Zurück zur Übersicht
NIS-2 kommt: Was der Mittelstand bis 2027 wirklich tun muss
TachelesSecurity
6 Min

NIS-2 kommt: Was der Mittelstand bis 2027 wirklich tun muss

Während Sie das hier lesen, läuft die Frist.

Die NIS-2-Richtlinie ist seit Oktober 2024 in Kraft. Deutschland hat sie umgesetzt. Und der Mittelstand? Schläft noch.

Stellen Sie sich vor, Sie bekommen morgen einen Anruf. Ihr Unternehmen wurde gehackt. Kundendaten sind weg. Die NIS-2-Behörde verlangt eine Meldung innerhalb von 24 Stunden. Sie haben keinen Incident-Response-Plan. Sie haben keinen Datenschutzbeauftragten. Sie wissen nicht einmal, ob Sie betroffen sind.

Herzlichen Glückwunsch. Sie sind nicht allein.

Was NIS-2 wirklich bedeutet

NIS-2 steht für "Network and Information Security 2". Das klingt nach Bürokratie. Ist es auch. Aber es ist Bürokratie mit Biss.

Die Richtlinie erfasst deutlich mehr Unternehmen als ihr Vorgänger. Nicht nur Energieversorger und Banken. Auch Abfallentsorger, Nahrungsmittelhersteller, Postdienste, Hersteller von Medizinprodukten, digitale Dienstleister.

Kurz: Wenn Ihr Unternehmen über 50 Mitarbeiter hat oder einen Jahresumsatz über 10 Millionen Euro erzielt: Willkommen im Club.

KriteriumNIS-1 (alt)NIS-2 (neu)
MitarbeiterAb 250Ab 50
UmsatzAb 50 Mio €Ab 10 Mio €
Branchen7 Sektoren18 Sektoren
BußgeldMax. 100.000 €Bis zu 10 Mio € oder 2% Umsatz

Die Realität: Viele Mittelständler, die gestern noch unter dem Radar waren, sind heute offiziell "wichtige Einrichtungen". Mit Meldepflichten. Mit Audits. Mit Bußgeldern.

Die drei größten Fallen

Falle 1: Die Meldepflicht

Ein Sicherheitsvorfall? Sie müssen innerhalb von 24 Stunden eine Vorabmeldung abgeben. Innerhalb von 72 Stunden die vollständige Analyse. An das BSI. An die zuständige Behörde. Unter Umständen an Kunden und Partner.

Wer das verschläft, riskiert Bußgelder. Und Schadensersatzforderungen. Und Reputationsverlust.

Falle 2: Die Dokumentationspflicht

Sie müssen nachweisen, dass Sie angemessene Sicherheitsmaßnahmen getroffen haben. Firewall? Check. Zugangskontrollen? Check. Schulungen? Check. Incident-Response-Plan? Check.

Nichts davon ist optional. Nichts davon darf nur "im Kopf" des IT-Beauftragten existieren.

Falle 3: Die Lieferkette

Sie glauben, Sie sind klein genug? Prüfen Sie Ihre Kunden. Wenn Sie Lieferant für ein größeres Unternehmen sind, das unter NIS-2 fällt, werden Sie indirekt mit erfasst.

Der Große verlangt von Ihnen Nachweise. Zertifikate. Sicherheitskonzepte. Wenn Sie die nicht liefern können: Kein Auftrag mehr.

Die wahren Kosten: Nicht nur Geld

NIS-2 kostet. Das ist unbestritten.

Ein kleiner Mittelstand muss rechnen mit:

  • Datenschutzbeauftragter: 15.000–30.000 €/Jahr (extern)
  • Sicherheitsaudit: 5.000–15.000 € (einmalig, dann jährlich)
  • IT-Sicherheitsmaßnahmen: 10.000–50.000 € (Firewall, Backup, Monitoring)
  • Schulungen: 2.000–5.000 €/Jahr
  • Incident-Response-Plan: 3.000–10.000 € (Erstellung)

Das sind schnell 50.000 € im ersten Jahr. Für ein Unternehmen mit 60 Mitarbeitern und 12 Millionen Umsatz ist das viel Geld.

Aber die wahren Kosten liegen woanders. Sie liegen in der Ablenkung. In der Zeit, die der Geschäftsführer mit Papierkram verbringt statt mit Kunden. In der Paralyse, die entsteht, wenn niemand weiß, wer für was zuständig ist.

Die ehrliche Alternative: Pragmatismus statt Panik

Lassen Sie uns Tacheles reden. NIS-2 ist nicht das Ende der Welt. Es ist ein Regelwerk. Und Regelwerke lassen sich erfüllen.

Schritt 1: Prüfen Sie, ob Sie betroffen sind. Die BSI-Website hat einen Check. Oder Sie fragen Ihren Steuerberater. Oder Sie melden sich bei uns.

Schritt 2: Identifizieren Sie Ihre kritischen Systeme. Wo liegen Kundendaten? Welche Systeme sind für den Betrieb essenziell? Was würde bei einem Ausfall Ihr Geschäft lahmlegen?

Schritt 3: Schließen Sie die gröbsten Lücken. Backup. Firewall. Zwei-Faktor-Authentifizierung. Keine Admin-Rechte für alle. Schulung der Mitarbeiter gegen Phishing.

Schritt 4: Dokumentieren Sie alles. Nicht für die Behörde. Für Sie selbst. Wenn der Chef krank ist und der Vorfall trotzdem gemeldet werden muss: Wer tut was? Welche Nummern? Welche Passwörter?

Schritt 5: Holen Sie sich Unterstützung. Ein externer Dienstleister, der NIS-2 kennt, ist nicht Luxus. Er ist Versicherung.

Checkliste: Was Sie JETZT tun können 🚩

Bevor Sie diesen Artikel schließen, prüfen Sie diese Punkte. Wenn einer fehlt: Handlungsbedarf.

  • Kennen Sie Ihre NIS-2-Kategorie? Wichtige Einrichtung oder ESS-Betreiber?
  • Haben Sie einen Incident-Response-Plan? Schriftlich. Nicht im Kopf.
  • Sind Ihre Backups getestet? Ein Backup, das nicht wiederhergestellt werden kann, ist kein Backup.
  • Wissen Ihre Mitarbeiter, was Phishing ist? Der größte Angriffsvektor sitzt immer noch zwischen Stuhl und Tastatur.
  • Haben Sie einen Datenschutzbeauftragten? Extern oder intern. Aber benannt.
  • Ist Ihre Lieferkette abgesichert? Wenn Ihr Zulieferer gehackt wird, sind Sie der Nächste.

Wenn Sie bei einem dieser Punkte zögern: Melden Sie sich. Nicht bei der Behörde. Bei uns.

Fazit: Die Frist läuft

NIS-2 ist nicht böse. NIS-2 ist notwendig. Die Cyberangriffe werden nicht weniger. Die Schäden werden größer. Die Richtlinie zwingt Unternehmen dazu, das zu tun, was sie sowieso schon hätten tun sollen.

Aber der Weg dahin ist steinig. Für den Mittelstand. Für den Handwerker. Für den Dienstleister, der gerade genug zu tun hat, um seine Rechnungen zu bezahlen.

Die gute Nachricht: Sie müssen nicht alles allein machen. Die schlechte Nachricht: Sie müssen etwas tun. Und zwar jetzt.

Denn während Sie diesen Artikel gelesen haben, ist wieder eine Stunde vergangen.

Haben Sie Fragen zu NIS-2 und IT-Sicherheit für den Mittelstand?

Kontaktieren Sie uns für eine unverbindliche Beratung!

Bleiben Sie tacheles — Ihr Team von Waidler.it

Das könnte Sie interessieren

Passende Services aus dem Artikel

Webdesign
Websites, die verkaufen
Automatisierung
Zeitfresser eliminieren
KI-Beratung
KI, die verständlich ist
GeckoAI
DSGVO-konforme KI ohne Cloud-Zwang
Zurück zur Übersicht