Was ist NIS2? Warum KMU jetzt reagieren müssen

Warum dieses Thema jetzt wichtig ist

NIS2 klingt erstmal sperrig. Und wenn Du Dich gerade fragst, ob das auch Dein Unternehmen betrifft – kurze Antwort: sehr wahrscheinlich ja. Denn im Unterschied zur ersten NIS-Richtlinie (2016) betrifft die neue Version nicht mehr nur kritische Infrastrukturen wie Energieversorger oder große Telekom-Anbieter. Sondern auch viele kleine und mittlere Unternehmen – oft ohne, dass sie es wissen.

Was steckt dahinter?

Die NIS2-Richtlinie (Network and Information Security 2) ist eine europäische Vorgabe, mit der Cybersicherheit in Unternehmen auf ein einheitliches Mindestniveau gebracht werden soll. Die EU-Mitgliedstaaten mussten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen.

In Deutschland liegt seit 2024 ein Entwurf für das NIS2-Umsetzungsgesetz (NIS2UmsuCG) vor. Die finale Verabschiedung steht jedoch noch aus – ebenso die konkrete Benennung betroffener Branchen und Schwellenwerte. Die außerplanmäßigen Wahlen haben die Verabschiedung weiter hinausgezögert.
Auch in Österreich wurde der nationale Gesetzesentwurf zum NISG 2024 vorgestellt, aber ebenfalls noch nicht beschlossen. Auch hier beeinflusst die Regierungsbildung das Vorhaben negativ.

Das bedeutet: Die Anforderungen sind grundsätzlich klar, aber Details können sich noch ändern – zum Beispiel, welche Unternehmen genau betroffen sind, wie hoch mögliche Bußgelder ausfallen und welche Meldepflichten gelten.

Warum das für Dich relevant ist

Wenn Du für die IT, die Prozesse oder die Sicherheit in Deinem Unternehmen Verantwortung trägst, solltest Du NIS2 ernst nehmen – und zwar nicht erst, wenn das Gesetz in Kraft tritt. Denn bis dahin bleibt nicht viel Zeit, und das Thema ist komplexer, als es auf den ersten Blick wirkt.

Was das konkret für Dich bedeutet, erfährst Du in diesem Artikel:

Was genau NIS2 ist – einfach erklärt
Warum auch KMU betroffen sind (Spoiler: oft indirekt durch Lieferketten)
Welche Anforderungen auf Unternehmen zukommen
Wie Du pragmatisch damit umgehen kannst – ohne Panik

Hinweis in eigener Sache:
Dieser Artikel basiert auf dem Stand vom April 2025. Da die nationalen Gesetze in Deutschland und Österreich noch nicht final beschlossen sind, können sich einzelne Inhalte ändern. Ich aktualisiere den Beitrag regelmäßig – Änderungen werden transparent vermerkt.

Was ist die NIS2-Richtlinie?

Kurz gesagt: NIS2 ist das neue Pflichtprogramm für Cybersicherheit

Die NIS2-Richtlinie ist eine überarbeitete EU-Vorgabe zur Verbesserung der Cybersicherheit – die Abkürzung steht für „Network and Information Security“. Sie löst die bisherige NIS-Richtlinie von 2016 ab und ist Teil der EU-Strategie, digitale Infrastrukturen und Unternehmen resilienter gegen Cyberangriffe zu machen.

Warum das Ganze?
Weil viele Unternehmen und Einrichtungen in Europa nicht ausreichend gegen IT-Vorfälle geschützt waren – mit zum Teil gravierenden Folgen für Lieferketten, Versorgung und öffentliche Sicherheit.

Das Ziel: Einheitliche Mindeststandards für ganz Europa

Mit NIS2 verfolgt die EU ein klares Ziel:

Cybersicherheit soll keine Kür mehr sein, sondern Standard – und zwar in allen Mitgliedstaaten.

Konkret bedeutet das:

Einheitliche Vorgaben für IT-Sicherheit in Unternehmen
Meldepflichten bei Sicherheitsvorfällen (z. B. Ransomware-Angriffe)
Verantwortlichkeiten bei Geschäftsführung und IT-Leitung
Pflicht zur Umsetzung technischer und organisatorischer Maßnahmen

Was ist neu im Vergleich zu NIS1?

Thema	NIS1 (2016)	NIS2 (2022)
Betroffene Unternehmen	Nur wenige „Betreiber kritischer Infrastrukturen“	Viele weitere Unternehmen aus mehr als 15 Sektoren
Pflichten	Allgemein gehalten	Detaillierte Sicherheits- und Meldepflichten
Haftung	Kaum konkretisiert	Verantwortung der Geschäftsleitung gesetzlich verankert
Sanktionen	Uneinheitlich, oft mild	Hohe Bußgelder möglich (bis zu 10 Mio. € oder 2 % vom Umsatz)

Wichtig: Die NIS2-Richtlinie ist nicht nur ein IT-Thema. Sie betrifft Prozesse, Organisation und Management – und hat direkte Auswirkungen auf die Geschäftsleitung.

Wer ist „wesentlich“ oder „wichtig“?

Die NIS2-Richtlinie unterscheidet zwei Hauptkategorien:

Wesentliche Einrichtungen
Unternehmen mit besonders hoher gesellschaftlicher oder wirtschaftlicher Bedeutung – z. B. Energieversorger, Banken, große Gesundheitsdienste.
Wichtige Einrichtungen
Unternehmen, die nicht kritisch, aber trotzdem systemrelevant sind – z. B. mittelständische IT-Dienstleister, Lebensmittelproduzenten, Maschinenbauunternehmen.

Ob Dein Unternehmen dazugehört, hängt von Branche, Größe und Bedeutung ab. In vielen Fällen reicht schon:

Mehr als 50 Mitarbeitende
Oder ein Jahresumsatz über 10 Millionen Euro

Die genauen Kriterien und Schwellenwerte legt jedoch jedes Land in seinem nationalen Gesetz fest – daher ist es so wichtig, die Entwicklung in Deutschland und Österreich im Blick zu behalten.

Wer ist betroffen? – KMU im Fokus

Nicht nur die Großen: NIS2 nimmt auch viele KMU in die Pflicht

Vielleicht denkst Du: „Wir sind doch kein Energiekonzern – das betrifft uns doch nicht.“
Die Realität: Doch, sehr wahrscheinlich betrifft es Euch.

Mit NIS2 weitet die EU den Geltungsbereich deutlich aus. Betroffen sind nicht nur klassische Konzerne oder kritische Infrastrukturen, sondern auch zahlreiche kleine und mittlere Unternehmen – vor allem, wenn sie eine bestimmte Größe überschreiten oder in bestimmten Branchen tätig sind.

Welche Unternehmen sind nach NIS2 betroffen?

Ob ein Unternehmen unter NIS2 fällt, hängt im Wesentlichen von drei Faktoren ab:

Branche (z. B. IT, Transport, Lebensmittel, Maschinenbau, Chemie, Gesundheitswesen, Postdienste etc.)
Größe (ab 50 Mitarbeitenden und/oder 10 Mio. € Jahresumsatz)
Systemrelevanz (auch kleinere Unternehmen, wenn sie z. B. für kritische Lieferketten relevant sind)

Die genauen Schwellenwerte werden durch das nationale Recht in Deutschland und Österreich konkretisiert – der grobe Rahmen steht aber bereits fest.

Beispiele: Diese Unternehmen könnten betroffen sein

Ein IT-Systemhaus mit 60 Mitarbeitenden, das Dienste für Krankenhäuser oder Energieversorger anbietet
Ein Maschinenbau-Unternehmen mit 12 Mio. € Umsatz, das Komponenten für die Industrie produziert
Ein Lebensmittelproduzent, der Supermärkte oder Logistiker beliefert
Ein SaaS-Anbieter, dessen Tool von Behörden oder Versorgern genutzt wird
Ein Entsorgungsbetrieb mit regionaler Bedeutung

Selbst wenn Du aktuell nicht „kritisch“ erscheinst, kann eine Beteiligung an digitalen Lieferketten oder eine Rolle als Zulieferer schon ausreichen.

Warum auch KMU nicht durchrutschen

NIS2 folgt einem klaren Gedanken:

„Wer IT-abhängig arbeitet, soll IT-Sicherheit umsetzen – unabhängig von der Unternehmensgröße.“

Kleinere Unternehmen geraten dabei oft indirekt in die Pflicht, z. B. weil:

Kundinnen und Kunden (z. B. größere Auftraggebende) Nachweise über Sicherheitsmaßnahmen fordern
Du Teil eines kritischen Prozesses oder Systems bist
Du IT-Dienstleistungen für betroffene Branchen anbietest

Häufige Fehlannahmen – und was wirklich stimmt

Annahme	Realität
„Wir sind zu klein für NIS2“	Nicht, wenn Branche oder Umsatz relevant sind
„Unsere IT ist ausgelagert, das reicht“	Nein – die Verantwortung bleibt bei Euch
„Das kommt frühestens 2026“	Gesetzgebung läuft – Umsetzung musste bis 2024 erfolgen, wir sind also bereits im Verzug
„Das betrifft nur IT-Abteilungen“	Geschäftsleitung, Prozesse und Organisation sind mitgemeint

Kurz gesagt: Auch wenn Du Dich nicht als IT-Unternehmen verstehst, die Anforderungen können trotzdem gelten – und zwar verbindlich.

Was bedeutet NIS2 für Dein Unternehmen konkret?

NIS2 klingt nach Bürokratie. Aber im Kern geht es um etwas sehr Handfestes: Dein Unternehmen soll seine IT-Risiken im Griff haben, angemessen reagieren können und Verantwortung übernehmen.
Das betrifft nicht nur die IT-Abteilung, sondern auch Führungskräfte, Prozesse und den Umgang mit Dienstleistern.

Welche Pflichten ergeben sich konkret?

Die Anforderungen aus NIS2 lassen sich in vier zentrale Pflichtbereiche einteilen:

1. Risikomanagement

Unternehmen müssen künftig systematisch prüfen, welche Risiken ihre IT-Systeme, Netzwerke und Dienstleistungen gefährden – und wie sie darauf reagieren können.

Dazu gehört zum Beispiel:

IT- und Prozessrisiken erfassen und bewerten
Technische und organisatorische Maßnahmen (TOMs) dokumentieren
Sicherheitslücken regelmäßig überprüfen (z. B. Schwachstellen-Management)

2. Incident Reporting

Wenn ein schwerwiegender Sicherheitsvorfall passiert (z. B. ein Ransomware-Angriff), gilt:

Melden ist Pflicht – und zwar schnell.

Erste Meldung: innerhalb von 24 Stunden
Detaillierter Bericht: binnen 72 Stunden
Abschlussbericht mit Ursachenanalyse

Diese Pflicht gilt auch, wenn IT-Dienstleister betroffen sind – die Verantwortung bleibt beim Unternehmen selbst.

3. Sicherheitsmaßnahmen

NIS2 verlangt keine „perfekte IT“, aber angemessene Schutzmaßnahmen, angepasst an Branche und Risiko.

Dazu zählen unter anderem:

Zugangskontrollen, Firewalls, Verschlüsselung
Backup- und Wiederherstellungsprozesse
Sicherheitsbewusstsein bei Mitarbeitenden (z. B. Schulungen)
Lieferantenmanagement und Vertragsklauseln

Gut zu wissen: Du musst nicht jedes Detail selbst machen – aber Du musst sicherstellen, dass es gemacht wird.

Wer im Unternehmen ist verantwortlich?

Ein zentraler Unterschied zu früheren Regelungen:

Nicht nur die IT, sondern die Geschäftsleitung trägt Verantwortung.

NIS2 verpflichtet Unternehmen dazu, Verantwortlichkeiten klar zuzuordnen:

Geschäftsführung: trägt die Gesamtverantwortung
IT-Leitung / CISO: kümmert sich um die technische Umsetzung der Maßnahmen
Fachabteilungen: müssen Prozesse und Vorgaben einhalten
Compliance / Datenschutz: unterstützen bei Regelkonformität

Ein fehlender Ansprechpartner oder unklare Rollenverteilung kann im Ernstfall zum Problem werden – und teuer.

Was passiert bei Verstößen?

Die NIS2-Richtlinie sieht spürbare Sanktionen vor. Je nach Land können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist.

Außerdem drohen:

Haftung der Geschäftsführung bei grober Fahrlässigkeit
Vertrauensverlust bei Kunden und Partnern
Ausschluss aus Ausschreibungen oder Lieferketten

Warum es sich trotzdem lohnt

Auch wenn NIS2 auf den ersten Blick wie ein zusätzlicher Pflichtenkatalog wirkt – es gibt auch klare Vorteile:

Vertrauensaufbau: Kunden und Partner sehen, dass Du Verantwortung übernimmst
Reaktionsfähigkeit: Wer vorbereitet ist, kann schneller und effektiver auf Vorfälle reagieren
Wettbewerbsvorteil: IT-Sicherheit wird zum messbaren Qualitätsmerkmal
Fördermittel: In Deutschland und Österreich gibt es verschiedene Unterstützungsangebote

Mit der richtigen Herangehensweise wird NIS2 nicht zur Belastung, sondern zur Chance, das Unternehmen zukunftssicher aufzustellen.

So setzt Du NIS2 pragmatisch um

Die gute Nachricht zuerst: Du musst kein IT-Security-Profi sein, um NIS2 umzusetzen. Was es braucht, ist ein klarer Plan, ein realistischer Blick auf den Status quo – und die Bereitschaft, Schritt für Schritt vorzugehen.

NIS2 ist kein Sprint. Aber Du solltest jetzt anfangen zu gehen.

Erste Schritte: Wo Du starten solltest

Viele Unternehmen wissen noch gar nicht, wo sie stehen. Der erste und wichtigste Schritt ist daher eine Gap-Analyse:

Ist-Zustand erfassen:
Welche Systeme, Prozesse und Schutzmaßnahmen gibt es bereits?
Anforderungen aus NIS2 prüfen:
Was fordert die Richtlinie – und was davon ist schon erfüllt?
Lücken identifizieren:
Wo bestehen Risiken oder fehlende Strukturen?
Verantwortlichkeiten klären:
Wer kümmert sich um was – intern wie extern?

💡 Tipp: Wenn Du noch kein Informationssicherheits-Managementsystem (ISMS) hast, reicht für den Start oft ein leichtgewichtiges Vorgehensmodell, das sich später ausbauen lässt (z. B. nach ISO 27001 oder BSI-Grundschutz).

Was jetzt wichtig ist – Priorisieren mit Augenmaß

Nicht alles muss sofort passieren. Aber folgende Punkte sollten jetzt auf Deine To-do-Liste:

Verantwortliche Person oder Funktion benennen
Interne Sensibilisierung starten (Führungskräfte, IT, Einkauf)
Risikoanalyse vorbereiten oder aktualisieren
Erste Maßnahmen zur Absicherung von IT-Systemen umsetzen
Vorfallmeldeprozesse definieren (wer meldet was an wen?)

👉 Den Rest kannst Du in sinnvollen Phasen angehen – z. B. mit einem Umsetzungsplan über 6 bis 12 Monate.

Tools, Beratung und Fördermittel

Du musst das Rad nicht neu erfinden. Es gibt viele Werkzeuge und Unterstützungsmöglichkeiten:

Tools:
- Risiko-Management-Tools (z. B. verinice, CRISAM)
- Schwachstellen-Scanner, Backup-Lösungen
- ISMS-Vorlagen für KMU
Externe Beratung:
- Unterstützung bei Gap-Analyse, Planung, Umsetzung
- Begleitung durch erfahrene Informationssicherheitsbeauftragte
Förderprogramme:
- In Deutschland: „go-digital“, „Digital Jetzt“
- In Österreich: Förderungen über aws, FFG oder KMU DIGITAL

Schnellcheck: Ist Dein Unternehmen startklar für NIS2?

Thema	Status	Hinweise
Verantwortliche benannt?	☐ Ja / ☐ Nein	Am besten interdisziplinär
Risikoanalyse vorhanden?	☐ Ja / ☐ Nein	Relevante Systeme & Szenarien
IT-Mindestschutz umgesetzt?	☐ Ja / ☐ Nein	z. B. Backups, Zugangsschutz, Updates
Vorfall-Meldeprozess definiert?	☐ Ja / ☐ Nein	Intern + Kontakt zur Behörde
Schulungen durchgeführt?	☐ Ja / ☐ Nein	IT + relevante Fachbereiche
ISMS geplant oder etabliert?	☐ Ja / ☐ Nein	Start mit Basismaßnahmen möglich

Je mehr Haken, desto besser vorbereitet bist Du.
Noch nicht überall grün? Kein Problem – wichtig ist, dass Du jetzt loslegst.

Fazit dieses Abschnitts:
NIS2 lässt sich pragmatisch umsetzen – mit Fokus, Struktur und den richtigen Partnern. Es muss nicht kompliziert sein. Aber es muss gemacht werden.

Fazit: Jetzt aktiv werden – mit Augenmaß und Plan

NIS2 ist keine abstrakte EU-Richtlinie für Tech-Konzerne. Sie ist konkrete Realität für viele Unternehmen – auch im Mittelstand. Der gesetzliche Rahmen in Deutschland und Österreich wird in Kürze finalisiert. Das Zeitfenster für eine gelassene Vorbereitung? Läuft jetzt.

Was Du aus diesem Artikel mitnehmen solltest:

NIS2 betrifft viele KMU, auch wenn sie nicht „kritisch“ erscheinen
Die Anforderungen sind verbindlich, insbesondere für Geschäftsführung und IT
Schutzmaßnahmen, Risikomanagement und Meldepflichten gehören zum Pflichtprogramm
Bußgelder und Reputationsverluste drohen bei Ignorieren – aber:
Wer früh startet, gewinnt Klarheit, Vertrauen und Wettbewerbsvorteile

NIS2 ist kein Grund zur Panik – aber zum Handeln

Wenn Du das Thema strategisch angehst, kannst Du NIS2 sogar als Chance nutzen:

Prozesse werden klarer
IT-Risiken werden greifbarer
Dein Unternehmen wird resilienter gegenüber Cyberangriffen

Entscheidend ist, dass Du jetzt beginnst – mit einem Plan, nicht mit Chaos.

🔎 Mini-FAQ: NIS2 für KMU

Was ist der Unterschied zwischen NIS1 und NIS2?

NIS2 ist die Weiterentwicklung der ersten NIS-Richtlinie von 2016. Die wichtigsten Unterschiede:

Mehr betroffene Unternehmen, insbesondere KMU in systemrelevanten Branchen
Konkretere Anforderungen an Risikomanagement, Meldung und Schutzmaßnahmen
Verantwortung der Geschäftsleitung ist explizit geregelt
Höhere Bußgelder und klarere Zuständigkeiten bei Behörden

Wie finde ich heraus, ob mein Unternehmen betroffen ist?

Wenn Dein Unternehmen…

in einem der über 15 betroffenen Sektoren tätig ist (z. B. IT, Energie, Transport, Produktion)
mehr als 50 Mitarbeitende hat oder über 10 Mio. € Jahresumsatz
oder Teil einer kritischen Lieferkette ist

…dann solltest Du aktiv prüfen, ob Du unter NIS2 fällst. Die genauen Kriterien werden im nationalen Recht festgelegt (in Arbeit in DE und AT).
💡 Tipp: Eine erste Einordnung ist meist schon in einer Kurzberatung oder online auf offiziellen Websites möglich.

Was passiert, wenn ich nichts mache?

Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes (je nachdem, was höher ist)
Haftung der Geschäftsleitung im Fall von grober Fahrlässigkeit
Imageverlust, wenn Sicherheitsvorfälle publik werden
Probleme in der Zusammenarbeit, z. B. durch Audits, Ausschreibungen oder Kundenanforderungen

Muss ich ein ISMS einführen?

Nicht zwingend nach einer bestimmten Norm – aber:
Ein strukturiertes Vorgehen zur Informationssicherheit ist Pflicht. Das bedeutet:

Risiken kennen und bewerten
Schutzmaßnahmen dokumentieren
Verantwortlichkeiten klar regeln
Vorfälle erkennen und melden können

Ein leichtgewichtiges ISMS, angepasst an die Größe und Branche, reicht oft aus – Hauptsache, es ist nachvollziehbar und wirksam.

Gibt es staatliche Förderungen?

Ja – sowohl in Deutschland als auch in Österreich gibt es Programme zur Unterstützung:

Deutschland:
- go-digital (BMWK)
- Digital Jetzt
- Regionale Programme von IHK, Landesministerien oder Digitalagenturen
Österreich:
- KMU DIGITAL
- aws Digitalisierung, FFG Förderungen

Förderung gibt es u. a. für Beratung, Digitalisierungsvorhaben, Schulungen oder technische Investitionen.
Wichtig: Frühzeitig beantragen – viele Programme sind kontingentiert.

Was muss ich bis wann erledigen?

Die nationale Umsetzung ist noch nicht final, aber:
Die EU-weite Frist endete am 17. Oktober 2024 – bis dahin mussten die Mitgliedstaaten ihre Gesetze in Kraft setzen.

Für Unternehmen heißt das: Mit der Vorbereitung jetzt starten – auch wenn noch nicht jedes Detail fix ist.

Wie aufwändig ist die Umsetzung für KMU wirklich?

Das hängt von Deinem aktuellen Stand ab.

Hast Du schon ein Sicherheitskonzept, Backups, Zugangsregeln etc.? → guter Startpunkt
Hast Du bisher kaum dokumentierte IT-Sicherheit? → etwas mehr Aufwand, aber machbar

Mit einer strukturierten Herangehensweise lässt sich NIS2 auch mit begrenzten Ressourcen umsetzen – Schritt für Schritt.

Kann ich externe Hilfe nutzen oder Verantwortung auslagern?

Ja, Du kannst Beratung oder technische Unterstützung beauftragen.
Aber Achtung: Die Verantwortung bleibt beim Unternehmen, insbesondere bei der Geschäftsleitung.

Wer extern beauftragt, muss auch intern verstehen und dokumentieren, was gemacht wird – und warum.

Table of Contents