auch kleinere Unternehmen reinziehen.

Die 18 Sektoren — und wo Mittelständler oft überraschend reinfallen

Die Sektoren teilen sich in zwei Gruppen: „wesentliche Einrichtungen“ (höchste Stufe) und „wichtige Einrichtungen“ (zweite Stufe). Hier die Liste mit Praxis-Beispielen:

Wesentliche Einrichtungen (8 Sektoren)

  • Energie — Strom, Gas, Wärme, Wasserstoff, Öl. Auch lokale Stadtwerke und Netzbetreiber.
  • Verkehr — Luft-, Schienen-, Wasser-, Straßenverkehr. Logistiker, Speditionen mit eigener Infrastruktur.
  • Banken — Kreditinstitute und alles, was bafin-reguliert ist.
  • Finanzmarkt-Infrastrukturen — Börsen, Clearing, Zahlungsverkehr.
  • Gesundheit — Krankenhäuser, Großlabore, Hersteller von Medizinprodukten. Einzelpraxen meist raus, Klinik-Verbünde drin.
  • Trinkwasser — Versorger.
  • Abwasser — Versorger.
  • Digitale Infrastruktur — DNS-Anbieter, Top-Level-Domain-Registries, Rechenzentren, Cloud-Anbieter, Telekommunikationsdienste. Hier rutschen viele IT-Dienstleister rein, die das nicht erwarten.
  • IKT-Dienste-Management (B2B) — Managed Service Provider, Managed Security Service Provider. Auch hier viele Mittelständler.
  • Öffentliche Verwaltung — Bund/Land.
  • Weltraum — Satelliten-Betreiber.

Wichtige Einrichtungen (10 Sektoren)

  • Post- und Kurierdienste.
  • Abfallbewirtschaftung.
  • Herstellung, Produktion und Handel chemischer Stoffe.
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln — auch Lebensmittel-Großhandel und größere Hersteller.
  • Verarbeitendes Gewerbe mit Schwerpunkten Medizinprodukte, Datenverarbeitungsgeräte, elektronische Erzeugnisse, optische Erzeugnisse, Maschinenbau, Kraftwagen, sonstige Fahrzeuge. Hier kann der Maschinenbauer mit 80 Mitarbeitern reinrutschen.
  • Anbieter digitaler Dienste — Online-Marktplätze, Suchmaschinen, soziale Netzwerke. Wer im B2B-Marktplatz-Geschäft ist und die Schwellen reißt, fällt rein.
  • Forschung.

Die zwei Sektoren, in denen wir am häufigsten überraschte Anrufer haben: Digitale Infrastruktur / IKT-Dienste und verarbeitendes Gewerbe. Wer als IT-Dienstleister für regionale Banken oder Krankenhäuser arbeitet, fällt schnell rein. Wer als Mittelständler in der Metallverarbeitung über 50 Mitarbeiter hat, ebenfalls.

Die Lieferketten-Klausel — der zweite Eingang

Selbst wenn du selbst die Schwellen nicht erreichst und nicht in den 18 Sektoren tätig bist: Wenn du Lieferant für ein NIS2-reguliertes Unternehmen bist, kann dich dessen Pflicht zur Lieferanten-Sicherheit indirekt treffen.

Das funktioniert über Art. 21 NIS2: regulierte Unternehmen müssen die Sicherheit ihrer Lieferanten in das eigene Risikomanagement einbeziehen. Praktisch heißt das, dass sie von dir Nachweise verlangen werden — Zertifikate, Selbstauskünfte, Sicherheits-Konzepte. Wer die nicht liefern kann, fliegt aus der Lieferanten-Liste.

Beispiele aus unserer Beratungs-Praxis:

  • Software-Bude mit 12 Mitarbeitern, liefert eine Spezialsoftware an drei deutsche Kliniken. Selbst nicht NIS2-pflichtig, aber von den Kliniken zu Sicherheits-Nachweisen verpflichtet.
  • Druckerei mit 25 Mitarbeitern, druckt für eine Bank. Selbst nicht NIS2-pflichtig, aber von der Bank zu Lieferanten-Sicherheits-Auflagen verpflichtet.
  • IT-Dienstleister mit 30 Mitarbeitern, betreut die Server eines regionalen Wasser-Versorgers. Selbst nicht NIS2-pflichtig nach der Mitarbeiter-Schwelle, aber wegen „IKT-Dienste-Management“ mit Sektor-Bezug drin.

Selbst-Einstufung in 30 Minuten

Drei Schritte, die du heute machen kannst:

Schritt 1 — Schwellen-Check

Hast du mindestens 50 Mitarbeiter ODER mindestens 10 Mio. EUR Jahresumsatz? Wenn beides klar darunter liegt, bist du oft raus — außer du fällst unter Sonderregelungen für bestimmte Sektoren (Telekom, Vertrauensdienste, DNS-Registries — die haben keine Schwelle).

Schritt 2 — Sektor-Check

Bist du in einem der 18 Sektoren tätig? Sei großzügig in der Auslegung — die Behörde wird genauer hinschauen als du selbst. Wenn du in Sektor + Schwelle bist: drin. Wenn du in einem Sektor ohne Schwelle bist: auch drin.

Schritt 3 — Lieferketten-Check

Welche deiner Top-10-Kunden sind selbst NIS2-pflichtig? Wenn du für eines davon kritische Dienste erbringst (IT, Datenverarbeitung, Sicherheits-relevante Lieferung), bist du indirekt im Geltungsbereich der Lieferanten-Sicherheit — auch wenn du selbst nicht reguliert bist.

Was passiert, wenn du drin bist

21 konkrete Pflichten aus Art. 21 NIS2 in Stichpunkten:

  • Risikomanagement-Konzept (schriftlich)
  • Vorfalls-Behandlung mit dokumentierter Meldekette
  • Backup- und Krisen-Konzept
  • Lieferanten-Sicherheit (Auswahl + Überwachung)
  • Sicherheit bei Beschaffung, Entwicklung, Wartung
  • Wirksamkeits-Messung der Maßnahmen
  • Schulung der Belegschaft
  • Kryptographie- und Verschlüsselungs-Konzept
  • Personal-Sicherheit + Zugangs-Konzept
  • MFA / passwortlose Authentifizierung wo möglich
  • Sichere Kommunikationswege
  • Vorfalls-Meldung an BSI (24h Erst-Meldung, 72h Vorfalls-Bericht, 30 Tage Abschluss-Bericht)
  • Geschäftsführer-Haftung persönlich
  • … und neun weitere

Wer das ernsthaft aufbaut, redet von einem Projekt im mittleren bis hohen fünfstelligen Bereich plus dauerhaftem Betrieb. Wer es nicht ernsthaft macht, riskiert Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.

Was Hannes daraus macht

NIS2 ist nicht unser Hauptfeld — aber wir bauen jede unserer Plattformen mit Sicherheits-Standards, die auch unter NIS2 tragen würden: MFA, dokumentierte Backup-Konzepte, Verschlüsselung in Transit und at Rest, EU-Hosting, Audit-Logs. Wer als Mandant unter NIS2 fällt, bekommt von uns die technische Plattform mitgeliefert — die organisatorischen Pflichten (Konzepte, Schulungen, Geschäftsführer-Verantwortung) gehören weiterhin in deine Hand oder zu einem spezialisierten NIS2-Berater.

Wer wissen will, ob seine Site die technischen NIS2-Grundlagen erfüllt: frag Hannes — als erster Indikator prüft er Verschlüsselung, Header-Sicherheit und Standard-Konfiguration. Wer tiefer einsteigen will, beginnt mit der Selbst-Einstufung oben und holt sich für die Pflichten-Liste einen spezialisierten Berater.

Häufige Fragen

Wir sind 35 Mitarbeiter, machen 5 Mio. Umsatz — sind wir raus?
Vermutlich ja, was die direkte NIS2-Pflicht angeht. Aber prüfe die Lieferketten-Klausel: wenn euer Hauptkunde NIS2-pflichtig ist und ihr für ihn IT-relevante Leistung erbringt, könnt ihr indirekt mit Sicherheits-Auflagen konfrontiert werden. Außerdem: ein paar Sektoren haben keine Mitarbeiter-Schwelle — Telekom, DNS, Vertrauensdienste.
Wann tritt das deutsche Umsetzungsgesetz in Kraft?
Der Gesetzentwurf (NIS2UmsuCG) wurde im Bundestag 2024/2025 mehrfach überarbeitet. Inkrafttreten realistisch in der zweiten Jahreshälfte 2025 oder Anfang 2026. Wer zu den Pflichtigen zählt, sollte aber nicht warten — Aufbau eines NIS2-Konzepts dauert Monate, nicht Wochen.
Reicht ISO 27001 für die NIS2-Konformität?
ISO 27001 deckt einen Großteil der NIS2-Pflichten ab — vor allem im Bereich Informations-Sicherheits-Managementsystem (ISMS), Risikomanagement, Lieferanten-Sicherheit. Aber: NIS2 verlangt zusätzlich konkrete Meldepflichten an das BSI mit harten 24h/72h/30d-Fristen, eine persönliche Geschäftsführer-Verantwortung sowie spezifische Vorfalls-Behandlungs-Konzepte. ISO 27001 ist eine sehr gute Basis, aber kein vollständiger Ersatz.
Was kostet die NIS2-Einführung typischerweise?
Stark abhängig von Größe und Ist-Stand. Wer ISO 27001 schon hat, kommt auf wenige Wochen Zusatz-Aufwand für die NIS2-spezifischen Ergänzungen. Wer bei Null startet, redet von einem Projekt über 6–12 Monate mit interner Kapazität plus externer Begleitung. Spezialisierte NIS2-Beratung liegt branchenüblich im mittleren fünfstelligen Bereich für die Einführung.
Wer ist Aufsichtsbehörde für NIS2 in Deutschland?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsicht für die wesentlichen Einrichtungen. Bei wichtigen Einrichtungen sind teilweise auch sektorspezifische Behörden zuständig (z.B. BNetzA für Telekom). Die Vorfalls-Meldungen gehen ans BSI-Meldeportal.
Wir sind ein Software-Hersteller — fallen wir unter Lieferanten-Sicherheit, wenn unsere Kunden NIS2-pflichtig sind?
Sehr wahrscheinlich. Ihre Kunden werden euch zu Sicherheits-Auskünften, Patch-Disziplin, SBOM-Lieferung (Software-Bill-of-Materials), Schwachstellen-Reaktionsfähigkeit verpflichten. Wer das nicht liefert, fliegt aus der Lieferanten-Liste. Empfehlung: Lieferanten-Sicherheits-Konzept proaktiv aufbauen, bevor Kunden danach fragen.
Ist die Geschäftsführer-Haftung wirklich persönlich?
Ja. Art. 20 NIS2 verpflichtet die Geschäftsleitung persönlich zur Genehmigung und Überwachung der Sicherheitsmaßnahmen. Bei groben Verstößen kann die Aufsicht die Eignung der Geschäftsleitung in Frage stellen — bis hin zum vorübergehenden Verbot der Geschäftsführungs-Tätigkeit. Das ist neu und sollte ernst genommen werden.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Weiterlesen

20.01.2026NIS2-Sanktionen 2026: Was BSI und Aufsicht in den ersten Verfahren wirklich angesetzt haben15.09.2025NIS2-Berichtspflichten: Die 24-, 72- und 30-Tage-Kette in Klartext15.07.2025NIS2 in der Praxis: Die 9 Pflichten der Geschäftsführung in Klartext