NIS2 und der Mittelstand: Was jetzt auf Unternehmen zukommt
Zurück zum Blog
Security

NIS2 und der Mittelstand: Was jetzt auf Unternehmen zukommt

Tim HasenkampTim Hasenkamp
07. Jun 2026
NIS2ComplianceSecurity

Die NIS2-Richtlinie weitet die Cybersicherheitspflichten auf deutlich mehr Unternehmen aus - inklusive Mittelstand und Lieferanten. Wir erklären verständlich, wer betroffen ist, welche Pflichten gelten und wie Sie sich vorbereiten.

Cybersicherheit wird zur Chefsache - per Gesetz

Mit der NIS2-Richtlinie hebt die EU die Anforderungen an die Cybersicherheit auf ein neues Niveau - und betrifft dabei weit mehr Unternehmen als ihre Vorgängerregelung. Viele mittelständische Betriebe, die bisher nichts mit IT-Sicherheitsregulierung zu tun hatten, fallen nun in den Anwendungsbereich.

Dieser Artikel gibt einen verständlichen Überblick. Er ersetzt keine Rechtsberatung, hilft aber, die wichtigsten Fragen einzuordnen.

Was ist NIS2?

NIS2 ist eine EU-Richtlinie zur Stärkung der Cybersicherheit kritischer und wichtiger Einrichtungen. Sie verpflichtet betroffene Unternehmen zu einem angemessenen Risikomanagement, zu Meldepflichten bei Sicherheitsvorfällen und nimmt ausdrücklich auch die Geschäftsleitung in die Verantwortung.

Wer ist betroffen?

Der Kreis der betroffenen Unternehmen ist deutlich größer als früher:

  • Wesentliche und wichtige Einrichtungen aus erweiterten Sektoren (u. a. Energie, Verkehr, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Lebensmittel, verarbeitendes Gewerbe).
  • Größenkriterien: In der Regel ab mittelgroßen Unternehmen (grob: ab ca. 50 Mitarbeitern oder 10 Mio. EUR Umsatz - je nach Sektor).
  • Die Lieferkette: Auch wer selbst nicht direkt betroffen ist, bekommt die Anforderungen oft über größere Kunden weitergereicht.

Selbst wenn NIS2 für Sie nicht direkt gilt: Sobald Sie an betroffene Unternehmen liefern, werden Sie die Anforderungen über Verträge zu spüren bekommen.

Welche Pflichten kommen?

  • Risikomanagement: Technische und organisatorische Maßnahmen zur Absicherung der IT.
  • Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb kurzer Fristen gemeldet werden.
  • Verantwortung der Leitung: Die Geschäftsführung muss Maßnahmen billigen, überwachen - und haftet.
  • Nachweisbarkeit: Maßnahmen müssen dokumentiert und überprüfbar sein.

Was Sie jetzt tun sollten

  • Prüfen, ob und wie Sie betroffen sind (direkt oder über die Lieferkette).
  • Eine Bestandsaufnahme Ihrer IT-Sicherheit machen (Assets, Risiken, Lücken).
  • Grundlegende Schutzmaßnahmen umsetzen oder härten.
  • Einen Notfall- und Meldeprozess etablieren.
  • Maßnahmen dokumentieren und regelmäßig überprüfen.

Wie Technik dabei hilft

Viele NIS2-Anforderungen lassen sich mit bewährten Maßnahmen abdecken, die ohnehin sinnvoll sind:

  • Multi-Faktor-Authentifizierung und zentrale Identitätsverwaltung
  • Zero-Trust-Zugriff statt offener Netze
  • Verlässliche Backups nach der 3-2-1-Regel
  • Monitoring und Logging zur frühen Erkennung von Vorfällen
  • Verschlüsselung und konsequentes Patch-Management

Wie wir unterstützen

Wir helfen Ihnen bei der Bestandsaufnahme, härten Ihre Infrastruktur und richten die technischen Bausteine ein, die für ein angemessenes Sicherheitsniveau nötig sind - von MFA über Backups bis Monitoring. So schaffen Sie eine solide technische Grundlage für die NIS2-Anforderungen.

Fazit

NIS2 macht Cybersicherheit für den Mittelstand verbindlich - direkt oder über die Lieferkette. Wer jetzt eine ehrliche Bestandsaufnahme macht und die Grundlagen sauber umsetzt, ist klar im Vorteil. Warten ist die teuerste Option.

Unsicher, ob und wie NIS2 Sie betrifft? Wir verschaffen Ihnen in einem Erstgespräch Klarheit über Ihren technischen Handlungsbedarf.

Tim Hasenkamp

Tim Hasenkamp

Gründer & IT-Berater bei hasenkamp solutions

Haben Sie Fragen zu diesem Thema?

Wir beraten Sie gerne unverbindlich zu Ihrem Projekt.

Kontakt aufnehmen
Alle Beiträge anzeigen