NIS2 nach einem halben Jahr: Wie gut sind deutsche KMU wirklich aufgestellt?

Das NIS2UmsuCG ist jetzt über ein halbes Jahr in Kraft, Zeit für eine erste Zwischenbilanz. Gerade für KMU, deren IT-Sicherheit und Informationssicherheit nun das erste Mal direkt reguliert wird, bedeutet dies eine grundlegende Umstellung. Die Registrierung ist schnell gemacht, aber wenn man genauer in die vielen Vorgaben schaut, stoßen gerade kleine IT-Teams an ihre Grenzen.
Aber wie schneidet nun ein KMU mit wenigen hundert Mitarbeitern wirklich bei einer systematischen Prüfung gegen die NIS2-Anforderungen ab?
Der deutsche Mittelstand hat längst verstanden, wie wichtig es ist, IT-Sicherheit als strategisches Thema zu betrachten und mit ausreichend Ressourcen auszustatten. Die klassischen Sicherheitslösungen (Firewalls, Endpoint-Protection und sichere E-Mail-Gateways) sind implementiert, und wo interne Ressourcen fehlen, unterstützen externe Partner, z.B. in Managed-Service-Modellen. Die oft kleinen IT-Teams nehmen ihre Verantwortung wahr und sind operativ oft gut aufgestellt.
Im Gegensatz zu großen Unternehmen und Konzernen ergibt sich in KMU häufig nicht die automatische Anforderung, Prozesse zu dokumentieren und Vorgaben zu verschriftlichen. Die Strukturen ermöglichen es, Abstimmungen ad hoc durchzuführen und viele Themen informell zu adressieren. Aufgabenteilung in einer IT mit drei bis fünf Mitarbeitern funktioniert ganz anders, als wenn die Themen durch dedizierte Teams bearbeitet werden. Das Problem ist, dass das NIS2UmsuCG ganz klar fordert, dass Prozesse dokumentiert werden und Entscheidungen nachvollziehbar sind. Managementsysteme, wie sie z.B. durch die ISO/IEC 27001 oder den BSI-IT-Grundschutz beschrieben werden, werden häufig als zu bürokratisch und schwerfällig wahrgenommen.
Hieraus ergibt sich das eigentliche Problem. Werden Risiken nicht systematisch erfasst und Prozesse nicht fortlaufend eingehalten, werden auch kritische Themen übersehen. Da die IT-Landschaft jedes Jahr komplexer wird, entstehen auch immer wieder neue blinde Flecken, da es für kleine Teams schlicht nicht möglich ist, bei allen Themen auf dem aktuellen Stand zu sein. So bleiben Sicherheitslücken bestehen, die jeden Risikoappetit sprengen sollten, z.B. VPN-Zugänge, die nicht via MFA abgesichert sind. Und es bleiben besonders komplexe Themen überdurchschnittlich oft liegen. Ein Konzept zum Umgang mit kryptografischen Verfahren (Verschlüsselung) kann die IT eines Mittelständlers gewöhnlich nicht parallel zum Tagesgeschäft entwickeln und umsetzen.
Was häufig komplett übersehen wird, ist die dritte Linie des 3-Lines-Modells (1st Line: operative Sicherheit, 2nd Line: Informationssicherheit/Governance, 3rd Line: Internal Audit/Revision). KMU haben häufig keine dedizierte Rolle, welche die Abläufe in der IT oder den Umgang mit Risiken regelmäßig überprüft.
Je nach Reifegradmodell kommen KMU selten in den Bereich sehr guter und guter Bewertungen. Häufig finden sich Beschreibungen, dass Prozessabläufe zwar ad hoc durchgeführt werden, aber deren Ergebnisse nicht vorhersehbar sind und nicht kontrolliert werden. Der Fokus liegt auf der Reaktion auf Ereignisse. Für NIS2UmsuCG reicht das aber nicht aus.
Wie sollten KMU mit der Herausforderung umgehen?
IT-Sicherheit wird nie fertig sein, und durch ausreichende Ressourcen und Priorisierung können KMU verschiedene Bedrohungen gezielt adressieren. Das Problem ohne Managementsystem ist, dass regelmäßig kritische Themen übersehen werden. Und das ist dann kein reines IT-Thema mehr: Mit dem NIS2UmsuCG wird das zum direkten Haftungsrisiko für die Geschäftsführung.
Entsprechend sollte die Antwort auf NIS2 ein Informationssicherheitsmanagementsystem (ISMS) sein, das mindestens an gängige Standards wie ISO/IEC 27001 oder den BSI-IT-Grundschutz angelehnt ist. Nur so lässt sich das Thema ganzheitlich und langfristig entwickeln.
Wer noch einen Schritt weiter gehen möchte, kann auch eine Zertifizierung (z.B. ISO/IEC 27001) anstreben, sollte aber die Aufwände und Kosten nicht unterschätzen. KMU sollten abwägen, ob die Mehrwerte, z.B. bei Ausschreibungen, die zusätzliche Bürokratie rechtfertigen.
Welche Optionen gibt es bei Ressourcenmangel?
Den Verantwortlichen, und mit dem NIS2UmsuCG ist das immer auch direkt die Geschäftsführung, muss klar sein, dass die IT die zusätzlichen Aufgaben im Normalfall nicht ohne Weiteres übernehmen kann. Informationssicherheitsexperten sind am Arbeitsmarkt gefragt, und häufig benötigt ein KMU keine Vollzeitstelle, was eine interne Besetzung oft zusätzlich erschwert. Entsprechend kann ein externer Informationssicherheitsbeauftragter eine gute Lösung sein, welcher je nach Anforderungen z.B. mit ein bis zwei Tagen pro Woche unterstützt. Falls das allgemeine Fachwissen zu Managementsystemen intern verfügbar ist, kann es vielleicht auch ausreichen, sich nur für ausgewählte Themen, z.B. das Krypto-Konzept, externe Verstärkung zu holen.
Wissen Sie wirklich, ob Sie das NIS2UmsuCG erfüllen?
Es ist nur eine Frage der Zeit, bis das Bundesamt für Sicherheit in der Informationstechnik (BSI) erste Prüfungen durchführt und Bußgelder verhängt. Auch wenn KMU vermutlich nicht die Ersten im Fokus sein werden, lohnt es sich schon heute, den eigenen Status, z.B. durch eine NIS2-Gap-Analyse, objektiv prüfen zu lassen und ggf. Anpassungen an der eigenen Strategie vorzunehmen.
Häufig gestellte Fragen zum NIS2UmsuCG für KMU
Was ist NIS2 eigentlich?
NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in der Europäischen Union. Sie ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie und erweitert den Kreis der regulierten Unternehmen deutlich: Statt nur klassischer KRITIS-Betreiber (Energie, Wasser, Gesundheit) fallen nun auch Sektoren wie verarbeitendes Gewerbe, Post- und Kurierdienste, Chemie oder digitale Infrastruktur darunter. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in allen Mitgliedstaaten sowie eine klare Verantwortung der Unternehmensleitung für IT-Sicherheit.
Wann ist NIS2 in Deutschland in Kraft getreten?
Die EU-Richtlinie NIS2 selbst trat bereits im Januar 2023 in Kraft; die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Deutschland hat diese Frist deutlich überschritten. Das deutsche Umsetzungsgesetz, das NIS2UmsuCG, wurde erst am 13. November 2025 vom Bundestag verabschiedet, am 20. November 2025 vom Bundesrat bestätigt und trat schließlich am 6. Dezember 2025 – ohne Übergangsfrist – in Kraft. Seitdem gelten die neuen Pflichten unmittelbar für alle betroffenen Unternehmen.
Ist mein Unternehmen von NIS2 betroffen?
Das NIS2UmsuCG betrifft Unternehmen aus definierten Sektoren (u. a. Energie, Gesundheit, Transport, digitale Infrastruktur, verarbeitendes Gewerbe), die bestimmte Mitarbeiter- oder Umsatzschwellen überschreiten. Viele mittelständische Zulieferer und Produktionsunternehmen fallen darunter, ohne dass ihnen das bewusst ist. Eine individuelle Betroffenheitsprüfung ist daher der erste sinnvolle Schritt.
Was passiert, wenn ich mich noch nicht beim BSI registriert habe?
Die Registrierungsfrist ist bereits abgelaufen. Eine fehlende Registrierung stellt einen eigenständigen Bußgeldtatbestand dar. Eine verspätete Nachregistrierung ist weiterhin möglich und sinnvoll, da sie gegenüber dem BSI zumindest Kooperationsbereitschaft signalisiert.
Reicht ein gutes technisches Sicherheitsniveau (Firewall, MFA, Endpoint-Protection) für NIS2 aus?
Nein. Technische Maßnahmen sind eine notwendige Grundlage, aber NIS2 verlangt zusätzlich dokumentierte Prozesse, nachvollziehbare Entscheidungen und ein systematisches Risikomanagement. Genau hier scheitern viele KMU, da diese Anforderungen bislang informell und ad hoc gelöst wurden.
Welche Konsequenzen drohen bei Nichteinhaltung?
Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sind möglich. Zusätzlich sieht das Gesetz eine persönliche Haftung der Geschäftsführung vor – IT-Sicherheit ist damit kein rein operatives IT-Thema mehr, sondern ein Leitungsrisiko.
Wie kann ein KMU mit begrenzten Personalressourcen die Anforderungen umsetzen?
Da Vollzeitstellen für Informationssicherheit für viele KMU nicht wirtschaftlich sind, bietet sich ein externer Informationssicherheitsbeauftragter an, der z. B. mit ein bis zwei Tagen pro Woche unterstützt. Alternativ kann punktuelle externe Unterstützung für einzelne komplexe Themen (z. B. Kryptokonzepte) ausreichen, wenn das übrige Fachwissen intern vorhanden ist.
Wie finde ich heraus, wo mein Unternehmen aktuell steht?
Eine strukturierte NIS2-Gap-Analyse zeigt objektiv, welche Anforderungen bereits erfüllt sind und wo noch Handlungsbedarf besteht – und liefert damit die Grundlage für eine priorisierte Umsetzungsstrategie.

Principal Consultant Information Security, ADVISORI FTC GmbH
Über den Autor
Jan-Philipp Heilmann ist Principal Consultant Information Security mit über sieben Jahren Expertise in der Gestaltung und Implementierung robuster Sicherheitsstrategien. Seine Kernkompetenzen umfassen Security Incident Management, wo er sich als Incident Manager während zwei Ransomware-Vorfälle bewährt hat und nachhaltige Incident-Response-Prozesse etabliert hat. Er ist spezialisiert auf Sicherheitsüberprüfungen und Risikobewertungen, die zur Ableitung priorisierter Maßnahmen führen, sowie auf die Integration von Sicherheitsanforderungen in komplexe IT-Architekturen und Transformationsprojekte.
Er hat erfolgreich Cyber-Sicherheitsstrategien mit klaren Roadmaps implementiert und normenkonforme Sicherheitsrichtlinien zur Erfüllung von Compliance-Anforderungen (u.a. ISO 27001 und TISAX) erstellt. Seine Fähigkeiten erstrecken sich auch auf die Konzeption und Umsetzung unternehmensweiter Mitarbeiter-Awareness-Programme und die strategische Weiterentwicklung von Informationssicherheits- und IT-Governance-Strukturen. Jan-Philipp ist nach GIAC Strategic Planning, Policy, and Leadership (GSTRT) zertifiziert.
Weitere relevante Beiträge
Vertiefen Sie Ihr Wissen mit ausgewählten Artikeln aus der gleichen Themenwelt.

EZB verlangt Aktionsplan gegen KI-Cyberrisiken bis 31. Oktober 2026
Die EZB-Bankenaufsicht fordert von allen bedeutenden Instituten bis zum 31. Oktober 2026 einen Aktionsplan gegen KI-gestützte Cyberbedrohungen. Was das Schreiben SSM-2026-0301 verlangt, und wie die sechs Fokusfelder auf DORA einzahlen.

MaRisk für WpI - Teil 2: Neue Risikotaxonomie, BTR 4 und DORA in der Risikosteuerung
Teil 2 der Serie zur WpI MaRisk nimmt die Risikosteuerung in den Blick: den wirkungsorientierten Risikobegriff mit Risiken für Kunden, Markt und Institut (RtC, RtM, RtF), das neue Risiko einer ungeordneten Abwicklung (BTR 4), die Abgrenzung zu DORA sowie die wachsende Begründungs- und Dokumentationslast, die mit der schlankeren Norm auf die Institute übergeht.

MaRisk für WpI - Teil 1: Wo sich der zweite WpI-MaRisk-Entwurf im Allgemeinen Teil von der Banken-MaRisk unterscheidet
Mit dem zweiten Entwurf der WpI MaRisk schafft die BaFin erstmals eigene Mindestanforderungen an das Risikomanagement kleiner und mittlerer Wertpapierinstitute. Teil 1 analysiert, was der Allgemeine Teil wirklich verändert – von Proportionalität und zentralem Auslagerungsmanagement bis zum möglichen Verzicht auf die Interne Revision – und worauf Institute bis zum Geltungsbeginn 2027 achten sollten.