Zum Inhalt springen
CAVORT CAVORT
[←] BLOG
15. März 2026

NIS2 - was Mittelstand jetzt tun muss.

2026 ist das Jahr der Umsetzung

NIS2 ist seit Oktober 2024 in deutsches Recht umgesetzt. Trotzdem behandeln viele mittelständische Unternehmen das Thema immer noch als “kümmern wir uns nächstes Quartal”. 2026 wird das zum Problem: Die ersten behördlichen Kontrollen laufen, erste Bußgelder werden kassiert, und die Versicherer fangen an, NIS2-Compliance als Voraussetzung für Cyber-Policen zu verlangen.

Dieser Artikel fasst zusammen, was aus unserer Sicht als IT-Dienstleister für mittelständische Kundschaft konkret zu tun ist. Er ersetzt keine Rechtsberatung, und er ist keine vollständige Checkliste. Er ist der Minimal-Satz an Maßnahmen, mit dem wir aktuell durch Audit-Gespräche kommen.

Sind Sie überhaupt betroffen?

Die erste Frage ist nicht “Wie erfüllen wir NIS2?”, sondern “Gilt NIS2 für uns?”. Drei Pfade führen dazu:

  1. Direkter Sektor-Bezug. Wenn Ihr Unternehmen in einem der 18 wesentlichen oder wichtigen Sektoren tätig ist (Energie, Verkehr, Bank, Finanz-Infrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienst-Management, öffentliche Verwaltung, Raumfahrt, Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung) UND Sie die Größenschwellen reißen (50+ Mitarbeiter oder 10+ Mio. EUR Umsatz als wichtig, 250+ oder 50+ Mio. als wesentlich), sind Sie in der Pflicht.

  2. Lieferketten-Bezug. Auch wenn Sie selbst nicht direkt betroffen sind, können Auftraggeber aus betroffenen Sektoren von Ihnen NIS2-konforme Prozesse verlangen. Wir sehen das gerade bei Automotive-Zulieferern, Energie-Dienstleistern und Medizin-Zulieferern: Die OEMs und Betreiber schieben ihre Pflichten per Vertrag weiter.

  3. Versicherungs-Bezug. Cyber-Versicherungen verlangen zunehmend NIS2-äquivalente Kontrollen, auch wenn keine gesetzliche Pflicht besteht. Wer seine Cyber-Versicherung behalten oder verlängern will, sollte die wichtigsten NIS2-Maßnahmen umgesetzt haben.

Wenn nichts davon auf Sie zutrifft, können Sie diesen Artikel trotzdem lesen. Die beschriebenen Maßnahmen sind unabhängig von NIS2 vernünftig.

Die sieben Kern-Maßnahmen

NIS2 Artikel 21 listet die Anforderungen an “technische, operative und organisatorische Maßnahmen”. Verdichtet läuft das auf sieben Handlungs-Felder hinaus:

1. Risikomanagement-Konzept

Sie brauchen ein dokumentiertes Verfahren, wie Sie Cyber-Risiken identifizieren, bewerten und priorisieren. Das ist kein 200-seitiges Tabellenwerk, aber auch kein Halbseiten-PDF. Ein pragmatisches Risikomanagement-Dokument umfasst:

  • Liste der kritischen Systeme (Mail, Datei-Server, ERP, Buchhaltung, Produktions-IT)
  • Pro System eine Bewertung von Vertraulichkeit, Integrität, Verfügbarkeit
  • Identifizierte Bedrohungen und aktuelle Schutz-Maßnahmen
  • Restrisiko und Maßnahmen zur Risikominderung

Wir erstellen so ein Dokument typischerweise in zwei bis vier Wochen Projekt-Arbeit mit unserer Kundschaft.

2. Incident-Response-Plan

Was passiert, wenn es zu einem Cyber-Vorfall kommt? NIS2 verlangt Melde-Pflichten innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Erstmeldung). Ohne vorbereiteten Plan werden diese Fristen nicht eingehalten. Der Plan sollte:

  • Eskalationswege definieren (intern und extern)
  • Melde-Vorlagen für BSI/Behörde bereithalten
  • Forensik-Dienstleister vorab kontraktieren
  • Kommunikations-Vorlagen für Kunden und Presse enthalten

3. Backup und Wiederherstellung

Backups sind nicht NIS2-spezifisch, aber NIS2 macht Kontrollen zur Pflicht. Das bedeutet: Backups müssen nicht nur existieren, sondern auch nachweislich funktionieren. Wir empfehlen monatliche Test-Wiederherstellungen mit Protokoll. Die 3-2-1-Regel (drei Kopien, zwei Medien, eine off-site) ist Standard, bei ransomware-exponierten Umgebungen zusätzlich eine Offline/Air-Gap-Kopie.

4. Zugriffs-Management

Multi-Faktor-Authentifizierung für alle externen Zugänge, dokumentierte Berechtigungs-Konzepte, regelmäßige Zugriffs-Reviews, zeitnahe Löschung von Accounts bei Austritt. Konkret: Wir sehen in Audit-Vorbereitungen regelmäßig ehemalige Mitarbeiter, die noch Zugang zu Kunden-Portalen haben. Das ist der einzige Punkt, an dem ein NIS2-Audit mit Sicherheit durchfällt.

5. Supply-Chain-Sicherheit

Sie müssen dokumentieren, welche externen Dienstleister Zugang zu Ihren Systemen haben und wie Sie deren Sicherheit bewerten. Für Cloud-Anbieter heißt das in der Regel: Auftrags-Verarbeitungs-Vertrag, SOC-2- oder ISO-27001-Nachweis, Dokumentation der Daten-Kategorien. Für kleinere Dienstleister reicht oft eine Sicherheits-Selbst-Auskunft.

6. Grundlegende IT-Hygiene

Patch-Management, Endpoint-Protection, Netzwerk-Segmentierung, sichere Konfigurations-Baselines, Verschlüsselung von Datenträgern. Das ist operatives Tagesgeschäft, aber NIS2 verlangt Nachweise. Wir empfehlen, die wichtigsten Punkte im Monitoring messbar zu machen (Patch-Stand, EDR-Coverage, Backup-Erfolg).

7. Schulungen

Geschäftsführung und Mitarbeitende müssen regelmäßig geschult werden. Die Pflicht für Geschäftsführer ist explizit in NIS2 festgeschrieben und nicht delegierbar. Wir arbeiten mit jährlichen Pflicht-Schulungen und Phishing-Simulationen in unregelmäßigem Abstand.

Was realistisch Aufwand kostet

Die ehrliche Einschätzung für einen Mittelständler mit 50-250 Arbeitsplätzen:

  • Initial-Aufwand: 30-80 Personen-Tage über drei bis sechs Monate, davon etwa die Hälfte externe Beratung/Umsetzung
  • Laufender Aufwand: 0,5-1,5 Tage pro Monat für Betrieb, Monitoring, Nachweise
  • Budget Initial: typischerweise 15.000 bis 40.000 Euro als externe Kosten (Beratung, Tool-Anpassungen, Schulungen)
  • Budget laufend: 200 bis 500 Euro pro Monat für Überwachung, Nachweise, Tool-Lizenzen

Das ist viel, aber kein Sprung ins Leere. Die meisten Maßnahmen sind sowieso sinnvoll. NIS2 zwingt nur dazu, es jetzt zu machen und nicht mehr zu verschieben.

Wie wir begleiten

Wir haben einen strukturierten Ansatz für NIS2-Vorbereitung:

  1. Vier-Stunden-Screening-Gespräch. Gemeinsam klären wir, ob Sie überhaupt betroffen sind und wo die größten Lücken liegen.
  2. Gap-Analyse. Wir prüfen den aktuellen Stand gegen NIS2 und erstellen einen priorisierten Maßnahmen-Plan.
  3. Umsetzungs-Begleitung. Wir bauen die technischen Maßnahmen um und koordinieren mit Ihrer Rechtsberatung die organisatorischen.
  4. Audit-Vorbereitung. Wir bereiten die Nachweise für eine behördliche oder Versicherungs-Prüfung auf.

Das ist keine Einmal-Leistung. NIS2-Compliance ist ein Prozess, kein Zertifikat. Wir betreuen Bestands-Kundschaft auch laufend mit den Dokumentations-Pflichten und Monitoring-Berichten.

Wenn Sie unsicher sind, wo Sie stehen, vereinbaren Sie ein Kennenlerngespräch. Die ersten 30 Minuten sind immer kostenfrei.

[K] KONTAKT

Passt zu Ihrem Setup? Lassen Sie uns reden..

Gespräch anfragen.
[←] BLOG