NIS2 im Mittelstand: Was jetzt wirklich zu tun ist.

Wenn Sie einen Betrieb im Mittelstand führen, bekommen Sie aktuell aus zwei Richtungen Druck. Ihr Versicherer fragt nach NIS2. Ihr Wirtschaftsprüfer fragt nach NIS2. Und beide tun so, als müssten Sie das ganze Haus umkrempeln.

Das ist meistens übertrieben. NIS2 ist machbar. Wir haben in den letzten Monaten genug Mittelständler durch das Thema begleitet, um zu wissen, welche Schritte tatsächlich erforderlich sind und welche Zertifikats­bröckchen Ihnen niemand vorschreiben kann.

Sind Sie überhaupt betroffen?

Die NIS2-Richtlinie der EU richtet sich an zwei Kategorien: “Wesentliche Einrichtungen” und “Wichtige Einrichtungen”. Für den Mittelstand sind in der Regel nur zwei Schwellen relevant. Sie sind betroffen, wenn Sie mindestens 50 Mitarbeitende haben und 10 Millionen Euro Jahres­umsatz erreichen, und wenn Sie in einem der definierten Sektoren tätig sind. Die Liste umfasst nicht nur Energie und Wasser, sondern unter anderem auch Maschinen­bau, Lebensmittel­herstellung, Chemie, Logistik, Forschung und digitale Dienste­anbieter.

Ein typischer norddeutscher Maschinenbauer mit 80 Mitarbeitenden, der Anlagen liefert? Betroffen. Eine Wirtschafts­prüfungs­kanzlei mit 30 Köpfen? Wahrscheinlich nicht. Eine IT-Dienstleisterin mit 60 Personen, die Cloud-Lösungen für Industrie­kunden hostet? Betroffen, ohne Diskussion.

Der erste Schritt ist deshalb keine Panik, sondern eine ehrliche Selbst­einschätzung anhand des deutschen Umsetzungs­gesetzes. Wenn das Ergebnis negativ ausfällt, dokumentieren Sie diese Selbst­einschätzung schriftlich. Damit ist der Punkt für die nächsten zwei Jahre erledigt.

Wenn Sie betroffen sind: Sechs konkrete Pflichten

Was die Richtlinie tatsächlich von Ihnen verlangt, lässt sich auf sechs Themen reduzieren. Alles andere ist Auslegung oder Verkaufs­show.

Risiko­management. Sie brauchen ein dokumentiertes Vorgehen, das alle wesentlichen IT-Risiken Ihres Betriebs identifiziert, bewertet und mit Maßnahmen hinterlegt. Das ist kein 200-Seiten-Werk. Eine 12-Seiten-Übersicht reicht, wenn sie ehrlich ist und einmal pro Jahr aktualisiert wird.

Vorfälle melden. Sicherheits­vorfälle mit erheblichen Auswirkungen melden Sie binnen 24 Stunden an das BSI mit einer Erst­einschätzung, binnen 72 Stunden mit einer Detail­meldung, binnen einem Monat mit dem Abschluss­bericht. In der Praxis brauchen Sie für diese Fristen einen klaren Prozess: Wer entscheidet, ob ein Vorfall erheblich ist, wer schreibt die Meldung, wer informiert die Geschäfts­leitung.

Geschäfts­leitung haftet persönlich. Das ist der Teil, der noch nicht überall angekommen ist. Wenn die Geschäfts­führung die Pflichten nicht überwacht, haftet sie persönlich. Es gibt keine Haftungs­freistellung über die Versicherung, wenn das Versäumnis grob fahrlässig war.

Schulungs­pflicht. Geschäfts­leitung und IT-Verantwortliche müssen regelmäßig geschult werden. Ein zwei­tägiges Online-Format reicht, wenn der Anbieter den Inhalt sauber dokumentiert. Wir empfehlen einmal pro Jahr.

Lieferkette absichern. Sie sind nicht nur für Ihre eigene IT verantwortlich, sondern auch für die Sicherheit Ihrer wesentlichen Dienst­leister. Das heißt: Sie brauchen eine Liste Ihrer kritischen IT-Lieferanten und eine Bewertung, wie diese mit Sicherheits­vorfällen umgehen. Bei Cloud-Anbietern und Software-Häusern ist das relativ einfach. Bei Ein-Personen-Dienstleistern ist es ein ehrliches Gespräch.

Technische Mindest­standards. Verschlüsselung im Transit und at rest, Multi-Faktor-Authentifizierung für administrative Zugriffe, Backup-Konzept mit Wieder­herstellungs­tests, Patch-Management mit dokumentierten Lauf­zeiten, Netz­werk-Segmentierung, Notfall­plan. Alles Dinge, die ein gut geführter Mittel­stand 2026 ohnehin haben sollte. Wir haben im Beitrag zum EU AI Act für den Mittelstand gezeigt, wie sich diese Pflichten mit den NIS2-Anforderungen sauber zusammen­führen lassen.

Was Sie nicht brauchen

Ein paar Empfehlungen, die wir aus der Praxis gerne weitergeben.

Sie brauchen kein ISO-27001-Zertifikat. ISO-27001 ist eine sinnvolle Struktur, aber nicht NIS2-Pflicht. Wer Ihnen ein Zertifikat als NIS2-Erfüllung verkaufen will, hat ein Geschäfts­modell, kein Compliance-Wissen.

Sie brauchen keine eigene SOC-Mannschaft. Ein externes Security Operations Center kostet im Mittelstand schnell sechs­stellige Beträge pro Jahr. Für die meisten Betriebe reicht eine ordentliche Endpoint-Protection mit zentralem Logging und ein klarer Eskalations­weg. Die hochpreisigen Angebote werden Ihnen aktuell sehr aggressiv vermarktet.

Sie brauchen kein Pen-Test pro Quartal. Ein gut gemachter externer Test pro Jahr reicht. Wichtiger ist, dass die gefundenen Schwach­stellen zeitnah geschlossen werden, und dass die Doku­mentation des Schließens ehrlich ist.

Wie wir das im konkreten Fall umsetzen

Bei einem typischen Mittel­ständler mit 80 bis 200 Mitarbeitenden bringen wir die NIS2-Bereitschaft in vier Wochen auf ein vorzeigbares Niveau. Der Ablauf sieht so aus.

Woche 1: Bestands­aufnahme. Welche IT-Systeme, welche Daten, welche externen Anbieter, welche bestehende Doku­mentation. Wir bekommen Schreib­zugriff auf Ihr Inventar­system und schreiben den Stand klar zusammen.

Woche 2: Risiko­bewertung. Pro System eine kurze Risiko­zeile mit Eintritts­wahrscheinlichkeit, Auswirkung, vorhandenen Maßnahmen, Verbesserungs­bedarf. Das machen wir gemeinsam mit Ihrer IT-Leitung in zwei halbtägigen Workshops.

Woche 3: Lücken schließen. Multi-Faktor-Authentifizierung dort, wo sie noch fehlt. Backup-Tests mit dokumentierten Wieder­herstellungs­zeiten. Patch-Plan in Schriftform. Lieferanten­liste mit Sicherheits­bewertung.

Woche 4: Notfall­plan und Schulung. Ein 6-Seiten-Notfall­plan, der im Ernst­fall wirklich nutzbar ist. Eine zwei­stündige Schulung für die Geschäfts­leitung, in der Sie wissen, was bei einem Vorfall zu tun ist. Und ein BSI-Meldewesen-Trockenlauf mit fiktivem Szenario.

Am Ende haben Sie eine Akte, die einem BSI-Audit standhält. Und Sie haben das gute Gefühl, dass Ihre IT nicht mehr Glück, sondern System ist.

Was wir nicht machen

Wir sind keine Anwälte und nehmen Ihnen die rechtliche Endprüfung nicht ab. Wir arbeiten mit zwei Hamburger Kanzleien zusammen, die unsere Doku­mente final juristisch absegnen, wenn Sie das wünschen. Diese Stunden bekommen Sie zum Selbst­kosten­preis weiter­berechnet.

Wir machen auch kein dauer­haftes Outsourcing Ihrer IT-Sicherheit. Sicherheit funktioniert nur, wenn sie im Haus verankert ist. Was wir liefern, ist die Struktur, die Doku­mentation und das Training, damit Ihre Leute sicher arbeiten können.

Drei Sätze, die Ihre Geschäfts­leitung kennen muss

Wenn morgen ein Audit kommt, sollte Ihre Geschäfts­leitung ohne Zögern drei Sätze sagen können. Wir wissen, dass wir betroffen sind, und das ist hier dokumentiert. Wir haben unsere wesentlichen Risiken bewertet, und das Risiko­register ist aktuell. Wir haben einen Notfall­plan und üben ihn jährlich.

Wenn alle drei Sätze sitzen, können Sie das Audit ruhig angehen. Wenn auch nur einer wackelt, ist es Zeit, das ehrlich anzupacken.

Wer den Datenschutz-Kontext mitnehmen möchte, dem empfehlen wir zusätzlich unseren Beitrag DSGVO und KI im Mittelstand und einen Blick in unsere Leistungen, in denen wir die Bausteine pro Branche aufschlüsseln.

Sprechen Sie uns an. Wir machen das Erst­gespräch ohne Honorar und sagen Ihnen am Ende der 45 Minuten ehrlich, ob Sie überhaupt betroffen sind und ob Sie viel oder wenig zu tun haben. Telefon: 040 30 38 19 30. Oder über das Kontakt­formular auf dieser Seite.