tprime
IT-Sicherheit

NIS2-Richtlinie für KMU — Was du jetzt wissen und tun musst

NIS2 Richtlinie KMU: Wer ist betroffen, was muss umgesetzt werden und welche Strafen drohen? Kompakter Überblick mit konkreten Handlungsempfehlungen.

Elias Peters 8 Min. Lesezeit
Erklärung der NIS2-Richtlinie und ihrer Anforderungen am Whiteboard

NIS2 — die neue Cybersecurity-Pflicht für den Mittelstand

Die NIS2-Richtlinie der EU ist die bisher umfassendste Regulierung zur IT-Sicherheit. Sie betrifft nicht nur Konzerne und kritische Infrastruktur, sondern erstmals auch tausende mittelständische Unternehmen in Deutschland.

Das Problem: Viele KMU wissen nicht, dass sie betroffen sind. Und die Umsetzungsfristen laufen.

Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Geltungsbereich massiv.

In Deutschland wird NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Die Anforderungen sind verbindlich — mit empfindlichen Strafen bei Nichteinhaltung.

Bin ich betroffen?

Die große Frage. NIS2 unterscheidet zwei Kategorien:

Wesentliche Einrichtungen (Essential Entities)

  • Energie, Transport, Gesundheit, Wasser, Finanzwesen
  • Digitale Infrastruktur, öffentliche Verwaltung
  • Ab 250 Mitarbeiter oder 50 Mio. € Umsatz in diesen Sektoren

Wichtige Einrichtungen (Important Entities)

Hier wird es für den Mittelstand relevant:

  • Herstellung — Maschinenbau, Lebensmittel, Chemie, Medizinprodukte
  • Digitale Dienste — IT-Dienstleister, Managed Service Provider, Online-Marktplätze
  • Post und Kurier — Logistikunternehmen
  • Abfallwirtschaft — Entsorgungsunternehmen
  • Forschung — Forschungseinrichtungen

Schwellenwerte für wichtige Einrichtungen:

  • Ab 50 Mitarbeiter oder
  • Ab 10 Mio. € Jahresumsatz

Achtung: Auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer für wesentliche Einrichtungen arbeiten. Die Lieferketten-Regelung zieht viele KMU indirekt mit rein.

Was muss ich umsetzen?

NIS2 fordert ein umfassendes Cybersecurity-Management. Die Kernanforderungen:

1. Risikomanagement

  • Systematische Identifikation und Bewertung von IT-Risiken
  • Dokumentierte Maßnahmen zur Risikominderung
  • Regelmäßige Überprüfung und Aktualisierung

2. Technische Schutzmaßnahmen

3. Incident Management

  • Verfahren zur Erkennung von Sicherheitsvorfällen
  • Meldepflicht: Erstmeldung innerhalb von 24 Stunden an das BSI
  • Vollständiger Bericht innerhalb von 72 Stunden
  • Abschlussbericht innerhalb eines Monats

4. Business Continuity

  • Notfallpläne für kritische Geschäftsprozesse
  • Wiederherstellungsverfahren dokumentiert und getestet
  • Krisenmanagement und Kommunikationspläne

5. Lieferkettensicherheit

  • Sicherheitsanforderungen an Dienstleister und Zulieferer
  • Vertragliche Regelungen zur IT-Sicherheit
  • Regelmäßige Überprüfung der Lieferkette

6. Schulung und Awareness

  • Regelmäßige Cybersecurity-Schulungen für alle Mitarbeiter
  • Spezifische Schulung für die Geschäftsleitung
  • Phishing-Awareness-Training

Was passiert bei Nichteinhaltung?

NIS2 hat Zähne. Die Strafen sind deutlich höher als bei der Vorgänger-Richtlinie:

  • Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Und: Die Geschäftsführung haftet persönlich. Geschäftsführer und Vorstände können bei Verstößen persönlich zur Verantwortung gezogen werden.

Der Fahrplan: Was du jetzt tun solltest

Sofort: Betroffenheit prüfen

Fällt dein Unternehmen unter einen der genannten Sektoren? Erfüllst du die Schwellenwerte? Bist du Zulieferer für betroffene Unternehmen?

Kurzfristig: Gap-Analyse durchführen

Wo stehst du heute? Ein IT-Sicherheitscheck zeigt dir, welche NIS2-Anforderungen du bereits erfüllst und wo Lücken sind.

Mittelfristig: Maßnahmen umsetzen

Priorisiert nach Risiko und Aufwand:

  1. Incident-Response-Prozess einrichten (Meldepflicht!)
  2. MFA und Zugangskontrolle verschärfen
  3. Backup-Strategie überprüfen
  4. Risikomanagement dokumentieren
  5. Mitarbeiter schulen

Laufend: Dokumentation und Nachweis

NIS2 ist kein einmaliges Projekt. Du musst nachweisen können, dass du die Anforderungen kontinuierlich erfüllst. Das bedeutet:

  • Regelmäßige Audits
  • Aktualisierte Risikobewertungen
  • Dokumentierte Schulungen
  • Getestete Notfallpläne

Fazit: NIS2 ist kein Papiertiger

NIS2 ist die bisher größte Veränderung in der Cybersecurity-Regulierung für den Mittelstand. Wer betroffen ist und nicht handelt, riskiert nicht nur Strafen — sondern auch persönliche Haftung der Geschäftsleitung.

Die gute Nachricht: Viele der Anforderungen sind Dinge, die ohnehin sinnvoll sind. Backup, MFA, Schulungen — wer seine IT-Sicherheit ernst nimmt, hat einen Großteil der Arbeit bereits erledigt.

Lass uns gemeinsam prüfen, ob du von NIS2 betroffen bist — und was zu tun ist. Im kostenlosen Erstgespräch geben wir dir eine erste Einschätzung.

NIS2 IT-Sicherheit Compliance KMU Cybersecurity-Richtlinie

Weitere Artikel

Endpoint Security für KMU: Mehr als nur Antivirus
IT-Sicherheit

Endpoint Security für KMU: Mehr als nur Antivirus

6. Mai 2026 · 6 Min. Lesezeit

Passwort-Management im Unternehmen: Schluss mit Post-its
IT-Sicherheit

Passwort-Management im Unternehmen: Schluss mit Post-its

10. April 2026 · 5 Min. Lesezeit

Die 3-2-1-Backup-Strategie — So schützt du dein Unternehmen vor Datenverlust
IT-Sicherheit

Die 3-2-1-Backup-Strategie — So schützt du dein Unternehmen vor Datenverlust

20. März 2026 · 6 Min. Lesezeit

IT-Fragen? Wir haben Antworten.

In einem kostenlosen Erstgespräch besprechen wir, wie wir dein Unternehmen mit der richtigen IT weiterbringen.

Kostenloses Erstgespräch buchen

Kein Verkaufsgespräch — nur ein ehrlicher Austausch über deine IT.