Die NIS2-Richtlinie erweitert die Cybersicherheitspflichten auf deutlich mehr Unternehmen als die bisherige NIS-Richtlinie. In Deutschland sind schätzungsweise 29.000 Unternehmen betroffen — darunter tausende mittelständische Betriebe, die bisher keine vergleichbaren Anforderungen erfüllen mussten. Dieser Leitfaden erklärt pragmatisch, was der Mittelstand tun muss.
Ist mein Unternehmen von NIS2 betroffen?
NIS2 betrifft Unternehmen in 18 Sektoren, die bestimmte Größenkriterien erfüllen:
- Wesentliche Einrichtungen: Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum
- Wichtige Einrichtungen: Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung
Größenschwellen: Mittlere Unternehmen (50-249 Mitarbeiter oder 10-50 Mio. Euro Umsatz) und große Unternehmen (250+ Mitarbeiter oder 50+ Mio. Euro Umsatz). Unabhängig von der Größe fallen bestimmte kritische Dienstleister immer unter NIS2.
Die 10 Pflichtmaßnahmen nach NIS2 Artikel 21
- Risikoanalyse und Sicherheitskonzept für Informationssysteme
- Vorfallbewältigung (Incident Response)
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
- Cyberhygiene und Schulungen
- Kryptografie und Verschlüsselung
- Zugangskontrolle und Asset-Management
- Multi-Faktor-Authentifizierung und sichere Kommunikation
NIS2-Umsetzung im Mittelstand: 5 pragmatische Schritte
- Betroffenheitscheck: Prüfen Sie anhand von Branchenzugehörigkeit und Unternehmensgröße, ob Sie unter NIS2 fallen. Das BSI bietet einen Online-Selbstcheck.
- BSI-Registrierung: Betroffene Unternehmen müssen sich beim BSI registrieren. Die Frist wurde im deutschen Umsetzungsgesetz festgelegt.
- Gap-Analyse: Vergleich Ihres aktuellen Sicherheitsniveaus mit den 10 NIS2-Pflichtmaßnahmen. Wo bestehen Lücken?
- Maßnahmenplan: Priorisierte Umsetzung der identifizierten Lücken. Beginnen Sie mit Incident Response und Zugangskontrollen — diese haben den größten Sicherheitseffekt.
- Meldewege einrichten: Etablieren Sie einen Prozess für die 24h-Erstmeldung / 72h-Detailmeldung bei erheblichen Sicherheitsvorfällen.
Kosten und Aufwand für mittelständische Unternehmen
Die Kosten der NIS2-Umsetzung hängen stark vom aktuellen Reifegrad ab:
- Unternehmen mit bestehendem ISMS (ISO 27001): 20.000-50.000 Euro für Gap-Analyse und Anpassungen
- Unternehmen ohne ISMS: 50.000-150.000 Euro für den Aufbau grundlegender Sicherheitsmaßnahmen
- Laufende Kosten: 5-15% des IT-Budgets für Cybersicherheit (Branchen-Benchmark)
Der Aufwand lässt sich durch pragmatische Ansätze reduzieren: Nutzen Sie bestehende Standards (ISO 27001, BSI-Grundschutz) als Basis, statt alles neu aufzubauen. Viele NIS2-Anforderungen überlappen mit bestehenden Best Practices.
Häufig gestellte Fragen zu NIS2 für den Mittelstand
Müssen mittelständische Unternehmen NIS2 umsetzen?
Ja, wenn sie in einem der 18 NIS2-Sektoren tätig sind und die Größenschwelle erreichen (50+ Mitarbeiter oder 10+ Mio. Euro Umsatz). Die genaue Betroffenheit sollte anhand des BSI-Selbstchecks und der Branchenklassifizierung geprüft werden.
Welche Bußgelder drohen bei NIS2-Verstößen?
Für wesentliche Einrichtungen: bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes. Für wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4% des Umsatzes. Die Geschäftsleitung kann für Pflichtverletzungen persönlich haften.
Welche Fristen gelten für die NIS2-Umsetzung?
Die NIS2-Umsetzungsfrist für die EU-Mitgliedstaaten endete am 17. Oktober 2024. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft; die BSI-Registrierung für bereits betroffene Unternehmen war bis zum 6. März 2026 vorzunehmen. Die BSI-Registrierungspflicht und die Meldepflichten gelten unmittelbar nach Inkrafttreten des Umsetzungsgesetzes. Unternehmen sollten die Umsetzung nicht hinauszögern.
Reicht ISO 27001 für NIS2-Compliance?
ISO 27001 deckt einen Großteil der NIS2-Anforderungen ab, aber nicht alle. Ergänzend benötigen Sie: einen formalen Incident-Meldeprozess (24h/72h), eine dokumentierte Lieferketten-Risikobewertung, BSI-Registrierung und die Einbindung der Geschäftsleitung in die Cybersicherheits-Governance. Eine Gap-Analyse zwischen Ihrem ISMS und NIS2 zeigt die verbleibenden Lücken.
Wie melde ich einen Sicherheitsvorfall nach NIS2?
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung an das BSI gemeldet werden. Innerhalb von 72 Stunden folgt ein Detailbericht mit Bewertung, Schwere und Auswirkungen. Innerhalb eines Monats ist ein Abschlussbericht mit Ursachenanalyse vorzulegen. Das BSI stellt dafür ein elektronisches Meldeformular bereit.
Weitere relevante Beiträge
Vertiefen Sie Ihr Wissen mit ausgewählten Artikeln aus der gleichen Themenwelt.
AFCEA Fachausstellung 2026: Warum Gesamtverteidigung zur Managementaufgabe wird
Gesamtverteidigung beginnt vor der Krise: Erfahren Sie, warum Resilienz, VS-konforme IT und Krypto-Agilität jetzt zur strategischen Führungsaufgabe werden.
Zwischen TISAX und VS-NfD: Was Automobilzulieferer beim Einstieg in die Rüstungsindustrie unterschätzen
Mit dem Einstieg in die Rüstungsindustrie treffen Automobilzulieferer auf VS-NfD – staatlichen Geheimschutz mit eigener Logik.
Cyber Versicherung: Anforderungen, Kosten & Auswahlhilfe 2026
Eine Cyber-Versicherung deckt finanzielle Schäden durch Cyberangriffe ab — von Ransomware über Datenschutzverletzungen bis zu Betriebsunterbrechungen. Dieser Leitfaden erklärt, was Versicherer 2026 erwarten, was eine Police kostet und worauf Sie bei der Auswahl achten sollten.