NIS2-Richtlinie: Was ändert sich 2026 für KMU?
NIS2 ist eine EU-Richtlinie für mehr Cybersicherheit, die in Deutschland über das NIS2-Umsetzungsgesetz gilt. Sie verpflichtet deutlich mehr Unternehmen als bisher zu konkreten Schutzmaßnahmen, Meldepflichten und Nachweisen. Auch viele kleine und mittlere Betriebe sind betroffen, oft als Zulieferer größerer Kunden. Dieser Beitrag zeigt, was ab 2026 auf euch zukommt und wie ihr euch vorbereitet.

Die NIS2-Richtlinie im Überblick
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und erweitert den Kreis der betroffenen Unternehmen erheblich. Ziel ist es - ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU zu schaffen.
Mit der nationalen Umsetzung in Deutschland - dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) - gelten ab 2026 verschärfte Anforderungen für eine Vielzahl von Unternehmen - die bisher nicht reguliert waren.
Wer ist betroffen?
Die NIS2-Richtlinie unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen. Betroffen sind Unternehmen aus 18 Sektoren - darunter:
- Energie: Strom - Gas - Öl - Fernwärme
- Transport: Logistik - Luftfahrt - Schifffahrt - Schiene
- Gesundheit: Krankenhäuser - Labore - Pharmaunternehmen
- Digitale Infrastruktur: Rechenzentren - Cloud-Anbieter - DNS-Dienste
- Verarbeitendes Gewerbe: Maschinenbau - Fahrzeugbau - Elektronik
- Lebensmittel: Produktion und Vertrieb
- Abfallwirtschaft: Entsorgung und Recycling
Die Schwellenwerte: Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz in diesen Sektoren fallen unter die Richtlinie. Manche kritische Einrichtungen sind unabhängig von der Größe betroffen.
Die wichtigsten Anforderungen
1. Risikomanagement
Unternehmen müssen ein systematisches Risikomanagement für ihre IT-Sicherheit einführen. Dazu gehören:
- Regelmäßige Risikoanalysen und -bewertungen
- Maßnahmen zur Behandlung identifizierter Risiken
- Dokumentation aller Prozesse und Entscheidungen
2. Meldepflichten
Bei erheblichen Sicherheitsvorfällen gelten strenge Meldefristen:
- 24 Stunden: Frühwarnung an die zuständige Behörde (BSI)
- 72 Stunden: Detaillierte Meldung mit Bewertung des Vorfalls
- 1 Monat: Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen
3. Technische Maßnahmen
Unternehmen müssen dem Stand der Technik entsprechende Sicherheitsmaßnahmen implementieren:
- Zugangskontrolle und Authentifizierung (Multi-Faktor)
- Verschlüsselung sensibler Daten
- Netzwerksegmentierung
- Regelmäßige Backups und getestete Wiederherstellung
- Patch-Management und Schwachstellenscans
4. Geschäftsleiterhaftung
Neu und besonders relevant: Die Geschäftsleitung haftet persönlich für die Einhaltung der Cybersicherheitspflichten. Geschäftsführende müssen:
- Cybersicherheitsmaßnahmen billigen und deren Umsetzung überwachen
- An regelmäßigen Schulungen teilnehmen
- Bei Pflichtverletzungen mit persönlichen Bußgeldern rechnen
5. Lieferkettensicherheit
Unternehmen müssen auch die Cybersicherheit ihrer Lieferanten und Dienstleister bewerten und vertraglich absichern. Das betrifft insbesondere IT-Dienstleister - Cloud-Anbieter und Softwarehersteller.
NIS2 in Zahlen: Was das BSI sagt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) liefert klare Zahlen zur aktuellen Bedrohungslage - die den Handlungsbedarf verdeutlichen:
- Rund 30.000 Unternehmen in Deutschland fallen voraussichtlich unter die NIS2-Regulierung - eine Verzehnfachung gegenüber der bisherigen NIS-Richtlinie
- Das BSI registrierte im Lagebericht 2025 durchschnittlich 68 neue Schwachstellen pro Tag in Softwareprodukten
- Ransomware bleibt die größte Bedrohung: Laut BSI lag die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff bei 24 Tagen
- Die Schadenssumme durch Cyberangriffe auf die deutsche Wirtschaft beziffert der Bitkom auf über 200 Milliarden Euro jährlich
- Nur etwa 40 % der KMU haben laut einer DIHK-Umfrage ein dokumentiertes IT-Sicherheitskonzept
Diese Zahlen machen deutlich: NIS2 ist keine bürokratische Übung - sondern eine Reaktion auf eine reale und wachsende Bedrohung.
Alle 18 NIS2-Sektoren im Detail
Die NIS2-Richtlinie unterscheidet zwischen Sektoren mit hoher Kritikalität (Annex I) und sonstigen kritischen Sektoren (Annex II):
Annex I - Hohe Kritikalität:
- Energie (Strom - Gas - Öl - Fernwärme - Wasserstoff)
- Transport (Luftfahrt - Schiene - Schifffahrt - Straßenverkehr)
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheit (Krankenhäuser - Labore - Pharma - Medizinprodukte)
- Trinkwasser
- Abwasser
- Digitale Infrastruktur (Rechenzentren - Cloud - DNS - TLD-Registries - CDNs)
- ICT-Service-Management im B2B-Bereich
- Öffentliche Verwaltung
- Weltraum
Annex II - Sonstige kritische Sektoren:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie (Herstellung - Produktion - Handel)
- Lebensmittel (Produktion - Verarbeitung - Vertrieb)
- Verarbeitendes Gewerbe (Medizinprodukte - Elektronik - Optik - Maschinenbau - Fahrzeugbau)
- Digitale Dienste (Online-Marktplätze - Suchmaschinen - soziale Netzwerke)
- Forschungseinrichtungen
Wichtig für KMU in Mecklenburg-Vorpommern: Die maritime Wirtschaft - Logistik und Lebensmittelverarbeitung sind stark vertreten - viele Unternehmen in der Region sind erstmals betroffen.
Bußgelder und Sanktionen
Die NIS2-Richtlinie sieht empfindliche Strafen vor:
- Wesentliche Einrichtungen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem - welcher Betrag höher ist)
- Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem - welcher Betrag höher ist)
- Persönliche Haftung: Geschäftsführende können bei Pflichtverletzungen mit persönlichen Bußgeldern und im Extremfall mit einem temporären Tätigkeitsverbot belegt werden
- Das BSI erhält erweiterte Durchsetzungsbefugnisse: Vor-Ort-Prüfungen - Sicherheitsaudits und die Befugnis - bei akuter Gefahr Maßnahmen anzuordnen
Zum Vergleich: Die Bußgelder unter der bisherigen NIS-Richtlinie betrugen maximal 100.000 Euro - NIS2 verschärft dies um den Faktor 100.
Timeline: Wann wird NIS2 in Deutschland Pflicht?
- Dezember 2022: EU-Richtlinie 2022/2555 (NIS2) veröffentlicht
- Oktober 2024: Ablauf der ursprünglichen Umsetzungsfrist der EU-Mitgliedstaaten
- Frühjahr 2025: Kabinettsentwurf des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) in Deutschland
- Voraussichtlich Q3/Q4 2025: Verabschiedung im Bundestag
- Ab 2026: Inkrafttreten und Geltung der neuen Pflichten für betroffene Unternehmen
- Ab Inkrafttreten: Unternehmen müssen sich innerhalb von 3 Monaten beim BSI registrieren
Empfehlung: Warte nicht auf das Inkrafttreten. Die Umsetzung technischer und organisatorischer Maßnahmen dauert erfahrungsgemäß 6 bis 12 Monate.
Was KMU jetzt tun sollten
Schritt 1: Betroffenheit prüfen
Stelle fest - ob dein Unternehmen unter die NIS2-Richtlinie fällt. Prüfe den Sektor - die Mitarbeiterzahl und den Jahresumsatz. Im Zweifel: lieber einmal zu viel als zu wenig prüfen.
Schritt 2: IST-Zustand analysieren
Mache eine Bestandsaufnahme deiner aktuellen IT-Sicherheitsmaßnahmen. Wo gibt es Lücken? Welche Prozesse fehlen? Wo wird bereits gut gearbeitet?
Schritt 3: Maßnahmenplan erstellen
Erstelle einen priorisierten Plan zur Schließung der identifizierten Lücken. Beginne mit den Maßnahmen - die den größten Sicherheitsgewinn bringen: Backup-Strategie - Zugangskontrolle - Incident-Response-Plan.
Schritt 4: Externe Unterstützung holen
Viele KMU haben nicht die internen Ressourcen - um alle NIS2-Anforderungen allein umzusetzen. Ein erfahrener Managed IT Service Provider kann helfen - die Anforderungen effizient und kosteneffektiv zu erfüllen.
NIS2-Checkliste für KMU
Nutze diese Checkliste - um den Stand deiner NIS2-Readiness zu prüfen:
Organisatorisch:
- ☐ Betroffenheit geprüft (Sektor - Mitarbeiterzahl - Umsatz)
- ☐ Verantwortliche Person für IT-Sicherheit benannt
- ☐ Geschäftsleitung in Cybersicherheits-Schulung eingetragen
- ☐ IT-Sicherheitskonzept dokumentiert
- ☐ Incident-Response-Plan erstellt und getestet
- ☐ Meldewege an das BSI definiert (24h / 72h / 1 Monat)
- ☐ Risikobewertung aller kritischen Systeme durchgeführt
Technisch:
- ☐ Multi-Faktor-Authentifizierung (MFA) für alle Zugänge aktiviert
- ☐ Automatisiertes Patch-Management eingerichtet
- ☐ Netzwerksegmentierung umgesetzt
- ☐ Backup-Strategie nach 3-2-1-Regel implementiert
- ☐ Wiederherstellungstests regelmäßig durchgeführt
- ☐ Endpoint Protection (EDR/XDR) auf allen Geräten
- ☐ Verschlüsselung sensibler Daten (at rest und in transit)
- ☐ Schwachstellenscans regelmäßig durchgeführt
Lieferkette:
- ☐ IT-Dienstleister und Cloud-Anbieter bewertet
- ☐ Sicherheitsanforderungen vertraglich festgehalten
- ☐ Regelmäßige Überprüfung der Dienstleister-Compliance
Häufig gestellte Fragen zu NIS2
Gilt NIS2 auch für Unternehmen unter 50 Mitarbeitenden?
In der Regel nicht. Die Schwellenwerte sind 50 Mitarbeitende oder 10 Mio. Euro Umsatz. Ausnahmen gelten für Unternehmen in besonders kritischen Bereichen wie DNS-Dienste - TLD-Registries - Vertrauensdiensteanbieter und Telekommunikationsanbieter - diese sind unabhängig von der Größe betroffen.
Was passiert - wenn mein Unternehmen betroffen ist - aber ich nichts tue?
Das BSI kann Sicherheitsaudits anordnen - Maßnahmen erzwingen und Bußgelder verhängen. Bei wesentlichen Einrichtungen kann die Aufsichtsbehörde sogar die vorübergehende Aussetzung von Leitungsfunktionen anordnen.
Muss ich einen Pentesting oder Sicherheitsaudit durchführen?
NIS2 verlangt „angemessene technische und organisatorische Maßnahmen" sowie deren regelmä ßige Überprüfung. Ein Penetrationstest ist eine der effektivsten Methoden - dies nachzuweisen. Für wesentliche Einrichtungen sind regelmäßige Sicherheitsaudits explizit gefordert.
Kann ein Managed Service Provider bei der NIS2-Umsetzung helfen?
Ja. Ein MSP wie Baltaris übernimmt viele der geforderten technischen Maßnahmen: Patch-Management - Monitoring - Backup - Endpoint Protection - Incident Response. Wichtig: Die Verantwortung bleibt beim Unternehmen - aber ein qualifizierter MSP vereinfacht die Umsetzung erheblich.
Fazit
Die NIS2-Richtlinie ist kein bürokratisches Schreckgespenst - sondern eine Chance - die eigene IT-Sicherheit auf ein professionelles Niveau zu heben. Unternehmen - die jetzt handeln - schützen sich nicht nur vor Bußgeldern - sondern vor allem vor den realen Bedrohungen durch Cyberangriffe.
Du bist unsicher - ob dein Unternehmen betroffen ist? Wir beraten dich gerne - kostenlos und unverbindlich. Kontaktiere uns für eine NIS2-Ersteinschätzung. Besonders für Unternehmen in der maritimen Wirtschaft und Logistik in Rostock ist NIS2 hochrelevant - mehr dazu auf unserer Seite IT-Dienstleister Rostock.
Fragen zu diesem Thema?
Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.
Weitere Artikel
NIS2 gilt jetzt - auch wenn ihr nicht direkt betroffen seid
Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft - ohne Übergangsfrist. Wir erklären, warum euch NIS2 auch als kleiner Zulieferer trifft und was ihr jetzt konkret tun müsst.
Geschäftsführer haften jetzt persönlich für IT-Sicherheit
Mit NIS2 haftet die Geschäftsleitung persönlich für Cybersicherheit - mit Bußgeldern bis 10 Mio. Euro. Wir erklären, wofür genau ihr geradesteht und wie ihr euch entlastet.
Was kostet ein Managed IT Service Provider?
Transparente Preise sind in der IT-Branche selten. Wir zeigen dir, mit welchen Kosten du rechnen kannst und worauf du bei der Auswahl achten solltest.