NIS2 für KMU — Was kleine und mittlere Unternehmen wissen müssen
NIS2 betrifft KMU in Deutschland unmittelbar, wenn sie ab 50 Mitarbeitenden oder ab 10 Mio. EUR Umsatz beziehungsweise Bilanzsumme in einem der 18 NIS2-Sektoren tätig sind; für Deutschland werden rund 29.500 betroffene Unternehmen genannt. Für viele mittelständische Unternehmen ist die Kernfrage deshalb nicht mehr, ob NIS2 nur große Konzerne trifft, sondern ob die eigene Organisation Schwellenwerte, Pflichten, Fristen und Kosten bereits realistisch eingeordnet hat.
Letzte Aktualisierung: 23. März 2026
NIS2 KMU ist damit kein Randthema der IT, sondern ein Managementthema mit rechtlicher, organisatorischer und finanzieller Wirkung. Wenn Sie zuerst den regulatorischen Gesamtüberblick einordnen möchten, ist der NIS2-Hub für Deutschland der passende Einstieg. Wenn Sie die eigene Betroffenheit schnell prüfen wollen, sollten Sie direkt den NIS2-Betroffenheitscheck nutzen. Für die operative Vertiefung zu Registrierung und Meldepflichten hilft außerdem der Beitrag zur BSI-Registrierung unter NIS2.
Bin ich als KMU von NIS2 betroffen?
NIS2 ist für KMU relevant, wenn zwei Ebenen zusammenkommen: die Unternehmensgröße und die Sektorzugehörigkeit. Die Richtlinie (EU) 2022/2555 knüpft bei vielen Einrichtungen an die bekannte Size-Cap-Logik der KMU-Empfehlung 2003/361/EG an. Praktisch bedeutet das für die erste Prüfung: Ein Unternehmen ist typischerweise im NIS2-Anwendungsbereich, wenn es mindestens 50 Mitarbeitende hat oder wenn Jahresumsatz beziehungsweise Bilanzsumme über 10 Mio. EUR liegen und es in einem betroffenen Sektor tätig ist.
Die Schwellenwerte lauten für viele KMU deshalb:
| Prüffrage | Schwelle | Praktische Bedeutung |
|---|---|---|
| Beschäftigte | ab 50 Mitarbeitende | Typischer Einstieg in den NIS2-Anwendungsbereich |
| Jahresumsatz | über 10 Mio. EUR | Relevante Alternativschwelle zur Mitarbeiterzahl |
| Bilanzsumme | über 10 Mio. EUR | Ebenfalls eigenständige wirtschaftliche Schwelle |
| Sektor | Tätigkeit in einem NIS2-Sektor | Ohne Sektorbezug meist keine Erfassung |
Die 18 Sektoren ergeben sich aus Anhang I und II der NIS2-Richtlinie. Dazu zählen unter anderem Energie, Verkehr, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Managed Services, öffentliche Verwaltung, Post- und Kurierdienste, Abfallwirtschaft, Lebensmittel, Chemie, Forschung und bestimmte Teile der Produktion. Wenn Ihr Unternehmen in diesen Bereichen tätig ist, sollten Sie die Einordnung nicht nur auf Basis des Handelsregisterauszugs treffen, sondern anhand Ihrer tatsächlichen Haupttätigkeit und der für Kunden oder Gesellschaft kritischen Dienste.
Für KMU ist eine zweite Klarstellung wichtig: NIS2 betrifft nicht nur klassische KRITIS. Die frühere Vorstellung, dass nur sehr große Betreiber kritischer Infrastruktur erfasst seien, ist überholt. NIS2 weitet den Kreis deutlich aus. Gerade mittelständische IT-Dienstleister, Rechenzentrumsnahe Unternehmen, produzierende Zulieferer, Medizintechnik, Forschungseinrichtungen, Logistikunternehmen oder Wasser- und Entsorgungsdienstleister fallen deutlich häufiger in den Anwendungsbereich als unter der alten NIS1-Logik.
Es gibt außerdem Konstellationen, in denen die Größe nicht das letzte Wort ist. NIS2 erlaubt für bestimmte Einrichtungen und besondere Kritikalität Abweichungen, etwa wenn eine Einrichtung wegen ihres Risikoprofils oder ihrer systemischen Bedeutung unabhängig von der reinen Size-Cap-Logik relevant wird. Für KMU bedeutet das: Wer knapp unter 50 Mitarbeitenden liegt, sollte sich nicht vorschnell als unbetroffen einstufen, wenn die Tätigkeit in einem besonders sensiblen Bereich liegt oder wenn Kunden bereits NIS2-Nachweise verlangen.
Die praxistaugliche Antwort auf die Frage „Bin ich betroffen?“ lautet deshalb:
- Prüfen Sie Mitarbeitendenzahl, Umsatz und Bilanzsumme auf Basis der letzten belastbaren Zahlen.
- Ordnen Sie Ihr Unternehmen einem konkreten NIS2-Sektor aus Anhang I oder II zu.
- Prüfen Sie, ob Ihre Leistung für Kunden, Versorgung, Produktion oder digitale Infrastruktur besonders kritisch ist.
- Dokumentieren Sie die Entscheidung, weil genau diese Begründung später gegenüber Management, Prüfern oder Kunden benötigt wird.
Wer bei dieser Einordnung unsicher ist, sollte zusätzlich die Glossarbegriffe NIS2-Richtlinie und Cybersicherheit nachlesen. Für viele KMU ist genau diese Einordnungsphase der Punkt, an dem aus einer abstrakten Richtlinie ein konkretes Organisationsprojekt wird.
NIS2-Schwellenwerte für kleine Unternehmen und Mittelstand im Überblick
NIS2 Schwellenwerte sind für den Mittelstand deshalb so wichtig, weil sie den Unterschied zwischen freiwilliger Sicherheitsverbesserung und aufsichtsrelevanter Pflicht markieren. Für ein typisches KMU reicht es nicht, nur die Mitarbeiterzahl zu prüfen. Maßgeblich sind Beschäftigte, Umsatz, Bilanzsumme und Sektor gemeinsam. Wer 60 Mitarbeitende hat, aber in einem nicht erfassten Bereich tätig ist, ist anders zu behandeln als ein spezialisiertes IT-Service-Unternehmen mit 55 Mitarbeitenden und kritischen Kunden.
Hilfreich ist folgende Einordnung:
| Unternehmensprofil | Typische NIS2-Einordnung |
|---|---|
| 30 Mitarbeitende, 6 Mio. EUR Umsatz, Handwerksbetrieb ohne NIS2-Sektor | in der Regel nicht direkt erfasst |
| 65 Mitarbeitende, 12 Mio. EUR Umsatz, Managed Service Provider | sehr wahrscheinlich erfasst |
| 80 Mitarbeitende, 9 Mio. EUR Umsatz, Wassertechnik-Dienstleister | wegen Sektorbezug sehr genau prüfen |
| 220 Mitarbeitende, 45 Mio. EUR Umsatz, produzierender Zulieferer in kritischer Lieferkette | regelmäßig erfasst und organisatorisch anspruchsvoll |
KMU sollten außerdem nicht übersehen, dass NIS2 zwischen wesentlichen und wichtigen Einrichtungen differenziert. Diese Unterscheidung verändert Aufsichtsintensität und Sanktionsrahmen, nicht aber die Grundnotwendigkeit, Cybersicherheitsmaßnahmen belastbar umzusetzen. Für die operative Praxis heißt das: Auch wenn Ihr Unternehmen „nur“ als wichtige Einrichtung eingestuft wird, ist ein Mindestniveau an Governance, Incident Response, Lieferkettensteuerung und Informationssicherheit unverzichtbar.
Die 10 Pflichtmaßnahmen nach Art. 21 im KMU-Kontext
Art. 21 Abs. 2 der Richtlinie (EU) 2022/2555 nennt zehn zentrale Maßnahmen des Cyberrisikomanagements. Für KMU ist entscheidend, diese Punkte nicht wie ein Konzernprogramm aufzublähen, sondern verhältnismäßig umzusetzen. NIS2 verlangt kein Luxus-Setup, sondern ein angemessenes, nachweisbares Sicherheitsniveau.
Die zehn Maßnahmen lassen sich für KMU so übersetzen:
| Art. 21-Maßnahme | Was ein KMU realistisch umsetzen sollte | Was eher Großunternehmen-Niveau ist |
|---|---|---|
| Risikoanalyse und Sicherheitskonzepte | Risikoregister, jährliche Bewertung, kurze Sicherheitsleitlinie | komplexe GRC-Plattform mit mehreren Verteidigungslinien |
| Incident Handling | Meldeweg, Verantwortliche, Eskalationsmatrix, Notfallkontakte | 24/7 SOC mit eigener Forensik |
| Business Continuity und Krisenmanagement | Backup-Konzept, Wiederanlaufplan, Tabletop-Übung | vollredundante Mehrstandort-Architektur |
| Lieferkettensicherheit | Lieferantenklassifizierung, Sicherheitsfragen, Vertragsklauseln | tiefes Third-Party-Risk-Programm mit Dauerüberwachung |
| Sicherheit bei Entwicklung und Wartung | Patch-Prozess, Change-Freigaben, Systemdokumentation | vollständiges Secure-SDLC mit DevSecOps-Toolchain |
| Bewertung der Wirksamkeit | jährlicher Review, interne Stichproben, Management-Reporting | permanentes Control Monitoring |
| Cyberhygiene und Schulung | Basisschulung, MFA-Nutzung, Phishing-Regeln, Admin-Training | rollenbasiertes Learning-Management-System mit Simulationen im Monatsrhythmus |
| Kryptografie | Verschlüsselung für Notebooks, E-Mail wo nötig, TLS, Passwort-Manager | vollständiges Key-Management-Programm über alle Standorte |
| Personal- und Zugriffssicherheit | Rollen- und Berechtigungskonzept, Offboarding, MFA für Admins | fein granularer IAM-Lifecycle mit Rezertifizierung in jeder Applikation |
| Multifaktor-Authentifizierung und sichere Kommunikation | MFA für kritische Systeme, VPN, abgesicherte Remote-Zugänge | Zero-Trust-Architektur im Vollausbau |
Für KMU ist daraus eine klare Priorisierung ableitbar. Erstens braucht es Verantwortlichkeiten. Ohne benannte Person, Eskalationsweg und Management-Rückhalt scheitern auch gute technische Maßnahmen. Zweitens braucht es Nachweise. Ein Unternehmen kann viele sinnvolle Dinge tun, fällt aber in Audits oder Kundenprüfungen durch, wenn die Umsetzung nur informell gelebt wird. Drittens braucht es Verhältnismäßigkeit. Ein Mittelständler muss nicht denselben Reifegrad wie ein DAX-Konzern erreichen, aber er muss zeigen können, dass Risiken systematisch erkannt und reduziert werden.
Pragmatisch bedeutet das für ein KMU:
- Erstellen Sie eine kurze Sicherheitsleitlinie mit Freigabe durch die Geschäftsleitung.
- Führen Sie ein einfaches Risikoregister mit den zehn größten Risiken.
- Definieren Sie einen Meldeprozess für erhebliche Sicherheitsvorfälle.
- Testen Sie Backups und Wiederanlauf mindestens einmal im Jahr.
- Klassifizieren Sie Lieferanten nach Kritikalität.
- Aktivieren Sie MFA für Admin- und Cloud-Zugänge.
- Führen Sie eine dokumentierte Schulung für Management und Schlüsselrollen durch.
Wenn Sie die zehn Maßnahmen detaillierter einordnen möchten, lesen Sie ergänzend den Fachbeitrag zu den NIS2-Anforderungen nach Artikel 21 und den Praxisartikel zu NIS2-Kosten der Umsetzung.
Fristen und Timeline für NIS2-KMU
Die NIS2-Timeline für KMU ist seit Ende 2025 operativ relevant. Nach der Research-Grundlage dieses Projekts und dem BSI-Hinweis zum NIS2-Portal gilt der nationale NIS2-Rahmen in Deutschland seit dem 6. Dezember 2025. Das BSI weist darauf hin, dass mit Inkrafttreten des NIS2-Umsetzungsgesetzes an diesem Datum die Registrierungs- und Meldepflichten gelten. Für betroffene Unternehmen bedeutet das: Es gibt keine komfortable Gewöhnungsphase, in der man die Pflichten nur beobachten könnte.
Für viele KMU ist die wichtigste Frist die Registrierung beim BSI. In der Research-Synthese wird dafür der 6. März 2026 als Stichtag genannt; parallel kursiert in einzelnen Materialien auch der 5. März 2026, was praktisch auf denselben engen Umsetzungszeitraum verweist. Entscheidend ist deshalb nicht der letzte Kalendertag, sondern dass betroffene Unternehmen die Registrierung und internen Meldestrukturen sofort vorbereitet haben. Den genauen Ablauf erläutert unser Beitrag zur NIS2-Registrierung beim BSI.
Zusätzlich gelten nach Art. 23 NIS2 knappe Vorfallfristen:
| Schritt | Frist | Was ein KMU vorbereiten muss |
|---|---|---|
| Frühwarnung | innerhalb von 24 Stunden | Entscheidung, ob ein Vorfall erheblich ist |
| Folgemeldung | innerhalb von 72 Stunden | erste Lageeinschätzung und betroffene Systeme |
| Abschlussbericht | innerhalb eines Monats | Ursachenanalyse, Auswirkungen und Maßnahmen |
Für KMU ist die Lehre daraus einfach: Meldepflichten scheitern selten an fehlender Theorie, sondern an fehlenden Kontaktdaten, ungeklärten Zuständigkeiten und nicht getesteten Prozessen. Wer erst während eines Ransomware-Vorfalls klären muss, wer die Meldung vorbereitet, verliert genau die Zeit, die Art. 23 knapp bemisst.
Eine realistische Timeline für NIS2 KMU sieht so aus:
- Woche 1 bis 2: Betroffenheit prüfen, Verantwortliche festlegen, Management informieren.
- Woche 3 bis 6: Gap-Analyse, Risikoregister, Lieferantenübersicht, Incident- und Backup-Prozess aufsetzen.
- Woche 7 bis 10: MFA, Berechtigungen, Notfallkommunikation, Schulung der Schlüsselrollen.
- Woche 11 bis 14: Registrierung, Dokumentation, erste Übung, Management-Review.
Was kostet NIS2-Compliance für KMU?
NIS2-Kosten für KMU liegen in der Praxis meist nicht bei null, aber auch nicht automatisch im sechsstelligen Konzernbereich. Eine realistische Bandbreite für einen pragmatischen Einstieg liegt häufig zwischen 30.000 und 150.000 EUR, abhängig von Reifegrad, Branche, technischer Komplexität und vorhandenen Nachweisen. Diese Spanne ist deutlich unter den Kosten voll ausgebauter Programme, reicht aber aus, um Governance, Basisdokumentation, technische Mindestmaßnahmen und externe Unterstützung sauber aufzusetzen.
Typische Kostenblöcke sind:
| Kostenblock | Typische Größenordnung für KMU |
|---|---|
| Gap-Analyse und Beratung | 5.000 bis 25.000 EUR |
| Richtlinien, Dokumentation, Lieferantenprüfung | 5.000 bis 20.000 EUR |
| MFA, Backup, Logging, Schwachstellenmanagement | 10.000 bis 50.000 EUR |
| Schulung und Übungen | 2.000 bis 15.000 EUR |
| Externer Support für Incident Response oder Informationssicherheit | 8.000 bis 40.000 EUR |
Die teuerste Fehlentscheidung ist für KMU fast immer die falsche Reihenfolge. Wer zuerst Werkzeuge kauft und erst später Governance, Rollen und Kritikalitäten klärt, investiert oft in Technik ohne Priorisierung. Wirtschaftlicher ist es, zunächst die kritischen Dienste, Kernsysteme und Lieferanten zu identifizieren und dann die Art.-21-Maßnahmen daran auszurichten.
Besonders sinnvoll ist für KMU folgende Reihenfolge:
- Betroffenheitsprüfung und Scoping.
- Dokumentierte Verantwortlichkeiten und Management-Freigabe.
- MFA, Backup, Logging und Patch-Prozess.
- Incident Response und Lieferantensteuerung.
- Erst danach Ausbau in Richtung Monitoring, externe Audits oder tiefere Automatisierung.
Wenn Sie die Kostenseite vertiefen möchten, ist der Beitrag NIS2-Kosten der Umsetzung die passende Ergänzung.
Fördermöglichkeiten für KMU
Fördermöglichkeiten für NIS2-KMU sind 2026 kein Allheilmittel, können aber den Einstieg erheblich erleichtern. Besonders relevant sind Programme, die Organisationsentwicklung, Digitalisierung oder Beratungsleistungen unterstützen. In der Research-Basis werden vor allem INQA-Coaching, verschiedene Landesförderungen und mögliche Nachfolger früherer Digitalisierungsprogramme wie go-digital als prüfungsrelevant genannt.
Für KMU ist wichtig, Förderlogik und NIS2-Logik sauber zu trennen. NIS2 fordert ein Sicherheitsniveau unabhängig davon, ob Fördermittel verfügbar sind. Förderungen helfen bei Beratung, Prozessen, Kompetenzaufbau oder Digitalisierung, ersetzen aber keine klare Priorisierung. Gerade Programme mit Zuschüssen für Beratung oder Organisationsentwicklung lassen sich gut für Gap-Analyse, Richtlinienarbeit, Verantwortlichkeitsmodelle oder Schulungsprogramme nutzen.
Praktisch sollten KMU so vorgehen:
- Prüfen Sie zuerst, welche Maßnahmen intern ohnehin sofort nötig sind.
- Prüfen Sie parallel, ob Beratungs- oder Coaching-Leistungen förderfähig sind.
- Verknüpfen Sie Förderantrag und Umsetzungsplan, damit keine Doppeldokumentation entsteht.
- Rechnen Sie konservativ, weil Förderzusagen zeitlich nachgelagert sein können.
Schritt für Schritt: NIS2-Umsetzung mit begrenztem Budget
NIS2-Umsetzung mit begrenztem Budget ist für KMU möglich, wenn der Fokus auf Reihenfolge statt Perfektion liegt. Die beste Strategie lautet nicht „alles gleichzeitig“, sondern „zuerst die größten Risiken und Nachweislücken schließen“. Für ein mittelständisches Unternehmen mit knappen Ressourcen ist ein 90-Tage-Programm oft wirksamer als ein überladener Jahresplan.
Phase 1: Klären, was wirklich kritisch ist
Beginnen Sie mit einer Liste Ihrer kritischen Dienste, Systeme, Standorte und Dienstleister. Ein KMU muss nicht jeden Büroprozess auf das gleiche Sicherheitsniveau heben. Entscheidend ist, welche Systeme Produktion, Serviceerbringung, Datenverfügbarkeit oder Kundenverträge tatsächlich tragen.
Phase 2: Governance minimal, aber belastbar aufsetzen
Benennen Sie eine verantwortliche Person, definieren Sie ein kleines Steuerungsteam und lassen Sie eine kurze Leitlinie von der Geschäftsleitung freigeben. Diese drei Punkte kosten wenig Geld, schaffen aber die Grundlage für alle weiteren Nachweise.
Phase 3: Quick Wins umsetzen
Quick Wins sind bei NIS2 KMU vor allem:
- MFA für Admins, E-Mail, VPN und Cloud-Dienste.
- Geprüfte Backups mit dokumentiertem Wiederanlauf.
- Patch- und Schwachstellenprozess.
- Offboarding und Berechtigungsreview.
- Notfallkontaktliste und Meldeweg.
Diese Maßnahmen liefern schnell Wirkung, weil sie sowohl die tatsächliche Angriffsfläche als auch das Audit-Risiko reduzieren.
Phase 4: Lieferkette pragmatisch absichern
Lieferkettensicherheit ist für KMU oft der unterschätzte Hebel. Art. 21 nennt ausdrücklich die Sicherheit in der Lieferkette. Ein Mittelständler braucht dafür kein weltweites Third-Party-Risk-System, aber mindestens eine Klassifizierung der kritischen Dienstleister, eine kurze Sicherheitsabfrage und Vertragsklauseln zu Vorfallmeldungen, Zugriffen und Mindeststandards.
Phase 5: Extern dort zukaufen, wo Spezialwissen fehlt
Outsourcing ist für KMU sinnvoll, wenn Spezialwissen nur punktuell gebraucht wird. Typische Kandidaten sind:
| Besser intern | Besser extern oder hybrid |
|---|---|
| Kritische Geschäftsprozesse definieren | Gap-Analyse und Priorisierung moderieren |
| Verantwortliche benennen | Richtlinienentwurf qualitätssichern |
| Lieferanten priorisieren | Incident-Response-Playbook und Übung begleiten |
| Management-Freigaben treffen | technische Spezialthemen wie Logging oder Schwachstellenmanagement aufsetzen |
Die Regel lautet: Geschäftsverantwortung bleibt intern, Spezial-Know-how kann extern ergänzt werden.
Häufige Fehler bei der NIS2-Umsetzung im Mittelstand
Der häufigste Fehler ist zu spätes Anfangen. Viele KMU behandeln NIS2 erst dann als relevant, wenn ein Kunde Nachweise verlangt oder ein Vorfall passiert. Das ist zu spät, weil Registrierung, Dokumentation und Incident-Response-Strukturen nicht in wenigen Tagen belastbar aufgebaut werden können.
Der zweite Fehler ist die Reduktion auf IT. NIS2 ist keine reine Technikvorschrift. Geschäftsleitung, Einkauf, Personal, Betrieb und Kommunikation müssen eingebunden werden. Wer nur die IT-Abteilung adressiert, baut keine funktionierende Melde- und Entscheidungsstruktur.
Der dritte Fehler ist das Vergessen der Lieferkette. Gerade mittelständische Unternehmen hängen stark an Cloud-Diensten, Managed Services, ERP-Partnern, Produktionszulieferern oder externen Administratoren. Wenn diese Beziehungen nicht erfasst und bewertet sind, bleibt ein zentraler Teil von Art. 21 offen.
Der vierte Fehler ist fehlende Dokumentation. Nicht dokumentierte Sicherheitsmaßnahmen zählen in der Aufsichtspraxis oft nur eingeschränkt. Für KMU ist deshalb ein einfaches, sauberes Nachweissystem wertvoller als ein halbfertiges Großprojekt.
Der fünfte Fehler ist die falsche Erwartung an Rollen. Ein KMU braucht nicht zwingend eine große Sicherheitsabteilung, aber es braucht eindeutige Zuständigkeiten. „Darum kümmert sich die IT mit“ ist kein belastbares Governance-Modell.
FAQ: Die wichtigsten Fragen zu NIS2 KMU
Betrifft NIS2 Unternehmen unter 50 Mitarbeitenden?
NIS2 betrifft typischerweise Unternehmen ab 50 Mitarbeitenden oder mit mehr als 10 Mio. EUR Umsatz beziehungsweise Bilanzsumme in den erfassten Sektoren. Unter 50 Mitarbeitenden besteht oft keine direkte Pflicht. Eine genaue Prüfung ist trotzdem sinnvoll, wenn das Unternehmen in einem besonders sensiblen Bereich tätig ist oder vertraglich Sicherheitsanforderungen aus der Lieferkette erfüllen muss.
Was kostet die Umsetzung für ein KMU?
Für viele KMU liegt ein realistischer Einstieg zwischen 30.000 und 150.000 EUR. Der Betrag hängt davon ab, wie viel bereits vorhanden ist. Unternehmen mit MFA, Backup, Dokumentation und klaren Verantwortlichkeiten starten günstiger als Unternehmen ohne strukturierte Sicherheitsorganisation.
Brauche ich einen CISO?
Ein eigener Vollzeit-CISO ist für viele KMU nicht zwingend. Notwendig ist aber eine klar benannte Sicherheits- oder Compliance-Verantwortung mit Mandat, Zeit und Berichtslinie. Externe Unterstützung kann diese Rolle ergänzen, aber nicht die Managementverantwortung ersetzen.
Gilt NIS2 auch für Zulieferer?
Teilweise ja. Zulieferer können selbst direkt betroffen sein oder indirekt über Anforderungen ihrer Kunden in NIS2-relevanten Lieferketten unter Druck geraten. Besonders oft betrifft das IT-Dienstleister, MSPs, Cloud-Partner und kritische Produktionszulieferer.
Ab wann drohen Strafen?
Strafen drohen, wenn eine betroffene Einrichtung Pflichten aus dem nationalen NIS2-Rahmen verletzt, etwa bei Registrierung, Risikomanagement oder Vorfallmeldung. Zusätzlich entstehen Haftungs- und Vertragsrisiken schon lange vor einem Bußgeldbescheid, wenn Sicherheitsorganisation und Managementaufsicht unzureichend sind.
Was ist der sinnvollste erste Schritt?
Der sinnvollste erste Schritt ist fast immer die dokumentierte Betroffenheitsprüfung. Danach folgen Verantwortlichkeiten, eine kurze Gap-Analyse und wenige priorisierte Quick Wins. Wer sofort mit Technik beginnt, ohne Scope und Kritikalitäten zu kennen, investiert oft am falschen Punkt.
Fazit und CTA
NIS2 für KMU ist vor allem eine Frage der richtigen Einordnung und der richtigen Reihenfolge. Wenn Ihr Unternehmen ab 50 Mitarbeitenden oder ab 10 Mio. EUR Umsatz beziehungsweise Bilanzsumme in einem der 18 NIS2-Sektoren tätig ist, sollten Sie nicht auf spätere Klärung hoffen, sondern Betroffenheit, Art.-21-Maßnahmen, BSI-Registrierung, Kosten und Verantwortlichkeiten jetzt strukturiert aufsetzen. Die Zahl von rund 29.500 betroffenen Unternehmen in Deutschland zeigt, dass es sich nicht um ein Spezialthema für wenige Großkonzerne handelt, sondern um eine breite Mittelstandsrealität.
Wenn Sie den nächsten Schritt praktisch angehen wollen, starten Sie mit dem NIS2-Betroffenheitscheck, vertiefen Sie die operative Registrierung im Beitrag zur BSI-Registrierung unter NIS2 und planen Sie anschließend eine NIS2-Schulung für Geschäftsleitung, IT und Schlüsselrollen. Genau so entsteht aus regulatorischem Druck ein realistischer Umsetzungsplan statt eines überdimensionierten Compliance-Projekts.