NIS-2 für KMU: Wirtschaftliche Umsetzung für kleine betroffene Unternehmen

Letzte Aktualisierung:

NIS-2 für KMU: Wie kleine Unternehmen knapp über der Schwelle die Anforderungen wirtschaftlich umsetzen. Pragmatischer Leitfaden mit Kostenoptimierung.

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 sind rund 29.500 Unternehmen in Deutschland von neuen Cybersicherheitspflichten betroffen. Darunter befinden sich erstmals auch viele kleine und mittlere Unternehmen (KMU), die die Schwellenwerte von 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz gerade überschreiten. Für diese Unternehmen stellt sich eine zentrale Frage: Wie lassen sich die zehn Mindestmaßnahmen nach § 30 BSIG umsetzen, ohne das Budget zu sprengen? Dieser Artikel zeigt pragmatische Wege zur wirtschaftlichen NIS-2-Compliance für KMU.

NIS-2 und KMU: Wer ist betroffen?

Die NIS-2-Richtlinie basiert auf dem sogenannten Size-Cap-Ansatz. Anders als bei der bisherigen KRITIS-Verordnung, die auf Versorgungsschwellen setzte, entscheiden nun primär Unternehmensgröße und Sektorzugehörigkeit über die Betroffenheit.

Die Schwellenwerte im Überblick

Ein Unternehmen fällt unter NIS-2, wenn es in einem der 18 regulierten Sektoren tätig ist und mindestens eine der folgenden Bedingungen erfüllt:

  • Mindestens 50 Mitarbeiter beschäftigt oder
  • Einen Jahresumsatz von mehr als 10 Millionen Euro erzielt und eine Jahresbilanzsumme von mehr als 10 Millionen Euro aufweist

Die Ermittlung erfolgt nach der KMU-Definition der EU-Empfehlung 2003/361/EG. Bei Konzernstrukturen werden die Kennzahlen verbundener Unternehmen zusammengerechnet – ein Detail, das viele KMU übersehen. Ob Ihr Unternehmen betroffen ist, können Sie mit unserer NIS-2-Betroffenheitsanalyse prüfen.

Die besondere Situation kleiner betroffener Unternehmen

Unternehmen, die knapp über den Schwellenwerten liegen – etwa mit 55 Mitarbeitern oder 12 Millionen Euro Umsatz – stehen vor einer besonderen Herausforderung. Sie müssen dieselben zehn Mindestmaßnahmen umsetzen wie Großunternehmen, verfügen jedoch über deutlich geringere Ressourcen. Die gute Nachricht: Das Gesetz berücksichtigt diesen Umstand durch den Grundsatz der Verhältnismäßigkeit.

Der Verhältnismäßigkeitsgrundsatz als Chance für KMU

§ 30 Absatz 1 BSIG verlangt ausdrücklich „verhältnismäßige" Maßnahmen. Bei der Beurteilung sind zu berücksichtigen:

  • Das Ausmaß der Risikoexposition
  • Die Größe der Einrichtung
  • Die Umsetzungskosten
  • Die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen
  • Die gesellschaftlichen und wirtschaftlichen Auswirkungen

Diese Regelung bedeutet konkret: Ein Maschinenbauunternehmen mit 60 Mitarbeitern muss nicht dieselben Maßnahmen umsetzen wie ein DAX-Konzern. Entscheidend ist eine nachvollziehbare Risikoabwägung, die dokumentiert, warum bestimmte Maßnahmen in welchem Umfang umgesetzt werden.

Wichtig für KMU: Der Verhältnismäßigkeitsgrundsatz ist kein Freibrief, die Mindestmaßnahmen zu ignorieren. Er erlaubt jedoch eine dem Risiko und den Ressourcen angemessene Ausgestaltung. Diese Entscheidung sollte dokumentiert werden, um im Prüfungsfall Rechenschaft ablegen zu können. Bei Verstößen drohen Bußgelder bis 10 Millionen Euro und persönliche Geschäftsführerhaftung.

Die zehn Mindestmaßnahmen wirtschaftlich umsetzen

Die zehn NIS-2-Mindestmaßnahmen nach § 30 BSIG bilden das Grundgerüst der Compliance. Für KMU mit begrenztem Budget ist eine priorisierte und pragmatische Umsetzung entscheidend.

1. Risikoanalyse und Informationssicherheitskonzept

Was das Gesetz fordert: Systematische Identifikation, Analyse und Bewertung von Risiken sowie eine übergeordnete Sicherheitsleitlinie.

Pragmatischer Ansatz für KMU:

  • Beginnen Sie mit einer einfachen Asset-Inventarisierung Ihrer kritischen IT-Systeme
  • Nutzen Sie die Vorlagen des BSI oder orientieren Sie sich am BSI-Standard 200-3 für die Risikoanalyse
  • Eine Informationssicherheitsleitlinie muss kein 50-seitiges Dokument sein – zwei bis fünf Seiten mit den wesentlichen Grundsätzen genügen
  • Planen Sie jährliche Reviews ein, um die Aktualität sicherzustellen

Geschätzter Aufwand: 3–5 Personentage initial, danach 1–2 Tage jährlich für Aktualisierungen

2. Bewältigung von Sicherheitsvorfällen

Was das Gesetz fordert: Dokumentierte Prozesse für Erkennung, Analyse, Eindämmung und Wiederherstellung bei Sicherheitsvorfällen sowie die Einhaltung der Meldepflichten nach § 32 BSIG.

Pragmatischer Ansatz für KMU:

  • Erstellen Sie einen kompakten Incident-Response-Plan mit klaren Eskalationswegen
  • Definieren Sie, wer im Unternehmen für die Erstmeldung ans BSI verantwortlich ist
  • Nutzen Sie unseren Cybervorfall-Meldefristen-Rechner, um die 24-Stunden-Frist nicht zu versäumen
  • Üben Sie den Ablauf einmal jährlich in einer Tabletop-Übung (ca. 2 Stunden)

Geschätzter Aufwand: 2–3 Personentage initial, danach halbjährliche Überprüfung

3. Business Continuity und Krisenmanagement

Was das Gesetz fordert: Backup-Management, Wiederherstellungspläne und Notfallkonzepte.

Pragmatischer Ansatz für KMU:

  • Setzen Sie auf die 3-2-1-Backup-Regel: drei Kopien, zwei Medientypen, ein Offsite-Speicherort
  • Testen Sie Backup-Restores mindestens quartalsweise
  • Dokumentieren Sie die Wiederherstellungszeit (RTO) und den akzeptablen Datenverlust (RPO) für Ihre kritischen Systeme
  • Ein einfacher Notfallplan mit Kontaktdaten und ersten Handlungsschritten ist besser als kein Plan

Geschätzter Aufwand: 2–4 Personentage initial, quartalsweise Backup-Tests (je 2–4 Stunden)

4. Sicherheit der Lieferkette

Was das Gesetz fordert: Systematische Bewertung der Cybersicherheit von Anbietern und Dienstleistern sowie vertragliche Anforderungen.

Pragmatischer Ansatz für KMU:

  • Erstellen Sie eine Liste Ihrer IT-Dienstleister und Cloud-Anbieter
  • Kategorisieren Sie nach Kritikalität (hoch, mittel, niedrig)
  • Fordern Sie von kritischen Dienstleistern Nachweise an: ISO-27001-Zertifikate, SOC-2-Reports oder vergleichbare Dokumentation
  • Verankern Sie grundlegende Sicherheitsanforderungen in Verträgen (auch bei Neuabschlüssen)

Geschätzter Aufwand: 2–3 Personentage initial, danach jährliche Überprüfung

5. Sicherheit bei Erwerb, Entwicklung und Wartung

Was das Gesetz fordert: Patch-Management, Schwachstellenmanagement und sichere Beschaffungsprozesse.

Pragmatischer Ansatz für KMU:

  • Implementieren Sie einen Patch-Management-Prozess mit definierten Zeitrahmen: kritische Updates innerhalb von 72 Stunden, wichtige innerhalb von 14 Tagen
  • Nutzen Sie die automatischen Update-Funktionen Ihrer Betriebssysteme und Software
  • Prüfen Sie bei Neuanschaffungen grundlegende Sicherheitsaspekte (Support-Zeiträume, Update-Frequenz)
  • Ein kostenloser Vulnerability-Scanner wie Nessus Essentials oder OpenVAS kann für kleine Umgebungen ausreichen

Geschätzter Aufwand: 1–2 Personentage für Prozessdefinition, danach laufende Wartung

6. Wirksamkeitsprüfung

Was das Gesetz fordert: Regelmäßige Überprüfung der Sicherheitsmaßnahmen auf ihre Wirksamkeit.

Pragmatischer Ansatz für KMU:

  • Definieren Sie 3–5 messbare KPIs: Zeit bis zur Patch-Installation, Anzahl offener Schwachstellen, Erfolgsrate bei Phishing-Tests
  • Führen Sie jährlich einen Penetrationstest durch (externe Dienstleister bieten dies ab etwa 3.000–5.000 Euro an)
  • Dokumentieren Sie die Ergebnisse und leiten Sie Verbesserungsmaßnahmen ab

Geschätzter Aufwand: 1 Personentag für KPI-Definition, jährlicher Penetrationstest (extern)

7. Schulungen und Sensibilisierung

Was das Gesetz fordert: Grundlegende Cyberhygiene-Schulungen für alle Mitarbeiter sowie rollenspezifische Schulungen. Zusätzlich verpflichtet § 38 BSIG die Geschäftsleitung zur Teilnahme an Cybersicherheitsschulungen – Details hierzu finden Sie in unserem Artikel zur NIS-2-Schulungspflicht für Geschäftsführer.

Pragmatischer Ansatz für KMU:

  • Nutzen Sie kostenlose oder günstige E-Learning-Plattformen für Basis-Awareness
  • Führen Sie vierteljährlich kurze Phishing-Simulationen durch (kostengünstige Tools wie GoPhish sind Open Source)
  • Die Geschäftsführerschulung dauert etwa einen halben Tag – ein überschaubarer Zeitaufwand
  • Dokumentieren Sie alle Schulungsteilnahmen

Geschätzter Aufwand: 2–4 Stunden pro Mitarbeiter jährlich, Geschäftsführerschulung einmalig plus regelmäßige Auffrischung

8. Kryptografie und Verschlüsselung

Was das Gesetz fordert: Konzepte für den Einsatz kryptografischer Verfahren bei ruhenden und übertragenen Daten.

Pragmatischer Ansatz für KMU:

  • Aktivieren Sie Festplattenverschlüsselung auf allen Arbeitsgeräten (BitLocker, FileVault)
  • Stellen Sie sicher, dass alle Webseiten und Dienste TLS nutzen
  • Nutzen Sie verschlüsselte E-Mail für sensible Kommunikation
  • Erstellen Sie ein einfaches Kryptografie-Inventar: Welche Systeme nutzen welche Verschlüsselung?

Geschätzter Aufwand: 1–2 Personentage für Bestandsaufnahme und Aktivierung

9. Personalsicherheit und Zugriffskontrolle

Was das Gesetz fordert: Need-to-know-Prinzip, Berechtigungsmanagement und Regelungen für das Ausscheiden von Mitarbeitern.

Pragmatischer Ansatz für KMU:

  • Nutzen Sie ein zentrales Verzeichnis für Benutzerkonten (Active Directory, Azure AD)
  • Definieren Sie Rollen und Berechtigungen nach dem Prinzip der minimalen Rechte
  • Etablieren Sie einen Prozess für Zugangsentzug bei Mitarbeiterwechsel
  • Führen Sie halbjährliche Berechtigungsreviews für kritische Systeme durch

Geschätzter Aufwand: 2–3 Personentage initial, halbjährliche Reviews (je 0,5–1 Tag)

10. Multi-Faktor-Authentifizierung und sichere Kommunikation

Was das Gesetz fordert: MFA für kritische Zugänge und sichere Kommunikationskanäle.

Pragmatischer Ansatz für KMU:

  • Priorisieren Sie MFA für: VPN-Zugänge, E-Mail (insbesondere Webmail), administrative Konten, Cloud-Dienste
  • Kostenlose Authenticator-Apps sind für den Start ausreichend
  • Definieren Sie einen alternativen Kommunikationskanal für Notfälle (z. B. separate Messenger-Gruppe, Mobiltelefone)

Geschätzter Aufwand: 1–2 Personentage für Rollout, minimaler laufender Aufwand

Kostenübersicht: Was die NIS-2-Umsetzung für KMU realistisch kostet

Die Kosten für die NIS-2-Umsetzung variieren je nach Ausgangslage erheblich. Für ein KMU mit 50–100 Mitarbeitern, das bisher keine strukturierten Sicherheitsmaßnahmen hatte, ist mit folgenden Größenordnungen zu rechnen:

Kostenkategorie Einmalige Kosten Jährliche Kosten
Gap-Analyse und Konzeption 5.000 – 15.000 €
Dokumentation (Richtlinien, Prozesse) 3.000 – 8.000 € 1.000 – 2.000 € (Pflege)
Technische Maßnahmen (MFA, Verschlüsselung, Backup) 5.000 – 20.000 € 2.000 – 5.000 €
Schulungen 2.000 – 5.000 € 1.500 – 3.000 €
Penetrationstest 3.000 – 8.000 €
Externer ISB (optional, aber empfohlen) 16.800 – 30.000 €
Gesamt (ohne externen ISB) 15.000 – 48.000 € 7.500 – 18.000 €
Gesamt (mit externem ISB) 15.000 – 48.000 € 24.300 – 48.000 €

Unternehmen, die bereits grundlegende IT-Sicherheitsmaßnahmen implementiert haben oder DSGVO-konforme Prozesse nutzen, können mit deutlich geringeren Kosten rechnen. Die Synergien zwischen DSGVO und NIS-2 sind erheblich.

Drei Strategien zur wirtschaftlichen Umsetzung

Strategie 1: Priorisierung nach Quick Wins

Nicht alle Maßnahmen müssen gleichzeitig umgesetzt werden. Eine sinnvolle Priorisierung orientiert sich an:

  1. Sofortmaßnahmen (Woche 1–4): MFA aktivieren, Backups prüfen, Notfallkontakte definieren
  2. Kurzfristig (Monat 1–3): Risikoanalyse, Incident-Response-Plan, Geschäftsführerschulung
  3. Mittelfristig (Monat 3–6): Lieferantenbewertung, Schulungskonzept, Patch-Management-Prozess
  4. Langfristig (Monat 6–12): Penetrationstest, vollständige Dokumentation, kontinuierliche Verbesserung

Strategie 2: Synergien nutzen

Viele KMU haben bereits Strukturen, die für NIS-2 genutzt werden können:

  • DSGVO-Dokumentation: Verzeichnisse von Verarbeitungstätigkeiten können für das Asset-Inventar erweitert werden
  • ISO 9001: Vorhandene Prozessdokumentation lässt sich auf Sicherheitsaspekte erweitern
  • Bestehende IT-Dienstleister: Prüfen Sie, welche Maßnahmen Ihr IT-Partner bereits abdeckt oder kostengünstig ergänzen kann

Strategie 3: Externe Unterstützung strategisch einsetzen

Für KMU, die keine interne IT-Sicherheitsexpertise haben, ist ein externer ISB oft die wirtschaftlichste Lösung. Die monatlichen Kosten von etwa 1.400–2.500 Euro liegen deutlich unter den Kosten einer internen Vollzeitstelle (80.000–120.000 Euro jährlich) – bei vergleichbarer oder höherer Expertise. Details zu den Kosten eines externen ISB finden Sie in unserem Fachartikel.

Alternativ können Sie gezielt Einzelleistungen extern beauftragen:

  • Gap-Analyse: 3.000–8.000 Euro
  • Dokumentationspaket: 5.000–15.000 Euro
  • Penetrationstest: 3.000–8.000 Euro jährlich

Was passiert, wenn KMU die Anforderungen nicht erfüllen?

Die Sanktionen bei Verstößen sind erheblich – auch für kleine Unternehmen:

Einrichtungstyp Maximale Geldbuße Umsatzbasierte Obergrenze
Wichtige Einrichtungen (typisch für KMU) 7 Mio. Euro 1,4 % des weltweiten Jahresumsatzes
Besonders wichtige Einrichtungen 10 Mio. Euro 2 % des weltweiten Jahresumsatzes

Hinzu kommt die persönliche Haftung der Geschäftsleitung nach § 38 BSIG. Ein Verzicht auf Ersatzansprüche durch das Unternehmen ist gesetzlich ausgeschlossen.

Praxishinweis: Das BSI hat keine Übergangsfrist gewährt. Die Maßnahmen gelten seit dem 6. Dezember 2025. Unternehmen sollten jedoch beachten, dass das BSI bei der Priorisierung seiner Kontrollen vermutlich zunächst größere Einrichtungen und kritische Sektoren in den Fokus nimmt. Dies ist jedoch kein Grund zur Untätigkeit – vielmehr sollte die Zeit für einen strukturierten Aufbau genutzt werden.

Der Weg zur Umsetzung: Konkrete erste Schritte

Für KMU, die gerade erst mit der NIS-2-Umsetzung beginnen, empfehlen wir folgendes Vorgehen:

Schritt 1: Betroffenheitsprüfung validieren

Nutzen Sie unsere NIS-2-Betroffenheitsanalyse und dokumentieren Sie das Ergebnis. Auch wenn Sie nicht betroffen sind, sollte diese Entscheidung nachvollziehbar festgehalten werden.

Schritt 2: Schnelle Bestandsaufnahme

Nutzen Sie unsere NIS-2-Checkliste, um den aktuellen Umsetzungsstand zu erfassen. Identifizieren Sie die größten Lücken.

Schritt 3: Quick Wins umsetzen

Aktivieren Sie MFA für kritische Zugänge, prüfen Sie Ihre Backup-Strategie und definieren Sie Notfallkontakte. Diese Maßnahmen sind schnell umsetzbar und reduzieren das Risiko sofort.

Schritt 4: Geschäftsführerschulung absolvieren

Die Schulungspflicht nach § 38 BSIG gilt ohne Übergangsfrist. Eine halbtägige Schulung verschafft der Geschäftsleitung das nötige Verständnis für fundierte Entscheidungen.

Schritt 5: Strukturierte Planung

Entwickeln Sie einen realistischen Umsetzungsplan für die verbleibenden Maßnahmen. Priorisieren Sie nach Risiko und verfügbaren Ressourcen.

NIS-2 als Chance für KMU

Die NIS-2-Anforderungen mögen zunächst als Belastung erscheinen. Bei näherer Betrachtung bieten sie jedoch auch Chancen:

  • Wettbewerbsvorteile: Nachweisbare Sicherheitsstandards werden zunehmend von Geschäftspartnern gefordert – insbesondere von größeren Unternehmen, die selbst unter NIS-2 fallen und ihre Lieferkette absichern müssen
  • Versicherungsprämien: Gut dokumentierte Sicherheitsmaßnahmen können zu günstigeren Cyberversicherungsprämien führen
  • Schadensreduktion: Die Kosten eines durchschnittlichen Ransomware-Angriffs auf ein KMU (50.000–500.000 Euro) übersteigen die Umsetzungskosten um ein Vielfaches
  • Prozessverbesserung: Strukturierte Sicherheitsprozesse verbessern oft auch andere Unternehmensbereiche

Fazit: Wirtschaftliche NIS-2-Compliance ist machbar

NIS-2 stellt auch kleine Unternehmen vor Herausforderungen – aber keine unlösbaren. Der Verhältnismäßigkeitsgrundsatz erlaubt eine dem Risiko und den Ressourcen angemessene Umsetzung. Mit einer klaren Priorisierung, der Nutzung von Synergien und dem gezielten Einsatz externer Expertise können KMU die Anforderungen wirtschaftlich erfüllen.

Die Investition in Cybersicherheit zahlt sich aus: durch vermiedene Schäden, gewonnene Geschäftschancen und rechtliche Absicherung. Wer jetzt beginnt, verschafft sich Zeit für eine strukturierte Umsetzung – bevor das BSI mit Kontrollen beginnt.

Ihr nächster Schritt: Prüfen Sie Ihre Betroffenheit mit unserer NIS-2-Betroffenheitsanalyse und erfassen Sie den Status quo mit der NIS-2-Checkliste.

Ein strukturierter Aufbau lässt sich durch die Nutzung von Synergien zwischen DSGVO und NIS-2 erheblich accelerieren. Ein externer ISB kann dabei kostengünstig und effizient unterstützen – weitere Informationen zu den Kosten eines externen ISB finden Sie in unserem Fachartikel.

Bei Fragen zur wirtschaftlichen Umsetzung unterstützen wir Sie gerne in einem kostenlosen Erstgespräch.

Quellen

Haben Sie Fragen zu diesem Thema?

In einem kostenfreien Erstgespräch klären wir Ihre individuellen Anforderungen und zeigen Ihnen, wie wir Sie unterstützen können.

Kostenloses Erstgespräch vereinbaren