NIS2-Richtlinie: Checkliste für KMU 2026 (kostenfrei)

Wer ist betroffen, welche 15 Massnahmen sind Pflicht, welche Strafen drohen und wie setzen Sie NIS2 in Ihrem Unternehmen praxisnah um? Eine Anleitung für Mittelständler im Rheinland.

18 Sektoren
sind von NIS2 betroffen
ab 50 MA
oder 10 Mio. € Umsatz in betroffenen Branchen
10 Mio. €
maximales Bussgeld bei Verstössen
15 Punkte
in der Praxis-Checkliste zur Umsetzung

Was ist NIS2 – und warum jetzt handeln?

Die NIS2-Richtlinie (offiziell: „Network and Information Security Directive 2“) ist die zweite Generation der EU-Richtlinie für Cybersicherheit. Sie ersetzt die NIS1 von 2016 und erweitert den Anwendungsbereich erheblich. Während NIS1 im Wesentlichen nur grosse Betreiber kritischer Infrastrukturen betraf (Energie, Wasser, Krankenhäuser, Banken), zieht NIS2 den Kreis deutlich weiter: Maschinenbau, chemische Industrie, Lebensmittelproduktion, Postdienste, Forschung und viele weitere Branchen sind nun erfasst.

Die EU-Richtlinie ist seit 18. Oktober 2024 gültig. In Deutschland erfolgt die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Anfang 2026 ist das Gesetz vollumfänglich in Kraft – das heisst: Unternehmen, die unter die Richtlinie fallen, müssen sich beim BSI registrieren, ein Sicherheitskonzept umsetzen und Vorfälle melden. Die Zeit, in der NIS2 ein abstraktes Thema war, ist vorbei.

Wer das Thema bisher ignoriert hat, sollte jetzt aktiv werden. Compliance ist keine Option mehr, sondern Pflicht. Und selbst Unternehmen, die formal nicht betroffen sind, profitieren von einer Auseinandersetzung mit den NIS2-Anforderungen – viele grosse Auftraggeber verlangen mittlerweile eine entsprechende Cybersecurity-Reife auch von ihren Lieferanten.

NIS2 versus DSGVO

NIS2 und DSGVO werden oft verwechselt. Der Unterschied: DSGVO schützt personenbezogene Daten (Datenschutz), NIS2 schützt die Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen (Datensicherheit). Beide Regelungen ergänzen sich, sind aber inhaltlich unterschiedlich. Eine NIS2-Compliance schliesst DSGVO nicht ein und umgekehrt. Mehr Hintergrund auch im Artikel NIS2-Richtlinie 2026 für Unternehmen.

Wer ist betroffen?

Die Frage, ob Ihr Unternehmen unter NIS2 fällt, hängt von zwei Faktoren ab: Branche (Sektor) und Unternehmensgrösse. Beide Müssen gegeben sein, damit Sie betroffen sind.

Die 18 betroffenen Sektoren

NIS2 unterscheidet zwischen „wesentlichen Einrichtungen“ (Sektoren mit hoher Kritikalität) und „wichtigen Einrichtungen“ (sonstige kritische Sektoren). Die wichtigsten für KMU im Rheinland:

Wesentliche Sektoren

Energie, Verkehr (Strasse, Schiene, Wasser, Luft), Banken & Finanzwesen, Gesundheit (Krankenhäuser, Labore, Apotheken), Wasser/Abwasser, digitale Infrastruktur (Cloud, RZ), öffentliche Verwaltung, Weltraum.

Wichtige Sektoren

Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitende Industrie (Maschinenbau, Elektronik, Fahrzeuge), digitale Anbieter (Online-Marktplatz, Cloud), Forschung.

Schwellenwerte: Wann sind Sie betroffen?

Innerhalb der genannten Sektoren gelten Grössenschwellen:

  • Wesentliche Einrichtung: Mindestens 250 Mitarbeiter oder 50 Mio. Euro Jahresumsatz/Bilanzsumme. Bussgeld bis 10 Mio. Euro oder 2 Prozent des Jahresumsatzes.
  • Wichtige Einrichtung: Mindestens 50 Mitarbeiter oder 10 Mio. Euro Jahresumsatz. Bussgeld bis 7 Mio. Euro oder 1,4 Prozent des Jahresumsatzes.
  • Sonderfälle: Vertrauensdiensteanbieter, DNS-Provider, TLD-Registrare und einige weitere fallen unabhängig von der Grösse unter NIS2.

Wichtig: Wer in der Lieferkette eines NIS2-Unternehmens ist, kann indirekt betroffen sein – weil grosse Kunden Sicherheits-Audits ihrer Zulieferer fordern. Bei Maschinenbauern in Solingen oder Wuppertal sehen wir das aktuell vermehrt: Auch wenn der Betrieb selbst nur 25 Mitarbeiter hat, verlangt der Konzern-Kunde eine NIS2-konforme Sicherheits-Prüfung.

Strafen und persönliche Haftung

Was bei NIS2 viele KMU-Geschäftsführer unterschätzen: Es geht nicht nur um Bussgelder für das Unternehmen, sondern auch um persönliche Haftung der Geschäftsleitung.

  • Bussgelder Unternehmen: Bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes (wesentliche Einrichtung), bis 7 Mio. Euro oder 1,4 Prozent (wichtige Einrichtung).
  • Persönliche Haftung: Geschäftsführer und Vorstand haften persönlich, wenn sie ihrer Aufsichtspflicht nicht nachgekommen sind. Schadensersatz-Ansprüche gegen die Person sind möglich.
  • Tätigkeitsverbot: In schweren Fällen kann die Aufsichtsbehörde der Geschäftsleitung die Tätigkeit untersagen.
  • Reputationsschaden: NIS2-Verstösse sind öffentlich. Wer wegen Cybersicherheits-Versagen in den Medien landet, verliert Aufträge und Kunden.

Die 15-Punkte-Checkliste zur Umsetzung

NIS2 fordert konkrete technische und organisatorische Massnahmen. Diese 15 Punkte fassen die wichtigsten Anforderungen zusammen – jeder Punkt ist Pflicht (nicht optional) für betroffene Unternehmen.

Organisation und Governance

  • 1. Geschäftsleitung-Verantwortung: Schriftlich festgelegte Verantwortung der Geschäftsleitung für Cybersicherheit. Schulung und regelmässige Prüfung der Massnahmen.
  • 2. Risiko-Management: Dokumentierter Risiko-Management-Prozess, mindestens jährliche Aktualisierung. Welche Bedrohungen, welche Auswirkungen, welche Massnahmen?
  • 3. Sicherheitsleitlinien: Schriftliche IT-Sicherheits-Policy, von der Geschäftsleitung freigegeben, regelmässig aktualisiert.

Technische Massnahmen

  • 4. Zugriffskontrollen: Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge und Cloud-Anwendungen. Rollenbasiertes Berechtigungskonzept.
  • 5. Verschlüsselung: Verschlüsselung sensibler Daten in Transit (TLS 1.3) und at Rest. Verschlüsselte Backups, verschlüsselte Festplatten für Laptops.
  • 6. Endpoint-Schutz: EDR-Lösung auf allen Endpoints (Microsoft Defender for Business, Bitdefender, SentinelOne). Zentrale Überwachung.
  • 7. Netzwerk-Segmentierung: VLAN-Trennung von Produktion, Verwaltung, Gästen. Firewall-Regeln zwischen Segmenten. Mehr Details in unserer Netzwerk-Einrichtung.
  • 8. Patch-Management: Sicherheits-Updates innerhalb 14 Tagen, kritische Patches innerhalb 72 Stunden. Tool-basierte Überwachung.
  • 9. Backup und Wiederherstellung: 3-2-1-Backup-Strategie, monatliche Restore-Tests, Offsite-Kopie. Disaster-Recovery-Plan dokumentiert.

Incident- und Lieferketten-Management

  • 10. Incident-Response-Plan: Schriftlicher Plan für Sicherheitsvorfälle, klare Verantwortlichkeiten, Eskalationsketten, Kontaktpersonen.
  • 11. Meldepflichten: Bei einem signifikanten Sicherheitsvorfall ist eine Meldung an das BSI binnen 24 Stunden Pflicht. Zwischenbericht binnen 72 Stunden, Abschlussbericht binnen einem Monat.
  • 12. Lieferketten-Sicherheit: Bewertung der Cybersecurity-Reife Ihrer kritischen Lieferanten. Vertragliche Zusicherungen, regelmässige Prüfung.

Awareness und Schulung

  • 13. Awareness-Training: Mindestens jährliche Schulung aller Mitarbeiter zu Phishing, Social Engineering, sicherem Umgang mit Daten. Dokumentation der Teilnahme.
  • 14. Phishing-Tests: Mindestens halbjährlich simulierte Phishing-Mails an alle Mitarbeiter. Bei Klick: gezielte Nachschulung.

Audits und Reporting

  • 15. Regelmässige Audits: Mindestens jährliches internes Audit der NIS2-Massnahmen. Bei wesentlichen Einrichtungen externe Prüfung empfohlen. Schriftliche Dokumentation der Ergebnisse.

Schritt-für-Schritt Umsetzung in 90 Tagen

Für KMU, die mit NIS2 starten, empfehlen wir einen 90-Tage-Plan. Das ist realistisch, wenn das Unternehmen sich konzentriert mit dem Thema befasst und externe Unterstützung hat.

Tag 1–14: Gap-Analyse

Ist-Aufnahme der bestehenden Sicherheitsmassnahmen. Welche der 15 Punkte sind erfüllt, welche teilweise, welche gar nicht? Risiko-Matrix erstellen.

Tag 15–30: Massnahmenplan

Priorisierter Plan: Was wird wann von wem mit welchem Budget umgesetzt? Quick Wins (MFA, Backup-Test) sofort, Komplexes (Segmentierung) später.

Tag 31–60: Technische Umsetzung

EDR ausrollen, MFA aktivieren, Backup prüfen und erweitern, Netzwerk-Segmentierung. Mehr in unserer IT-Sicherheit-Beratung.

Tag 61–75: Dokumentation

Sicherheits-Policies schreiben, Incident-Response-Plan erstellen, Risiko-Management-Dokumentation, Meldewege festlegen.

Tag 76–85: Schulung

Awareness-Schulung für alle Mitarbeiter, separate Schulung für Geschäftsleitung. Erster Phishing-Test als Baseline.

Tag 86–90: Audit & BSI

Internes Audit zur Prüfung der Umsetzung. BSI-Registrierung über das Portal abschliessen.

Tools und Empfehlungen

Welche Tools setzen wir bei NIS2-Projekten für KMU im Rheinland typischerweise ein?

  • EDR-Schutz: Microsoft Defender for Business (4,60 €/Endpoint), Bitdefender GravityZone, SentinelOne.
  • MFA: Microsoft Entra ID (in M365 Business enthalten), Cisco Duo, Okta.
  • Backup: Veeam Backup, Acronis Cyber Protect, Hetzner Storage Box als Offsite-Ziel.
  • Patch-Management: NinjaOne, Microsoft Intune, ManageEngine Endpoint Central.
  • SIEM (für grössere Mittelständler): Microsoft Sentinel, Wazuh (Open Source).
  • Awareness-Training: KnowBe4, SoSafe, Hornetsecurity Awareness Service.
  • GRC-Tool (Governance, Risk, Compliance): Audit-Trail.io, ENGINSIGHT, manuell mit Excel für kleine Betriebe.
  • Phishing-Simulation: KnowBe4 PhishER, SoSafe Phishing Simulator, GoPhish (kostenfrei).

Was kostet NIS2-Compliance realistisch?

Eine ehrliche Einschätzung der Kosten für ein typisches KMU mit 80 Mitarbeitern in einer NIS2-betroffenen Branche:

  • Gap-Analyse / Audit (extern): 990 Euro (Basis-Audit, halber Tag) bis 7.500 Euro (umfassende Prüfung mit Massnahmenplan, 5 Tage).
  • Tools und Lizenzen (laufend): 800–2.500 Euro pro Monat (EDR, MFA, Backup, Awareness, Patch-Management).
  • Hardware (einmalig): 5.000–15.000 Euro (Firewall, Switche für Segmentierung, ggf. neuer Backup-Server).
  • Externe Beratung Umsetzung: 8.000–25.000 Euro einmalig für ein 90-Tage-Projekt.
  • Schulung (jährlich): 1.500–5.000 Euro für Awareness-Plattform plus Workshops.
  • Interner Aufwand: Etwa 0,2–0,5 Vollzeitäquivalente für laufende NIS2-Compliance (CISO-Rolle).

Wichtig: Diese Kosten klingen hoch, sind aber in vielen Punkten ohnehin notwendig – auch ohne NIS2-Pflicht. Ein KMU, das modern arbeitet (Microsoft 365, EDR, MFA), hat 60 bis 70 Prozent der Anforderungen schon erfüllt. NIS2 zwingt nur dazu, das Ganze zu dokumentieren, zu strukturieren und lückenlos umzusetzen. Mehr zu verwandten Themen finden Sie auch in unserem Artikel IT-Sicherheit für KMU.

Häufige Fehlannahmen zu NIS2

In Beratungsgesprächen mit Mittelständlern hören wir immer wieder dieselben Missverständnisse:

  • „Wir sind zu klein.“ Falsch, wenn Sie in einem betroffenen Sektor sind und die Schwellenwerte erreichen. Bereits 50 Mitarbeiter reichen.
  • „Wir machen schon ISO 27001.“ Hilfreich, aber nicht automatisch deckungsgleich. NIS2 hat zusätzliche Anforderungen, etwa zur Lieferketten-Sicherheit und Meldepflichten.
  • „Das BSI wird uns schon nicht prüfen.“ Das BSI hat Prüfpflichten und nutzt diese aktiv. Bei Vorfällen (etwa Ransomware) wird die Compliance rückwirkend geprüft.
  • „Mein IT-Dienstleister regelt das.“ Die rechtliche Verantwortung bleibt bei der Geschäftsleitung. Auch bei externer IT müssen Sie nachweisen, dass NIS2 erfüllt ist.
  • „Das ist alles überzogen.“ Im Lichte realer Cybersicherheits-Vorfälle (Industriespionage, Ransomware-Angriffe auf Mittelständler) sind die Anforderungen sachlich begründet.

Unser NIS2-Compliance-Audit

Wir bieten ein strukturiertes NIS2-Compliance-Audit für KMU im Rheinland an: ab 990 Euro für die Basis-Variante mit halbtaegigem Prüf-Termin und schriftlichem Bericht. Bei Bedarf erweitern wir auf einen vollständigen Massnahmenplan und begleiten die Umsetzung. Mehr Details auf unserer Seite zur IT-Sicherheit für KMU.

Fazit: Compliance ist Chance

NIS2 ist kein bürokratisches Ärgernis, sondern ein realistischer Reaktionsversuch der EU auf eine geänderte Bedrohungslage. Wer die 15 Punkte umsetzt, bekommt nicht nur Compliance, sondern auch eine substantiell verbesserte Cybersicherheit – das ist im Alltag mehr wert als die Vermeidung von Bussgeldern.

Unser Rat: Beginnen Sie zeitnah mit einer Gap-Analyse, priorisieren Sie die Quick Wins (MFA, Backup, EDR) und arbeiten Sie systematisch durch. 90 Tage reichen für die meisten KMU, um eine solide Basis zu legen. Wer früh startet, hat 2026 nicht nur Compliance, sondern auch ein Sicherheits-Niveau, das vor real existierenden Angriffen schützt.

NIS2-Compliance-Audit ab 990 €

Prüfen Sie in einer halbtaegigen Sitzung mit uns, wo Ihr Unternehmen bei NIS2 steht und welche Massnahmen Priorität haben. Konkret, dokumentiert, mit Massnahmenplan.

Audit anfragen WhatsApp

Weitere Artikel

IT-Sicherheit für KMU

8 konkrete Maßnahmen, die Ihr Unternehmen sofort besser schützen.

Weiterlesen

NIS2-Richtlinie 2026

Hintergrund-Artikel zur Richtlinie und ihrer praktischen Umsetzung.

Weiterlesen

IT-Service Mittelstand NRW

12-Punkte-Checkliste für die Auswahl Ihres IT-Dienstleisters.

Weiterlesen