· Ratgeber · 4 Min. Lesezeit
NIS2 für KMU: In fünf Schritten von „Betrifft uns das?" zu „Wir sind vorbereitet"
Das NIS2-Umsetzungsgesetz ist in Kraft, und viele Mittelständler fragen sich, ob und wie es sie trifft. Ein Fahrplan in fünf Schritten – von der Betroffenheitsklärung bis zum Nachweis.

Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft. Seitdem höre ich in Gesprächen mit Geschäftsführern zwei Reaktionen: „Das betrifft doch nur Konzerne” und „Wir müssten da mal was machen”. Beides greift zu kurz. NIS2 ist für viele Mittelständler relevant, direkt oder über ihre Kunden, aber es ist kein Grund zur Panik, sondern ein abarbeitbares Projekt. Hier ist der Fahrplan, den ich empfehle. Vorab wichtig: Dieser Beitrag gibt Orientierung und ersetzt keine Rechtsberatung, die verbindliche Einordnung Ihres Einzelfalls gehört zu einem Rechtsanwalt.
Wer ist betroffen: direkt oder durch die Hintertür Lieferkette
Direkt betroffen sind in der Regel Unternehmen ab 50 Beschäftigten oder 10 Mio. € Umsatz, die in einem von 18 Sektoren tätig sind, darunter Energie, Produktion, Logistik, Chemie, Abfall und IT-Dienste. Die typische kleine Arztpraxis fällt in der Regel nicht darunter; welche Regelwerke stattdessen für wen gelten, habe ich in meinem Überblick IT-Sicherheitspflichten zusammengestellt.
Indirekt trifft es aber deutlich mehr Betriebe: Wer für einen NIS2-pflichtigen Kunden liefert oder Dienstleistungen erbringt, bekommt dessen Sicherheitsanforderungen vertraglich weitergereicht. Viele KMU „erben” so Pflichten von ihren Großkunden, obwohl sie selbst unter den Schwellen liegen. Der erste Fragebogen vom Einkauf des Kunden kommt oft früher als gedacht.
Schritt 1: Betroffenheit klären
Bevor Sie in Maßnahmen investieren, gehört die Frage geklärt: Fallen Sie nach Größe und Sektor direkt unter NIS2? Und unabhängig davon: Welche Ihrer Kunden sind betroffen und werden Anforderungen an Sie weiterreichen? Diese Einordnung ist keine Raketenwissenschaft, aber sie entscheidet über alles Weitere. Ich gebe hier fundierte Orientierung; die rechtsverbindliche Einstufung trifft bei Bedarf Ihre Kanzlei.
Schritt 2: Ist-Stand erheben (Gap-Analyse)
Jetzt wird der aktuelle Zustand gegen die Kernpflichten abgeglichen: Risikomanagement, Meldeprozesse, Business Continuity, Zugriffskontrolle und MFA, Schulung von Mitarbeitern und Leitungsebene. Das Ergebnis ist eine ehrliche, priorisierte Lückenliste, statt eines diffusen „wir müssten mal”. Erfahrungsgemäß ist der Ist-Stand selten so schlecht wie befürchtet, aber fast nie so gut wie gehofft: Vieles existiert, ist aber weder konsequent umgesetzt noch dokumentiert.
Schritt 3: Basismaßnahmen umsetzen
Der Großteil der NIS2-Anforderungen ist keine exotische Compliance-Magie, sondern solide IT-Grundhygiene:
- Backup mit getestetem Restore, damit der Betrieb nach einem Vorfall wieder anläuft. Wie eine belastbare Sicherung aussieht, beschreibe ich unter Backup & Datensicherung.
- Multi-Faktor-Authentisierung und ein sauberes Berechtigungskonzept.
- Netzsegmentierung, damit ein kompromittiertes Gerät nicht das ganze Haus mitreißt.
- Patch-Management, das bekannte Lücken zeitnah und nachvollziehbar schließt.
Wer diese Basis sauber umsetzt, hat einen erheblichen Teil des Wegs geschafft, und profitiert davon auch dann, wenn sich am Ende herausstellt, dass NIS2 gar nicht direkt greift.
Schritt 4: Melde- und Notfallprozesse festlegen
NIS2 verlangt von betroffenen Unternehmen die fristgerechte Meldung erheblicher Sicherheitsvorfälle: Erstmeldung binnen 24 Stunden, Folgemeldung binnen 72 Stunden, Abschlussbericht nach einem Monat. Diese Fristen hält niemand, der erst im Ernstfall überlegt, wer eigentlich zuständig ist. Deshalb gehören die Abläufe vorher aufs Papier: Wer erkennt und bewertet einen Vorfall? Wer meldet an die Behörde? Wo liegen Kontaktdaten und Vorlagen, auch dann, wenn die IT gerade nicht läuft? Ein geübter Notfallprozess ist übrigens auch ohne NIS2 eine der besten Investitionen in Ihre Widerstandsfähigkeit.
Schritt 5: Nachweisbar machen
Umgesetzt zu haben reicht nicht, Sie müssen es zeigen können: gegenüber Behörden, vor allem aber gegenüber Kunden, die Nachweise verlangen. Der strukturierte Weg dahin ist ein Informationssicherheits-Managementsystem (ISMS). Die Überschneidungen zwischen NIS2 und ISO 27001 sind groß, ein ISMS nach diesem Standard deckt viele NIS2-Themen ab und macht sie auditfähig. Wie ich dabei unterstütze, lesen Sie auf meiner Seite zur ISO-27001-Beratung. Für viele KMU genügt zunächst eine schlankere, saubere Dokumentation, ein ISMS muss nicht am ersten Tag stehen.
Nicht delegierbar: die Verantwortung der Geschäftsleitung
Ein Punkt gehört auf den Tisch der Geschäftsführung, nicht nur auf den der IT: NIS2 nimmt die Geschäftsleitung persönlich in die Verantwortung, die Umsetzung der Maßnahmen zu überwachen, und sieht bei Verstößen Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor. Man kann die Umsetzung an Dienstleister wie mich geben, die Verantwortung dafür nicht. Auch hier gilt: Was das im Einzelfall rechtlich bedeutet, klärt ein Anwalt, nicht Ihr IT-Dienstleister.
Mein Rat: anfangen, nicht abwarten
Die fünf Schritte bauen aufeinander auf, und keiner davon ist verlorene Arbeit. Betroffenheit klären kostet ein Gespräch, die Gap-Analyse ein paar Tage, und die Basismaßnahmen schützen Ihren Betrieb ganz unabhängig von jedem Gesetz. Wer dagegen wartet, bis der erste Kundenfragebogen oder der erste Vorfall da ist, arbeitet unter Zeitdruck, und das wird selten günstiger.
Betrifft NIS2 Ihr Unternehmen, direkt oder über Ihre Kunden? Mit Betroffenheits-Check und Gap-Analyse machen wir aus der Richtlinie einen abarbeitbaren Plan. Wie ich dabei vorgehe, lesen Sie auf meiner Seite NIS2-Beratung, das Erstgespräch ist kostenlos.

Alex Jabi
Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.
Mehr über mich