NIS2 für den Mittelstand: was die Richtlinie wirklich verlangt
Eine klare Antwort darauf, was der Gesetzgeber von Ihnen erwartet und was Sie zuerst tun können.
29. Mai 2026 · Bartek Liszkowski
Als 2024 die EU-Richtlinie NIS2 in Kraft trat, behandelten die meisten mittelständischen Firmen sie als etwas, das Banken und Telekommunikationsanbieter betrifft. 2026 ist diese Annahme zerbrochen. In Deutschland gilt seit dem 6. Dezember 2025 das NIS2-Umsetzungsgesetz (NIS2UmsuCG) — ohne Übergangsfrist, mit rund 29.500 betroffenen Unternehmen. Und es genügt schon, kritische Dienste für die Lieferkette eines Kunden zu liefern, der selbst unter NIS2 fällt — und plötzlich sind Sie es auch.
Dieser Artikel ersetzt kein Gespräch mit einem Anwalt. Ich habe darin aber das zusammengetragen, was mir selbst fehlte, als ein Kunde zum ersten Mal fragte, wie GoIDEA NIS2 erfüllt. Ohne Beraternebel, in klarer Sprache. Was aus der Richtlinie wirklich folgt und was Sie zuerst tun können.
Was NIS2 eigentlich ist
NIS2 ist die EU-Cybersicherheitsrichtlinie (formal 2022/2555), die die ältere NIS-Richtlinie von 2016 abgelöst hat. Sie hebt und vereinheitlicht die Sicherheitsanforderungen in der gesamten Union für Firmen aus kritischen und wichtigen Sektoren. Jeder Staat setzt sie in nationales Recht um — in Deutschland durch das NIS2UmsuCG, zuständig ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).
In der Praxis legt die Richtlinie Pflichten in drei Schichten auf: Risikomanagement, Meldung von Vorfällen innerhalb festgelegter Fristen sowie die persönliche Verantwortung der Geschäftsleitung für beides. Das ist ein fortlaufender Prozess, der während der gesamten Tätigkeit der Firma aufrechterhalten wird.
Wen NIS2 in Deutschland betrifft
Kurz: Firmen aus kritischen oder wichtigen Sektoren mit 50+ Mitarbeitenden oder 10+ Mio. € Jahresumsatz. Kritische Sektoren sind Energie, Transport, Bankwesen, digitale Infrastruktur. Wichtige sind u. a. Produktion, Anbieter digitaler Dienste, Post, Abfallwirtschaft.
Der zweite Anknüpfungspunkt ist weniger offensichtlich. Wenn Sie selbst nicht unter NIS2 fallen, aber Software, Infrastruktur oder kritische Dienste für eine Firma liefern, die unter NIS2 fällt — muss der Auftraggeber prüfen, wie Sie Cybersicherheit handhaben. In der Praxis: In Verträgen tauchen Klauseln auf, die von Ihnen dasselbe verlangen wie vom großen Kunden.
Für mittelständische Zulieferer ist das heute der schnellste Mechanismus, in NIS2 hineingezogen zu werden. Der große Kunde fragt nicht, ob Sie sich anpassen möchten. Der große Kunde hat seine Compliance-Abteilung, die einen Plan bekommen hat und ihn umsetzt.
Was die Richtlinie wirklich verlangt
NIS2 legt die geforderten Ergebnisse fest und überlässt Ihnen die Wahl der Technik. Aus Sicht einer mittelständischen Firma sind das neun Bereiche, die beschrieben und aufrechterhalten werden müssen.
Konzepte für Risikoanalyse und Systemsicherheit. Verfahren zur Bewältigung und Meldung von Vorfällen — Frühwarnung innerhalb von 24 Stunden, Bewertung nach 72 Stunden, Abschlussbericht nach 30 Tagen. Aufrechterhaltung des Betriebs (Backups, Krisenmanagement). Sicherheit der Lieferkette — einschließlich Ihrer Software-Lieferanten. Sicherheit bei Beschaffung, Entwicklung und Wartung von IT. Verfahren zur Bewertung der Wirksamkeit der Risikomaßnahmen. Schulung des Personals in Cyberhygiene. Kryptografie, wo sinnvoll. Zugriffskontrolle und Identitätsmanagement.
Neun Bereiche. Jeder muss dokumentiert sein. Jeder braucht eine verantwortliche Person. Jeder muss prüfbar sein.
Was das für ein mittelständisches Unternehmen praktisch bedeutet
Für die meisten Firmen mit 20–250 Personen ist die NIS2-Umsetzung vor allem Dokumentationsarbeit — technisch haben sie meist schon, was nötig ist. Die meisten mittelständischen Firmen tun das meiste von dem, was die Richtlinie verlangt — nur schreiben sie es nirgends auf, testen es nirgends und melden es nirgends.
Der teuerste Teil der NIS2-Umsetzung ist meist ein Monat Arbeit, um zu beschreiben, was in der Firma bereits geschieht, und das erste Audit, das zeigt, was tatsächlich fehlt. Hardware ist hier oft der kleinste Kostenpunkt.
Der zweite Kostenblock sind die Lieferanten. Alle Verträge mit System-, Hosting- und Software-Anbietern werden Nachträge brauchen. Die meisten fertigen Cloud-Dienste haben solche Nachträge im Portfolio. Ein lokaler Anbieter, der Ihnen vor zehn Jahren eine Anwendung gebaut hat, hat sie wahrscheinlich nicht. Genau hier überprüfen viele Kunden heute ihr Lieferantenportfolio.
Wie ich für NIS2 baue
Drei Architekturentscheidungen, die ich von Beginn jedes Projekts treffe, weil sie ohnehin in Richtung Konformität mit der Richtlinie führen.
Erstens — alles, was ich baue, läuft in der Infrastruktur des Kunden, nicht in meiner. Ihre Daten verlassen nie die Server, die Sie selbst kontrollieren. Das löst das Lieferketten-Problem von NIS2 auf technischer Ebene, bevor überhaupt darüber gesprochen wird.
Zweitens — Audit-Protokolle führt der Server automatisch: wer, wann, was. Dazu ergänze ich jede Protokollierung, die Sie brauchen oder die Vorschriften verlangen. Dasselbe gilt für die Zugriffskontrolle auf Datensatz-Ebene, nicht nur auf dem Bildschirm.
Drittens — die Dokumentation entsteht automatisch, mit dem Aufbau des Systems. Der Kunde erhält ein fertiges Paket — das er im Grunde jederzeit selbst aus dem System generieren kann. Dieselbe Dokumentation lässt sich weiterverwenden, bei der Erstellung weiterer erforderlicher Unterlagen.
Mehr technische Details habe ich auf einer eigenen Seite HIER zusammengetragen. Wenn Sie sich auf NIS2 vorbereiten oder Ihr Kunde zu fragen beginnt — melden Sie sich bei mir. Wir besprechen, wo genau Sie heute stehen und was Sie zuerst tun können.
30 Minuten buchen. Jede Mail beantworte ich selbst.
Das erste Gespräch ist für mich ein ruhiges Kennenlernen. Ich prüfe, ob ich überhaupt helfen kann. Keine Folien, kein Verkaufsdruck. Wenn ich sehe, dass es nicht passt, sage ich es direkt.
Sie sprechen lieber, als zu schreiben? Wählen Sie einen Termin im Kalender — wir treffen uns per Zoom:
Cal.com öffnen →
Telefon +48 601 789 966 — Sie können anrufen, ich gehe selbst ran.