NIS2 nach einem halben Jahr: Wie gut sind deutsche KMU wirklich aufgestellt?

Jan-Philipp Heilmann
Jan-Philipp HeilmannPrincipal Consultant Information Security
4 min read
NIS2 nach einem halben Jahr: Wie gut sind deutsche KMU wirklich aufgestellt?

Das NIS2UmsuCG ist jetzt über ein halbes Jahr in Kraft, Zeit für eine erste Zwischenbilanz. Gerade für KMU, deren IT-Sicherheit und Informationssicherheit nun das erste Mal direkt reguliert wird, bedeutet dies eine grundlegende Umstellung. Die Registrierung ist schnell gemacht, aber wenn man genauer in die vielen Vorgaben schaut, stoßen gerade kleine IT-Teams an ihre Grenzen.

Aber wie schneidet nun ein KMU mit wenigen hundert Mitarbeitern wirklich bei einer systematischen Prüfung gegen die NIS2-Anforderungen ab?

Der deutsche Mittelstand hat längst verstanden, wie wichtig es ist, IT-Sicherheit als strategisches Thema zu betrachten und mit ausreichend Ressourcen auszustatten. Die klassischen Sicherheitslösungen (Firewalls, Endpoint-Protection und sichere E-Mail-Gateways) sind implementiert, und wo interne Ressourcen fehlen, unterstützen externe Partner, z.B. in Managed-Service-Modellen. Die oft kleinen IT-Teams nehmen ihre Verantwortung wahr und sind operativ oft gut aufgestellt.

Im Gegensatz zu großen Unternehmen und Konzernen ergibt sich in KMU häufig nicht die automatische Anforderung, Prozesse zu dokumentieren und Vorgaben zu verschriftlichen. Die Strukturen ermöglichen es, Abstimmungen ad hoc durchzuführen und viele Themen informell zu adressieren. Aufgabenteilung in einer IT mit drei bis fünf Mitarbeitern funktioniert ganz anders, als wenn die Themen durch dedizierte Teams bearbeitet werden. Das Problem ist, dass das NIS2UmsuCG ganz klar fordert, dass Prozesse dokumentiert werden und Entscheidungen nachvollziehbar sind. Managementsysteme, wie sie z.B. durch die ISO/IEC 27001 oder den BSI-IT-Grundschutz beschrieben werden, werden häufig als zu bürokratisch und schwerfällig wahrgenommen.

Hieraus ergibt sich das eigentliche Problem. Werden Risiken nicht systematisch erfasst und Prozesse nicht fortlaufend eingehalten, werden auch kritische Themen übersehen. Da die IT-Landschaft jedes Jahr komplexer wird, entstehen auch immer wieder neue blinde Flecken, da es für kleine Teams schlicht nicht möglich ist, bei allen Themen auf dem aktuellen Stand zu sein. So bleiben Sicherheitslücken bestehen, die jeden Risikoappetit sprengen sollten, z.B. VPN-Zugänge, die nicht via MFA abgesichert sind. Und es bleiben besonders komplexe Themen überdurchschnittlich oft liegen. Ein Konzept zum Umgang mit kryptografischen Verfahren (Verschlüsselung) kann die IT eines Mittelständlers gewöhnlich nicht parallel zum Tagesgeschäft entwickeln und umsetzen.

Was häufig komplett übersehen wird, ist die dritte Linie des 3-Lines-Modells (1st Line: operative Sicherheit, 2nd Line: Informationssicherheit/Governance, 3rd Line: Internal Audit/Revision). KMU haben häufig keine dedizierte Rolle, welche die Abläufe in der IT oder den Umgang mit Risiken regelmäßig überprüft.

Je nach Reifegradmodell kommen KMU selten in den Bereich sehr guter und guter Bewertungen. Häufig finden sich Beschreibungen, dass Prozessabläufe zwar ad hoc durchgeführt werden, aber deren Ergebnisse nicht vorhersehbar sind und nicht kontrolliert werden. Der Fokus liegt auf der Reaktion auf Ereignisse. Für NIS2UmsuCG reicht das aber nicht aus.

Wie sollten KMU mit der Herausforderung umgehen?

IT-Sicherheit wird nie fertig sein, und durch ausreichende Ressourcen und Priorisierung können KMU verschiedene Bedrohungen gezielt adressieren. Das Problem ohne Managementsystem ist, dass regelmäßig kritische Themen übersehen werden. Und das ist dann kein reines IT-Thema mehr: Mit dem NIS2UmsuCG wird das zum direkten Haftungsrisiko für die Geschäftsführung.

Entsprechend sollte die Antwort auf NIS2 ein Informationssicherheitsmanagementsystem (ISMS) sein, das mindestens an gängige Standards wie ISO/IEC 27001 oder den BSI-IT-Grundschutz angelehnt ist. Nur so lässt sich das Thema ganzheitlich und langfristig entwickeln.

Wer noch einen Schritt weiter gehen möchte, kann auch eine Zertifizierung (z.B. ISO/IEC 27001) anstreben, sollte aber die Aufwände und Kosten nicht unterschätzen. KMU sollten abwägen, ob die Mehrwerte, z.B. bei Ausschreibungen, die zusätzliche Bürokratie rechtfertigen.

Welche Optionen gibt es bei Ressourcenmangel?

Den Verantwortlichen, und mit dem NIS2UmsuCG ist das immer auch direkt die Geschäftsführung, muss klar sein, dass die IT die zusätzlichen Aufgaben im Normalfall nicht ohne Weiteres übernehmen kann. Informationssicherheitsexperten sind am Arbeitsmarkt gefragt, und häufig benötigt ein KMU keine Vollzeitstelle, was eine interne Besetzung oft zusätzlich erschwert. Entsprechend kann ein externer Informationssicherheitsbeauftragter eine gute Lösung sein, welcher je nach Anforderungen z.B. mit ein bis zwei Tagen pro Woche unterstützt. Falls das allgemeine Fachwissen zu Managementsystemen intern verfügbar ist, kann es vielleicht auch ausreichen, sich nur für ausgewählte Themen, z.B. das Krypto-Konzept, externe Verstärkung zu holen.

Wissen Sie wirklich, ob Sie das NIS2UmsuCG erfüllen?

Es ist nur eine Frage der Zeit, bis das Bundesamt für Sicherheit in der Informationstechnik (BSI) erste Prüfungen durchführt und Bußgelder verhängt. Auch wenn KMU vermutlich nicht die Ersten im Fokus sein werden, lohnt es sich schon heute, den eigenen Status, z.B. durch eine NIS2-Gap-Analyse, objektiv prüfen zu lassen und ggf. Anpassungen an der eigenen Strategie vorzunehmen.

Häufig gestellte Fragen zum NIS2UmsuCG für KMU

Was ist NIS2 eigentlich?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in der Europäischen Union. Sie ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie und erweitert den Kreis der regulierten Unternehmen deutlich: Statt nur klassischer KRITIS-Betreiber (Energie, Wasser, Gesundheit) fallen nun auch Sektoren wie verarbeitendes Gewerbe, Post- und Kurierdienste, Chemie oder digitale Infrastruktur darunter. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in allen Mitgliedstaaten sowie eine klare Verantwortung der Unternehmensleitung für IT-Sicherheit.

Wann ist NIS2 in Deutschland in Kraft getreten?

Die EU-Richtlinie NIS2 selbst trat bereits im Januar 2023 in Kraft; die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Deutschland hat diese Frist deutlich überschritten. Das deutsche Umsetzungsgesetz, das NIS2UmsuCG, wurde erst am 13. November 2025 vom Bundestag verabschiedet, am 20. November 2025 vom Bundesrat bestätigt und trat schließlich am 6. Dezember 2025 – ohne Übergangsfrist – in Kraft. Seitdem gelten die neuen Pflichten unmittelbar für alle betroffenen Unternehmen.

Ist mein Unternehmen von NIS2 betroffen?

Das NIS2UmsuCG betrifft Unternehmen aus definierten Sektoren (u. a. Energie, Gesundheit, Transport, digitale Infrastruktur, verarbeitendes Gewerbe), die bestimmte Mitarbeiter- oder Umsatzschwellen überschreiten. Viele mittelständische Zulieferer und Produktionsunternehmen fallen darunter, ohne dass ihnen das bewusst ist. Eine individuelle Betroffenheitsprüfung ist daher der erste sinnvolle Schritt.

Was passiert, wenn ich mich noch nicht beim BSI registriert habe?

Die Registrierungsfrist ist bereits abgelaufen. Eine fehlende Registrierung stellt einen eigenständigen Bußgeldtatbestand dar. Eine verspätete Nachregistrierung ist weiterhin möglich und sinnvoll, da sie gegenüber dem BSI zumindest Kooperationsbereitschaft signalisiert.

Reicht ein gutes technisches Sicherheitsniveau (Firewall, MFA, Endpoint-Protection) für NIS2 aus?

Nein. Technische Maßnahmen sind eine notwendige Grundlage, aber NIS2 verlangt zusätzlich dokumentierte Prozesse, nachvollziehbare Entscheidungen und ein systematisches Risikomanagement. Genau hier scheitern viele KMU, da diese Anforderungen bislang informell und ad hoc gelöst wurden.

Welche Konsequenzen drohen bei Nichteinhaltung?

Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sind möglich. Zusätzlich sieht das Gesetz eine persönliche Haftung der Geschäftsführung vor – IT-Sicherheit ist damit kein rein operatives IT-Thema mehr, sondern ein Leitungsrisiko.

Wie kann ein KMU mit begrenzten Personalressourcen die Anforderungen umsetzen?

Da Vollzeitstellen für Informationssicherheit für viele KMU nicht wirtschaftlich sind, bietet sich ein externer Informationssicherheitsbeauftragter an, der z. B. mit ein bis zwei Tagen pro Woche unterstützt. Alternativ kann punktuelle externe Unterstützung für einzelne komplexe Themen (z. B. Kryptokonzepte) ausreichen, wenn das übrige Fachwissen intern vorhanden ist.

Wie finde ich heraus, wo mein Unternehmen aktuell steht?

Eine strukturierte NIS2-Gap-Analyse zeigt objektiv, welche Anforderungen bereits erfüllt sind und wo noch Handlungsbedarf besteht – und liefert damit die Grundlage für eine priorisierte Umsetzungsstrategie.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:
Jan-Philipp Heilmann

Jan-Philipp Heilmann

Principal Consultant Information Security, ADVISORI FTC GmbH

Über den Autor

Jan-Philipp Heilmann ist Principal Consultant Information Security mit über sieben Jahren Expertise in der Gestaltung und Implementierung robuster Sicherheitsstrategien. Seine Kernkompetenzen umfassen Security Incident Management, wo er sich als Incident Manager während zwei Ransomware-Vorfälle bewährt hat und nachhaltige Incident-Response-Prozesse etabliert hat. Er ist spezialisiert auf Sicherheitsüberprüfungen und Risikobewertungen, die zur Ableitung priorisierter Maßnahmen führen, sowie auf die Integration von Sicherheitsanforderungen in komplexe IT-Architekturen und Transformationsprojekte.

Er hat erfolgreich Cyber-Sicherheitsstrategien mit klaren Roadmaps implementiert und normenkonforme Sicherheitsrichtlinien zur Erfüllung von Compliance-Anforderungen (u.a. ISO 27001 und TISAX) erstellt. Seine Fähigkeiten erstrecken sich auch auf die Konzeption und Umsetzung unternehmensweiter Mitarbeiter-Awareness-Programme und die strategische Weiterentwicklung von Informationssicherheits- und IT-Governance-Strukturen. Jan-Philipp ist nach GIAC Strategic Planning, Policy, and Leadership (GSTRT) zertifiziert.

Security Incident ManagementSicherheitsanalysenRisikobewertungenInformation Security Management SystemCybersicherheitsstrategieIT-Sicherheitsarchitektur
Lesenswert

Vertiefen Sie Ihr Wissen mit ausgewählten Artikeln aus der gleichen Themenwelt.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten