NIS2 für den Mittelstand: Wer betroffen ist und was zu tun ist

Die EU-Richtlinie NIS2 erweitert den Kreis der verpflichteten Unternehmen massiv. Wir erklären die wichtigsten Pflichten und wie Sie pragmatisch in die Umsetzung kommen.

Die EU-Richtlinie NIS2 erweitert den Kreis der verpflichteten Unternehmen massiv. Wir erklären die wichtigsten Pflichten und wie Sie pragmatisch in die Umsetzung kommen.

NIS2 ist die zweite Auflage der EU-Richtlinie zur Cybersicherheit. Der wichtigste Unterschied zu NIS1: Der Kreis der betroffenen Unternehmen ist deutlich größer — und reicht jetzt klar in den Mittelstand hinein.

Wer betroffen ist

  • Wesentliche Einrichtungen: Energie, Wasser, Gesundheit, Verkehr, digitale Infrastruktur ab 250 Mitarbeitenden oder 50 Mio. € Umsatz.
  • Wichtige Einrichtungen: Post, Lebensmittel, Industrie, digitale Anbieter ab 50 Mitarbeitenden oder 10 Mio. € Umsatz.
  • Auch ohne formale Pflicht: Zulieferer betroffener Unternehmen werden vertraglich oft mit eingebunden.

Die wichtigsten Pflichten

  • Risikomanagement und technische Schutzmaßnahmen auf Stand der Technik.
  • Meldepflichten bei erheblichen Sicherheitsvorfällen — innerhalb von 24 Stunden Erstmeldung.
  • Persönliche Verantwortlichkeit der Geschäftsleitung — keine reine Abgabe an die IT.
  • Schulungen und Awareness-Maßnahmen für alle Mitarbeitenden.
  • Lieferketten-Sicherheit — Sie müssen nachweisen können, dass auch Ihre Dienstleister angemessen abgesichert sind.

Praktischer Einstieg in die Umsetzung

Beginnen Sie mit einer ehrlichen Bestandsaufnahme. ISO 27001 oder eine Standortbestimmung nach BSI-Grundschutz liefert die Struktur. Daraus lassen sich konkrete Maßnahmen ableiten — und Sie sehen schnell, wie weit Sie tatsächlich von einer NIS2-konformen Umsetzung entfernt sind.

Was wir Mittelständlern raten

  • Frühzeitig prüfen, ob Sie überhaupt formal betroffen sind — und ob Sie als Zulieferer indirekt eingebunden werden.
  • Geschäftsführung einbinden — die persönliche Verantwortlichkeit ist nicht delegierbar.
  • Pragmatisch starten: Backup, MFA, Patch-Management, Awareness — die Basics decken sehr viel ab.
  • Externe Begleitung dort einsetzen, wo Erfahrung knapp ist — meist effizienter als komplettes Eigenstudium.

NIS2 ist anspruchsvoll, aber kein Hexenwerk. Wer ohnehin sauberes IT-Management betreibt, hat 70–80 % der Anforderungen schon erfüllt. Die verbleibenden 20–30 % erfordern strukturierte Arbeit — und kein Großbudget.

Mehr zu diesem und ähnlichen Themen: Tila Tech ist Ihr Full-Service-IT-Partner aus Deggendorf für IoT, KI-Automatisierung, Managed IT und individuelle Softwareentwicklung. 30 Minuten kostenlose Erstberatung: Telefon +49 991 492-2852-0 oder E-Mail info@tila-tech.de.