NIS2 KMU – was Unternehmen jetzt konkret tun müssen

NIS2 KMU – was Unternehmen jetzt konkret tun müssen

Tobias Schlund |

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft – ohne Übergangsfrist. Rund 29.500 Unternehmen sind direkt betroffen, viele davon mittelständische Betriebe. Doch was bedeutet NIS2 für KMU konkret, ab wann greift die Regelung, welche Pflichten müssen erfüllt werden und wer haftet bei Versäumnissen? Dieser Artikel gibt einen strukturierten Überblick – und zeigt, welche technischen Maßnahmen jetzt gefragt sind.

Was ist NIS2 – und warum betrifft es auch den Mittelstand?

NIS2 steht für die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in der gesamten Europäischen Union. In Deutschland wurde die Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – kurz NIS2UmsuCG – in nationales Recht überführt. Anders als die Vorgängerregelung, die nur wenige tausend große Betreiber kritischer Infrastrukturen betraf, weitet NIS2 den Anwendungsbereich massiv aus. Der Kreis der betroffenen Unternehmen wächst auf rund 29 500 – darunter viele Mittelständler, die bisher nicht mit gesetzlichen Cybersicherheitsanforderungen konfrontiert waren.

Wichtige Fakten zu NIS2 im Überblick

Das Gesetz trat am 6. Dezember 2025 in Kraft. Eine Übergangsfrist gibt es nicht – die Pflichten gelten seitdem. Die Registrierungsfrist beim BSI-Portal lief am 6. März 2026 ab, spätere Registrierungen sind weiterhin möglich und dringend geboten. Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Und – vielleicht der wichtigste Punkt für Geschäftsführer: Die Geschäftsleitung haftet persönlich für die Umsetzung der Maßnahmen.

Ist Ihr Unternehmen von NIS2 betroffen?

NIS2 unterscheidet zwei Kategorien: besonders wichtige und wichtige Einrichtungen. Betroffen sind Unternehmen, die in einem der 18 definierten Sektoren tätig sind und bestimmte Größenkriterien erfüllen.

Größenkriterien und Sektoren

Grob vereinfacht gilt: Wichtige Einrichtungen sind Unternehmen ab 50 Mitarbeitern und einem Jahresumsatz oder einer Bilanzsumme von jeweils über 10 Millionen Euro. Besonders wichtige Einrichtungen sind Unternehmen ab 250 Mitarbeitern oder ab 50 Millionen Euro Jahresumsatz beziehungsweise 43 Millionen Euro Bilanzsumme. Zu den 18 Sektoren zählen unter anderem Energie, Transport, Gesundheitswesen, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, verarbeitendes Gewerbe, Chemie, Lebensmittel, Post und Kurier sowie Abfallwirtschaft. Wer sich unsicher ist, sollte die offizielle Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) nutzen.

Der Lieferketten-Effekt – auch kleine Unternehmen sind indirekt betroffen

Ein zentraler Aspekt von NIS2 ist die Lieferkettensicherheit. Betroffene Unternehmen müssen die Cybersicherheit ihrer Dienstleister und Zulieferer aktiv steuern und nachweisen. Das bedeutet: Auch kleine Unternehmen, die selbst nicht direkt unter NIS2 fallen, werden zunehmend mit Anforderungen ihrer Kunden konfrontiert. Wer als IT-Dienstleister, Zulieferer oder Softwareanbieter für einen NIS2-pflichtigen Kunden arbeitet, muss künftig Cybersicherheitsnachweise erbringen. Wer das nicht kann, riskiert Aufträge.

Welche Pflichten schreibt NIS2 konkret vor?

NIS2 verlangt drei zentrale Kategorien von Pflichten: Registrierung, Risikomanagement und Meldepflichten.

Zehn Risikomanagement-Maßnahmen nach § 30 BSIG

Der Kern des Gesetzes ist ein Katalog von zehn Mindestmaßnahmen, die jedes betroffene Unternehmen umsetzen muss: Risikoanalyse und Sicherheitskonzepte, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs mit Backup-Management und Notfallwiederherstellung, Sicherheit der Lieferkette, Sicherheit bei Beschaffung und Entwicklung von IT-Systemen, Bewertung der Wirksamkeit der Sicherheitsmaßnahmen, grundlegende Cyberhygiene und Schulungen, Kryptografie und Verschlüsselung, Zugriffskontrolle und Personalsicherheit sowie der verpflichtende Einsatz von Multi-Faktor-Authentifizierung und gesicherten Kommunikationswegen. Diese zehn Bereiche decken sich weitgehend mit den Anforderungen der internationalen Norm ISO 27001 – wer bereits ein Informationssicherheits-Managementsystem nach ISO 27001 betreibt, deckt einen Großteil der NIS2-Anforderungen schon ab.

Meldepflichten bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen dreistufig gemeldet werden: eine Frühwarnung binnen 24 Stunden, eine Folgemeldung binnen 72 Stunden und ein Abschlussbericht nach einem Monat. Das erfordert vorbereitete Prozesse und definierte Verantwortlichkeiten. Wer erst im Ernstfall überlegt, wen er wann informieren muss, verliert wertvolle Zeit.

Persönliche Haftung der Geschäftsführung

Nach § 38 BSIG haftet die Geschäftsleitung persönlich für die Umsetzung der Risikomanagement-Maßnahmen. Geschäftsführer und Vorstände müssen die Maßnahmen formell billigen, deren Umsetzung aktiv überwachen und sich regelmäßig zu Cybersicherheitsthemen schulen lassen. Eine Delegation der Verantwortung an die IT-Abteilung oder externe Dienstleister ist ausgeschlossen. Ein Haftungsverzicht durch das Unternehmen ist gesetzlich unzulässig.

Welche technischen Maßnahmen sind jetzt gefragt?

Vier technische Bausteine bilden das Fundament der NIS2-Umsetzung – und sind für die meisten KMU sofort machbar.

Firewall und Netzwerksicherheit

Eine moderne UTM-Firewall ist die erste Verteidigungslinie jedes Unternehmensnetzwerks. Sie schützt vor externen Angriffen, ermöglicht sichere VPN-Zugänge für Homeoffice-Mitarbeiter und erkennt Angriffe in Echtzeit. Die Securepoint UTM-Firewalls im fomedia-B2B-Shop sind made in Germany, DSGVO-konform und speziell für den Mittelstand entwickelt.

Endpoint-Schutz und Multi-Faktor-Authentifizierung

Endpoint-Schutz sichert jeden einzelnen Arbeitsplatz und Server gegen Malware, Ransomware und gezielte Angriffe. Multi-Faktor-Authentifizierung ist eine der zehn NIS2-Pflichtmaßnahmen und schützt Zugänge zusätzlich zum Passwort. Beide Themen deckt ESET zuverlässig ab – ein europäischer Hersteller mit DSGVO-konformer Datenverarbeitung.

Backup und Notfallmanagement

Ein funktionierendes Backup-Konzept mit regelmäßig getesteter Wiederherstellung ist Teil der zehn NIS2-Mindestmaßnahmen. Ohne Backup keine Business Continuity – und ohne getestete Wiederherstellung kein Nachweis.

Mitarbeiter-Awareness

Die größte Schwachstelle in der IT-Sicherheit ist größtenteils nicht die Technik, sondern der Mensch. Awareness-Trainings machen Mitarbeiter zu einer aktiven Schutzschicht gegen Phishing, Social Engineering und andere Angriffsformen. Auch das ist Teil der zehn NIS2-Pflichtmaßnahmen.

Wie fomedia Sie bei NIS2 unterstützt

Als IT-Systemhaus für den Mittelstand in der Region Forchheim, Erlangen, Bamberg und Nürnberg begleiten wir Sie strukturiert durch die NIS2-Umsetzung. Tobias Schlund, Geschäftsführer der fomedia GmbH, ist IHK- und ISO-27001-zertifizierter Informationssicherheitsbeauftragter – ein zentraler Baustein für die fachgerechte Beratung bei Informationssicherheit und NIS2. Wir prüfen gemeinsam Ihre Betroffenheit, identifizieren offene Punkte in Ihrer aktuellen IT-Sicherheit und empfehlen konkrete technische Maßnahmen aus unserem B2B Shop. Von der Securepoint-UTM-Firewall über ESET Endpoint Security bis zu Multi-Faktor-Authentifizierung – die Bausteine sind vorhanden. Der Installations-Service ist buchbar.

Fazit – NIS2 KMU: Jetzt handeln, nicht warten

NIS2 ist geltendes Recht, ohne Übergangsfrist. Wer betroffen ist und noch nicht gehandelt hat, riskiert Bußgelder und persönliche Haftung. Die gute Nachricht: Die zehn Pflichtmaßnahmen sind machbar – wenn sie strukturiert angegangen werden. Der erste Schritt ist die ehrliche Bestandsaufnahme der eigenen IT-Sicherheit. Im fomedia B2B Shop finden Sie die passenden technischen Bausteine – von der Hardware-Firewall bis zur Endpoint-Security-Lösung. Für die individuelle NIS2-Beratung sprechen Sie uns direkt an: fomedia.com.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechts- oder Datenschutzberatung im Einzelfall. Für die verbindliche Klärung Ihrer NIS2-Betroffenheit und Umsetzungspflichten empfehlen wir die Rücksprache mit einem spezialisierten Rechts- oder Fachberater.