NIS2-Richtlinie: Was deutsche Mittelständler jetzt umsetzen müssen

Wer dachte, NIS2 sei nur ein Thema für Energieversorger und Banken, liegt falsch. Die Regeln greifen weiter, als die meisten denken.

Die NIS2-Richtlinie wurde im Oktober 2024 in deutsches Recht umgesetzt. Frist für viele Unternehmen: Oktober 2025.

Wer betroffen ist: Betreiber wesentlicher Dienste. Aber auch deren Zulieferer. Das bedeutet: Ein mittelständischer IT-Dienstleister, der für ein Krankenhaus arbeitet, kann direkt betroffen sein.

Die fünf Kernpflichten.

1. Risikomanagement. Dokumentieren Sie Ihre Cyber-Risiken. Nicht nur theoretisch — konkret, mit Maßnahmen und Zeitplänen.

2. Vorfallmeldung. Schwere IT-Sicherheitsvorfälle müssen binnen 24 Stunden an das BSI gemeldet werden. Nicht nach rechtsanwaltlicher Prüfung. Sofort.

3. Business Continuity. Was passiert, wenn Ihr System ausfällt? Haben Sie einen Notfallplan. Getestet.

4. Lieferkettensicherheit. Nicht nur Ihre eigene IT zählt — auch die Ihrer Dienstleister. Sie sind so sicher wie Ihr schwächstes Glied.

5. Dokumentation. Alles, was Sie tun, muss dokumentierbar sein. Gegenüber dem BSI. Auf Anfrage.

Was das für Mittelständler konkret bedeutet.

Die Umsetzung kostet. Aber die Nicht-Umsetzung kostet mehr. Bußgeld bis 20 Millionen Euro oder vier Prozent des globalen Umsatzes.

Starten Sie mit einer Gap-Analyse. Wo stehen Sie? Was fehlt? Dann: Priorisieren. Nicht alles auf einmal.

Investieren Sie in ein ISMS. Es ist nicht nur NIS2-konform — es ist gute Praxis.