Zurück zur ÜbersichtNIS2 & Compliance

NIS2 — bin ich betroffen? Ein praxisnaher Schnellcheck für KMU

·9 Min Lesezeit·Ali Al Haj Hussein

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Kraft. Ohne Übergangsfrist, ohne Aufschub. Wer betroffen ist, muss liefern. Wer es nicht ist, kann trotzdem über die Lieferkette hineinrutschen. Dieser Artikel sortiert die Frage in drei klare Konstellationen — und liefert für jede eine Handlungsempfehlung.

Was NIS2 in einem Satz ist

NIS2 ist die zweite EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, in Deutschland umgesetzt durch das NIS2UmsuCG (im Volksmund manchmal „NIS-2-Umsetzungsgesetz“). Sie zwingt rund 29.500 Unternehmen in Deutschland zu einem dokumentierten Cybersicherheits-Mindeststandard — und legt persönliche Haftung der Geschäftsleitung fest, wenn das nicht passiert.

Konstellation 1: Sie sind direkt betroffen

Direkt betroffen sind in der Regel Unternehmen, die kumulativ drei Kriterien erfüllen:

  1. Sie sind in einem der 18 NIS2-Sektoren tätig (Energie, Verkehr, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienste, öffentliche Verwaltung, Raumfahrt, Post/Kurier, Abfall, Chemie, Lebensmittel, Industrieproduktion, digitale Dienste, Forschung).
  2. Sie überschreiten die KMU-Schwellen: 50 Mitarbeiter oder 10 Mio. € Umsatz / Bilanzsumme.
  3. Sie sind in Deutschland niedergelassen oder bieten Ihre Dienste hier an.

Wer das erfüllt, ist je nach Größe und Sektor entweder eine „wesentliche Einrichtung“ (Großunternehmen in kritischen Sektoren) oder eine „wichtige Einrichtung“ (alle übrigen). Für beide gilt: Registrierungspflicht beim BSI, Pflicht zum dokumentierten Risikomanagement nach § 30 NIS2UmsuCG, Meldepflichten bei Sicherheitsvorfällen nach § 32 (24-Std.-Frühwarnung, 72-Std.- Meldung, einmonatiger Abschlussbericht), Pflichten zur Cybersicherheits-Schulung der Geschäftsleitung.

Bußgeldrahmen: bis 10 Mio. € oder 2 % des weltweiten Konzernumsatzes bei wesentlichen Einrichtungen. Bis 7 Mio. € oder 1,4 % bei wichtigen Einrichtungen. Wichtiger noch: § 38 NIS2UmsuCG sieht persönliche Haftung der Geschäftsleitung vor. Das ist ein bewusster politischer Schwenk gegenüber NIS1, wo Cybersicherheit als IT-Thema delegiert werden konnte. Es ist heute formal nicht mehr delegierbar.

Wenn Sie direkt betroffen sind und noch nicht reagiert haben: Sie haben aktuell ein offenes Compliance-Defizit. Die BSI-Registrierungsfrist (März 2026) ist abgelaufen. Die Behörde darf Bußgelder festsetzen. Das erste sinnvolle Werkzeug ist eine schriftliche Einstufung durch eine fachkundige Stelle, dann eine Gap-Analyse gegen die zehn Mindestanforderungen.

Konstellation 2: Sie sind über die Lieferkette mitverpflichtet

Das ist der unterschätzte Fall. NIS2 verpflichtet direkt betroffene Unternehmen ausdrücklich dazu, ihre Zulieferer auf Cybersicherheit zu prüfen. Konkret heißt das: ein Krankenhaus, ein Energieversorger, eine Behörde fragen ihren 30-Mann-IT-Dienstleister, ihre 80-Mann- Reinigungsfirma mit Schlüsseldienst, ihren 50-Mann-Caterer nach Nachweisen. Diese Großkunden brauchen die Antwort, um ihre eigene NIS2-Pflicht zu erfüllen.

Schätzungen sprechen von rund 290.000 deutschen Lieferanten, die so mitverpflichtet werden — etwa das Zehnfache der direkt Betroffenen. Die meisten davon sind klein und unvorbereitet.

In dieser Konstellation ist das Risiko nicht primär ein BSI-Bußgeld. Es ist Auftragsverlust: Großkunden vergeben künftig nur noch an Lieferanten, die das Selbstauskunfts-Formular sauber ausfüllen können. Wer hier zu spät reagiert, verliert Marktanteile an besser vorbereitete Wettbewerber, lange bevor eine Behörde aufschlägt.

Wenn Sie mitverpflichtet sind: Sie brauchen ein „Lieferanten-Nachweispaket“. Dokumentierte Backup- Strategie (3-2-1), nachweislich aktiviertes MFA, ein gepflegtes Patch-Management, eine jährliche Awareness- Schulung, ein knapper Incident-Response-Plan, eine Cyber-Versicherung. Das alles ist auch ohne ISMS-light machbar — wirkt aber ungleich überzeugender, wenn es in einem einseitigen Sicherheits-Steckbrief zusammengeführt vorliegt.

Konstellation 3: Sie sind nicht direkt betroffen

Wenn Sie unter 50 Mitarbeiter haben, unter 10 Mio. € Umsatz liegen, in keinem der 18 Sektoren tätig sind und keinem Großkunden in regulierten Bereichen zuarbeiten, dann sind Sie aktuell nicht direkt von NIS2 erfasst.

Das heißt aber nicht „ignorieren“. Drei Gründe:

  1. Cyber-Versicherer verlangen zunehmend vergleichbare Mindeststandards, unabhängig von NIS2.
  2. Großkunden wandern langsam von „NIS2- betroffen oder nicht“ zu „liefere uns einen Sicherheits-Nachweis, NIS2 hin oder her“. Das einheitliche Niveau wird durchgereicht.
  3. Ihre Einstufung ist nicht statisch. Wenn Sie wachsen, neue Branchen erschließen oder einen Großkunden im Gesundheitssektor gewinnen, kann sich die Lage in 6 Monaten drehen. Empfehlung: jährlich neu prüfen.

Was die zehn Mindestanforderungen wirklich sind

Der § 30 NIS2UmsuCG listet zehn technisch-organisatorische Mindestanforderungen. Im Klartext:

  1. Risikomanagement — dokumentierte Risikoinventur, periodisch aktualisiert.
  2. Vorfall-Bewältigung — Incident-Response- Plan, Eskalations-Kette, Meldewege.
  3. Geschäftskontinuität — Backups (3-2-1- Regel), Wiederanlauf-Tests.
  4. Sicherheit der Lieferkette — auch Ihre Lieferanten in den Blick nehmen.
  5. Sicherheit von Beschaffung, Entwicklung, Wartung— Patch-Management, sichere Software-Beschaffung.
  6. Cyber-Hygiene — MFA, Passwort-Hygiene, Endpoint-Hardening.
  7. Schulungen — periodische Awareness, auch für die Geschäftsleitung.
  8. Kryptographie — Verschlüsselung in Transport und Ruhe, dokumentierte Schlüsselverwaltung.
  9. Personalsicherheit / Zugriffskontrollen— Need-to-know, Trennung von Privilegien.
  10. Multi-Faktor-Authentifizierung für sensible Zugriffe.

Das ist kein ISO 27001. Es ist eine deutlich schlankere Liste, die ein motivierter Mittelständler in zwei bis drei Monaten dokumentiert haben kann — wenn der technische Stand halbwegs aktuell ist.

Was Sie heute konkret tun sollten

Drei Schritte, in dieser Reihenfolge:

  1. Einstufung in 30 Minuten klären. Mit einem strukturierten Selbstcheck (verlinkt unten) oder über ein kurzes Erstgespräch.
  2. Wenn direkt betroffen oder über Lieferkette: Gap-Analyse gegen die zehn Mindestanforderungen — schriftlich, priorisiert, mit Aufwandsschätzung. Das ist der Baustein, aus dem alles andere wird.
  3. ISMS-light aufbauen. In sechs bis zehn Wochen ein Mindest-System mit Risikoinventur, Incident- Response-Plan, dokumentierten technischen und organisatorischen Maßnahmen. Audit-vorzeigbar — auch wenn Sie kein vollständiges ISO 27001 anstreben.

Hinweis zur Rechtsberatung

Dieser Artikel ist eine Praxis-Einordnung aus IT-Sicht. Für die rein juristischen Aspekte (z. B. konkrete Auslegung der Sektor-Definitionen, Verfahren bei einer BSI-Anhörung, Versicherungsfragen) ist ein qualifizierter IT-Rechtsanwalt der richtige Ansprechpartner. Ich arbeite mit spezialisierten Kollegen zusammen und stelle den Kontakt gerne her.

AH

Ali Al Haj Hussein

Inhaber von SystemPartnerHaus · Freiberuflicher IT-Berater und Softwareentwickler aus Bad Arolsen.

Mehr über mich →