Was sollte man über NIS2 wissen? Betrifft es unser Unternehmen?
NIS2 ist die EU-Richtlinie zur Netzwerk- und Informationssicherheit, die seit Dezember 2025 in Deutschland durch das NIS2UmsuCG in nationales Recht umgesetzt ist. Sie verpflichtet Unternehmen ab 50 Mitarbeitenden in 18 regulierten Sektoren zu konkreten IT-Sicherheitsmaßnahmen – mit persönlicher Haftung der Geschäftsführung bei Verstößen.
Viele Mittelständler unterschätzen noch immer die Reichweite der Richtlinie. Viele Unternehmen fragen sich: Sind wir überhaupt von NIS2 betroffen? In diesem Artikel erhalten Sie eine konkrete NIS2-Checkliste, mit der Sie in wenigen Minuten prüfen können, ob Ihr Unternehmen betroffen ist und welche Maßnahmen Sie sofort in Angriff nehmen sollten. Wir begleiten Sie gern auf dem Weg zur Umsetzung der Anforderungen der NIS2-Richtlinie.
Bin ich als KMU von NIS2 betroffen?
Bevor Sie die Liste durcharbeiten, empfehlen wir, zuerst Ihre Betroffenheit zu klären. NIS2 gilt grundsätzlich für Unternehmen, die alle drei der folgenden Kriterien erfüllen. Dennoch ist Vorsicht geboten: Auch wenn Ihr Unternehmen die nachfolgenden Kriterien nicht direkt erfüllt, kann sich eine NIS2-Betroffenheit indirekt über die Lieferkette ergeben.
| Kriterium | Schwellenwert |
|---|---|
| Mitarbeitende | ab 50 Personen |
| Jahresumsatz oder Bilanzsumme | ab 10 Mio. € |
| Sektor | einer von 18 regulierten Sektoren (die gesamte Liste finden Sie weiter unten) |
Welche 18 Sektoren sind von NIS2 betroffen?
NIS2 unterscheidet zwei Gruppen: 11 Sektoren hoher Kritikalität (Anlage 1) und 7 weitere kritische Sektoren (Anlage 2).
Anlage 1 — Sektoren hoher Kritikalität
| # | Sektor | Beispiele |
|---|---|---|
| 1 | Energie | Strom, Fernwärme, Erdgas, Erdöl, Wasserstoff |
| 2 | Transport | Luftverkehr, Bahn, Schifffahrt, Straßenverkehr |
| 3 | Bankwesen | Kreditinstitute |
| 4 | Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| 5 | Gesundheitswesen | Krankenhäuser, Labore, Pharma |
| 6 | Trinkwasser | Wasserversorger |
| 7 | Abwasser | Abwasserentsorgung |
| 8 | Digitale Infrastruktur | Cloud-Anbieter, Rechenzentren, DNS |
| 9 | IKT-Dienste (B2B) | Managed Service Provider, IT-Dienstleister |
| 10 | Öffentliche Verwaltung | Behörden auf Bundes- und Landesebene |
| 11 | Weltraum | Satellitenbetreiber, Raumfahrtinfrastruktur |
Anlage 2 — Weitere kritische Sektoren
| # | Sektor | Beispiele |
|---|---|---|
| 12 | Post- und Kurierdienste | Paketdienstleister, Briefzusteller |
| 13 | Abfallwirtschaft | Entsorgungsbetriebe, Recycling |
| 14 | Chemie | Chemische Industrie, Gefahrstoffhersteller |
| 15 | Lebensmittel | Produktion, Verarbeitung, Großhandel |
| 16 | Verarbeitendes Gewerbe | Maschinenbau, Medizintechnik, Fahrzeugbau |
| 17 | Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| 18 | Forschung | Forschungseinrichtungen und Universitäten |
Quelle: NIS2UmsuCG, Anlage 1 und 2 (in Kraft seit 6. Dezember 2025) — BSI NIS-2 regulierte Unternehmen
Wichtig: Geschätzte 80 % der betroffenen Unternehmen wissen noch nicht, dass sie reguliert werden. Bis zur BSI-Registrierungsfrist am 6. März 2026 hatten sich lediglich 38,5 % der betroffenen Unternehmen registriert. Wer noch nicht gehandelt hat, verstößt bereits gegen geltendes Recht.
Sie sind nicht sicher, ob Ihr Sektor betroffen ist? Das BSI bietet eine kostenlose Betroffenheitsprüfung an – und Sie erhalten in 5 Minuten Klarheit.
Indirekte Betroffenheit: Wenn NIS2 über die Lieferkette zu Ihnen kommt
Auch wenn Ihr Unternehmen keinem der 18 Sektoren angehört oder die Schwellenwerte nicht erreicht, können Sie trotzdem indirekt von NIS2 betroffen sein.
Mit der zunehmenden Digitalisierung von Lieferketten steigt die Gefahr durch Cyberangriffe. Das BSI-Gesetz fordert daher von Unternehmen, die in die Kategorie des NIS2-Gesetzes fallen, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten.
Das bedeutet konkret: Wenn Ihr Kunde unter NIS2 fällt, ist er gesetzlich verpflichtet, Sicherheitsanforderungen an Sie als Zulieferer oder Dienstleister weiterzugeben.
Was NIS2 von betroffenen Unternehmen gegenüber ihrer Lieferkette fordert
*Quelle: BSI — Sichere Lieferkette
Was das für Sie als KMU bedeutet:
Ein einziger kompromittierter Zulieferer kann IT-Systeme lahmlegen, Datenlecks verursachen und den Geschäftsbetrieb stören. Je komplexer die Lieferkette, desto größer die Angriffsfläche. Ihre NIS2-pflichtigen Kunden wissen das — und werden handeln.
Praxis-Tipp: Fragen Sie Ihre fünf größten Kunden ob sie unter NIS2 fallen. Wenn ja, werden vertragliche Cybersicherheitsanforderungen auf Sie zukommen. Wer jetzt vorbereitet ist, hat einen klaren Wettbewerbsvorteil. Gern unterstützen wir Sie auf dem Weg zur Compliance.
NIS2 Checkliste für KMU: 10 Maßnahmen
Mit dieser Checkliste behalten Sie den Überblick: Hinter jedem Punkt finden Sie praxisnahe Erläuterungen sowie konkrete Sofortmaßnahmen, die Sie direkt umsetzen können.
Übersicht: NIS2-Checkliste auf einen Blick
| # | Maßnahme | Aufwand | Priorität |
|---|---|---|---|
| 1 | BSI-Registrierung nachholen | Gering | 🔴 Sofort |
| 2 | ISB benennen | Gering | 🔴 Sofort |
| 3 | MFA aktivieren | Gering | 🔴 Sofort |
| 4 | Patch-Management einführen | Mittel | 🔴 Sofort |
| 5 | Backup & Wiederherstellungstests | Mittel | 🟠 Diese Woche |
| 6 | Zugriffsrechte prüfen | Gering | 🟠 Diese Woche |
| 7 | Incident-Response-Plan erstellen | Mittel | 🟠 Diese Woche |
| 8 | Lieferkette prüfen | Mittel | 🟡 Dieser Monat |
| 9 | Mitarbeiterschulungen einplanen | Mittel | 🟡 Dieser Monat |
| 10 | Richtlinien dokumentieren | Hoch | 🟡 Dieser Monat |
Was passiert bei Nicht-Umsetzung?
Die Konsequenzen bei NIS2-Verstößen sind erheblich:
- Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
- Persönliche Haftung der Geschäftsführung bei nachgewiesener Pflichtverletzung
- Ausschluss aus Lieferketten wenn Kunden Compliance-Nachweise einfordern
- Reputationsschäden bei öffentlich bekannten Sicherheitsvorfällen
Laut BSI sind seit Inkrafttreten des NIS2UmsuCG im Dezember 2025 rund 29.500 Unternehmen in Deutschland von den neuen Pflichten betroffen.
Wie lange dauert die NIS2-Umsetzung?
Aus unserer Beratungspraxis mit Mittelstandsunternehmen wissen wir: Eine vollständige NIS2-Umsetzung dauert typischerweise 3 bis 6 Monate.
- Woche 1–2: Betroffenheitsanalyse und Bestandsaufnahme
- Woche 3–6: Quick Wins umsetzen (MFA, Backups, Patch-Management)
- Woche 7–12: Lieferkettenprüfung und Governance-Strukturen aufbauen
- Woche 13–15: Notfallszenarien üben und dokumentieren
Wer jetzt beginnt, kann strukturiert vorgehen, statt später unter Zeitdruck hektisch zu reagieren! Den vollständigen Fahrplan mit allen Details finden Sie hier: NIS2 Umsetzung – Sofortmaßnahmen und langfristiger Fahrplan
Fazit
NIS2 ist keine bürokratische Pflichtübung — sondern eine Chance, die eigene IT-Sicherheit strukturiert zu verbessern. Unternehmen, die früh handeln, sind nicht nur compliant, sondern auch resilienter gegen Cyberangriffe und wettbewerbsfähiger in Ausschreibungen.
Die 10 Maßnahmen dieser Checkliste sind ein konkreter Startpunkt. Viele davon lassen sich innerhalb weniger Tage umsetzen und ohne große Investitionen.
Hinweis: Dieser Artikel bietet eine allgemeine Orientierung zu NIS2 und ersetzt keine individuelle Rechts- oder Compliance-Beratung. Jedes Unternehmen hat eine andere Ausgangssituation. Sprechen Sie uns an und wir analysieren Ihre konkrete Betroffenheit gemeinsam.
Jetzt kostenlose NIS2-Erstberatung anfragen
Sie wissen nicht, wo Sie anfangen sollen? netX consult begleitet mittelständische Unternehmen durch alle Phasen der NIS2-Umsetzung — von der Betroffenheitsanalyse bis zur Umsetzung und der gelebten Praxis in Ihrem Arbeitsalltag.
15 Minuten kostenlose Kurzberatung, ganz unverbindlich und ohne Verkaufsdruck.
Mit über 20 Jahren Erfahrung in komplexen IT-Strukturen wissen wir, wie sich auch anspruchsvolle Compliance-Anforderungen pragmatisch umsetzen lassen. Vereinbaren Sie jetzt ein Beratungsgespräch.
Hinterlasse einen Kommentar