Alle Beiträge Netzwerk & Infrastruktur

NIS2: Bin ich betroffen und was muss die Geschäftsleitung tun?

Die NIS2-Richtlinie verpflichtet erstmals viele Mittelständler zu konkreten Cybersicherheits-Maßnahmen. Wer ist betroffen, was ist zu tun, und was ist Panikmache?

Veröffentlicht
4. Mai 2026
Autor
Jakub Kaczor
Lesezeit
10 Min.
Aktualisiert
19. Mai 2026
Symbolbild NIS2-Betroffenheitsprüfung

Stand: Mai 2026 — Die NIS2-Umsetzung in Deutschland entwickelt sich weiter. Vor konkreten Schritten aktuelle Lage (BSI-Veröffentlichungen, NIS2UmsuCG, eigene Rechtsberatung) prüfen.

NIS2 ist die zweite Auflage der EU-Richtlinie zur Netz- und Informationssicherheit. Sie erweitert den Kreis der verpflichteten Unternehmen erheblich — und führt erstmals klare Haftungs- und Maßnahmenpflichten für die Geschäftsleitung ein. Das BSI rechnet damit, dass rund 29.500 „wichtige” und „besonders wichtige” Einrichtungen in Deutschland in den Anwendungsbereich fallen. Wer das ignoriert, riskiert Bußgelder und persönliche Haftung der Leitungsorgane.

Trotzdem ist Panik fehl am Platz. NIS2 ist kein Hexenwerk — sie verlangt das, was ein verantwortungsvoll geführtes Unternehmen ohnehin tun sollte. Aber es muss strukturiert, dokumentiert und nachweisbar passieren.

Wer ist betroffen?

NIS2 unterscheidet zwei Kategorien:

  • Besonders wichtige Einrichtungen — größere Unternehmen in besonders kritischen Sektoren (Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur usw.).
  • Wichtige Einrichtungen — mittlere Unternehmen in weiteren kritischen Sektoren (Post, Abfallwirtschaft, Chemie, Lebensmittel, Hersteller bestimmter Produkte, digitale Anbieter, Forschung u. a.).

Konkret betroffen sind grundsätzlich Unternehmen, die

  • in einem der gelisteten Sektoren tätig sind und
  • die KMU-Schwellen überschreiten (typischerweise: mehr als 50 Mitarbeiter oder mehr als 10 Mio. € Jahresumsatz / Bilanzsumme).

Es gibt Ausnahmen nach unten (bestimmte Anbieter sind unabhängig von Größe betroffen) und Sonderregeln. Eine genaue Betroffenheitsprüfung lohnt sich — viele Unternehmen unterschätzen, dass sie als Zulieferer im weiteren Sinne (z. B. Hersteller von Maschinenbauteilen) ebenfalls fallen können.

Die Pflichten — in der Übersicht

Verpflichtete Unternehmen müssen u. a.:

  1. Risikomanagementmaßnahmen für ihre Netz- und Informationssicherheit umsetzen — proportional zum Risiko.
  2. Vorfälle melden — mit klaren Fristen (Frühwarnung innerhalb 24 Stunden, vollständige Meldung typischerweise innerhalb 72 Stunden, Abschlussbericht binnen eines Monats).
  3. Geschäftsleitung schulen — Cyber-Sicherheit wird Chefsache.
  4. Lieferkette absichern — Sicherheit der Dienstleister und Zulieferer wird Teil der eigenen Pflichten.
  5. Registrierung beim BSI.

Die persönliche Haftung der Leitungsorgane für Pflichtverletzungen ist ein wesentlicher Hebel.

Konkrete technische und organisatorische Maßnahmen

Die NIS2 nennt eine ganze Reihe von Mindestmaßnahmen. Im KMU-Bereich übersetzt sich das typischerweise in folgende Punkte:

BereichMaßnahme
Risiko-AnalyseSchriftliche Risikobeurteilung der IT, regelmäßig aktualisiert.
Incident HandlingKlarer Prozess für Erkennung, Eindämmung und Wiederherstellung; Notfallplan vorhanden.
Business ContinuityBackup-Strategie, Wiederherstellung getestet, Krisenmanagement-Plan.
LieferketteSicherheitsanforderungen an Dienstleister; vertragliche Klauseln.
ZugriffMFA, Privileged-Access-Management, klare Berechtigungen.
Cyber-HygienePatch-Management, Endpoint-Schutz, Awareness-Schulung.
VerschlüsselungDaten in Transit und at Rest, wo angemessen.
PersonalsicherheitSchulungen, Background-Check für sensible Rollen.
Asset-ManagementAktuelle Inventarliste aller IT-Assets.
KryptoVerwaltung kryptografischer Schlüssel.

Das ist viel — aber das meiste sollte ein Mittelständler ohnehin haben. NIS2 verlangt vor allem, dass es strukturiert, dokumentiert und überprüfbar ist.

Was die Geschäftsleitung konkret tun muss

Anders als bei früherer Compliance-Logik ist die Verantwortung bei NIS2 explizit bei der Geschäftsführung:

  1. Betroffenheit prüfen lassen. Schriftlich, mit Datum.
  2. Risikoeinschätzung beauftragen. Wo stehen wir technisch und organisatorisch?
  3. Maßnahmenplan beschließen. Was wird wann gemacht, mit welchem Budget?
  4. Schulung der Leitung dokumentieren. Geschäftsleitung muss nachweislich Cyber-Schulung absolviert haben.
  5. Verantwortliche Person benennen. CISO, IT-Sicherheitsbeauftragter, oder externer Partner mit klarer Funktion.
  6. Berichts- und Eskalationspfad festlegen. Wer informiert Geschäftsleitung im Vorfall, wer entscheidet?
  7. Registrierung beim BSI vornehmen.

Häufige Fehlannahmen

  • „Wir sind zu klein.” Schwellen prüfen. Wer im Sektor liegt und über 50 Mitarbeiter hat, ist meist drin.
  • „Wir haben doch DSGVO erfüllt.” DSGVO und NIS2 überlappen, sind aber nicht identisch. DSGVO schützt personenbezogene Daten, NIS2 die Verfügbarkeit und Integrität der Systeme.
  • „Wir haben das doch alles.” Vielleicht — aber strukturiert und dokumentiert? Bei einer Prüfung zählt nicht, was Sie wissen, sondern was Sie zeigen können.
  • „Das ist alles nur Bürokratie.” Falsche Sicht. Die meisten Maßnahmen sind sinnvoller Schutz vor sehr realen Risiken — Compliance ist hier Beifang, nicht Zweck.
  • „Wir warten ab, bis es konkreter wird.” Risiko. Wer im Vorfall ohne dokumentierte Maßnahmen dasteht, hat ein viel größeres Problem als jemand, der bewusst priorisiert hat.

Ein realistischer 12-Monats-Plan

Monate 1–2: Standortbestimmung

  • Betroffenheit klären (intern oder mit externer Hilfe).
  • IST-Aufnahme der vorhandenen Maßnahmen.
  • Lücken identifizieren.

Monate 3–6: Quick Wins

  • Backup-Strategie konsolidieren und testen.
  • MFA flächendeckend einführen.
  • Patch-Management standardisieren.
  • Incident-Response-Plan schriftlich.
  • Awareness-Schulungen für alle Mitarbeiter.

Monate 7–9: Strukturarbeit

  • Lieferkette dokumentieren, Verträge anpassen.
  • Risikomanagement formalisieren.
  • Geschäftsleitung schulen, Schulung dokumentieren.

Monate 10–12: Verfeinerung

  • Wiederherstellungs-Tests.
  • Externe Prüfung der Maßnahmen (kein Audit-Pflicht, aber empfehlenswert).
  • Dokumentation finalisieren, Register beim BSI prüfen.

Was Kosten realistisch sind

Beispiel: 80 Mitarbeiter, eine Niederlassung, mittlere Komplexität.

  • Betroffenheitsprüfung und IST-Analyse: 4.000 – 12.000 €.
  • Umsetzung Lückenmaßnahmen (Technik, Prozesse, Dokumentation): 15.000 – 60.000 € einmalig.
  • Laufende Sicherheitsbegleitung: 8.000 – 30.000 € pro Jahr.

Das wirkt zunächst hoch — relativ zu den Bußgeld-Risiken und potentiellen Ausfallkosten ist es überschaubar.

FAQ

Sind wir als Zulieferer eines KRITIS-Unternehmens automatisch NIS2-pflichtig? Nicht automatisch. Aber Ihre Auftraggeber werden über vertragliche Sicherheitsanforderungen viele NIS2-ähnliche Maßnahmen weitergeben. Faktisch laufen Sie dann mit.

Wer prüft das? Aufsichtsbehörden, in Deutschland primär das BSI. Anlassbezogen oder stichprobenartig.

Wie hoch sind Bußgelder? Für besonders wichtige Einrichtungen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist). Für wichtige Einrichtungen entsprechend geringer.

Müssen wir ein eigenes Sicherheits-Team haben? Nein, aber eine klar verantwortliche Person. Diese kann intern oder extern eingebunden sein.

Wie wir das angehen

Wir prüfen Ihre Betroffenheit, machen eine ehrliche IST-Aufnahme und schlagen einen priorisierten Maßnahmenplan vor — mit Quick Wins zuerst und strukturierter Arbeit danach. Mehr dazu auf Netzwerk & IT-Infrastruktur. Wenn Sie Sicherheits-Grundlagen erst aufbauen, sind Backup-Strategie nach dem 3-2-1-Prinzip und Ransomware-Schutz für kleine und mittlere Unternehmen gute Begleitartikel.

Anrufen
E-Mail
WhatsApp