NIS-2 für kleine Unternehmen: Was Geschäftsführer jetzt wissen müssen

Seit Dezember 2025 ist das NIS2UmsuCG in Deutschland in Kraft — die nationale Umsetzung der EU-Richtlinie NIS-2. Sie verpflichtet Unternehmen in 18 kritischen Sektoren zu einem deutlich höheren Cybersecurity-Niveau, inklusive 24-Stunden-Meldepflicht, Lieferantensicherheit und persönlicher Haftung der Geschäftsführung. Bußgelder können bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen.

Viele Geschäftsführer kleiner und mittlerer Unternehmen denken: "Das betrifft mich doch nicht." Die ehrliche Antwort lautet: häufig doch — direkt oder indirekt. Dieser Artikel klärt die wichtigsten Fragen und zeigt fünf konkrete erste Schritte.

Wer ist betroffen?

NIS-2 unterscheidet zwei Kategorien von Pflichten und drei praktische Betroffenheits-Stufen für KMU:

1. Besonders wichtige Einrichtungen (essential entities) — Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Wasser, digitale Infrastruktur, IKT-Service-Management. Pflicht ab 250 Mitarbeitern oder 50 Mio. € Jahresumsatz.

2. Wichtige Einrichtungen (important entities) — Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung. Pflicht ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz.

3. Indirekt betroffene KMU — und das ist die in der Praxis größte Gruppe: Zulieferer, Dienstleister und Software-Anbieter, die für NIS-2-pflichtige Unternehmen arbeiten. Diese erhalten die Pflichten vertraglich weitergereicht, oft mit sehr detaillierten technischen und organisatorischen Mindestanforderungen. Die vertragliche Verpflichtung kann härter sein als das Gesetz selbst, weil sie kürzere Fristen und konkretere Nachweise verlangt.

Wenn Sie als 30-Personen-Software-Dienstleister einen Energieversorger als Kunden haben, sind Sie de facto NIS-2-betroffen — auch wenn das Gesetz Sie nicht direkt nennt.

Welche Pflichten entstehen?

NIS-2 nennt sechs Kernpflichten, die alle verpflichteten Unternehmen erfüllen müssen:

1. Risikomanagement-System — systematische Identifikation, Bewertung und Behandlung aller Cyberrisiken. Dokumentierte Risikoinventur und regelmäßige Reviews.

2. Incident-Response mit 24-Stunden-Meldepflicht — Sicherheitsvorfälle müssen innerhalb von 24 Stunden ans BSI gemeldet werden. Das verlangt vorab dokumentierte Playbooks und ein definiertes Incident-Response-Team.

3. Business-Continuity und Backup — Notfallplanung, regelmäßig getestete Backups (3-2-1-Regel inkl. Offline-Kopie), dokumentierter Wiederanlaufplan. Backups, die nie restore-getestet wurden, gelten als nicht vorhanden.

4. Lieferantensicherheit — aktives Management der Cybersecurity-Risiken aller IT-Dienstleister und Software-Lieferanten. Verträge, Audits, technische Mindestanforderungen.

5. Schulung und Awareness — regelmäßige Sicherheitsschulungen für alle Mitarbeiter, simulierte Phishing-Tests, dokumentierte Awareness-Programme. Die Geschäftsleitung ist explizit eingeschlossen.

6. Verschlüsselung und Multi-Faktor-Authentifizierung — verschlüsselte Kommunikation und Datenspeicherung, MFA für alle privilegierten Zugriffe, Zero-Trust-Prinzipien wo angemessen.

Hinzu kommt die persönliche Haftung der Geschäftsleitung — Verstöße sind kein abstraktes Unternehmensrisiko mehr, sondern ein direktes persönliches.

Fünf konkrete erste Schritte

Nicht alles muss am Tag eins fertig sein. Diese fünf Schritte schaffen die Basis und sind für die meisten KMU innerhalb von 3 bis 6 Monaten umsetzbar.

Schritt 1 — Betroffenheits-Klärung. Klären Sie schriftlich, ob Sie direkt (über Mitarbeiterzahl/Umsatz/Sektor) oder indirekt (über Kundenverträge) verpflichtet sind. Lassen Sie sich das von Auftraggebern bestätigen, falls Vertragsklauseln unklar sind. Das ist Tag-1-Aufgabe.

Schritt 2 — Asset-Inventar. Sie können nichts schützen, was Sie nicht kennen. Erstellen Sie ein aktuelles Inventar aller IT-Systeme, Anwendungen, Datenflüsse und Zugriffsberechtigungen. Excel reicht für den Anfang — Hauptsache vollständig.

Schritt 3 — Multi-Faktor-Authentifizierung. MFA für alle Administrator-Zugänge und alle Anwendungen, die personenbezogene oder geschäftskritische Daten verarbeiten. Das ist die wirksamste Einzelmaßnahme, die Sie in wenigen Tagen umsetzen können.

Schritt 4 — Backup-Test. Testen Sie die Wiederherstellung Ihres letzten Backups. Bei Ransomware sind Sie auf Backups angewiesen — und 60 % aller KMU stellen im Ernstfall fest, dass ihre Backups defekt oder unvollständig sind. Ein Restore-Test pro Quartal sollte zur Pflicht werden.

Schritt 5 — Incident-Response-Plan. Schreiben Sie auf, was bei einem Sicherheitsvorfall zu tun ist: Wer wird angerufen? Wer entscheidet, ob die Hotline gemeldet wird? Wer informiert Kunden? Eine Seite reicht — Hauptsache, sie liegt griffbereit.

Wenn diese fünf Schritte umgesetzt sind, sind Sie nicht NIS-2-konform — aber Sie haben die mit Abstand wirksamsten Bausteine erledigt.

Wie xKMU hilft

Wir sind auf NIS-2-Beratung für KMU spezialisiert und arbeiten mit Festpreis-Modulen:

• Der kostenlose Betroffenheits-Check (30 Minuten) klärt Ihre Pflichten — direkt und indirekt.
• Die Gap-Analyse bewertet Ihren Status gegen die zehn NIS-2-Anforderungsbereiche und liefert eine priorisierte Lücken-Liste.
• Der Maßnahmenplan trennt Quick-Wins von strategischen Schritten — jede Maßnahme mit Aufwand, Nutzen und Verantwortlichkeit.
• Bei der Umsetzung dokumentieren wir alles audit-fähig: Sie bekommen NIS-2-konformen Betrieb plus ein Nachweis-Paket für Prüfungen.

Gründer Tino Stenzel ist BSI-zertifizierter IT-Grundschutz-Praktiker — die NIS-2-Maßnahmen sind in seiner täglichen Beratungspraxis verankert, nicht in einer Schulung von letzter Woche.

Fazit

NIS-2 ist für viele KMU kein Theorie-Thema, sondern eine Pflicht mit kurzer Umsetzungsfrist und persönlichem Haftungsrisiko der Geschäftsleitung. Auch wer nicht direkt verpflichtet ist, bekommt die Anforderungen oft vertraglich weitergereicht.

Die gute Nachricht: Die wichtigsten Bausteine — MFA, getestete Backups, Asset-Inventar, Incident-Plan — lassen sich strukturiert in wenigen Monaten umsetzen. Und sie sind sowieso überfällig, NIS-2 hin oder her.

Sie wollen Klarheit über Ihre eigene NIS-2-Situation? Buchen Sie einen kostenlosen 30-Minuten-Check — wir geben Ihnen eine ehrliche Einschätzung, kein Verkaufsgespräch. Mehr zu unserer NIS-2-Beratung und unseren Cybersecurity-Modulen.