NIS2 im Mittelstand: Die 10 teuersten Fehler bei der Umsetzung

Zwei Drittel sind nicht compliant — gehören Sie dazu?

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Rund 29.000 Unternehmen in Deutschland sind betroffen — die meisten davon zum ersten Mal mit einer solchen Regulierung konfrontiert. Laut einer aktuellen Computerwoche-Studie haben zwei Drittel NIS2 noch nicht vollständig umgesetzt.

Besonders der Mittelstand kämpft. Die Anforderungen sind komplex, die Ressourcen begrenzt, und die Fristen kurz. Hier sind die 10 teuersten Fehler, die wir in der Praxis sehen — und wie Sie sie vermeiden.

Fehler 1: "Wir sind zu klein für NIS2"

Die Schwellenwerte: Ab 50 Mitarbeitern ODER 10 Mio. € Umsatz in einem der 18 definierten Sektoren fallen Sie unter NIS2. Aber auch kleinere Unternehmen können betroffen sein — als Teil der Lieferkette größerer Unternehmen oder als Anbieter digitaler Dienste.

Tipp: Nutzen Sie die BSI-Betroffenheitsprüfung — das Ergebnis liegt in 5 Minuten vor.

Fehler 2: "Die IT-Abteilung kümmert sich darum"

NIS2 macht Cybersicherheit zur Chefsache. §38 NIS2UmsuCG sagt unmissverständlich: Die Geschäftsleitung muss die Risikomanagementmaßnahmen genehmigen und deren Umsetzung überwachen. Diese Pflicht ist nicht an den IT-Leiter oder CISO delegierbar.

Die Konsequenz: Geschäftsführer haften persönlich mit ihrem Privatvermögen. Das gilt für GmbH-Geschäftsführer ebenso wie für Vorstände einer AG.

Fehler 3: "Wir haben uns registriert — wir sind compliant"

Die BSI-Registrierung bis 6. März 2026 ist Pflicht. Aber sie ist nur der Startschuss, nicht die Ziellinie. Nach der Registrierung müssen Sie:

• Risikomanagementmaßnahmen nach §30 implementieren

• Meldeprozesse für Sicherheitsvorfälle etablieren

• Regelmäßige Audits durchführen

• Ihre Lieferkette absichern

• Schulungen für Geschäftsleitung und Mitarbeiter nachweisen

Fehler 4: Kein ISMS vorhanden

NIS2 setzt ein systematisches Informationssicherheitsmanagementsystem (ISMS) voraus. Viele Mittelständler haben bisher "IT-Sicherheit" betrieben, aber kein strukturiertes Managementsystem.

Realität: Der Aufbau eines ISMS dauert 6-12 Monate. Wer jetzt erst anfängt, wird die vollen NIS2-Anforderungen frühestens Ende 2026 erfüllen. Die gute Nachricht: Wer bereits ISO 27001 hat, deckt bereits 70-80% der Anforderungen ab.

Fehler 5: Meldepflichten unterschätzt

Die NIS2-Meldepflichten sind streng und gelten bereits:

• 24 Stunden: Erstmeldung an das BSI ("erheblicher Sicherheitsvorfall")

• 72 Stunden: Aktualisierte Meldung mit Bewertung und Indikatoren

• 30 Tage: Abschlussbericht mit Ursachenanalyse und Maßnahmen

Viele Unternehmen haben weder die Prozesse noch die Tools, um einen Sicherheitsvorfall innerhalb von 24 Stunden qualifiziert zu melden. Das wird bei der ersten BSI-Prüfung zum Problem.

Fehler 6: Lieferkette ignoriert

NIS2 führt das Konzept der "Shared Responsibility" ein: Sie sind mitverantwortlich für Sicherheitsvorfälle in Ihrer Lieferkette. Das bedeutet:

• Systematische Risikobewertung aller kritischen Dienstleister

• Vertragliche Sicherheitsanforderungen (nicht nur eine Datenschutzklausel)

• Regelmäßige Audits oder Zertifizierungsnachweise Ihrer Zulieferer

• Incident-Response-Pläne, die Ihre Lieferkette einbeziehen

Besonders für Mittelständler, die Cloud-Dienste, SaaS-Tools oder externe IT-Dienstleister nutzen, ist das ein blinder Fleck.

Fehler 7: Schulungen vergessen

NIS2 fordert Cybersicherheitsschulungen auf zwei Ebenen:

1. Geschäftsleitung: Muss nachweislich an NIS2-Schulungen teilgenommen haben. Ohne Nachweis = Haftungsrisiko.

2. Mitarbeiter: Regelmäßige Security-Awareness-Trainings sind Pflicht. Phishing-Simulationen, Passwort-Hygiene, sichere KI-Nutzung.

Und seit Februar 2025 gilt zusätzlich die KI-Kompetenz-Schulungspflicht nach Art. 4 EU AI Act — für alle Mitarbeiter, die mit KI-Systemen arbeiten.

Fehler 8: Budget zu spät freigegeben

ISMS-Aufbau, Schulungen, Tools, externe Beratung — NIS2-Compliance kostet Geld. Typische Budgets für den Mittelstand:

• ISMS-Aufbau: 50.000-150.000 € (je nach Unternehmensgröße)

• Externe Audits: 10.000-30.000 € pro Jahr

• Security-Tools (SIEM, Vulnerability Scanning): 20.000-80.000 € pro Jahr

• Schulungen: 5.000-20.000 € pro Jahr

Zum Vergleich: Ein NIS2-Bußgeld kann bis zu 10 Mio. € betragen. Die Investition in Compliance ist eine Versicherung.

Fehler 9: "Wir haben ISO 27001 — das reicht"

ISO 27001 ist eine exzellente Basis und deckt den Großteil der NIS2-Anforderungen ab. Aber es gibt Lücken:

• Meldepflichten mit festen Fristen (24h/72h/30d) — gibt es in ISO 27001 so nicht

• Persönliche Leitungsverantwortung — ISO 27001 kennt keine Geschäftsführer-Haftung

• Supply-Chain-Security in der Tiefe — NIS2 geht deutlich weiter

• Business-Continuity-Management — nicht in allen ISO-27001-Implementierungen abgedeckt

Wer ISO 27001 hat, sollte eine Gap-Analyse gegen NIS2 durchführen. Der Aufwand ist überschaubar.

Fehler 10: KI-Risiken vergessen

Der vielleicht teuerste Fehler: KI-Systeme nicht in das NIS2-Risikomanagement einbeziehen. Jedes KI-Tool — ob ChatGPT, Copilot oder eine interne ML-Pipeline — ist ein ICT-System und unterliegt den NIS2-Risikomanagement-Anforderungen.

Dazu kommt: Ab August 2026 gelten die Hochrisiko-Pflichten des EU AI Act. Unternehmen, die KI nutzen (und das sind laut Studien bereits 42%), brauchen ein AI-Governance-Framework, das beide Regulierungen abdeckt.

Wie ein integriertes NIS2+KI-Framework aussieht, erklären wir in unserem AI Governance Beratungsangebot.

Checkliste: NIS2-Compliance für den Mittelstand

☐ Betroffenheitsprüfung durchgeführt

☐ BSI-Registrierung bis 6. März 2026 abgeschlossen

☐ Geschäftsführer-Schulung nachweislich absolviert

☐ ISMS aufgebaut oder erweitert (ISO 27001 als Basis)

☐ Meldeprozesse für 24h/72h/30d etabliert

☐ Lieferketten-Risikobewertung durchgeführt

☐ Security-Awareness-Schulungen für alle Mitarbeiter

☐ KI-Inventar erstellt und in Risikomanagement integriert

☐ Business-Continuity-Plan erstellt und getestet

☐ Budget für 2026/2027 freigegeben

Häufig gestellte Fragen

Wie viel Zeit brauche ich realistisch für die vollständige NIS2-Umsetzung?

6-12 Monate für ein vollständiges ISMS. Erste Quick Wins (Registrierung, Schulungen, Meldeprozesse) sind in 2-4 Wochen möglich.

Können wir NIS2 intern umsetzen oder brauchen wir externe Beratung?

Kleine und mittlere Unternehmen profitieren in der Regel von externer Unterstützung — zumindest für die initiale Gap-Analyse und den ISMS-Aufbau. Die laufende Pflege kann dann intern erfolgen.

Was prüft das BSI bei einem Audit?

Risikomanagement, Meldeprozesse, Schulungsnachweise, technische Maßnahmen, Lieferketten-Management und Dokumentation. Das BSI kann unangekündigte Audits durchführen.

Fazit

NIS2 ist kein IT-Projekt — es ist ein Unternehmensthema. Die häufigsten Fehler entstehen nicht aus mangelndem Wissen, sondern aus Unterschätzung. Der Mittelstand, der jetzt handelt, sichert sich nicht nur gegen Bußgelder ab — sondern baut echte Cyber-Resilienz auf.

ADVISORI berät den Mittelstand seit über 11 Jahren in Informationssicherheit und Compliance. ISO 27001 zertifiziert, NIS2-erfahren, praxisorientiert. Jetzt kostenloses Erstgespräch vereinbaren.