Zum Inhalt springen
← Alle Beiträge
· 2 Min. Lesezeit·Emre Yurtbay

NIS2 für den Mittelstand – was kleine Unternehmen jetzt tun sollten

Das NIS2-Umsetzungsgesetz ist in Kraft. Wer betroffen ist, warum auch kleine Zulieferer es spüren – und die ersten konkreten Schritte.

NIS2IT-SicherheitComplianceKMURecht

Lange war NIS2 ein „kommt irgendwann"-Thema. Das ist vorbei: Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Rund 30.000 Unternehmen in 18 Sektoren sind direkt betroffen – und über Lieferketten noch deutlich mehr.

Hinweis: Dieser Beitrag ist keine Rechtsberatung. Er ordnet die Lage ein und nennt erste Schritte. Stand: Mai 2026.

Bin ich überhaupt betroffen?

Es gibt zwei Kategorien mit Schwellenwerten:

  • Besonders wichtige Einrichtungen: ab ca. 250 Beschäftigten oder 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme.
  • Wichtige Einrichtungen: ab ca. 50 Beschäftigten oder 10 Mio. € Umsatz – in Sektoren wie Logistik, Maschinenbau, Lebensmittel, Pharma, digitale Dienste, Post-/Lieferdienste u. a.

Viele kleine Betriebe liegen unter diesen Schwellen und sind nicht direkt verpflichtet. Aber:

Der Punkt, den kleine KMU oft übersehen: die Lieferkette

NIS2 verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu steuern. In der Praxis heißt das: Ihre größeren Kunden geben Sicherheitsanforderungen vertraglich an Sie weiter – auch wenn Sie selbst formal nicht unter NIS2 fallen. „Wir sind zu klein dafür" ist deshalb selten die ganze Wahrheit.

Worum es inhaltlich geht

NIS2 verlangt im Kern angemessene Risikomanagement-Maßnahmen, u. a.:

  • Risikoanalyse und Sicherheitskonzept
  • Vorfallserkennung und Meldepflichten bei Sicherheitsvorfällen
  • Backup-, Notfall- und Wiederanlaufmanagement
  • Lieferketten-Sicherheit, Zugriffskontrolle, Verschlüsselung, MFA
  • Verantwortung der Geschäftsführung – inkl. persönlicher Haftung

Registrierungsfristen liefen bereits (besonders wichtige Einrichtungen bis 6. März 2026) – die „Schonfrist" durch die verspätete Gesetzgebung ist vorbei.

Die ersten konkreten Schritte

  1. Betroffenheit klären: direkt verpflichtet, oder über Kunden in der Lieferkette gefordert? Beides ernst nehmen.
  2. Gap-Analyse: Wo stehen Sie heute gegenüber den Anforderungen (Backups, MFA, Patching, Notfallplan, Meldewege)?
  3. Quick Wins zuerst: MFA überall, geprüfte Backups, Patch-Routine, Mitarbeiter-Sensibilisierung – das senkt Risiko sofort.
  4. Dokumentieren: Maßnahmen nachweisbar machen. Ohne Doku keine Compliance.

Vieles davon ist solide IT-Sicherheit, die ohnehin sinnvoll ist – NIS2 macht sie nur verbindlich. Wer schon eine saubere DSGVO-Umsetzung hat, startet nicht bei null.

Fazit

NIS2 ist kein Grund für Panik, aber für Handeln. Auch kleine Unternehmen sollten ihre Betroffenheit aktiv prüfen – spätestens, wenn der erste große Kunde den Fragebogen schickt.

Sie wollen wissen, ob und wie NIS2 Sie betrifft? In einem kostenlosen Erstgespräch ordnen wir Ihre Situation ein – nüchtern und ohne Panikmache.

Projekt besprechen