Das deutsche NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Seitdem fragen sich viele Verantwortliche in kleinen und mittleren Unternehmen, ob sie betroffen sind und was konkret zu tun ist. Dieser Ratgeber ordnet das Thema sachlich ein und gibt Ihnen eine praxisnahe Checkliste mit sieben Schritten an die Hand – ohne Panik, aber mit Blick auf das Wesentliche.
Hinweis: Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Ob Ihr Unternehmen unter NIS2 fällt und welche Pflichten im Einzelfall gelten, sollten Sie im Zweifel mit fachkundiger juristischer Unterstützung klären.
Worum es bei NIS2 geht
NIS2 ist eine europäische Vorgabe, die das Niveau der Cybersicherheit in wichtigen Wirtschaftsbereichen anheben soll. Im Kern geht es darum, dass betroffene Unternehmen technische und organisatorische Maßnahmen für ihre IT-Sicherheit nachweisbar umsetzen, Risiken steuern und erhebliche Sicherheitsvorfälle melden. Für viele KMU ist das weniger eine Frage neuer Technik als eine Frage von Struktur, Dokumentation und Zuständigkeit.
Wer ohnehin solide arbeitet, hat oft schon viele Bausteine im Haus. Die folgende Checkliste hilft Ihnen, Lücken systematisch zu finden und zu schließen.
Die 7-Schritte-Checkliste
1. Betroffenheit prüfen – inklusive Lieferkette
Klären Sie zuerst, ob Ihr Unternehmen nach Größe und Branche in den Anwendungsbereich fällt. Denken Sie dabei auch an die Lieferkette: Selbst wenn Sie formal nicht direkt betroffen sind, fordern größere Auftraggeber häufig Nachweise zur IT-Sicherheit von ihren Dienstleistern. Eine dokumentierte Einschätzung der eigenen Betroffenheit ist der erste belastbare Schritt.
2. Verantwortlichkeit in der Geschäftsleitung verankern
NIS2 rückt die Geschäftsleitung stärker in die Pflicht. Legen Sie klar fest, wer für IT-Sicherheit verantwortlich ist und wie die Geschäftsführung eingebunden bleibt. Cybersicherheit ist Chefsache und sollte nicht allein an der IT-Abteilung oder einem externen Dienstleister hängen.
3. Risikomanagement aufsetzen
Verschaffen Sie sich einen Überblick über Ihre wichtigsten Systeme, Daten und Prozesse und bewerten Sie, welche Risiken diese bedrohen. Daraus leiten Sie Maßnahmen ab und priorisieren sie nach möglicher Schadenshöhe und Eintrittswahrscheinlichkeit. Ein gepflegtes, einfaches Risikoregister ist im Alltag oft hilfreicher als ein umfangreiches Dokument, das niemand nutzt.
4. Backup und Notfallplanung
Prüfen Sie, ob Ihre Datensicherungen vollständig, getrennt aufbewahrt und regelmäßig getestet sind – ein Backup, das im Ernstfall nicht zurückspielbar ist, hilft niemandem. Ergänzen Sie dazu einen Notfallplan, der beschreibt, wer im Krisenfall was tut. So bleiben Sie auch bei einem Ausfall oder einem Ransomware-Vorfall handlungsfähig.
5. Zugriffe und MFA
Vergeben Sie Berechtigungen nach dem Prinzip der minimal nötigen Rechte und überprüfen Sie regelmäßig, wer worauf Zugriff hat. Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) überall dort, wo es möglich ist, besonders für Fernzugänge und administrative Konten. Das senkt das Risiko durch gestohlene Passwörter spürbar.
6. Meldeprozess für Vorfälle
NIS2 verlangt, dass erhebliche Sicherheitsvorfälle gemeldet werden. Definieren Sie vorab, wer einen Vorfall erkennt, bewertet und meldet, und halten Sie die nötigen Kontakte und Abläufe schriftlich fest. Wer den Prozess erst im Ernstfall improvisiert, verliert wertvolle Zeit.
7. Awareness und Schulung
Ein großer Teil erfolgreicher Angriffe beginnt beim Menschen, etwa durch Phishing. Schulen Sie Ihre Mitarbeitenden regelmäßig und praxisnah, damit sie verdächtige Mails und Anfragen erkennen. Wiederkehrende, kurze Einheiten wirken im Alltag meist besser als eine einmalige Pflichtschulung.
Wie der Standard ISO 27001 dabei hilft
Viele Anforderungen von NIS2 decken sich mit dem, was ein Informationssicherheits-Managementsystem nach ISO 27001 ohnehin verlangt. Wer sich an diesem Standard orientiert, schafft eine Struktur, die Risikomanagement, Dokumentation und Zuständigkeiten sauber abbildet. Wir beraten und begleiten Sie auf diesem Weg und machen Ihre Prozesse audit-fähig – die Zertifizierung selbst erfolgt ausschließlich durch eine akkreditierte Stelle.
So gehen Sie pragmatisch vor
Sie müssen nicht alles auf einmal lösen. Starten Sie mit der Betroffenheitsprüfung und den Punkten, die das Risiko am stärksten senken – häufig sind das Backups, Zugriffe und MFA. Arbeiten Sie die Liste Schritt für Schritt ab und dokumentieren Sie, was Sie umsetzen. Für die technische Umsetzung greifen viele Unternehmen auf externe Unterstützung zurück, etwa im Rahmen unserer IT-Sicherheit.
Sie möchten Ihre NIS2-Umsetzung strukturiert angehen oder wissen nicht genau, wo Sie stehen? In unserer NIS2-Beratung ordnen wir Ihre Situation gemeinsam ein und priorisieren die nächsten Schritte. Wenn Sie zusätzlich ein belastbares Managementsystem aufbauen wollen, unterstützt Sie unsere ISO-27001-Beratung. Sprechen Sie uns an – telefonisch unter +49 6254 5420028 oder per E-Mail an mail@jabi-it.de.