xKMU
NIS-2 · NIS2UmsuCG

NIS-2-Compliance für KMU.

Was Geschäftsführer jetzt wissen müssen — und wie xKMU Sie pragmatisch zur Erfüllung führt. Festpreise, klare Maßnahmenpläne, Nachweisdokumentation inklusive.

Was ist NIS-2?

Die EU-Richtlinie NIS-2 (Netz- und Informationssicherheits-Richtlinie 2.0) verschärft die Cybersecurity-Pflichten für Unternehmen in 18 kritischen Sektoren erheblich. In Deutschland wird sie seit Dezember 2025 durch das NIS2UmsuCG umgesetzt.

Betroffene Unternehmen müssen technische und organisatorische Maßnahmen zur Risikominimierung umsetzen, Sicherheitsvorfälle innerhalb von 24 Stunden melden und ihre Lieferanten-Risiken aktiv managen. Bei Verstößen drohen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — und die Geschäftsleitung haftet persönlich.

Für viele KMU ist NIS-2 deshalb keine Theorie, sondern eine Pflicht mit kurzer Umsetzungsfrist.

Wer ist verpflichtet?

NIS-2 unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen. Auch wer nicht direkt betroffen ist, wird oft indirekt verpflichtet — durch Lieferketten-Anforderungen seiner Auftraggeber.

Besonders wichtige Einrichtungen
Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Wasser, digitale Infrastruktur. Pflicht ab 250 Mitarbeitern oder 50 Mio. € Jahresumsatz.
Wichtige Einrichtungen
Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung. Pflicht ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz.
Indirekt betroffene KMU
Zulieferer und Dienstleister von NIS-2-Einrichtungen erhalten die Pflichten vertraglich weitergegeben — oft mit detaillierten technischen Anforderungen und Nachweispflichten.

NIS-2: Die 6 Kernpflichten für KMU im Überblick

Was NIS-2 von verpflichteten Unternehmen konkret verlangt — und wie wir es pragmatisch umsetzen.

1 · Risikomanagement
Systematische Identifikation, Bewertung und Behandlung von Cyberrisiken. Dokumentierte Risikoinventur, regelmäßige Reviews, klare Verantwortlichkeiten.
2 · Incident-Response & 24h-Meldung
Vorfälle müssen binnen 24 Stunden ans BSI gemeldet werden. Vorab dokumentierte Playbooks, klare Meldekette und ein definiertes Incident-Response-Team sind Pflicht.
3 · Business-Continuity & Backup
Notfallplanung, regelmäßig getestete Backups, dokumentierter Wiederanlaufplan. Im Ernstfall muss der Betrieb in vorab definierten Zeitfenstern wiederhergestellt sein.
4 · Lieferantensicherheit
Aktives Management der Cybersecurity-Risiken aller Dienstleister und Software-Lieferanten. Verträge, Audits, technische Mindestanforderungen.
5 · Schulung & Awareness
Regelmäßige Sicherheitsschulungen für alle Mitarbeiter, Phishing-Tests und dokumentierte Awareness-Programme. Auch Geschäftsleitung ist explizit eingeschlossen.
6 · Verschlüsselung & MFA
Verschlüsselte Kommunikation und Datenspeicherung, Multi-Faktor-Authentifizierung für privilegierte Zugriffe, Zero-Trust-Prinzipien wo angemessen.

10-Punkte-Selbstcheck — Wo stehen Sie?

Die folgenden 10 Fragen geben Ihnen eine erste Orientierung. Wer alle Punkte mit "Ja" beantworten kann, ist NIS-2-bereit. Bei "Nein" oder "Weiß nicht" besteht akuter Handlungsbedarf.

  1. Asset-Inventar: Wir haben ein aktuelles, dokumentiertes Inventar aller IT-Systeme, Anwendungen und Datenflüsse.
  2. Risikomanagement: Wir kennen unsere Top-10-Cyberrisiken und haben dokumentierte Maßnahmen dagegen.
  3. Backup & Recovery: Wir haben getestete Backups (3-2-1-Regel) inkl. Offline-Kopie. Restore-Test fand in den letzten 12 Monaten statt.
  4. Incident-Response-Plan: Wir haben einen schriftlichen Plan, was bei einem Sicherheitsvorfall zu tun ist — inklusive 24h-Meldepfad.
  5. Schulungen: Alle Mitarbeiter erhalten regelmäßig Cybersecurity-Schulungen, dokumentiert mit Datum und Inhalt.
  6. MFA: Multi-Faktor-Authentifizierung ist für alle Admin-Zugänge und kritischen Anwendungen aktiv.
  7. Patch-Management: Systeme werden innerhalb definierter Fristen gepatcht (kritische Patches innerhalb von 14 Tagen).
  8. Lieferantenmanagement: Wir kennen die Cybersecurity-Praxis unserer wichtigsten IT-Dienstleister und haben sie vertraglich abgesichert.
  9. Logging & Monitoring: Sicherheitsrelevante Logs werden zentral gesammelt und auf Anomalien überwacht.
  10. Geschäftsleitung informiert: Die Geschäftsführung ist regelmäßig zu Cyberrisiken gebrieft und entscheidet aktiv über Sicherheitsbudgets.

Mehr als drei "Nein" oder "Weiß nicht"? Dann lohnt ein NIS-2-Quickcheck — er kostet nichts und schafft Klarheit.

So gehen wir vor

Unser NIS-2-Beratungsablauf — vier definierte Schritte, jeder mit konkretem Deliverable.

1 · Betroffenheits-Check
30-minütiges kostenloses Erstgespräch: Klärung, ob Sie direkt oder indirekt betroffen sind, und welche Stufe (essential / important) gilt.
2 · Gap-Analyse
Strukturierte Bewertung gegen die 10 NIS-2-Anforderungsbereiche. Ergebnis: priorisierte Liste der Lücken, jeweils mit Aufwand- und Risiko-Schätzung.
3 · Maßnahmenplan
Quick-Wins (sofort umsetzbar), mittelfristige Stabilisierung und strategische Roadmap. Jede Maßnahme mit Verantwortlichkeit und Fertigstellungstermin.
4 · Umsetzung & Nachweis
Wir setzen die Maßnahmen mit Ihnen um und dokumentieren sie audit-fähig. Ergebnis: NIS-2-konformer Betrieb plus Nachweis-Paket für Prüfungen.

Häufig gestellte Fragen zu NIS-2

Weitere Leistungen von xKMU digital solutions

NIS-2 setzt auf einer stabilen IT auf - und greift in alle drei xKMU-Beratungssaeulen.

Cybersecurity-Beratung
Alle 6 Cybersecurity-Module (C1-C6) — vom Quick Check bis zur Datenschutz-Compliance.
IT-Beratung
Stabile IT als Voraussetzung fuer Backup, Monitoring und Patch-Management.
KI-Beratung
KI-Einsatz inklusive Datenschutz-Leitplanken und Governance-Kit.

Klären Sie Ihre NIS-2-Betroffenheit — kostenlos.

Im 30-minütigen Erstgespräch klären wir, ob und wie NIS-2 Sie verpflichtet — direkt oder über Ihre Auftraggeber. Sie bekommen eine ehrliche Einschätzung, kein Verkaufsgespräch.