> ./exec Infosec.sh — GUIDE

NIS2 für Mittelstand: was Sie 2026 wirklich wissen müssen

Franky — Security Reviewer FrankyCameroun · Security Reviewer 12-05-2026 5 min Lesezeit INFOSEC reviewed by: Clara — Documentation Lead

Drei Jahre nach Verabschiedung der NIS2-Richtlinie und über ein Jahr nach der theoretischen nationalen Umsetzungsfrist sind etwa 60% der betroffenen deutschen Mittelstandsunternehmen noch nicht compliant.[2] Das BSI sprach Mitte 2025 von 30.000+ neu erfassten Unternehmen, davon der Großteil ohne dokumentiertes ISMS.[1]

Das ist kein Compliance-Theater mehr. Bußgelder bis 2% des Konzernumsatzes greifen. Die persönliche Haftung der Geschäftsführung steht im Entwurf des NIS2UmsuCG.[3] Wer 2026 noch zögert, hat ein operatives Risiko, kein Audit-Risiko.

Was NIS2 ist und was es nicht ist

NIS2 ersetzt die NIS-Richtlinie von 2016. Die wichtigsten Veränderungen für den Mittelstand:

  • Erweiterter Anwendungsbereich : 18 sektorale Bereiche (statt 7), inklusive B2B-IT-Dienstleister, Hersteller von IT-Hardware, Logistik, öffentliche Verwaltung
  • Größenkriterium : 50+ Mitarbeiter ODER 10 Mio. EUR Umsatz (Mittelstandsbegriff EU)
  • Zwei-Klassen-System : "wesentlich" (essentiell, höhere Pflichten) vs "wichtig" (important)
  • 24-Stunden-Meldepflicht : initiale Vorfallmeldung an BSI/CSIRT innerhalb 24h, vollständiger Bericht in 72h
  • Lieferketten-Verantwortung : Sie haften für Cybersicherheits-Lücken Ihrer kritischen Zulieferer
  • Geschäftsführungs-Haftung : Verstöße werden persönlich zugerechnet (Art. 20 Abs. 1)

Was NIS2 NICHT ist : eine ISO-27001-Pflicht. Die Norm wird nicht vorgeschrieben, aber sie deckt 70-80% der NIS2-Anforderungen ab und gilt als Best-Practice-Nachweis vor Gericht.

Sind Sie betroffen? Der 30-Sekunden-Test

Kriterium Antwort NIS2 Status
50+ Mitarbeiter ODER 10M+ EUR Umsatz Ja Geht weiter zu Sektor-Check
Aktiv in einem der 18 Sektoren (Anhang I oder II EU-Richtlinie 2022/2555) Ja Betroffen
< 50 Mitarbeiter UND < 10M EUR Umsatz Ja Wahrscheinlich nicht außer "kritischer Anbieter"
Kommunale Behörde / öffentliche Verwaltung Ja Immer betroffen

Wenn Sie betroffen sind : Registrierungspflicht beim BSI besteht. Wenn Sie unsicher sind : eine kostenlose Erst-Einschätzung dauert 30 Minuten (Audit-Termin buchen).

Die 10 Pflichten, Was Sie konkret tun müssen

Aus Art. 21 der NIS2-Richtlinie destilliert :

  • Risikoanalyse und Sicherheitspolitik für Informationssysteme, dokumentiert, jährlich aktualisiert
  • Vorfall-Behandlung, Erkennung, Reaktion, Wiederherstellung, lessons learned
  • Business Continuity, Backups, Disaster Recovery, Krisenmanagement
  • Lieferketten-Sicherheit, Lieferanten-Audits, Verträge mit Cybersicherheits-Klauseln
  • Sicherheit beim Erwerb, der Entwicklung und Wartung, Secure SDLC, Schwachstellenmanagement
  • Strategien zur Bewertung der Wirksamkeit der getroffenen Maßnahmen
  • Grundlegende Cyber-Hygiene und Schulung, alle Mitarbeiter, regelmäßig
  • Kryptographie, wo angemessen, nach Stand der Technik
  • Sicherheit der Personalressourcen, Background-Checks für sensible Rollen
  • Multi-Faktor-Authentifizierung und sichere Kommunikation

Plus die Meldepflichten (Art. 23) : 24h initiale Meldung, 72h Update, 1 Monat Abschlussbericht.

Warum ISO 27001 nicht reicht und doch der beste Startpunkt ist

Wir hören oft : "Wir haben ISO 27001, sind wir damit nicht durch?". Die ehrliche Antwort : nein, aber Sie sind 70-80% des Wegs.

Was ISO 27001 deckt :

  • ISMS-Struktur, PDCA-Zyklus
  • Risikomanagement (ISO 27005)
  • Annex-A-Controls (114 Maßnahmen)
  • Audit-Trails, Dokumentation

Was NIS2 zusätzlich verlangt :

  • 24h-Meldung an Behörden (ISO meldet intern)
  • Geschäftsführungs-Haftung explizit
  • Lieferketten-Sicherheit als formale Pflicht
  • Sektorale Spezifika (z.B. Banken haben zusätzliche DORA-Pflichten)

Empfehlung : Wenn Sie ISO 27001 haben → Gap-Analyse gegen NIS2 (3-5 Tage Aufwand). Wenn Sie nichts haben → ISMS nach ISO 27001 aufbauen UND NIS2-Spezifika oben drauf legen (3-6 Monate).

12-Schritte-Plan zur NIS2-Compliance in 90 Tagen

Realistisch für ein 100-Mann-Unternehmen ohne bestehendes ISMS :

# Schritt Wer Tage
1 Betroffenheits-Analyse + BSI-Registrierung CISO/Externe Beratung 2
2 Asset-Inventory (Hardware, Software, Daten, Personen, Lieferanten) IT + Beratung 5
3 Risikoanalyse (Bedrohungen × Schwachstellen × Asset-Wert) CISO + Beratung 7
4 Sicherheitsrichtlinien (10-15 Dokumente) Doku-Team 10
5 Technische Maßnahmen (MFA, Backup, Encryption, Monitoring) IT + DevOps 15
6 Vorfall-Meldekette (24h-fähig) + Test-Übung CISO + Geschäftsführung 5
7 Lieferanten-Audit-Prozess + neue Vertragsklauseln Einkauf + Recht 10
8 Business Continuity Plan + Disaster Recovery Test IT + Geschäftsleitung 8
9 Awareness-Schulung (alle Mitarbeiter) HR + CISO 5
10 Internal Audit gegen NIS2 + ISO 27001 Annex A Auditor (intern oder extern) 5
11 Korrekturmaßnahmen Alle 10
12 Dokumentations-Bundle für BSI-Anfrage CISO + Doku 3

Total : 85 Mann-Tage. Bei einer 5-Personen-Task-Force in Vollzeit : 17 Wochenarbeitstage = 90 Kalendertage realistisch.

Budget-Indikation Mittelstand : 30.000 - 80.000 EUR externe Beratung + interne Allokation. Komplettpaket "ISO 27001 + NIS2" : 50.000 - 120.000 EUR je nach Komplexität (NextGen IT InfoSec Service).

Die häufigsten Fallstricke (und wie sie zu vermeiden)

Fallstrick 1 : Unterscheiden zwischen 'wesentlich' und 'wichtig' Falsche Klassifizierung = falsche Pflichten. "Wesentliche" Sektoren haben strengere Audit-Pflichten und höhere Bußgelder. Wenn Sie unsicher : BSI-Konsultation oder externe Beratung.

Fallstrick 2 : Lieferanten-Sicherheit unterschätzen Sie sind verantwortlich für Sicherheits-Lücken Ihrer kritischen Zulieferer. Cloud-Provider, SaaS, externe Entwickler, alle müssen geprüft werden. Mindestens : DSGVO-Auftragsverarbeitung + Sicherheits-Klausel + jährlicher Nachweis (z.B. SOC2, ISO 27001).

Fallstrick 3 : 24h-Meldepflicht unterschätzen Eine Meldung an das BSI in 24 Stunden setzt voraus : 24/7-Monitoring, klare Meldekette, geschulter Bereitschaftsdienst. Ohne SOC oder MDR-Service ist das im Mittelstand schwierig, das BSI weiß das, erwartet aber zumindest dokumentierte Prozesse und Test-Übungen.

Fallstrick 4 : Geschäftsführung nicht einbeziehen Art. 20 macht die Geschäftsführung explizit verantwortlich. Reines "Delegieren an IT" funktioniert nicht mehr. Mindestens : jährliche Schulung der Geschäftsleitung dokumentieren + GF-Genehmigung der Sicherheitspolitik.

Fallstrick 5 : Auf "nationale Umsetzung" warten Die EU-Richtlinie gilt direkt anwendbar in vielen Punkten. Verzögerungen beim deutschen NIS2UmsuCG entbinden nicht von der Sorgfaltspflicht.

Tools und Frameworks die wir empfehlen

Stack-agnostisch, aber konkret :

ISMS-Tool (Dokumentation + Risikoanalyse)

Open SourceErambaOpenComply
KommerziellveriniceHyperproof

SIEM/Log-Aggregation

Open SourceWazuh + ELK Stack (NextGen Stack)
KommerziellSplunkMicrosoft Sentinel

Vulnerability Scanner

Open SourceOpenVASTrivy
KommerziellTenableQualys

MFA

Privacy-friendlyAuthentik (self-hosted)Keycloak
EnterpriseOktaMicrosoft Entra ID

Backup + DR

Open SourceResticBorgbackup
CloudHetzner Storage Box + verschlüsselt

Was als Nächstes?

Wenn Sie heute starten möchten :

  • Laden Sie unser NIS2 Gap-Analyse Template (XLSX + PDF). Es ist kostenlos, ohne E-Mail-Pflicht und direkt verfügbar.
  • Machen Sie selbst eine erste Bewertung. Planen Sie dafür 2 bis 3 Stunden mit dem Template ein.
  • Buchen Sie 30 Minuten kostenlose Erst-Einschätzung. Wir gehen die Gap-Analyse mit Ihnen durch und sagen klar, welche nächsten Schritte konkret sinnvoll sind.

Wenn Sie schon ISMS-Erfahrung haben : Schritt 2 überspringen, direkt eine NIS2-spezifische Gap-Analyse mit uns machen (1-2 Tage Beratungs-Aufwand).

Quellen

[1] BSI. Lagebericht IT-Sicherheit 2025. Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

[2] Europäisches Parlament und Rat. Richtlinie (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj

[3] Bundesregierung. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), Referentenentwurf. Bundesministerium des Innern.

[4] ENISA. NIS Directive 2, Implementation guide for SMEs. European Union Agency for Cybersecurity.

[5] BSI Mindeststandards. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Standards/it-grundschutz-standards_node.html

> ./nis2_kit

NIS2 Gap-Analyse Template (XLSX + PDF)

PDF-Leitfaden, Excel-Arbeitsmappe und komplettes ZIP-Paket für die erste Gap-Analyse.

PDF XLSX ZIP

FAQ

Wer ist von NIS2 betroffen?
Mittelstandsunternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in 18 sektoralen Bereichen (Energie, Transport, Banken, Gesundheit, Wasser, digitale Infrastruktur, B2B-IT-Dienstleister, Lebensmittel, Chemie, Fertigung, Post, öffentliche Verwaltung etc.). Auch kleinere Unternehmen sind betroffen, wenn sie als 'kritisch' eingestuft werden. Schätzung BSI: ca. 30.000 Unternehmen in Deutschland.
Wann ist die NIS2 Deadline in Deutschland?
Die EU-Richtlinie NIS2 trat am 17. Januar 2023 in Kraft, mit nationaler Umsetzung bis 17. Oktober 2024. Das deutsche NIS2UmsuCG ist verspätet, Stand 2026 sind die Kernpflichten anwendbar, aber Übergangsfristen gelten weiter. Konkret: Registrierungspflicht beim BSI seit Ende 2024, Berichts- und Sicherheitspflichten greifen schrittweise.
Welche Strafen drohen bei NIS2 Nicht-Umsetzung?
Bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes für 'wesentliche Einrichtungen' (essentielle Sektoren), bis 7 Mio. EUR oder 1,4% für 'wichtige Einrichtungen'. Persönliche Haftung der Geschäftsführung möglich (§ 34 NIS2UmsuCG-Entwurf).
Reicht ein bestehendes ISO 27001 für NIS2 Compliance?
Nein, aber es ist ein starker Ausgangspunkt. ISO 27001 deckt etwa 70-80% der NIS2 Anforderungen ab. Lücken: 24h-Meldepflicht (NIS2 strenger als ISO), Lieferketten-Sicherheit (NIS2 explizit, ISO indirekt), Geschäftsführung-Verantwortung (NIS2 spezifisch).
Franky — Security Reviewer

FrankyCameroun

Security Reviewer

Anwendungssicherheit, Compliance (NIS2, DORA, ISO 27001), Threat Modeling.

Brauchen Sie Hilfe bei Infosec?

Kostenlose Erstberatung, Festpreis nach Audit.

INIT_CONSULTATION() →