Viele Inhaber kleiner und mittlerer Unternehmen denken bei NIS2 an „die Großen” – an Energieversorger, Banken oder Konzerne. Doch das ist ein gefährlicher Trugschluss. Seit das deutsche NIS2-Umsetzungsgesetz in Kraft ist, betrifft das Thema deutlich mehr Betriebe, als die meisten vermuten. Wir bringen Klarheit.
Was ist NIS2 – und wen betrifft es?
NIS2 ist eine EU-weite Richtlinie für ein höheres Cybersicherheitsniveau, die Deutschland mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) national umgesetzt hat. Das Gesetz ist am 6. Dezember 2025 in Kraft getreten – und zwar ohne Übergangsfrist. Betroffen sind unmittelbar rund 29.500 Unternehmen, ein deutlicher Anstieg gegenüber den bislang etwa 4.500 regulierten Organisationen.
Das Gesetz unterscheidet zwischen „besonders wichtigen” und „wichtigen” Einrichtungen und erfasst neben klassischer kritischer Infrastruktur nun große Teile der Wirtschaft.
Der Lieferketten-Effekt: Warum NIS2 auch kleine Zulieferer trifft
Hier liegt der entscheidende Punkt für den Mittelstand: Selbst wenn Ihr Betrieb formal unter den Schwellenwerten liegt und nicht direkt unter das Gesetz fällt, kann NIS2 Sie über die Lieferkette einholen. Das Gesetz verpflichtet betroffene Unternehmen ausdrücklich dazu, ihre Lieferkette abzusichern. Die Folge: Größere Auftraggeber geben diese Anforderungen an ihre Zulieferer und Dienstleister weiter. Wer die geforderten Sicherheitsstandards nicht erfüllt, riskiert, als Geschäftspartner auszufallen.
Cybersicherheit wird damit für viele KMU zur Grundvoraussetzung, um im Geschäft zu bleiben – ganz unabhängig von der eigenen Größe.
Diese Pflichten gelten jetzt
Für direkt betroffene Einrichtungen gilt unter anderem:
- Registrierung beim BSI über das dafür vorgesehene Portal.
- Meldepflichten bei erheblichen Sicherheitsvorfällen: eine Frühwarnung innerhalb von 24 Stunden, ein Bericht innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats.
- Risikomanagementmaßnahmen in zehn Bereichen, darunter Risikoanalyse, Backup-Management, Lieferkettensicherheit und Multifaktor-Authentifizierung.
Bei Verstößen drohen empfindliche Bußgelder.
Was Sie konkret tun sollten
Auch wenn Sie nicht direkt betroffen sind, lohnt sich ein strukturiertes Vorgehen: Dokumentieren Sie Ihre Betroffenheitsprüfung rechtssicher – auch ein begründetes „Wir sind nicht betroffen” will belegt sein. Bringen Sie zentrale Schutzmaßnahmen auf den Stand der Technik: durchdachte Backups, Multifaktor-Authentifizierung, ein klares Rechtemanagement und ein Notfallkonzept. Genau das sind ohnehin die Maßnahmen, die jeden Betrieb gegen die realen Bedrohungen wie Ransomware schützen.
Wir bringen Ihre IT auf NIS2-Niveau
Als IT-Service für den Mittelstand im Münsterland helfen wir Ihnen, Ihre Betroffenheit einzuschätzen, Schwachstellen zu schließen und die geforderten Sicherheitsmaßnahmen umzusetzen – pragmatisch und passend zu Ihrer Unternehmensgröße.Sie wissen nicht, ob NIS2 Sie betrifft? Wir machen die Einschätzung mit Ihnen und bringen Ihre IT-Sicherheit auf das geforderte Niveau. Rufen Sie uns an: 02501 5885577.