Zum Inhalt springen
Zurück zum Blog
NIS2
·Rouwen Behncke
7 Min.

NIS2 gilt jetzt - auch wenn ihr nicht direkt betroffen seid

Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft, und zwar ohne Übergangsfrist. Auch wer nicht direkt unter die Richtlinie fällt, ist oft indirekt betroffen, weil größere Kunden Sicherheitsnachweise von ihren Zulieferern verlangen. Dieser Beitrag erklärt, warum NIS2 auch kleine Betriebe erreicht und was ihr jetzt konkret tun müsst.

NIS2 gilt jetzt - auch wenn ihr nicht direkt betroffen seid

Das Wichtigste in Kürze

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft - und zwar ohne Übergangsfrist. Wer betroffen ist - muss die Pflichten seit dem Tag der Verkündung erfüllen. Laut Bundesregierung fallen rund 29.500 Unternehmen direkt unter die neuen Vorgaben. Die Frist zur Registrierung beim BSI ist am 6. März 2026 bereits abgelaufen.

Für kleinere Betriebe kommt es auf einen anderen Punkt an: Auch wenn euer Unternehmen zu klein für eine direkte Betroffenheit ist - kann euch NIS2 über die Lieferkette erreichen. Eure größeren Kunden müssen die Sicherheit ihrer Zulieferer nachweisen und geben diese Anforderung vertraglich an euch weiter. So betrifft NIS2 in der Praxis weit mehr als die genannten 29.500 Firmen.

Was ist NIS2 - in einem Satz

NIS2 ist eine EU-weite Vorschrift - die Unternehmen zu einem Mindestmaß an Cybersicherheit verpflichtet - von der Multi-Faktor-Anmeldung über Backups bis zur Meldung von Sicherheitsvorfällen an eine Behörde. In Deutschland setzt das NIS2-Umsetzungsgesetz diese EU-Richtlinie in nationales Recht um.

Bin ich direkt betroffen? Der schnelle Check

NIS2 unterscheidet zwei Stufen. Prüft euch anhand dieser drei Kriterien: Sektor - Mitarbeitendenzahl und Umsatz.

  • Wesentliche Einrichtung: ab 250 Mitarbeitenden oder 50 Mio. Euro Umsatz in einem von 11 besonders kritischen Sektoren (z. B. Energie - Transport - Gesundheit - digitale Infrastruktur).
  • Wichtige Einrichtung: ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz in einem von 7 weiteren wichtigen Sektoren (z. B. verarbeitendes Gewerbe - Lebensmittel - Chemie - Post- und Kurierdienste).
  • Größenunabhängig betroffen: einige Sonderfälle wie DNS-Dienste - Vertrauensdiensteanbieter oder Telekommunikation - unabhängig von der Firmengröße.

Wenn ihr in keine dieser Gruppen fallt - seid ihr nicht direkt verpflichtet. Lest trotzdem den nächsten Abschnitt - er betrifft euch wahrscheinlich.

Der eigentliche Hebel: die Lieferkette

Eine der zehn Pflichten aus NIS2 ist die Lieferkettensicherheit. Betroffene Unternehmen müssen die Cybersicherheit ihrer Dienstleister und Zulieferer bewerten und vertraglich absichern. Im Klartext: Ein großer Kunde - der selbst unter NIS2 fällt - wird von euch Nachweise verlangen - etwa zu Backups - Zugangsschutz - Notfallplänen oder einem Sicherheitskonzept.

Für viele kleine und mittlere Betriebe heißt das: Nicht das Gesetz selbst - sondern der Einkauf eures größten Kunden macht NIS2 plötzlich zu eurem Thema. Wer hier vorbereitet ist - bleibt Lieferant. Wer keine Nachweise liefern kann - riskiert den Auftrag.

5 Sofortmaßnahmen - die ihr ohne IT-Studium versteht

Diese fünf Punkte decken den Großteil dessen ab - was NIS2 und eure Kunden erwarten:

  1. Multi-Faktor-Anmeldung (MFA) für alle wichtigen Zugänge - Passwort plus zweiter Faktor aufs Handy.
  2. Backups nach der 3-2-1-Regel plus mindestens ein Wiederherstellungstest pro Jahr.
  3. Klare Meldewege für Sicherheitsvorfälle: Wer wird wann informiert - wer meldet ans BSI (24h / 72h / 1 Monat)?
  4. Risikoanalyse der kritischen Systeme - welche Ausfälle würden euch wirklich treffen?
  5. Schulung der Mitarbeitenden - der häufigste Einstieg für Angreifer bleibt der Mensch - nicht die Technik.

Checkliste: Seid ihr NIS2-fit?

  • ☐ Betroffenheit geprüft (Sektor - Mitarbeitende - Umsatz)
  • ☐ Mit euren Großkunden geklärt - welche Nachweise sie verlangen
  • ☐ MFA auf allen wichtigen Konten aktiv
  • ☐ Backup-Strategie dokumentiert und getestet
  • ☐ Meldewege und Notfallplan schriftlich festgehalten
  • ☐ Verantwortliche Person für IT-Sicherheit benannt
  • ☐ Geschäftsleitung in eine Cybersicherheits-Schulung eingetragen

Häufige Fragen zu NIS2 (FAQ)

Gilt NIS2 auch für Firmen unter 50 Mitarbeitenden?

Direkt meist nicht - die Schwelle liegt bei 50 Mitarbeitenden oder 10 Mio. Euro Umsatz. Indirekt aber sehr wohl - wenn ihr Zulieferer eines betroffenen Unternehmens seid.

Was passiert - wenn wir nichts tun?

Direkt Betroffene riskieren Bußgelder und Aufsichtsmaßnahmen des BSI. Indirekt Betroffene riskieren den Verlust von Aufträgen - wenn sie ihren Kunden keine Sicherheitsnachweise liefern können.

Müssen wir uns beim BSI registrieren?

Nur direkt betroffene Einrichtungen. Die erste Registrierungsfrist endete am 6. März 2026 - wer darunterfällt und es versäumt hat - sollte das umgehend nachholen.

Reicht ein IT-Dienstleister als Nachweis?

Ein qualifizierter Partner setzt die technischen Maßnahmen um und liefert die Dokumentation. Die Verantwortung bleibt aber bei eurer Geschäftsleitung - sie lässt sich nicht auslagern.

Fazit

NIS2 ist längst keine Zukunftsmusik mehr - das Gesetz gilt seit Dezember 2025. Auch wenn ihr nicht direkt verpflichtet seid - holt euch die Pflicht über eure Kunden ein. Wer die fünf Sofortmaßnahmen umsetzt und sauber dokumentiert - ist sowohl rechtlich als auch im Wettbewerb auf der sicheren Seite.

Unsicher - ob und wie euch NIS2 trifft? Wir machen mit euch eine kostenlose Ersteinschätzung und liefern die Nachweise - die eure Kunden verlangen - mehr dazu auf unserer Seite IT-Compliance & NIS2.

Quellen

Fragen zu diesem Thema?

Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.

Baltaris - Einfach. Sicher. Eure IT.
    RB

    Rouwen Behncke

    Geschäftsführer, Baltaris GmbH

    LinkedIn-Profil