Vyrex Security
Zurück zum Blog
Vyrex Security Team

NIS-2 Pflicht ab 2026: Was KMU jetzt umsetzen müssen

NIS-2 trifft auch mittelständische Unternehmen ab 50 Mitarbeitern. Pflichten, Bußgelder und ein 6-Schritte-Fahrplan kompakt erklärt.

NIS-2 Pflicht KMUNIS-2 Richtlinie DeutschlandNIS-2 Umsetzung MittelstandIT-Sicherheitspflichten KMU 2026NIS-2 Bußgelder

NIS-2 Pflicht ab 2026: Was KMU jetzt umsetzen müssen

Key Takeaways

  • NIS-2 betrifft Unternehmen ab 50 Mitarbeitern in 18 regulierten Sektoren
  • 10 konkrete Sicherheitspflichten müssen nachgewiesen werden
  • Bußgelder bis 10 Mio. Euro, persönliche Geschäftsführerhaftung
  • Die Umsetzung dauert realistisch 3 bis 6 Monate — wer jetzt startet, ist rechtzeitig fertig
  • Managed-Security-Dienste wie Vyrex reduzieren den Eigenaufwand erheblich

Was ist NIS-2?

NIS-2 steht für „Network and Information Security Directive 2" — die überarbeitete EU-Richtlinie zur Cybersicherheit kritischer Infrastrukturen und wichtiger Sektoren. Die Vorgängerrichtlinie NIS-1 aus dem Jahr 2016 hatte nur wenige hundert Unternehmen in Deutschland erfasst. NIS-2 weitet den Geltungsbereich auf schätzungsweise 30.000 bis 40.000 deutsche Unternehmen aus.

Das Ziel ist eindeutig: Die EU will das Sicherheitsniveau über alle Mitgliedstaaten hinweg erhöhen, nachdem Cyberangriffe in den letzten Jahren dramatisch zugenommen haben. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) verursachten Angriffe auf deutsche Unternehmen 2023 Schäden von über 200 Milliarden Euro.

Deutschland hat die Richtlinie mit dem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG) in nationales Recht überführt.

Wer ist betroffen?

NIS-2 unterscheidet zwei Kategorien:

Wesentliche Einrichtungen — strengste Auflagen, proaktive BSI-Aufsicht:

  • Energieversorger, Wasserwerke, Gesundheitseinrichtungen, Banken, Finanzmarktinfrastrukturen, digitale Infrastrukturen (Cloud, Rechenzentren, DNS)
  • Ab 250 Mitarbeitern oder 50 Mio. Euro Jahresumsatz

Wichtige Einrichtungen — erhebliche Auflagen, reaktive Aufsicht:

  • Lebensmittelproduktion und -vertrieb, chemische Industrie, Post- und Kurierdienste, Abfallwirtschaft, Maschinenbau, Automobilindustrie, digitale Anbieter
  • Ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz

Ausnahmen: Kleinstunternehmen unter 10 Mitarbeitern oder 2 Mio. Euro Umsatz sind grundsätzlich ausgenommen — sofern sie nicht als kritisch eingestuft werden (z. B. alleinige DNS-Anbieter).

Unsicherheit herrscht häufig in der Lieferkette: Wenn Ihr Auftraggeber eine wesentliche Einrichtung ist, können vertragliche Sicherheitsanforderungen die NIS-2-Pflichten faktisch auf Sie übertragen, auch wenn Sie formal nicht betroffen sind.

→ Prüfen Sie Ihren Status: /security-check

Die 10 Sicherheitspflichten im Detail

NIS-2 schreibt konkret vor, welche Maßnahmen umgesetzt sein müssen. Vage Absichtserklärungen reichen nicht — das BSI prüft auf Nachweisbarkeit.

1. Risikoanalyse und Sicherheitsrichtlinien Dokumentieren Sie Ihre IT-Landschaft vollständig, bewerten Sie Risiken nach einem anerkannten Verfahren (ISO 27001, BSI-Grundschutz) und halten Sie Sicherheitsrichtlinien schriftlich fest.

2. Behandlung von Sicherheitsvorfällen Sie brauchen einen definierten Prozess: Wer erkennt einen Vorfall? Wer entscheidet? Wann wird das BSI informiert? Pflicht: Meldung erheblicher Vorfälle binnen 24 Stunden (Erstmeldung) und 72 Stunden (detaillierte Meldung).

3. Business Continuity Management Backup-Strategie, Wiederherstellungsplan, Krisenmanagement — schriftlich dokumentiert, regelmäßig getestet.

4. Sicherheit der Lieferkette Sicherheitsanforderungen müssen in Verträge mit IT-Dienstleistern aufgenommen werden. Auditnachweise der Lieferanten sind zu dokumentieren.

5. Sicherheit in der Entwicklung und im Betrieb Sichere Entwicklungspraktiken (Secure SDLC), Patch-Management mit definierten SLAs, Schwachstellenmanagement mit Nachweisen.

6. Bewertung der Wirksamkeit von Maßnahmen Regelmäßige Audits, Penetrationstests, interne Überprüfungen — mindestens jährlich dokumentiert.

7. Schulungen und Cybersicherheitshygiene Nachweisbare Schulungsmaßnahmen für alle Mitarbeiter, spezifische Trainings für IT-Administratoren und Führungskräfte.

8. Kryptographie und Verschlüsselung Klare Regelung für den Einsatz von Verschlüsselung: welche Algorithmen, welche Schlüssellängen, wo Pflicht, wo optional.

9. Zugangskontrolle und Identitätsmanagement Multi-Faktor-Authentifizierung für privilegierte Zugänge, Prinzip der minimalen Rechte (Least Privilege), nachweisbares Offboarding.

10. Meldewesen Registrierung beim BSI, interne Meldeprozesse, Kontaktdaten aktuell halten.

Bußgelder und persönliche Haftung

Die Sanktionsmechanismen von NIS-2 sind schärfer als alles, was die IT-Branche bisher kannte:

Kategorie Maximales Bußgeld
Wesentliche Einrichtungen 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes

Neu und weitreichend: Geschäftsführer haften persönlich für Verstöße, die auf Fahrlässigkeit in der Aufsichtspflicht zurückzuführen sind. Das BSI kann Geschäftsführern bei schwerwiegenden Verstößen sogar vorübergehend die Ausübung ihrer Leitungsfunktion untersagen.

Die D&O-Versicherung greift bei grober Fahrlässigkeit oft nicht — das persönliche Risiko ist real.

NIS-2 Checkliste: Wo stehen Sie heute?

Beantworten Sie diese 10 Fragen ehrlich mit Ja oder Nein:

  • Ist Ihre IT-Landschaft vollständig dokumentiert (Assets, Abhängigkeiten, Kritikalität)?
  • Existiert eine aktuelle Risikoanalyse nach anerkannter Methodik?
  • Haben Sie einen schriftlichen Incident-Response-Plan mit definierten Rollen?
  • Werden Backups regelmäßig getestet (Restore-Test mindestens quartalsweise)?
  • Sind Sicherheitsanforderungen in allen IT-Dienstleisterverträgen verankert?
  • Gibt es ein dokumentiertes Patch-Management mit SLAs?
  • Wurden alle Mitarbeiter im laufenden Geschäftsjahr zu IT-Sicherheit geschult?
  • Ist Multi-Faktor-Authentifizierung für alle privilegierten Zugänge aktiv?
  • Existiert ein Prozess zur Schwachstellenerkennung und -behebung?
  • Sind Sie beim BSI registriert?

Auswertung: 8-10 Ja = gut aufgestellt. 5-7 Ja = erheblicher Nachholbedarf. Unter 5 = dringender Handlungsbedarf.

→ Kostenlosen Schnellcheck anfordern: /security-check

Umsetzungsfahrplan: 6 Schritte in 6 Monaten

Monat 1 — Bestandsaufnahme Erfassen Sie alle IT-Assets, Dienstleister und Datenflüsse. Prüfen Sie, in welche NIS-2-Kategorie Ihr Unternehmen fällt. Beauftragen Sie ggf. eine externe Gap-Analyse.

Monat 2 — Risikoanalyse Bewerten Sie Risiken strukturiert: Eintrittswahrscheinlichkeit × Schadenshöhe. Priorisieren Sie die größten Lücken aus der Gap-Analyse.

Monat 3 — Technische Maßnahmen Schwachstellenscanner einrichten, Logging und Monitoring aktivieren, MFA für privilegierte Zugänge ausrollen, Backup-Prozesse überprüfen.

Monat 4 — Prozesse und Dokumentation Incident-Response-Prozess schriftlich festhalten. Sicherheitsrichtlinien erstellen. Dienstleisterverträge prüfen und anpassen.

Monat 5 — Schulungen Pflichtschulung für alle Mitarbeiter durchführen, spezielles Training für IT-Administratoren, Sensibilisierung der Geschäftsführung.

Monat 6 — Audit und BSI-Registrierung Interne Überprüfung aller Maßnahmen, Lücken schließen, Registrierung beim BSI abschließen, Notfallkontakt hinterlegen.

Vyrex als Umsetzungspartner

Die größte Herausforderung für KMU ist nicht das Verständnis der Anforderungen — sondern die kontinuierliche Überwachung ohne eigenes Sicherheitsteam. Ein einmaliger Audit hilft nicht, wenn Schwachstellen täglich neu entstehen.

Vyrex liefert die technische Grundlage für NIS-2-Compliance als verwalteter Dienst:

  • Kontinuierliches Schwachstellenmanagement über Vyrex Node-Agents auf allen Endpunkten → /products/node
  • SIEM und Anomalieerkennung über Vyrex Edge → /products/edge
  • Vorgefertigte Compliance-Reports für NIS-2-Nachweise, direkt aus dem Dashboard exportierbar
  • Incident-Response-Unterstützung durch das TwoPixels Sicherheitsteam

Vyrex ersetzt keine Beratung, aber es macht die technischen Pflichten beherrschbar — ohne eigenes SOC-Team.

→ Mehr zu NIS-2 und Vyrex: /nis2 → TwoPixels als regionaler Umsetzungspartner: /partner/twopixels

FAQ

Ab wann gilt NIS-2 für mein Unternehmen? Die NIS-2-Richtlinie ist in Deutschland seit Oktober 2024 in nationales Recht umgesetzt. Betroffene Unternehmen müssen die Anforderungen seit diesem Datum erfüllen. Nachlauffristen für einzelne Maßnahmen gibt es nicht — Behörden prüfen aktiv.

Gilt NIS-2 auch für Unternehmen unter 250 Mitarbeitern? Ja. Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz in kritischen Sektoren fallen in der Regel unter NIS-2 als sogenannte „wichtige Einrichtungen". Ab 250 Mitarbeitern oder 50 Mio. Euro gelten sie als „wesentliche Einrichtungen" mit schärferen Auflagen.

Was passiert, wenn ich NIS-2 ignoriere? Das BSI kann Bußgelder von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen — je nachdem, welcher Betrag höher ist. Zusätzlich haften Geschäftsführer persönlich für Verstöße, die sie nicht verhindert haben.

FAQ

Häufige Fragen

Ab wann gilt NIS-2 für mein Unternehmen?

Die NIS-2-Richtlinie ist in Deutschland seit Oktober 2024 in nationales Recht umgesetzt. Betroffene Unternehmen müssen die Anforderungen seit diesem Datum erfüllen. Nachlauffristen für einzelne Maßnahmen gibt es nicht — Behörden prüfen aktiv.

Gilt NIS-2 auch für Unternehmen unter 250 Mitarbeitern?

Ja. Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz in kritischen Sektoren fallen in der Regel unter NIS-2 als sogenannte 'wichtige Einrichtungen'. Ab 250 Mitarbeitern oder 50 Mio. Euro gelten sie als 'wesentliche Einrichtungen' mit schärferen Auflagen.

Was passiert, wenn ich NIS-2 ignoriere?

Das BSI kann Bußgelder von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen — je nachdem, welcher Betrag höher ist. Zusätzlich haften Geschäftsführer persönlich für Verstöße, die sie nicht verhindert haben.