Die EU-Richtlinie NIS2 zieht den Kreis betroffener Unternehmen weit in den Mittelstand hinein und macht die Geschäftsführung persönlich verantwortlich.
NIS2 macht IT-Sicherheit zur Chefsache: Die Geschäftsführung muss die Risikomaßnahmen billigen, ihre Umsetzung überwachen und kann bei nachweisbaren Versäumnissen persönlich haften — mit Bußgeldern bis 10 Millionen Euro. Mit rund zwölf gezielten Maßnahmen sind die meisten Mittelständler in etwa 90 Tagen handlungsfähig.
NIS2 betrifft Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in den von der Richtlinie genannten Sektoren — und über die Lieferkette zahlreiche weitere Betriebe darunter. Die EU-Richtlinie NIS2 (Network and Information Security 2, Richtlinie EU 2022/2555) erweitert den Kreis der regulierten Unternehmen erheblich gegenüber der Vorgängerregelung von 2016.
Während die alte NIS-Richtlinie vor allem klassische Betreiber kritischer Infrastrukturen wie Energie, Wasser oder Verkehr im Blick hatte, unterscheidet NIS2 nun zwischen wesentlichen und wichtigen Einrichtungen über insgesamt 18 Sektoren — darunter auch Verarbeitendes Gewerbe, Maschinenbau, Lebensmittel, Chemie, Abfallwirtschaft und digitale Dienste. In Deutschland setzt das NIS2-Umsetzungsgesetz die Vorgaben in nationales Recht um; nach Schätzungen des Bundes fallen dadurch rund 29.000 Unternehmen direkt unter die Pflichten.
Die Schwellenwerte orientieren sich an der EU-Definition für mittlere Unternehmen: Wer 50 oder mehr Personen beschäftigt oder mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme erreicht und in einem der genannten Sektoren tätig ist, gilt mindestens als wichtige Einrichtung. Für besonders kritische Branchen liegen die Schwellen höher: Ab 250 Beschäftigten oder 50 Millionen Euro Umsatz wird ein Unternehmen zur wesentlichen Einrichtung mit strengerer Aufsicht. Unterhalb der Schwellen kann eine Einrichtung dennoch erfasst sein, wenn sie als einziger Anbieter eines kritischen Dienstes gilt.
Besonders wichtig: Wer selbst nicht direkt reguliert ist, wird häufig über die Lieferkette in die Pflicht genommen. NIS2 verlangt von betroffenen Unternehmen ausdrücklich, die Sicherheit ihrer Zulieferer zu berücksichtigen — diese Anforderungen werden vertraglich weitergereicht. So entsteht ein Dominoeffekt, der weit in den Mittelstand hineinreicht, bis zu Zulieferern, die mit kritischer Infrastruktur auf den ersten Blick nichts zu tun haben. Ein kleiner Softwarezulieferer eines Energieversorgers etwa kann mittelbar dieselben Sicherheitsanforderungen erfüllen müssen wie sein großer Kunde.
Die Faustregel lautet daher: Lieber die eigene Betroffenheit sauber prüfen, als sich auf ein vermeintliches „Das betrifft uns nicht“ zu verlassen. Eine kurze Einordnung anhand von Branche, Größe und Kundenstruktur schafft Klarheit, bevor Fristen Druck machen. Eine wesentliche Pflicht greift dabei früh: Betroffene Einrichtungen müssen sich aktiv bei der zuständigen Behörde — in Deutschland dem BSI — registrieren. Diese Selbstidentifikation nimmt Ihnen niemand ab; sie ist Bringschuld des Unternehmens.
NIS2 verpflichtet die Leitungsebene ausdrücklich, die Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und sich selbst regelmäßig schulen zu lassen — und macht sie bei nachweisbaren Versäumnissen persönlich verantwortlich. Artikel 20 der Richtlinie nennt diese Pflichten der Geschäftsleitung beim Namen. Sicherheit ist damit kein reines IT-Thema mehr, sondern eine Führungsaufgabe.
Damit verschiebt sich die Verantwortung spürbar. Ein Sicherheitsvorfall ist nicht mehr allein ein Problem der IT-Abteilung, sondern fällt auf die Geschäftsführung zurück. Wer die Augen vor bekannten Risiken verschließt, kann sich später nicht darauf berufen, „nichts gewusst“ zu haben. Das deutsche Umsetzungsgesetz sieht für Verstöße empfindliche Bußgelder vor — bei wesentlichen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Diese Verantwortung lässt sich auch nicht vollständig delegieren. Sie können die Umsetzung an einen Partner wie implec übergeben, die Aufsichts- und Sorgfaltspflicht bleibt jedoch bei Ihnen. Genau deshalb gehört das Thema auf die Agenda der Geschäftsleitung — und nicht nur in den Serverraum.
Die wichtigste Frage ist nicht, ob Sie betroffen sind — sondern ob Sie im Ernstfall nachweisen können, dass Sie gehandelt haben.
Die geforderte Schulungspflicht ist dabei kein Detail am Rande. Sie soll sicherstellen, dass Entscheider Risiken überhaupt einschätzen können — denn nur wer die Gefahren versteht, kann Maßnahmen sinnvoll billigen und überwachen.
NIS2 schreibt in Artikel 21 einen Mindestkatalog technischer und organisatorischer Maßnahmen vor — von Risikoanalyse über Backup und Verschlüsselung bis zu Schulungen und Lieferkettensicherheit. Statt das als überbordendes Mammutprojekt zu begreifen, lohnt sich der Fokus auf die Hebel mit der größten Wirkung. Die folgenden Bausteine bilden für die meisten Mittelständler das Fundament:
Ergänzt um Awareness-Schulungen, zeitnahes Patch-Management, Zugriffskontrolle, Verschlüsselung, Netzsegmentierung und ein Meldewesen für Vorfälle sind die meisten Betriebe damit in rund 90 Tagen handlungsfähig. Wichtig ist die Reihenfolge: zuerst die Maßnahmen mit hohem Schutzwert und überschaubarem Aufwand, danach die Feinarbeit.
Viele dieser Bausteine sind keine NIS2-Erfindung, sondern lehnen sich an etablierte Standards wie ISO/IEC 27001 oder den BSI IT-Grundschutz an. Wer hier bereits aufgestellt ist, hat einen großen Teil der Arbeit getan. Niemand muss alles auf einmal stemmen — ein klar priorisierter Fahrplan macht aus einer abstrakten Richtlinie eine Liste konkreter, abarbeitbarer Schritte. Eine wirksame Maßnahme gegen die häufigste Angriffsform ist dabei der gezielte Schutz vor Ransomware.
Der pragmatische Weg beginnt mit einer Bestandsaufnahme: Was ist bereits vorhanden, wo klaffen Lücken? Aus dieser Gap-Analyse — dem Abgleich zwischen Soll und Ist — ergibt sich eine priorisierte Liste, die schwarz auf weiß zeigt, wo Sie stehen und was als Nächstes zu tun ist. Mit über 6.500+ von uns betreuten Systemen kennen wir bei implec die typischen Lücken im Mittelstand und wissen, wo sich der Hebel zuerst lohnt.
Wichtig ist die saubere Dokumentation. NIS2 verlangt nicht nur, dass Sie handeln, sondern auch, dass Sie es belegen können. Wer im Ernstfall nachweisen muss, dass die Leitungsebene ihrer Sorgfaltspflicht nachgekommen ist, braucht diese Nachweise schwarz auf weiß. Eine nachträgliche Rekonstruktion ist mühsam und selten überzeugend — und vor einer Behörde wenig wert. Dazu gehören eine dokumentierte Risikoanalyse, schriftliche Richtlinien, Schulungsnachweise und ein nachvollziehbares Protokoll der getroffenen Entscheidungen.
Genauso wichtig ist, dass die Umsetzung nicht im Projektordner verstaubt. Sicherheit ist kein einmaliges Ereignis, sondern ein laufender Prozess. NIS2 fordert ausdrücklich einen kontinuierlichen Verbesserungsansatz: Regelmäßige Überprüfungen, etwa über laufendes Monitoring und wiederkehrende Audits, halten die Maßnahmen aktuell — und die Geschäftsführung auf der sicheren Seite. Bewährt hat sich der Plan-Do-Check-Act-Zyklus aus der ISO 27001: planen, umsetzen, überprüfen, verbessern, und dann von vorn.
In der Praxis hat sich ein Drei-Phasen-Vorgehen bewährt: erst die Bestandsaufnahme und Risikobewertung, dann die Umsetzung der priorisierten Maßnahmen, schließlich der Aufbau eines dauerhaften Betriebs mit Monitoring, Schulung und regelmäßiger Wiedervorlage. So bleibt das Thema beherrschbar, statt zum Dauerstress zu werden. Wer früh beginnt, kann die Maßnahmen in den normalen IT-Betrieb einweben, statt sie unter Zeitdruck nachzurüsten — das senkt Aufwand und Risiko zugleich.
NIS2 schreibt enge, gestufte Meldefristen vor: Eine erste Frühwarnung muss innerhalb von 24 Stunden an die zuständige Behörde gehen, eine ausführlichere Meldung innerhalb von 72 Stunden, und ein Abschlussbericht spätestens nach einem Monat. Wer diesen Ablauf erst im Schadensfall improvisiert, verliert wertvolle Zeit — und Zeit ist im Ernstfall die knappste Ressource.
Deshalb gehört ein klar definierter Meldeprozess zur Pflichtausstattung: Wer entscheidet, wer meldet, an wen, in welcher Frist. Diese Fragen müssen vorab geklärt sein, nicht im Stress des laufenden Vorfalls. Ein einfacher, durchgespielter Ablauf verhindert, dass im entscheidenden Moment niemand zuständig ist. In Deutschland ist das BSI die zentrale Meldestelle, und die 24-Stunden-Uhr beginnt zu laufen, sobald der Vorfall als erheblich eingestuft wird.
Kombiniert mit einem geübten Notfallplan wird aus einer Krise ein beherrschbarer Vorgang. Genau hier zahlt sich ein verlässlicher Partner aus, der im Ernstfall mit anpackt und den Überblick behält, während Ihr Team sich auf das Kerngeschäft konzentriert. Mit einer durchschnittlichen Reaktionszeit von 29 Minuten ist implec im Bedarfsfall schnell an Ihrer Seite.
Die Kosten der Umsetzung hängen stark vom Ausgangszustand ab, liegen aber für gut aufgestellte Mittelständler meist deutlich unter den möglichen Bußgeldern und Schadenssummen eines Vorfalls. Wer bereits zentrale Maßnahmen wie MFA, getestete Backups und Patch-Management betreibt, muss vor allem nachdokumentieren und Prozesse formalisieren — nicht alles neu aufbauen.
Dem stehen erhebliche Risiken gegenüber. Bei wichtigen Einrichtungen drohen Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, bei wesentlichen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent. Hinzu kommen die ungleich höheren Kosten eines tatsächlichen Sicherheitsvorfalls: Betriebsstillstand, Datenverlust, Reputationsschaden und im schlimmsten Fall die persönliche Haftung der Geschäftsführung.
Betrachtet man NIS2 als Investition statt als Pflichtübung, zeigt sich der eigentliche Wert: Die geforderten Maßnahmen senken das Risiko teurer Ausfälle ohnehin und zahlen sich unabhängig von der Richtlinie aus. Gern prüfen wir im persönlichen Gespräch, wo Ihr Unternehmen heute steht und welche Schritte für Sie die wirksamsten sind.
Geschäftsführer bei implec. Schreibt hier über Themen aus dem IT-Alltag des Mittelstands — praxisnah und ohne Buzzword-Bingo.
Alle Beiträge dieses Autors →FAQ
Kurz und konkret beantwortet.
Die EU-Richtlinie ist seit Januar 2023 in Kraft und musste bis Oktober 2024 in nationales Recht überführt werden. In Deutschland erfolgt dies über das NIS2-Umsetzungsgesetz. Wer in einer kritischen Lieferkette tätig ist, sollte unabhängig vom Stichtag handeln, da Kunden sich auf vertragliche Sicherheitsvorgaben berufen.
Ja. Artikel 20 der Richtlinie nimmt die Leitungsebene ausdrücklich in die Pflicht — bis hin zur persönlichen Haftung bei nachweisbaren Versäumnissen im Risikomanagement. Die Aufsichts- und Sorgfaltspflicht lässt sich nicht vollständig delegieren.
Die technische und organisatorische Umsetzung können Sie an einen Dienstleister wie implec übergeben. Die Verantwortung für Billigung und Überwachung bleibt jedoch bei der Geschäftsführung. Auch die geforderte Schulung der Leitungsebene lässt sich nicht delegieren.
Mit Fokus auf die wirkungsvollsten Maßnahmen sind die meisten Mittelständler in rund 90 Tagen handlungsfähig. Der genaue Aufwand hängt vom Ausgangszustand und der Größe Ihres Unternehmens ab — wer bereits ISO-27001-nahe Standards betreibt, ist schneller am Ziel.
Bei wesentlichen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent — jeweils der höhere Betrag. Hinzu kommen die deutlich höheren Folgekosten eines tatsächlichen Sicherheitsvorfalls.
Fragen zu Ihrem Projekt?
Ob IT-Sicherheit oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.
