NIS2 Pflichten 2025: Was Mittelständler jetzt konkret tun müssen

Von David Oberholzner | CompliantDesk | April 2026

---

Seit Oktober 2024 ist NIS2 in deutsches Recht umgesetzt. Seitdem herrscht in vielen mittelständischen Unternehmen eine Mischung aus Unsicherheit, Verwirrung und stiller Hoffnung, dass es einen schon nicht treffen wird.

Diese Hoffnung ist gefährlich. Denn NIS2 ist keine Empfehlung — es ist Pflicht. Und die Aufsichtsbehörden beginnen, genauer hinzuschauen.

Dieser Artikel erklärt ohne Juristendeutsch was NIS2 konkret bedeutet, wen es betrifft und was Unternehmen jetzt tun müssen — mit konkreten, umsetzbaren Schritten.

---

Was ist NIS2 überhaupt?

NIS2 steht für "Network and Information Security Directive 2" — die zweite EU-Richtlinie zur Cybersicherheit, die die erste NIS-Richtlinie von 2016 deutlich verschärft und ausweitet.

Das Ziel: Ein einheitliches, hohes Cybersicherheitsniveau in der gesamten Europäischen Union — besonders für Unternehmen und Organisationen die kritische Infrastrukturen betreiben oder wichtige Dienstleistungen erbringen.

Die wichtigste Neuerung gegenüber NIS1: Der Anwendungsbereich wurde massiv ausgeweitet. Galt NIS1 nur für eine handvoll explizit benannter Branchen, erfasst NIS2 nun deutlich mehr Sektoren und — entscheidend — auch mittelgroße Unternehmen.

---

Wen betrifft NIS2?

NIS2 unterscheidet zwischen zwei Kategorien:

Wesentliche Einrichtungen (Essential Entities): Unternehmen aus besonders kritischen Sektoren wie Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur. Ab 250 Mitarbeitern oder 50 Millionen Euro Jahresumsatz.

Wichtige Einrichtungen (Important Entities): Unternehmen aus weiteren wichtigen Sektoren wie Post und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste. Ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.

Die Sektoren im Überblick:

• Energie (Strom, Gas, Öl, Fernwärme)
• Transport (Luft, Bahn, Wasser, Straße)
• Bankwesen und Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser und Abwasser
• Digitale Infrastruktur (Cloud, Rechenzentren, DNS)
• IKT-Dienstleistungsmanagement
• Öffentliche Verwaltung
• Raumfahrt
• Post und Kurierdienste
• Abfallwirtschaft
• Chemische Industrie
• Lebensmittelproduktion und -verarbeitung
• Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau u.a.)
• Digitale Dienste (Suchmaschinen, soziale Netzwerke, Online-Marktplätze)

Wichtig: Die Lieferkette. Auch wenn ein Unternehmen selbst nicht direkt unter NIS2 fällt — wenn es Zulieferer oder Dienstleister für ein betroffenes Unternehmen ist, können die NIS2-Anforderungen indirekt weitergegeben werden. In der Praxis bedeutet das: Immer mehr Auftraggeber verlangen Compliance-Nachweise von ihren Lieferanten.

---

Was NIS2 konkret fordert

NIS2 ist kein Papiertiger. Die Richtlinie definiert konkrete Pflichten in vier Kernbereichen:

1. Risikomanagement

Unternehmen müssen ein systematisches Risikomanagement implementieren. Das bedeutet:

• Identifikation und Bewertung von IT-Sicherheitsrisiken
• Dokumentierte Maßnahmen zur Risikoreduzierung
• Regelmäßige Überprüfung und Aktualisierung
• Einbeziehung der Lieferkette in die Risikobetrachtung

Kein einmaliger Audit — sondern ein kontinuierlicher Prozess.

2. Incident Reporting

Sicherheitsvorfälle müssen gemeldet werden — und zwar schnell:

• 24 Stunden: Erstmeldung bei signifikanten Vorfällen an die zuständige Behörde (BSI)
• 72 Stunden: Vollständige Meldung mit Erstbewertung
• 1 Monat: Abschlussbericht

Ein "signifikanter Vorfall" ist definiert als ein Vorfall der erhebliche Auswirkungen auf die Erbringung von Diensten hat oder haben kann. Im Zweifel: melden.

3. Business Continuity

Unternehmen müssen nachweisen dass sie im Ernstfall handlungsfähig bleiben:

• Backup-Konzepte und getestete Wiederherstellungsverfahren
• Notfallpläne und Krisenmanagementprozesse
• Dokumentierte Eskalationswege

4. Supply Chain Security

Die Sicherheit der Lieferkette ist explizit Teil der NIS2-Anforderungen:

• Bewertung der Sicherheitspraktiken von Lieferanten
• Vertragliche Sicherheitsanforderungen an Dienstleister
• Monitoring kritischer Abhängigkeiten

---

Die Bußgelder: Was auf dem Spiel steht

NIS2 ist mit erheblichen Sanktionsmöglichkeiten ausgestattet:

Für wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem welcher Betrag höher ist.

Für wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Persönliche Haftung der Geschäftsführung: NIS2 sieht explizit vor dass Leitungsorgane persönlich für die Umsetzung verantwortlich sind. Geschäftsführer können bei schwerwiegenden Verstößen persönlich haftbar gemacht werden — und temporäre Berufsverbote sind möglich.

Das ist neu. Das ist ernst. Und das wird durchgesetzt.

---

Was Unternehmen jetzt konkret tun müssen

Hier ist eine praxisorientierte Checkliste der wichtigsten Sofortmaßnahmen:

Schritt 1: Betroffenheit prüfen

Fällt das Unternehmen in einen der NIS2-Sektoren? Werden die Schwellenwerte (Mitarbeiter, Umsatz) erreicht? Gibt es Auftraggeber die NIS2-Compliance fordern?

Schritt 2: Ist-Zustand erfassen

Wie ist die aktuelle IT-Sicherheitslage? Welche Systeme sind vorhanden? Welche Risiken bestehen? Ein strukturierter Sicherheitscheck schafft in wenigen Minuten Klarheit.

Schritt 3: Risikoregister aufbauen

Identifizierte Risiken müssen dokumentiert werden — mit Bewertung, Maßnahmen und Verantwortlichen. Kein Wälzer, aber eine strukturierte Übersicht.

Schritt 4: Richtlinien erstellen

Mindestens diese Richtlinien sollten vorhanden und freigegeben sein:

• IT-Sicherheitsrichtlinie
• Zugriffsschutz und Passwortverwaltung
• Incident Response Plan
• Backup und Recovery
• Mitarbeitersensibilisierung

Schritt 5: Meldeprozess definieren

Wer meldet im Ernstfall? An wen? In welchem Zeitrahmen? Dieser Prozess muss dokumentiert und geübt sein — nicht erst im Ernstfall aufgebaut werden.

Schritt 6: Lieferanten prüfen

Kritische IT-Dienstleister und Cloud-Anbieter sollten auf ihre Sicherheitspraktiken hin bewertet werden. AVV-Verträge prüfen, Subprozessorlisten anfordern.

Schritt 7: Nachweis dokumentieren

Compliance muss nachweisbar sein. Revisionssichere Dokumentation, Audit-Trail, digital freigegebene Richtlinien mit Integritätsnachweis.

---

Der häufigste Fehler: Zu lange warten

Die meisten Unternehmen warten auf den Anlass — den Kundenaudit, die Behördenanfrage, den Sicherheitsvorfall. Dann ist es zu spät für eine entspannte Umsetzung.

NIS2-Compliance ist kein Projekt das man in einer Woche abschließt. Es ist ein kontinuierlicher Prozess der aufgebaut, dokumentiert und gelebt werden muss.

Wer heute anfängt hat einen erheblichen Vorteil — gegenüber Behörden, gegenüber Kunden, und gegenüber dem Risiko.

---

Wie CompliantDesk hilft

CompliantDesk wurde speziell für den deutschen Mittelstand entwickelt — für Unternehmen die NIS2-Compliance erreichen müssen, aber keinen CISO und kein Compliance-Team haben.

Der Ansatz ist einfach: Ein Sicherheitscheck identifiziert automatisch die wichtigsten Lücken. Das System generiert daraus konkrete Maßnahmen, fertige Richtlinien und ein vollständiges Risikomanagement — ohne dass ein Berater nötig ist.

Das Ergebnis ist ein nachweisbares, revisionssicheres ISMS das NIS2-Anforderungen erfüllt. In Stunden statt Monaten.

---

CompliantDesk ist eine DSGVO-konforme Compliance-Management-Plattform für den deutschsprachigen Mittelstand. Alle Daten verbleiben auf EU-Servern. Kein Enterprise-Overhead.

Jetzt NIS2-Readiness prüfen →