Cloud 6 Min. Lesezeit

NIS-2 Compliance: Pflichten für den Mittelstand 2026

NIS-2 Compliance bringt neue Pflichten für den Mittelstand: Risikomanagement, Incident-Reporting, Lieferkettensicherheit. Was jetzt zu tun ist.

NIS-2 Compliance: Pflichten für den Mittelstand 2026

NIS-2 betrifft in Deutschland rund 30.000 Unternehmen, viele davon zum ersten Mal. Wer 50 oder mehr Mitarbeitende hat oder mehr als 10 Millionen Euro Umsatz macht und in einem der gelisteten Sektoren tätig ist, fällt seit der EU-Richtlinie unter neue Cybersecurity-Pflichten. Für den Mittelstand ist NIS-2 Compliance kein optionales Reifegrad-Thema mehr, sondern eine gesetzliche Anforderung mit Bußgeldrahmen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Dieser Artikel ordnet ein, wer betroffen ist, welche Mindestanforderungen Artikel 21 der Richtlinie konkret bedeutet und wie ein pragmatischer Umsetzungsfahrplan im Mittelstand aussieht.

Wer fällt unter NIS-2?

Die Richtlinie unterscheidet zwischen “wesentlichen” und “wichtigen” Einrichtungen. Wesentliche Einrichtungen sind große Unternehmen aus Sektoren mit hoher Kritikalität wie Energie, Wasser, Gesundheit, Finanz, digitale Infrastruktur und Verkehr. Wichtige Einrichtungen sind mittelgroße Unternehmen aus diesen sowie zusätzlichen Sektoren, etwa Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, Maschinenbau und chemische Industrie.

Die Schwellenwerte greifen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz. Darunter sind Unternehmen nur betroffen, wenn sie von der zuständigen Behörde explizit benannt werden, etwa weil sie kritische Lieferanten sind. Wer einen wesentlichen Anbieter beliefert, kann also indirekt in die Pflicht geraten.

In Deutschland regelt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz die Übertragung in nationales Recht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist zentrale Aufsichtsbehörde und stellt eine Betroffenheitsprüfung online bereit. Diese Prüfung sollte am Anfang jeder Compliance-Initiative stehen.

Die zehn Mindestanforderungen aus Artikel 21

Artikel 21 der NIS-2-Richtlinie listet zehn technische und organisatorische Maßnahmen, die jede betroffene Organisation umsetzen muss. Sie folgen einem risikobasierten Ansatz und decken den gesamten Lebenszyklus von Informationssystemen ab.

Konkret umfasst das: Konzepte zur Risikoanalyse und Sicherheit von Informationssystemen, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs (Backups, Krisenmanagement, Wiederherstellung), Sicherheit der Lieferkette, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Systemen, Konzepte zur Bewertung der Wirksamkeit der Maßnahmen, grundlegende Cyberhygiene und Schulungen, Kryptografie- und Verschlüsselungskonzepte, Personalsicherheit und Zugriffskontrolle sowie Einsatz von Multi-Faktor-Authentifizierung.

Die Liste klingt abstrakt, lässt sich aber mit gängigen Frameworks abbilden. Wer ISO 27001 betreibt, deckt schon einen großen Teil ab. Auch das BSI-Grundschutz-Kompendium und die NIST CSF-Mappings sind anschlussfähig. Wichtig: NIS-2 verlangt keine Zertifizierung, aber den Nachweis wirksamer Umsetzung. Aufsichtsbehörden können Audits anordnen.

Incident-Reporting: 24, 72 und 30

Die Meldepflichten sind das operativ schmerzhafteste Element der Richtlinie. Bei einem erheblichen Sicherheitsvorfall gilt eine dreistufige Meldekette gegenüber dem BSI.

Innerhalb von 24 Stunden nach Kenntnis muss eine Frühwarnung abgesetzt werden. Sie ist kurz und enthält die Einschätzung, ob der Vorfall vermutlich auf rechtswidrige Handlungen zurückgeht und grenzüberschreitende Auswirkungen hat. Innerhalb von 72 Stunden folgt eine ausführlichere Meldung mit erster Bewertung, Schweregrad, Auswirkungen und gegebenenfalls Indikatoren für Kompromittierung. Innerhalb eines Monats nach der ersten Meldung ist ein Abschlussbericht fällig, der die Ursachen, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen dokumentiert.

In der Praxis scheitert das nicht an der Technik, sondern an Prozessen. Wer kein klar definiertes Eskalationsschema, keine Bereitschaft und keine Templates für Behördenmeldungen hat, verpasst die 24-Stunden-Frist. Ein gutes Incident-Response-Playbook, wie es typischerweise in einem DevSecOps-Setup verankert ist, ist Voraussetzung und kein Nice-to-have.

Lieferkettensicherheit als Praxisproblem

Anforderung Nummer vier aus Artikel 21 ist für den Mittelstand am sperrigsten: die Sicherheit der Lieferkette. Gemeint ist nicht nur der Bezug von Hardware oder Cloud-Diensten, sondern auch SaaS-Tools, externe Entwickler, Open-Source-Bibliotheken und Managed-Service-Anbieter.

Konkret bedeutet das mindestens drei Maßnahmen. Erstens: Ein Lieferantenverzeichnis mit Risikoeinstufung, das laufend gepflegt wird. Zweitens: Sicherheitsanforderungen in Verträgen, etwa Auditrechte, Meldepflichten bei Vorfällen und konkrete technische Anforderungen wie verschlüsselte Datenübertragung. Drittens: Software Bill of Materials (SBOMs) für eingesetzte Software, um Vorfälle wie den Trivy-Supply-Chain-Angriff im npm-Ökosystem schnell adressieren zu können.

Ein einfaches Beispiel zeigt das Volumen. Ein typisches Mittelstandsunternehmen mit 200 Mitarbeitenden hat schnell 60 bis 100 SaaS-Subscriptions, dazu Cloud-Provider, Hosting-Anbieter, ein Dutzend externer Dienstleister und hunderte Open-Source-Pakete in eigenen Anwendungen. Eine vollständige Risikobewertung jedes Items ist nicht leistbar, also braucht es eine Priorisierung nach Kritikalität der verarbeiteten Daten und der Substituierbarkeit des Dienstes.

Pragmatischer Fahrplan für KMU

In Cloud- und Sicherheitsprojekten der vergangenen Monate hat sich ein Fünf-Phasen-Modell bewährt, das sich in zwölf bis 18 Monaten umsetzen lässt. Wer parallel andere Governance-Themen wie KI-Governance im Unternehmen im Blick hat, kann Strukturen bündeln und Doppelarbeit vermeiden.

Phase 1 (Wochen 1 bis 4): Betroffenheitsprüfung mit dem BSI-Tool, Gap-Analyse gegen Artikel 21, Benennung eines NIS-2-Verantwortlichen mit C-Level-Rückendeckung. Geschäftsleitung haftet persönlich, das ist neu in NIS-2.

Phase 2 (Monate 2 bis 4): Asset-Inventar aufbauen, Lieferantenverzeichnis erstellen, Incident-Response-Prozess dokumentieren, Eskalationskette inklusive 24-Stunden-Meldung definieren. Hier sollte parallel eine Cyber-Risikoversicherung evaluiert werden.

Phase 3 (Monate 4 bis 8): Technische Maßnahmen umsetzen, mindestens MFA auf allen privilegierten Accounts, getrennte Admin-Accounts, zentrales Logging, Backup-Strategie mit Wiederherstellungstest, Patch-Management mit definierten SLAs.

Phase 4 (Monate 8 bis 12): Schulungen für die gesamte Belegschaft, regelmäßige Phishing-Simulationen, Tabletop-Übungen für Incident Response, ISMS-Aufbau wenn nicht vorhanden. Die Schulungspflicht für die Geschäftsleitung ist explizit in NIS-2 verankert.

Phase 5 (laufend): Wirksamkeitsmessung, jährliches internes Audit, kontinuierliche Verbesserung. Wer ISO 27001 anstrebt, kann diese Phase als Vorbereitung auf eine externe Zertifizierung nutzen.

Fazit

NIS-2 ist keine Kür mehr und auch keine reine Compliance-Aufgabe der Rechtsabteilung. Geschäftsleitungen haften persönlich, Audits können jederzeit kommen und die 24-Stunden-Meldefrist verzeiht keine Improvisation. Wer noch nicht angefangen hat, sollte spätestens im zweiten Quartal 2026 mit der Betroffenheitsprüfung und einer ehrlichen Gap-Analyse starten.

Wir unterstützen Mittelstandskunden bei der NIS-2-Umsetzung von der Erstanalyse bis zum betriebsbereiten ISMS. Wenn Sie Klarheit über Ihren Status oder einen pragmatischen Umsetzungsfahrplan brauchen, sprechen Sie uns an oder werfen Sie einen Blick auf unsere Cloud- und Sicherheitsleistungen.

This article is also available in English: NIS-2 Compliance: What Mid-Size Companies Must Do in 2026. Verwandte Beiträge auf Englisch: DevSecOps vs DevOps und Trivy Supply-Chain Attack.

Häufige Fragen

Ist mein Unternehmen von NIS-2 betroffen?

Wenn Ihr Unternehmen 50 oder mehr Mitarbeitende hat oder mehr als 10 Millionen Euro Jahresumsatz erzielt und in einem der NIS-2-Sektoren tätig ist, fallen Sie unter die Richtlinie. Das BSI bietet eine Online-Betroffenheitsprüfung. Auch kleinere Unternehmen können als kritische Lieferanten betroffen sein.

Was kostet NIS-2 Compliance im Mittelstand?

Die Kosten variieren stark je nach Reifegrad. Ein typisches Mittelstandsunternehmen ohne bestehendes ISMS kalkuliert mit 80.000 bis 250.000 Euro für die initiale Umsetzung über 12 bis 18 Monate. Hinzu kommen laufende Kosten für Tools, Schulungen und externe Audits, meist im Bereich von 30.000 bis 80.000 Euro pro Jahr.

Welche Bußgelder drohen bei NIS-2 Verstößen?

Für wesentliche Einrichtungen sind Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich, je nachdem welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent. Hinzu kommt persönliche Haftung der Geschäftsleitung, was die Verbindlichkeit deutlich erhöht.

Wie lange dauert die NIS-2 Umsetzung?

Realistisch sind 12 bis 18 Monate für ein Mittelstandsunternehmen ohne bestehendes ISMS. Die Betroffenheitsprüfung und Gap-Analyse benötigen etwa vier bis sechs Wochen, der Aufbau eines minimal tragfähigen Sicherheitsprogramms acht bis zwölf Monate, anschließend folgt die Wirksamkeitsphase mit interner Auditierung und Nachsteuerung.

#nis-2 #compliance #cybersecurity #mittelstand #risikomanagement
Teilen:
Martin-Jan Sklorz

Martin-Jan Sklorz

CTO – Software-Architektur, Cloud & KI-Engineering

Entwickelt skalierbare Software-Architekturen und integriert KI in moderne Cloud-Umgebungen. Schwerpunkt auf wartbaren Systemen, die im Alltag bestehen.

Software-ArchitekturAPI DesignBackend DevelopmentMicroservicesCloud-nativeKubernetesLLM IntegrationAgent Engineering
LinkedIn
Erstgespräch vereinbaren →