NIS-2 Pflicht-Check für KMU: Bin ich betroffen?

Die häufigste NIS-2-Suchanfrage von KMU-Geschäftsführern lautet seit Monaten: „Bin ich überhaupt betroffen?" Die Antwort darauf ist weder so einfach wie „Ja, alle ab 50 Mitarbeitern" noch so beruhigend wie „Nein, das gilt nur für Konzerne". Sie hängt von drei Faktoren ab: Ihrer Branche, Ihrer Größe und Ihren Geschäftsbeziehungen.

Dieser Guide bietet Ihnen einen 5-Minuten-Entscheidungsbaum, die vollständige Liste aller 18 betroffenen Sektoren mit konkreten KMU-Beispielen sowie die Sonderregeln, die viele Unternehmen übersehen – insbesondere die Lieferketten-Klausel, die kleine Unternehmen unter die NIS-2-Pflicht ziehen kann, auch wenn sie selbst die Schwellenwerte nicht erreichen.

Wichtiger Hinweis: Dieser Guide bietet eine erste Selbsteinschätzung und ersetzt keine rechtliche Beratung. Für die endgültige Einordnung Ihres Unternehmens und die Erstellung eines konkreten Umsetzungsplans sollten Sie einen auf NIS-2 spezialisierten Anwalt oder Berater hinzuziehen, insbesondere wenn der Entscheidungsbaum Sie als „betroffen" einstuft.

Inhaltsverzeichnis

• Was NIS-2 in 60 Sekunden ist
• Der 5-Minuten-Entscheidungsbaum
• Die 18 betroffenen Sektoren im Detail
• Schwellenwerte und Größenklassen
• Die Lieferketten-Falle
• Was passiert, wenn Sie betroffen sind
• Strafen und Haftung
• Zusammenfassung und nächste Schritte
• FAQ

Was NIS-2 in 60 Sekunden ist {#was-nis-2-ist}

NIS-2 steht für „Network and Information Security Directive 2" und ist die EU-Richtlinie 2022/2555 zur Stärkung der Cybersicherheit kritischer und wichtiger Sektoren. Sie löst die NIS-1-Richtlinie von 2016 ab, erweitert deren Anwendungsbereich erheblich und verschärft die Pflichten. In Deutschland wird NIS-2 durch das NIS2-Umsetzungsgesetz in nationales Recht überführt.

Die wichtigsten Veränderungen gegenüber NIS-1:

• Mehr Sektoren: Statt 7 Sektoren sind nun 18 betroffen (11 hochkritische, 7 weitere wichtige)
• Größenkriterium statt Einzelfall: Unternehmen ab 50 Mitarbeitern und 10 Mio. EUR Umsatz/Bilanzsumme fallen in den Anwendungsbereich (mit Ausnahmen)
• Persönliche Haftung der Geschäftsführung für Verstöße gegen Risikomanagement-Pflichten
• Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
• Meldepflicht bei Sicherheitsvorfällen innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (initialer Bericht)
• Erweiterte Pflichten für Lieferanten und Dienstleister kritischer Einrichtungen

Die nationale Umsetzungsfrist war der 17. Oktober 2024. In Deutschland trat das NIS2-Umsetzungsgesetz mit Verzögerung in Kraft; die Registrierungsfrist beim BSI lief offiziell zum 6. März 2026 aus, aber Audits und Durchsetzungsmaßnahmen sind seither aktiv.

Der 5-Minuten-Entscheidungsbaum {#entscheidungsbaum}

Beantworten Sie die folgenden Fragen der Reihe nach. Die erste Frage entscheidet schon viele Fälle.

Frage 1: Sind Sie in einem der 18 NIS-2-Sektoren tätig?

Konsultieren Sie die Sektorenliste weiter unten. Wenn nein, sind Sie höchstwahrscheinlich nicht direkt von NIS-2 betroffen – aber prüfen Sie trotzdem Frage 5 (Lieferketten-Klausel).

Wenn ja, weiter mit Frage 2.

Frage 2: Haben Sie 50 oder mehr Mitarbeitende?

Vollzeit-Äquivalente, einschließlich Teilzeit und Auszubildende. Saisonkräfte werden nach EU-Empfehlung 2003/361/EG berechnet.

• 50 oder mehr: Weiter mit Frage 3
• Unter 50: Sie könnten als „Kleinstunternehmen" befreit sein. Aber: Es gibt Ausnahmen für besonders kritische Einrichtungen (z. B. qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registrierungsstellen) unabhängig von der Größe. Wenn Sie in einem solchen Bereich tätig sind, sind Sie betroffen – sonst nicht direkt. Trotzdem Frage 5 prüfen.

Frage 3: Haben Sie einen Jahresumsatz von 10 Mio. EUR oder eine Bilanzsumme von 10 Mio. EUR?

• Ja: Sie fallen unter den Anwendungsbereich. Springen Sie zu Frage 4 für die Klassifizierung.
• Nein: Sie sind als „Kleinstunternehmen" nach EU-Definition mit geringerer Wahrscheinlichkeit erfasst – aber prüfen Sie die nationale Umsetzung (s. unten) und Frage 5.

Frage 4: Sind Sie eine „wesentliche" oder „wichtige" Einrichtung?

Diese Klassifizierung bestimmt die Strenge der Pflichten und die Höhe möglicher Bußgelder.

• Wesentliche Einrichtung: Großunternehmen (>250 MA oder >50 Mio. EUR Umsatz) in hochkritischen Sektoren
• Wichtige Einrichtung: Mittelgroße Unternehmen (50-250 MA und 10-50 Mio. EUR Umsatz) in hochkritischen Sektoren ODER Mittel-/Großunternehmen in „anderen kritischen Sektoren"

Die meisten KMU, die unter NIS-2 fallen, sind als „wichtige Einrichtungen" eingestuft. Das bedeutet etwas niedrigere Pflichten und Bußgelder als bei wesentlichen Einrichtungen, aber die Grundverpflichtungen sind identisch.

Frage 5: Sind Sie Lieferant einer wesentlichen Einrichtung?

Auch wenn Sie selbst NIS-2 nicht direkt erfüllen müssten, kann der Druck durch Ihre Kunden kommen. Wesentliche Einrichtungen sind verpflichtet, ihre Lieferkette zu überprüfen. Das bedeutet konkret: Sie werden Fragebögen, Audits und vertragliche Cybersecurity-Anforderungen von Ihren Kunden bekommen. Wenn Sie diese nicht erfüllen können, verlieren Sie den Kunden.

Wenn Sie als IT-Dienstleister, SaaS-Anbieter, Hardware-Hersteller oder Berater für ein Krankenhaus, einen Energieversorger oder eine Bank arbeiten: Bereiten Sie sich vor, auch wenn Sie unter den Schwellenwerten liegen.

Praxistipp: Selbst wenn Sie nicht direkt betroffen sind, empfiehlt es sich, sich an den NIS-2-Mindeststandards zu orientieren. Sie sind gleichzeitig DSGVO-Best-Practice und reduzieren faktisch das Schadensrisiko bei Cybervorfällen – unabhängig von der Pflicht.

Die 18 betroffenen Sektoren im Detail {#sektoren}

NIS-2 unterscheidet zwischen „hochkritischen" Sektoren (Anhang I) und „anderen kritischen" Sektoren (Anhang II).

Hochkritische Sektoren (Anhang I)

Andere kritische Sektoren (Anhang II)

Praxis-Hinweis: Besonders der Sektor 16 „Verarbeitendes Gewerbe" überrascht viele Mittelständler – etwa Maschinenbauer, Hersteller von Medizinprodukten oder Automobil-Zulieferer. Hier sind die Schwellen jedoch typischerweise höher als bei Anhang-I-Sektoren.

Schwellenwerte und Größenklassen {#schwellenwerte}

NIS-2 verwendet die EU-KMU-Definition (Empfehlung 2003/361/EG):

Wichtig: Auch verbundene Unternehmen werden bei der Größenberechnung mit einbezogen. Wenn Ihr KMU Teil einer Holding-Struktur ist, müssen alle Einheiten zusammengerechnet werden.

Die Lieferketten-Falle {#lieferketten}

Ein Aspekt, den viele kleine Unternehmen unterschätzen: NIS-2 wirkt indirekt auch auf Nicht-Pflichtige. Wesentliche und wichtige Einrichtungen müssen ihre Lieferkette absichern. Konkret heißt das, dass Sie als IT-Dienstleister, Software-Lieferant oder Wartungspartner einer betroffenen Einrichtung gefragt werden:

• Welche Sicherheitszertifizierungen haben Sie?
• Welche Backup- und Wiederherstellungsprozesse betreiben Sie?
• Wie melden Sie Sicherheitsvorfälle innerhalb von 24 Stunden?
• Welche Multi-Faktor-Authentifizierung setzen Sie ein?
• Welche Penetration-Tests führen Sie durch und wie oft?

Diese Fragen kommen meist in Form von Lieferanten-Fragebögen oder als Vertragsklauseln. Wer nicht antworten kann, verliert den Auftrag. Und das passiert in der Praxis bereits jetzt – Krankenhäuser, Energieversorger und Banken werten ihre Lieferanten gerade systematisch durch.

Praxistipp: Wenn Sie auch nur einen einzigen Kunden aus einem NIS-2-Sektor haben, sollten Sie sich freiwillig an den Mindeststandards orientieren. Das schützt sowohl Ihr Geschäft als auch Ihre Reputation und ist gleichzeitig ein klares Verkaufsargument („Wir sind NIS-2-konform").

Was passiert, wenn Sie betroffen sind {#was-passiert}

Wenn der Entscheidungsbaum Sie als betroffen einstuft, müssen Sie folgende Pflichten umsetzen:

1. Registrierung beim BSI

Die Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) lief offiziell zum 6. März 2026 aus. Wer sich nicht registriert hat, sollte das umgehend nachholen – das BSI führt aktive Audits durch.

2. Risikomanagement-Maßnahmen (Art. 21 NIS-2)

Die Richtlinie verlangt mindestens zehn Bereiche:

1. Risikoanalyse-Konzepte
2. Vorfallsbewältigung
3. Backup, Wiederherstellung und Krisenmanagement
4. Lieferketten-Sicherheit
5. Sicherheit in der Beschaffung, Entwicklung und Wartung
6. Bewertung der Wirksamkeit der Maßnahmen
7. Grundlegende Cyber-Hygiene und Schulungen
8. Kryptografie-Konzepte
9. Personalsicherheit, Zugriffskontrolle und Asset-Management
10. Multi-Faktor-Authentifizierung, sichere Kommunikation, Notfallkommunikation

3. Meldepflichten bei Sicherheitsvorfällen

• Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme
• Initialer Bericht innerhalb von 72 Stunden mit erster Bewertung
• Abschlussbericht innerhalb eines Monats

4. Schulungspflicht für Geschäftsführung

Geschäftsführer müssen regelmäßig zu Cybersicherheit geschult werden und sind persönlich für die Umsetzung verantwortlich.

Strafen und Haftung {#strafen}

Die Bußgelder sind erheblich:

Hinzu kommt: Persönliche Haftung der Geschäftsführung bei vorsätzlichen oder grob fahrlässigen Pflichtverletzungen. Verschiedene EU-Mitgliedstaaten setzen das unterschiedlich um; in Deutschland ist das NIS2-Umsetzungsgesetz hier streng.

Wichtiger Hinweis: Im Falle eines Sicherheitsvorfalls kann die Aufsichtsbehörde unmittelbar Audits anordnen, Geldbußen verhängen und in schwerwiegenden Fällen die operative Tätigkeit untersagen. Die Praxis zeigt: Aufsichtsbehörden sind aktiv und prüfen.

Zusammenfassung und nächste Schritte {#zusammenfassung}

Die wichtigsten Erkenntnisse:

• Die NIS-2-Betroffenheit hängt von drei Faktoren ab: Sektor, Größe und Lieferketten-Beziehungen
• Mittelständler (50-249 MA, 10-50 Mio. EUR Umsatz) in einem der 18 NIS-2-Sektoren sind direkt betroffen – meist als „wichtige Einrichtung"
• Auch kleine Unternehmen können indirekt durch die Lieferketten-Klausel erfasst sein
• Die Pflichten umfassen 10 konkrete Risikomanagement-Bereiche, kurze Meldefristen bei Vorfällen und persönliche Haftung der Geschäftsführung
• Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Umsatzes drohen bei Verstößen

Ihre nächsten Schritte:

1. Durchlaufen Sie den Entscheidungsbaum mit konkreten Zahlen Ihres Unternehmens (Mitarbeitende, Umsatz, Sektor-Zuordnung)
2. Prüfen Sie Ihre Kunden – sind wesentliche oder wichtige Einrichtungen darunter? Holen Sie deren Anforderungen ein
3. Stand der Cybersicherheit dokumentieren – machen Sie eine Inventur, wo Sie heute stehen (gerne mit einem strukturierten NIS-2-Self-Assessment)
4. Bei „betroffen": Anwaltliche Beratung zur konkreten Umsetzung und zur Frage, ob Sie eine wesentliche oder wichtige Einrichtung sind
5. Bei „indirekt betroffen": Mindeststandards umsetzen – das ist ohnehin Best Practice und sichert Ihre Aufträge
6. Schulen Sie Ihre Geschäftsführung – auch das ist Pflicht und schützt vor persönlicher Haftung

Weiterführende Inhalte auf DigitalChecker.de:

• NIS-2-Checkliste für KMU: Die 12 Muss-Punkte vor dem BSI-Audit
• DSFA-Vorlage für KI-Tools: ChatGPT, Copilot & Claude rechtssicher einsetzen
• EU AI Act: Risikoklasse einordnen — Entscheidungsbaum bis 2. August 2026

FAQ {#faq}

Sind Steuerberatungen oder Anwaltskanzleien von NIS-2 betroffen?

Steuerberatungen und Anwaltskanzleien fallen nicht direkt unter einen der 18 Sektoren. Aber: Wenn sie zu den Vertrauensdienste-Anbietern gehören (z. B. qualifizierte elektronische Signaturen anbieten), können sie unabhängig von der Größe erfasst sein. Außerdem indirekt durch die Lieferketten-Klausel, wenn Mandanten betroffene Einrichtungen sind.

Was ist mit Apotheken oder Arztpraxen?

Einzelapotheken und Hausarztpraxen sind in der Regel zu klein, um direkt betroffen zu sein. Sie fallen aber unter das Sektor „Gesundheitswesen", weshalb die Anforderungen bei Kunden- und Lieferantenbeziehungen relevant werden können. Klinik-Verbünde sind direkt betroffen.

Wie unterscheidet sich NIS-2 von DORA?

DORA (Digital Operational Resilience Act) gilt speziell für den Finanzsektor und ist für Banken, Versicherungen und Wertpapierdienstleister maßgeblich – nicht NIS-2 für diese Bereiche. Für Finanzdienstleister gilt also DORA, nicht NIS-2.

Was passiert, wenn ich die Registrierungsfrist verpasst habe?

Die Frist war der 6. März 2026. Wer sie verpasst hat, sollte sich umgehend beim BSI registrieren. Verspätete Registrierung ist besser als gar keine – die Aufsichtsbehörde wertet das in der Praxis weniger streng als komplette Untätigkeit.

Brauche ich eine ISO 27001 Zertifizierung für NIS-2?

Nein, aber sie hilft erheblich. Wer ISO 27001 zertifiziert ist, hat einen großen Teil der NIS-2-Anforderungen bereits erfüllt. Eine vollständige Zertifizierung ist nicht zwingend, ein dokumentiertes Information-Security-Management-System aber praktisch unverzichtbar.

Was kostet die NIS-2-Umsetzung für ein KMU?

Die Bandbreite ist groß – von 15.000 EUR (sehr kleines KMU, gute Ausgangslage) bis 250.000 EUR (komplexe Strukturen, schlechte Ausgangslage). Im Durchschnitt rechnen Berater mit 30.000-80.000 EUR initialer Investition für ein typisches Mittelständler-KMU plus 10-30 % davon als jährlicher Betriebsaufwand.

Kann ich NIS-2 outsourcen?

Die Maßnahmen schon, die Verantwortung nicht. Sie können einen MSSP (Managed Security Service Provider) für die operative Umsetzung beauftragen, aber die Geschäftsführung bleibt persönlich verantwortlich. Verträge müssen entsprechend auditierbar gestaltet sein.