NIS2 für den Mittelstand: Praxisleitfaden 2026
Die NIS2-Richtlinie erweitert die Cybersicherheitspflichten auf deutlich mehr Unternehmen als die bisherige NIS-Richtlinie. In Deutschland sind schätzungsweise 29.000 Unternehmen betroffen — darunter tausende mittelständische Betriebe, die bisher keine vergleichbaren Anforderungen erfüllen mussten. Dieser Leitfaden erklärt pragmatisch, was der Mittelstand tun muss.
Ist mein Unternehmen von NIS2 betroffen?
NIS2 betrifft Unternehmen in 18 Sektoren, die bestimmte Größenkriterien erfüllen:
- Wesentliche Einrichtungen: Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum
- Wichtige Einrichtungen: Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung
Größenschwellen: Mittlere Unternehmen (50-249 Mitarbeiter oder 10-50 Mio. Euro Umsatz) und große Unternehmen (250+ Mitarbeiter oder 50+ Mio. Euro Umsatz). Unabhängig von der Größe fallen bestimmte kritische Dienstleister immer unter NIS2.
Die 10 Pflichtmaßnahmen nach NIS2 Artikel 21
- Risikoanalyse und Sicherheitskonzept für Informationssysteme
- Vorfallbewältigung (Incident Response)
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen
- Cyberhygiene und Schulungen
- Kryptografie und Verschlüsselung
- Zugangskontrolle und Asset-Management
- Multi-Faktor-Authentifizierung und sichere Kommunikation
NIS2-Umsetzung im Mittelstand: 5 pragmatische Schritte
- Betroffenheitscheck: Prüfen Sie anhand von Branchenzugehörigkeit und Unternehmensgröße, ob Sie unter NIS2 fallen. Das BSI bietet einen Online-Selbstcheck.
- BSI-Registrierung: Betroffene Unternehmen müssen sich beim BSI registrieren. Die Frist wurde im deutschen Umsetzungsgesetz festgelegt.
- Gap-Analyse: Vergleich Ihres aktuellen Sicherheitsniveaus mit den 10 NIS2-Pflichtmaßnahmen. Wo bestehen Lücken?
- Maßnahmenplan: Priorisierte Umsetzung der identifizierten Lücken. Beginnen Sie mit Incident Response und Zugangskontrollen — diese haben den größten Sicherheitseffekt.
- Meldewege einrichten: Etablieren Sie einen Prozess für die 24h-Erstmeldung / 72h-Detailmeldung bei erheblichen Sicherheitsvorfällen.
Kosten und Aufwand für mittelständische Unternehmen
Die Kosten der NIS2-Umsetzung hängen stark vom aktuellen Reifegrad ab:
- Unternehmen mit bestehendem ISMS (ISO 27001): 20.000-50.000 Euro für Gap-Analyse und Anpassungen
- Unternehmen ohne ISMS: 50.000-150.000 Euro für den Aufbau grundlegender Sicherheitsmaßnahmen
- Laufende Kosten: 5-15% des IT-Budgets für Cybersicherheit (BSI-Empfehlung)
Der Aufwand lässt sich durch pragmatische Ansätze reduzieren: Nutzen Sie bestehende Standards (ISO 27001, BSI-Grundschutz) als Basis, statt alles neu aufzubauen. Viele NIS2-Anforderungen überlappen mit bestehenden Best Practices.
Häufig gestellte Fragen zu NIS2 für den Mittelstand
Müssen mittelständische Unternehmen NIS2 umsetzen?
Ja, wenn sie in einem der 18 NIS2-Sektoren tätig sind und die Größenschwelle erreichen (50+ Mitarbeiter oder 10+ Mio. Euro Umsatz). Die genaue Betroffenheit sollte anhand des BSI-Selbstchecks und der Branchenklassifizierung geprüft werden.
Welche Bußgelder drohen bei NIS2-Verstößen?
Für wesentliche Einrichtungen: bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes. Für wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4% des Umsatzes. Die Geschäftsleitung haftet persönlich für die Umsetzung.
Welche Fristen gelten für die NIS2-Umsetzung?
Die NIS2-Richtlinie gilt seit Oktober 2024 EU-weit. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) wurde 2025 verabschiedet. Die BSI-Registrierungspflicht und die Meldepflichten gelten unmittelbar nach Inkrafttreten des Umsetzungsgesetzes. Unternehmen sollten die Umsetzung nicht hinauszögern.
Reicht ISO 27001 für NIS2-Compliance?
ISO 27001 deckt einen Großteil der NIS2-Anforderungen ab, aber nicht alle. Ergänzend benötigen Sie: einen formalen Incident-Meldeprozess (24h/72h), eine dokumentierte Lieferketten-Risikobewertung, BSI-Registrierung und die Einbindung der Geschäftsleitung in die Cybersicherheits-Governance. Eine Gap-Analyse zwischen Ihrem ISMS und NIS2 zeigt die verbleibenden Lücken.
Wie melde ich einen Sicherheitsvorfall nach NIS2?
Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung an das BSI gemeldet werden. Innerhalb von 72 Stunden folgt ein Detailbericht mit Bewertung, Schwere und Auswirkungen. Innerhalb eines Monats ist ein Abschlussbericht mit Ursachenanalyse vorzulegen. Das BSI stellt dafür ein elektronisches Meldeformular bereit.
Weitere relevante Beiträge
Business Continuity Software: Vergleich der führenden BCM-Plattformen 2026
Vergleich der 5 führenden Business Continuity Software-Lösungen 2026: Fusion, Riskonnect, Everbridge, Castellan, ServiceNow. Mit Auswahlkriterien, Kosten und Empfehlungen für NIS2- und DORA-Compliance.
Was ist IAM? Identity & Access Management einfach erklärt
Identity & Access Management (IAM) steuert, wer auf digitale Unternehmensressourcen zugreifen darf. Dieser Artikel erklärt die fünf Kernkomponenten, regulatorische Anforderungen (NIS2, DORA, ISO 27001) und die Implementierung in 5 Schritten.
Business Impact Analyse (BIA): Leitfaden für Unternehmen 2026
Eine Business Impact Analyse identifiziert geschäftskritische Prozesse und definiert Wiederherstellungsziele. Dieser Leitfaden erklärt die vier Phasen der BIA, die regulatorischen Anforderungen (NIS2, DORA, ISO 22301) und gibt eine praktische Checkliste für die Umsetzung.