Viele Geschäftsführer im Raum Stuttgart haben NIS2 lange als Thema für Energieversorger, Krankenhäuser oder Bundesbehörden abgetan. Verständlich — die Richtlinie klingt nach Konzernkomplexität, und das eigene Unternehmen mit 20 oder 40 Mitarbeitenden fühlt sich weit davon entfernt an. Das ändert sich gerade, und zwar nicht über Behördenschreiben, sondern über einen ganz anderen Kanal: den eigenen Kunden.
Lieferantenfragebögen, neue Vertragsklauseln in Ausschreibungen, plötzliche Compliance-Nachweise — NIS2 kommt für viele KMU nicht als gesetzliche Pflicht, sondern als Kundenanforderung. Wer dann keine Antworten hat, wirkt nicht nur unprofessionell. Er verliert im schlechtesten Fall den Auftrag. Und wer direkt unter die Richtlinie fällt, steht vor konkreten Pflichten, für die auch die Geschäftsführung persönlich in der Verantwortung steht.
Hinweis: Dieser Text ersetzt keine Rechtsberatung. Für verbindliche NIS2-Einschätzungen empfehlen wir, einen auf IT-Recht spezialisierten Anwalt hinzuzuziehen.
Was bedeutet NIS2 für KMU?
NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit, die ihren Vorgänger aus dem Jahr 2016 ablöst und den Kreis der betroffenen Unternehmen erheblich erweitert. Das deutsche Umsetzungsgesetz ist inzwischen in Kraft — das Thema ist damit nicht mehr theoretisch: Betroffene Unternehmen müssen prüfen, dokumentieren und umsetzen.
Das Ziel dahinter ist simpel: Unternehmen sollen Cyberangriffe nicht erst dann ernst nehmen, wenn Server verschlüsselt sind, E-Mails stillstehen und der halbe Betrieb improvisiert. NIS2 zwingt dazu, Sicherheit als laufenden Prozess zu verstehen — nicht als einmalige Checkliste, die irgendwann in der Schublade landet.
Was die Richtlinie von ihrem Vorgänger unterscheidet, ist die erheblich größere Reichweite. Während NIS 1 vor allem klassische Kritische Infrastrukturen wie Strom- und Wasserversorger im Blick hatte, erfasst NIS2 deutlich mehr Sektoren: Lebensmittelverarbeitung, verarbeitendes Gewerbe, digitale Infrastrukturen, Abfallwirtschaft, Post- und Kurierdienste — alles Bereiche, in denen viele mittelständische Unternehmen im Rems-Murr-Kreis tätig sind. Das bedeutet: Wer bisher sicher war, nicht gemeint zu sein, sollte das noch einmal prüfen.
Für Geschäftsführer ist außerdem wichtig: NIS2 ist kein reines IT-Thema, das du einfach nach unten delegieren kannst. Die Richtlinie macht deutlich, dass die Unternehmensleitung die Umsetzung aktiv verantworten muss — und nicht als stille Beobachterin danebenstehen darf.
Welche Unternehmen fallen direkt unter NIS2?
NIS2 unterscheidet in Deutschland zwischen zwei Kategorien: besonders wichtige Einrichtungen und wichtige Einrichtungen. Die Einordnung hängt von Branche, Unternehmensgröße, Jahresumsatz und in bestimmten Fällen auch von der Bilanzsumme oder Sonderregelungen ab — etwa für Unternehmen mit besonderer Bedeutung für die öffentliche Versorgung, unabhängig von ihrer Größe.
Als besonders wichtige Einrichtung gelten Unternehmen in Kernsektoren, die in der Regel mehr als 250 Mitarbeitende beschäftigen oder einen Jahresumsatz über 50 Millionen Euro erzielen — ergänzt um die Bilanzsumme als weiteres Kriterium. Zu diesen Kernsektoren zählen Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur und öffentliche Verwaltung. Für diese Einrichtungen gelten die strengsten Anforderungen und die höchsten Bußgeldrahmen.
Als wichtige Einrichtung gelten Unternehmen in erweiterten Sektoren, die in der Regel mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz über 10 Millionen Euro erzielen. Erweiterte Sektoren umfassen unter anderem Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Lebensmittelverarbeitung, verarbeitendes Gewerbe und Forschung — Bereiche, in denen viele Mittelständler im Raum Stuttgart und Waiblingen aktiv sind.
Eine erste Orientierung, ob dein Unternehmen in eine dieser Kategorien fällt, kann eine Betroffenheitsprüfung liefern — sie ersetzt aber keine rechtliche Bewertung. Wenn du dir unsicher bist, lohnt sich der Gang zu einem Anwalt mit IT-Rechtsschwerpunkt parallel zur technischen Analyse.
Warum NIS2 auch kleinere KMU über die Lieferkette trifft
Hier liegt das größte Missverständnis rund um NIS2. Wer „50 Mitarbeitende“ hört und denkt, das Thema sei damit erledigt, übersieht einen zentralen Mechanismus der Richtlinie: Direkt betroffene Unternehmen sind ausdrücklich verpflichtet, Cybersicherheitsanforderungen in ihrer gesamten Lieferkette zu verankern.
Was das in der Praxis bedeutet: Wenn dein Unternehmen Software, IT-Dienstleistungen, Komponenten oder andere Produkte an ein NIS2-pflichtiges Unternehmen liefert, wird dieses Unternehmen von dir nachweisbare Sicherheitsstandards einfordern — weil es das nach NIS2 muss. Das passiert nicht als höfliche Bitte, sondern als Vertragsklausel, Lieferantenfragebogen oder Ausschreibungsanforderung.
Typische Fragen aus solchen Fragebögen betreffen: Hast du ein aktives Monitoring deiner IT-Systeme? Wie sieht dein Backup-Konzept aus? Gibt es dokumentierte Prozesse für Software-Updates? Was ist dein Notfallplan bei einem Sicherheitsvorfall? Wer hat Zugriff auf welche Systeme — und ist das geregelt? Werden Mitarbeitende regelmäßig zu IT-Sicherheit geschult? Diese Fragen klingen nach Bürokratie, sind aber in der Praxis der Unterschied zwischen Auftrag und Absage.
[eigene Erfahrung: typischer Lieferantenfragebogen oder wiederkehrende Kundenfrage aus der Praxis ergänzen]
Wer auf diese Fragen keine belastbaren Antworten hat, wirkt aus Kundensicht wie ein Sicherheitsrisiko in der eigenen Lieferkette. Das ist kein abstraktes Compliance-Problem, sondern eine konkrete Vertriebsfrage.
„Wir bekommen regelmäßig Anrufe von Unternehmen, die NIS2 für sich ausgeschlossen hatten — bis ein wichtiger Kunde einen Sicherheitsfragebogen geschickt hat. Dann ist die Frage nicht mehr ‚Betrifft uns das?‘, sondern ‚Wie schnell können wir das hinbekommen?'“
– Christian Markus, Gründer pirenjo.IT
Welche Pflichten entstehen durch NIS2?
Direkt betroffene Unternehmen müssen in vier Kernbereichen handeln. Der Aufwand ist je nach Ausgangssituation sehr unterschiedlich — aber die Pflichten selbst sind klar definiert, und Unkenntnis schützt nicht vor Konsequenzen.
Risikomanagement: Unternehmen brauchen ein dokumentiertes Konzept, das Cyberrisiken identifiziert, bewertet und mit konkreten Gegenmaßnahmen verknüpft. Einmalige Audits reichen nicht — das Risikomanagement muss laufend aktualisiert werden, damit es im Ernstfall auch tatsächlich greift und nicht nur auf dem Papier existiert.
Technische und organisatorische Schutzmaßnahmen: NIS2 benennt konkrete Mindestanforderungen, darunter Zugriffskontrolle, Verschlüsselung, Netzwerksicherheit, Backups, Business Continuity und Schwachstellenmanagement. Wer Updates nach Bauchgefühl einspielt und erst merkt, dass etwas schiefläuft, wenn Mitarbeitende anrufen, sollte hier dringend aufräumen — diese Anforderungen sind nicht optional.
Meldepflichten: Erhebliche Sicherheitsvorfälle — also solche, die den Betrieb spürbar beeinträchtigen oder beeinträchtigen könnten — müssen innerhalb von 24 Stunden erstmalig an die zuständige Behörde gemeldet werden. Innerhalb von 72 Stunden folgt eine detailliertere Folgemeldung, und ein abschließender Bericht mit vollständiger Bewertung des Vorfalls ist in der Regel innerhalb eines Monats einzureichen. Diese Fristen klingen machbar, sind es aber nur dann, wenn Monitoring, klare Verantwortlichkeiten und ein funktionierender Incident-Prozess bereits vorhanden sind. Wer im Ernstfall erst herausfinden muss, was überhaupt passiert ist, hat die 24-Stunden-Frist längst gerissen, bevor er anfängt zu tippen.
Governance und Schulungen: Die Unternehmensleitung muss nachweislich in Cybersicherheitsmaßnahmen eingewiesen sein und die Umsetzung aktiv überwachen. Mitarbeitende müssen regelmäßig geschult werden — beides wird dokumentiert und kann bei Prüfungen abgefragt werden.
Was passiert bei Verstößen gegen NIS2?
Die Bußgeldrahmen von NIS2 sind erheblich. Für besonders wichtige Einrichtungen sind Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich — je nachdem, was höher ist. Für wichtige Einrichtungen gilt ein Rahmen von bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Diese Zahlen sind keine theoretischen Höchstwerte, sondern der Rahmen, innerhalb dessen Behörden tatsächlich sanktionieren können.
Neben den finanziellen Konsequenzen kann ein öffentlich bekannter Sicherheitsvorfall nachhaltiger schaden als jedes Bußgeld. Wenn bekannt wird, dass ein Unternehmen trotz klarer Anforderungen keine angemessenen Maßnahmen ergriffen hat, ist das Vertrauen von Kunden und Partnern schwer zurückzugewinnen — gerade in einem regionalen Markt, in dem Reputation zählt.
Relevant für Geschäftsführer ist außerdem: NIS2 sieht vor, dass die Unternehmensleitung bei nachgewiesenen Pflichtverstößen auch persönlich zur Verantwortung gezogen werden kann. Wie weit das im Einzelfall reicht, hängt von der konkreten Situation und der rechtlichen Bewertung ab — aber es ist ein weiterer Grund, warum das Thema nicht einfach an die IT-Abteilung abgegeben werden sollte.
Wie KMU mit der NIS2-Vorbereitung starten sollten
Der erste Schritt ist eine ehrliche Bestandsaufnahme. Du musst wissen, welche Systeme du betreibst, wo Daten gespeichert sind, wer Zugang zu welchen Systemen hat und wo die offensichtlichsten Schwachstellen liegen. Ohne diese Grundlage lässt sich kein strukturierter Maßnahmenplan aufbauen — alles andere wäre Aktionismus.
Darauf aufbauend folgt die Gap-Analyse: Was fordert NIS2, was ist bereits vorhanden, was fehlt? In unserer Arbeit mit KMU im Raum Stuttgart und Waiblingen zeigen sich dabei wiederholt dieselben Lücken: fehlendes oder unzureichendes Monitoring, kein dokumentiertes Notfallkonzept, unstrukturiertes Patch Management und fehlende Nachweise für Mitarbeiterschulungen. Diese vier Bereiche sind der typische Ausgangspunkt — nicht weil Unternehmen nachlässig wären, sondern weil sie im Tagesgeschäft schlicht nicht priorisiert werden konnten.
Ein typisches Ergebnis aus unserer Arbeit mit KMU im Raum Stuttgart und Waiblingen: Drei von vier Unternehmen haben irgendeine Form von Backup — aber nur ein Bruchteil hat das Recovery je tatsächlich getestet. Ob eine Wiederherstellung im Ernstfall wirklich funktioniert, weiß kaum jemand. Aus NIS2-Sicht ist ein untestetes Backup kaum besser als keines — weil du im Ernstfall unter Druck arbeitest und keine Zeit hast, festzustellen, dass die Sicherung aus dem letzten Quartal nicht vollständig war. Das ist einer der häufigsten konkreten Befunde, die wir aus Gap-Analysen mitbringen. Und er ist lösbar — wenn man ihn kennt.
Der häufigste Fehler bei der NIS2-Vorbereitung ist der Versuch, alles auf einmal anzugehen. Das führt entweder zu Lähmung oder zu hektischen Schnellschüssen, die auf dem Papier gut aussehen, aber in der Praxis nichts bringen. Sinnvoller ist ein priorisierter Maßnahmenplan, der die kritischsten Lücken zuerst schließt und dabei realistisch bleibt, was intern leistbar ist.
Für viele KMU ist die Zusammenarbeit mit einem spezialisierten IT-Dienstleister der effizienteste Weg — nicht weil man es nicht selbst könnte, sondern weil Expertise, Werkzeuge und laufende Aufmerksamkeit extern einfacher skalieren. Was unsere Managed Services dabei konkret abdecken, findest du auf der Serviceseite.
Wie pirenjo.IT bei der NIS2-Vorbereitung unterstützt
Wir verkaufen dir keine NIS2-Plakette und keine Compliance-Abkürzung. Wir schauen uns deine IT sauber an, machen Lücken sichtbar und helfen dir, die technischen und organisatorischen Grundlagen aufzubauen — auf Basis dessen, was deine Infrastruktur wirklich zeigt, nicht auf Basis von Standardpaketen, die für jedes Unternehmen gleich aussehen. Vollständige NIS2-Konformität pauschal zu versprechen, wäre nicht ehrlich — dafür braucht es immer auch eine rechtliche Bewertung, die wir nicht leisten.
Was wir leisten: Wir starten mit einer IT-Security-Analyse, die den Ist-Zustand deiner Infrastruktur dokumentiert und konkrete Handlungsempfehlungen liefert. Daraus entsteht ein priorisierter Maßnahmenplan — kein 80-seitiges Dokument, das im Ordner verstaubt, sondern eine klare Übersicht mit realistischen nächsten Schritten, die intern auch tatsächlich umgesetzt werden können.
Im Rahmen von PIT.360 — unserem IT-Rundum-Service zum Festpreis — sind viele NIS2-relevante Maßnahmen bereits Teil der laufenden Betreuung: proaktives Monitoring, regelmäßiges Patch Management, Backupüberwachung, Dokumentation und ein fester Ansprechpartner, der deine Infrastruktur kennt. Das ist eine solide technische Basis — und sie schafft Planbarkeit, weil du weißt, was monatlich passiert, ohne jedes Mal neu beauftragen zu müssen. Eine rechtliche Prüfung ersetzt das nicht.
Was wir regelmäßig erleben: Unternehmen, die nach einer IT-Security-Analyse das erste Mal einen vollständigen Überblick über ihre Infrastruktur haben, berichten vor allem von Erleichterung — weil aus einem diffusen Risikogefühl eine überschaubare Liste mit konkreten Maßnahmen wird. Kein Alarmismus, kein Panik-Verkauf, sondern Klarheit: Hier besteht Handlungsbedarf, hier nicht, und hier ist der sinnvolle nächste Schritt. Das ist es, was wir unter einer ehrlichen Analyse verstehen.
Wenn du wissen möchtest, wo dein Unternehmen gerade steht, nimm dir 30 Minuten für ein kostenloses Erstgespräch. Kein Standardvortrag, kein Verkaufsgespräch — wir schauen konkret auf deine Situation und sagen dir, was wir sehen.
NIS2-Umsetzung konkret: Was jetzt sinnvoll ist
Der häufigste Fehler ist Abwarten — in der Hoffnung, dass sich die konkreten Anforderungen klären, wenn die nationale Umsetzung final geregelt ist. Aber NIS2 beschreibt keine neuen Sicherheitsprinzipien, sondern fordert das, was gute IT-Hygiene ohnehin seit Jahren verlangt: dokumentierte Prozesse, gepatchte Systeme, funktionierende und getestete Backups sowie ein klarer Ansprechpartner für Sicherheitsvorfälle. Wer damit wartet, bis alle Details feststehen, verliert wertvolle Zeit — ohne echten Grund.
Was du ohne externen Aufwand sofort tun kannst: Schreib auf, welche Systeme dein Unternehmen betreibt, wer Zugang zu welchen Daten hat und wo diese gespeichert sind. Das dauert in einem kleinen Unternehmen einen halben Tag — und ist gleichzeitig die Grundlage für alles, was danach kommt. Kein Berater und keine Software kann das für dich übernehmen, weil du der Einzige bist, der dein Unternehmen von innen kennt. Diese Bestandsaufnahme ist keine NIS2-Pflicht an sich — sie macht aber sichtbar, wo der echte Handlungsbedarf liegt. Viele Unternehmen stellen dabei fest, dass bestimmte Systeme noch laufen, die niemand mehr aktiv betreut, oder dass Zugriffsrechte vergeben wurden, die längst hätten entzogen werden sollen. Kleine Erkenntnisse mit großem Sicherheitseffekt. Genau dort anzusetzen ist keine Vorbereitung auf NIS2 — es ist gute IT-Hygiene, die unabhängig von jeder Regulierung sinnvoll ist. NIS2 ist insofern keine Belastung, sondern ein externer Anlass, etwas zu tun, was ohnehin überfällig war. Wer das so betrachtet, kommt leichter in die Umsetzung — weil er nicht gegen eine regulatorische Anforderung arbeitet, sondern an seiner eigenen IT-Stabilität.
Der zweite konkrete Schritt: Prüfe, ob dein Backup tatsächlich getestet wurde. Nicht ob es theoretisch läuft, sondern ob eine vollständige Wiederherstellung schon einmal praktisch durchgeführt wurde. Diese Frage klingt banal, führt aber in der Praxis regelmäßig zu einem „eigentlich schon — aber wann genau, weiß ich nicht mehr“. Genau das ist der Ansatzpunkt für technische Unterstützung, bevor ein Notfall die Frage beantwortet.
Häufige Fragen zu NIS2 für KMU
Ein KMU mit 15 Mitarbeitenden ist in den meisten Fällen nicht direkt NIS2-pflichtig. Indirekt kann NIS2 trotzdem relevant werden, wenn dein Unternehmen als Lieferant oder Dienstleister für regulierte Kunden tätig ist – diese Kunden sind verpflichtet, Sicherheitsanforderungen in ihrer Lieferkette durchzusetzen, und fragen entsprechend nach. Es lohnt sich, das zu prüfen, bevor es der Kunde tut.
Das hängt stark davon ab, wo dein Unternehmen gerade steht. Wer bereits mit strukturiertem Monitoring, Patch Management und dokumentierten Prozessen arbeitet, hat oft weniger Aufwand als erwartet – wer diese Grundlagen erst aufbauen muss, investiert mehr, sowohl in Zeit als auch in externe Unterstützung. Eine Gap-Analyse schafft Klarheit, bevor du größere Entscheidungen triffst, und gibt dir eine ehrliche Einschätzung, was in deiner konkreten Situation wirklich nötig ist.
Das deutsche Umsetzungsgesetz ist in Kraft – das Thema ist damit operativ relevant: prüfen, dokumentieren, umsetzen. Eine offizielle Schonfrist gibt es nicht, und wer weiter wartet, setzt sich unnötigem Risiko aus – sowohl regulatorisch als auch gegenüber Kunden, die Sicherheitsnachweise bereits aktiv einfordern.
pirenjo.IT ist ein IT-Systemhaus in Waiblingen, das KMU im Raum Stuttgart bei der technischen und organisatorischen NIS2-Vorbereitung begleitet – von der ersten IT-Security-Analyse bis zur laufenden Betreuung. Wir machen keine großen Versprechen, aber wir schauen uns deine Situation konkret an und zeigen dir, was wirklich fehlt.
Direkt in den meisten Fällen nicht – es sei denn, das Unternehmen ist in einem der definierten NIS2-Sektoren tätig oder überschreitet die Schwellenwerte. Der Lieferketten-Effekt gilt jedoch unabhängig vom Sektor: Wer für große Industrieunternehmen, Automobilzulieferer oder öffentliche Auftraggeber in der Region tätig ist, sollte prüfen, ob Sicherheitsanforderungen vertraglich weitergegeben werden – das passiert gerade, und häufiger als viele denken.
