NIS2 für KMU – Was kleine und mittlere Unternehmen jetzt wissen müssen

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland geltendes Recht. Für viele Geschäftsführer kleiner und mittlerer Unternehmen kam die Nachricht überraschend – denn NIS2 betrifft nicht nur Großkonzerne und kritische Infrastruktur.

In diesem Beitrag erklären wir, was NIS2 für KMU bedeutet, ob Ihr Unternehmen betroffen ist und welche konkreten Schritte Sie jetzt unternehmen sollten.

Was ist NIS2?

NIS2 steht für die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU. In Deutschland wurde die Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz in nationales Recht überführt.

Die wichtigsten Eckdaten:

• 13. November 2025: Bundestag beschließt das Gesetz
• 6. Dezember 2025: Inkrafttreten – ab sofort verbindlich
• 6. Januar 2026: BSI-Portal für Registrierung und Meldung geht online
• 6. März 2026: Ablauf der dreimonatigen Registrierungsfrist

Wichtig: Es gibt keine Übergangsfrist für die Umsetzung der Sicherheitsmaßnahmen. Die Pflichten gelten seit Inkrafttreten.

Bin ich als KMU betroffen?

NIS2 unterscheidet zwei Kategorien:

Besonders wichtige Einrichtungen

• Ab 250 Mitarbeiter oder über 50 Mio. EUR Jahresumsatz
• Tätig in einem von 11 Sektoren mit hoher Kritikalität (Energie, Gesundheit, Digitale Infrastruktur, IKT-Dienste u.a.)

Wichtige Einrichtungen

• Ab 50 Mitarbeiter oder über 10 Mio. EUR Jahresumsatz
• Tätig in einem von 18 regulierten Sektoren

Neben den klassischen KRITIS-Bereichen sind jetzt auch Herstellendes Gewerbe (Maschinenbau, Fahrzeugbau), Lebensmittelproduktion, Chemische Industrie, Abfallwirtschaft, IT-Dienstleistungen (Managed Service Provider) und Post- und Kurierdienste betroffen.

Geschätzt 30.000 Unternehmen in Deutschland sind direkt betroffen.

Auch unter den Schwellenwerten betroffen?

Selbst wenn Ihr Unternehmen die Schwellenwerte nicht erreicht, können Sie indirekt betroffen sein: NIS2-regulierte Unternehmen müssen die Sicherheit ihrer Lieferkette managen. Ihre Kunden werden vertragliche Cybersicherheitsnachweise von Ihnen verlangen.

Die 10 Pflichtmaßnahmen nach § 30 BSIG

1. Risikoanalyse und Sicherheitskonzepte – Systematische Risikobewertung, mindestens jährliche Überprüfung
2. Wirksamkeitsbewertung – Regelmäßige Prüfung der getroffenen Maßnahmen
3. Vorfallbehandlung (Incident Response) – Dokumentierte Prozesse zur Erkennung und Behebung von Sicherheitsvorfällen
4. Business Continuity – Backup-Management, Disaster Recovery, Notfallplanung
5. Lieferkettensicherheit – Bewertung und vertragliche Absicherung bei Zulieferern
6. Sicherheit bei Beschaffung und Wartung – Schwachstellenmanagement
7. Schulungen und Cyberhygiene – Regelmäßige Awareness-Schulungen für alle Mitarbeiter
8. Kryptografie und Verschlüsselung
9. Zugangskontrollen – Zugriffsverwaltung, Multi-Faktor-Authentifizierung (MFA)
10. Sichere Kommunikation – Gesicherte Sprach-, Video- und Textkommunikation

Meldepflichten bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden: 24 Stunden Frühwarnung, 72 Stunden detaillierte Folgemeldung, 30 Tage Abschlussmeldung mit Ursachenanalyse.

Geschäftsführerhaftung – das unterschätzte Risiko

NIS2 macht Geschäftsführer persönlich verantwortlich für die Umsetzung der Cybersicherheitsmaßnahmen: Persönliche Haftung mit dem Privatvermögen, Pflicht zur Teilnahme an Cybersicherheitsschulungen (mindestens alle 3 Jahre), und Delegation an die IT-Abteilung entbindet nicht von der Pflicht.

Welche Bußgelder drohen?

• Besonders wichtige Einrichtungen: bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes
• Nicht erreichbare 24/7-Kontaktstelle: 100.000 EUR
• Fehlende ISMS-Nachweise: bis 500.000 EUR

Checkliste: Was Sie jetzt tun sollten

Sofortmaßnahmen

• Betroffenheitscheck durchführen (BSI FitNIS2-Navigator)
• BSI-Registrierung abschließen
• 24/7-Kontaktstelle benennen
• IT-Asset-Inventar erstellen

Kurzfristig (Q1/Q2 2026)

• Risikoanalyse durchführen
• Multi-Faktor-Authentifizierung (MFA) einrichten
• Backup-Konzept prüfen (3-2-1-Regel)
• Patchmanagement strukturieren
• Incident-Response-Plan erstellen

Mittelfristig (2026)

• ISMS aufbauen (ISO 27001 oder BSI IT-Grundschutz)
• Lieferantenbewertung durchführen
• Mitarbeiterschulungen und Geschäftsführer-Schulung
• Business-Continuity-Plan erstellen und testen
• Dokumentation aller Maßnahmen sicherstellen

Was BrehmerIT für Sie tun kann

Als IT-Dienstleister für KMU in Halle (Saale) und Sachsen-Anhalt unterstützen wir Sie bei der Umsetzung der NIS2-Anforderungen: Betroffenheitsanalyse, IT-Sicherheitscheck, MFA-Einrichtung, Backup-Strategie, Monitoring und Patchmanagement, Awareness-Schulungen und Incident-Response-Planung.

Kontaktieren Sie uns für ein unverbindliches Erstgespräch: 0345 55869949 oder kontakt@brehmerit.de

Häufig gestellte Fragen

Gilt NIS2 auch für Einzelunternehmer und Kleinstunternehmen?

In der Regel nicht, wenn Sie unter 50 Mitarbeiter haben und weniger als 10 Mio. EUR Umsatz machen. Ausnahme: Bestimmte IT-Dienstleister sind unabhängig von der Größe betroffen. Indirekt können auch kleine Unternehmen über Lieferkettenanforderungen betroffen sein.

Brauche ich eine ISO 27001 Zertifizierung?

NIS2 schreibt keine bestimmte Zertifizierung vor, aber ein dokumentiertes Informationssicherheits-Managementsystem (ISMS). ISO 27001 oder BSI IT-Grundschutz sind anerkannte Rahmenwerke.

Ich bin nicht direkt betroffen – muss ich trotzdem etwas tun?

Dringend empfohlen. NIS2-regulierte Kunden werden zunehmend Cybersicherheitsnachweise von ihren Zulieferern verlangen. Wer nicht nachweisen kann, dass grundlegende Sicherheitsmaßnahmen umgesetzt sind, verliert Aufträge.

Dieser Beitrag wurde am 3. März 2026 veröffentlicht. Die Informationen dienen der allgemeinen Orientierung und ersetzen keine rechtliche Beratung.