> ./exec Infosec.sh — GUIDE
NIS2 für Mittelstand: was Sie 2026 wirklich wissen müssen
FrankyDrei Jahre nach Verabschiedung der NIS2-Richtlinie und über ein Jahr nach der theoretischen nationalen Umsetzungsfrist sind etwa 60% der betroffenen deutschen Mittelstandsunternehmen noch nicht compliant.[2] Das BSI sprach Mitte 2025 von 30.000+ neu erfassten Unternehmen, davon der Großteil ohne dokumentiertes ISMS.[1]
Das ist kein Compliance-Theater mehr. Bußgelder bis 2% des Konzernumsatzes greifen. Die persönliche Haftung der Geschäftsführung steht im Entwurf des NIS2UmsuCG.[3] Wer 2026 noch zögert, hat ein operatives Risiko, kein Audit-Risiko.
Was NIS2 ist und was es nicht ist
NIS2 ersetzt die NIS-Richtlinie von 2016. Die wichtigsten Veränderungen für den Mittelstand:
- Erweiterter Anwendungsbereich : 18 sektorale Bereiche (statt 7), inklusive B2B-IT-Dienstleister, Hersteller von IT-Hardware, Logistik, öffentliche Verwaltung
- Größenkriterium : 50+ Mitarbeiter ODER 10 Mio. EUR Umsatz (Mittelstandsbegriff EU)
- Zwei-Klassen-System : "wesentlich" (essentiell, höhere Pflichten) vs "wichtig" (important)
- 24-Stunden-Meldepflicht : initiale Vorfallmeldung an BSI/CSIRT innerhalb 24h, vollständiger Bericht in 72h
- Lieferketten-Verantwortung : Sie haften für Cybersicherheits-Lücken Ihrer kritischen Zulieferer
- Geschäftsführungs-Haftung : Verstöße werden persönlich zugerechnet (Art. 20 Abs. 1)
Was NIS2 NICHT ist : eine ISO-27001-Pflicht. Die Norm wird nicht vorgeschrieben, aber sie deckt 70-80% der NIS2-Anforderungen ab und gilt als Best-Practice-Nachweis vor Gericht.
Sind Sie betroffen? Der 30-Sekunden-Test
| Kriterium | Antwort | NIS2 Status |
|---|---|---|
| 50+ Mitarbeiter ODER 10M+ EUR Umsatz | Ja | Geht weiter zu Sektor-Check |
| Aktiv in einem der 18 Sektoren (Anhang I oder II EU-Richtlinie 2022/2555) | Ja | Betroffen |
| < 50 Mitarbeiter UND < 10M EUR Umsatz | Ja | Wahrscheinlich nicht außer "kritischer Anbieter" |
| Kommunale Behörde / öffentliche Verwaltung | Ja | Immer betroffen |
Wenn Sie betroffen sind : Registrierungspflicht beim BSI besteht. Wenn Sie unsicher sind : eine kostenlose Erst-Einschätzung dauert 30 Minuten (Audit-Termin buchen).
Die 10 Pflichten, Was Sie konkret tun müssen
Aus Art. 21 der NIS2-Richtlinie destilliert :
- Risikoanalyse und Sicherheitspolitik für Informationssysteme, dokumentiert, jährlich aktualisiert
- Vorfall-Behandlung, Erkennung, Reaktion, Wiederherstellung, lessons learned
- Business Continuity, Backups, Disaster Recovery, Krisenmanagement
- Lieferketten-Sicherheit, Lieferanten-Audits, Verträge mit Cybersicherheits-Klauseln
- Sicherheit beim Erwerb, der Entwicklung und Wartung, Secure SDLC, Schwachstellenmanagement
- Strategien zur Bewertung der Wirksamkeit der getroffenen Maßnahmen
- Grundlegende Cyber-Hygiene und Schulung, alle Mitarbeiter, regelmäßig
- Kryptographie, wo angemessen, nach Stand der Technik
- Sicherheit der Personalressourcen, Background-Checks für sensible Rollen
- Multi-Faktor-Authentifizierung und sichere Kommunikation
Plus die Meldepflichten (Art. 23) : 24h initiale Meldung, 72h Update, 1 Monat Abschlussbericht.
Warum ISO 27001 nicht reicht und doch der beste Startpunkt ist
Wir hören oft : "Wir haben ISO 27001, sind wir damit nicht durch?". Die ehrliche Antwort : nein, aber Sie sind 70-80% des Wegs.
Was ISO 27001 deckt :
- ISMS-Struktur, PDCA-Zyklus
- Risikomanagement (ISO 27005)
- Annex-A-Controls (114 Maßnahmen)
- Audit-Trails, Dokumentation
Was NIS2 zusätzlich verlangt :
- 24h-Meldung an Behörden (ISO meldet intern)
- Geschäftsführungs-Haftung explizit
- Lieferketten-Sicherheit als formale Pflicht
- Sektorale Spezifika (z.B. Banken haben zusätzliche DORA-Pflichten)
Empfehlung : Wenn Sie ISO 27001 haben → Gap-Analyse gegen NIS2 (3-5 Tage Aufwand). Wenn Sie nichts haben → ISMS nach ISO 27001 aufbauen UND NIS2-Spezifika oben drauf legen (3-6 Monate).
12-Schritte-Plan zur NIS2-Compliance in 90 Tagen
Realistisch für ein 100-Mann-Unternehmen ohne bestehendes ISMS :
| # | Schritt | Wer | Tage |
|---|---|---|---|
| 1 | Betroffenheits-Analyse + BSI-Registrierung | CISO/Externe Beratung | 2 |
| 2 | Asset-Inventory (Hardware, Software, Daten, Personen, Lieferanten) | IT + Beratung | 5 |
| 3 | Risikoanalyse (Bedrohungen × Schwachstellen × Asset-Wert) | CISO + Beratung | 7 |
| 4 | Sicherheitsrichtlinien (10-15 Dokumente) | Doku-Team | 10 |
| 5 | Technische Maßnahmen (MFA, Backup, Encryption, Monitoring) | IT + DevOps | 15 |
| 6 | Vorfall-Meldekette (24h-fähig) + Test-Übung | CISO + Geschäftsführung | 5 |
| 7 | Lieferanten-Audit-Prozess + neue Vertragsklauseln | Einkauf + Recht | 10 |
| 8 | Business Continuity Plan + Disaster Recovery Test | IT + Geschäftsleitung | 8 |
| 9 | Awareness-Schulung (alle Mitarbeiter) | HR + CISO | 5 |
| 10 | Internal Audit gegen NIS2 + ISO 27001 Annex A | Auditor (intern oder extern) | 5 |
| 11 | Korrekturmaßnahmen | Alle | 10 |
| 12 | Dokumentations-Bundle für BSI-Anfrage | CISO + Doku | 3 |
Total : 85 Mann-Tage. Bei einer 5-Personen-Task-Force in Vollzeit : 17 Wochenarbeitstage = 90 Kalendertage realistisch.
Budget-Indikation Mittelstand : 30.000 - 80.000 EUR externe Beratung + interne Allokation. Komplettpaket "ISO 27001 + NIS2" : 50.000 - 120.000 EUR je nach Komplexität (NextGen IT InfoSec Service).
Die häufigsten Fallstricke (und wie sie zu vermeiden)
Fallstrick 1 : Unterscheiden zwischen 'wesentlich' und 'wichtig' Falsche Klassifizierung = falsche Pflichten. "Wesentliche" Sektoren haben strengere Audit-Pflichten und höhere Bußgelder. Wenn Sie unsicher : BSI-Konsultation oder externe Beratung.
Fallstrick 2 : Lieferanten-Sicherheit unterschätzen Sie sind verantwortlich für Sicherheits-Lücken Ihrer kritischen Zulieferer. Cloud-Provider, SaaS, externe Entwickler, alle müssen geprüft werden. Mindestens : DSGVO-Auftragsverarbeitung + Sicherheits-Klausel + jährlicher Nachweis (z.B. SOC2, ISO 27001).
Fallstrick 3 : 24h-Meldepflicht unterschätzen Eine Meldung an das BSI in 24 Stunden setzt voraus : 24/7-Monitoring, klare Meldekette, geschulter Bereitschaftsdienst. Ohne SOC oder MDR-Service ist das im Mittelstand schwierig, das BSI weiß das, erwartet aber zumindest dokumentierte Prozesse und Test-Übungen.
Fallstrick 4 : Geschäftsführung nicht einbeziehen Art. 20 macht die Geschäftsführung explizit verantwortlich. Reines "Delegieren an IT" funktioniert nicht mehr. Mindestens : jährliche Schulung der Geschäftsleitung dokumentieren + GF-Genehmigung der Sicherheitspolitik.
Fallstrick 5 : Auf "nationale Umsetzung" warten Die EU-Richtlinie gilt direkt anwendbar in vielen Punkten. Verzögerungen beim deutschen NIS2UmsuCG entbinden nicht von der Sorgfaltspflicht.
Tools und Frameworks die wir empfehlen
Stack-agnostisch, aber konkret :
ISMS-Tool (Dokumentation + Risikoanalyse)
SIEM/Log-Aggregation
Vulnerability Scanner
MFA
Backup + DR
Was als Nächstes?
Wenn Sie heute starten möchten :
- Laden Sie unser NIS2 Gap-Analyse Template (XLSX + PDF). Es ist kostenlos, ohne E-Mail-Pflicht und direkt verfügbar.
- Machen Sie selbst eine erste Bewertung. Planen Sie dafür 2 bis 3 Stunden mit dem Template ein.
- Buchen Sie 30 Minuten kostenlose Erst-Einschätzung. Wir gehen die Gap-Analyse mit Ihnen durch und sagen klar, welche nächsten Schritte konkret sinnvoll sind.
Wenn Sie schon ISMS-Erfahrung haben : Schritt 2 überspringen, direkt eine NIS2-spezifische Gap-Analyse mit uns machen (1-2 Tage Beratungs-Aufwand).
Quellen
[1] BSI. Lagebericht IT-Sicherheit 2025. Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
[2] Europäisches Parlament und Rat. Richtlinie (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj
[3] Bundesregierung. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), Referentenentwurf. Bundesministerium des Innern.
[4] ENISA. NIS Directive 2, Implementation guide for SMEs. European Union Agency for Cybersecurity.
[5] BSI Mindeststandards. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Standards/it-grundschutz-standards_node.html
> ./nis2_kit
NIS2 Gap-Analyse Template (XLSX + PDF)
PDF-Leitfaden, Excel-Arbeitsmappe und komplettes ZIP-Paket für die erste Gap-Analyse.
FAQ
Wer ist von NIS2 betroffen?
Wann ist die NIS2 Deadline in Deutschland?
Welche Strafen drohen bei NIS2 Nicht-Umsetzung?
Reicht ein bestehendes ISO 27001 für NIS2 Compliance?
Franky
Security Reviewer
Anwendungssicherheit, Compliance (NIS2, DORA, ISO 27001), Threat Modeling.
Brauchen Sie Hilfe bei Infosec?
Kostenlose Erstberatung, Festpreis nach Audit.
INIT_CONSULTATION() →