Zum Inhalt springen
PrimeITler
LeistungenPartnerPreiseFörderungAuditNewsroomÜberKontaktWebsite prüfen

IT-Sicherheit

NIS2 für KMU: Kein Gesetz, ein Kundenfilter

NIS2 erreicht den kleinen Mittelstand nicht über das Gesetzblatt, sondern über den Einkaufsvertrag des größten Kunden. Was das für Zulieferer heißt.

PrimeITler Redaktion5 Min
NIS2 für KMU: Kein Gesetz, ein Kundenfilter

NIS2 erreicht den kleinen Mittelstand nicht über das Gesetzblatt, sondern über den Einkaufsvertrag des größten Kunden. Wer die Anforderungen nicht erfüllt, fliegt aus der Lieferkette, lange bevor eine Behörde anklopft. Genau hier liegt das Missverständnis: Viele Betriebe im Rhein-Main-Gebiet atmen auf, weil sie unter den Schwellen der Richtlinie bleiben und damit nicht direkt erfasst sind. Sie übersehen, dass die Pflicht durch die Hintertür kommt. Ihr größter Auftraggeber ist NIS2-pflichtig, also reicht er die Anforderungen vertraglich an Sie weiter. Die Frage ist nicht, ob NIS2 Sie betrifft, sondern wann Ihr erster Kunde den Nachweis verlangt.

Das deutsche Umsetzungsgesetz, das NIS2UmsuCG, ist noch nicht verabschiedet, und genau das verleitet zur falschen Ruhe. Die EU-Frist lief bereits am 17. Oktober 2024 ab, Deutschland hat sie verfehlt, und die EU-Kommission hat ein Vertragsverletzungsverfahren eingeleitet (Quelle: Europäische Kommission, Infringement-Register). Wer daraus ableitet, es sei noch Zeit, verwechselt zwei Mechanismen: die staatliche Pflicht und den privatwirtschaftlichen Druck. Der erste wartet auf das Gesetz. Der zweite wirkt bereits jetzt.

Betrifft mich das überhaupt? Drei Kategorien in Klartext

Sortieren Sie Ihren Betrieb in eine von drei Kategorien:

  • Direkt betroffen: mittlere Unternehmen ab 50 Mitarbeitern und mehr als 10 Mio. € Jahresumsatz oder Bilanzsumme in den Sektoren der Richtlinie (Schwellen nach KMU-Definition 2003/361/EG). Dazu zählen besonders wichtige Bereiche wie Energie, Gesundheit oder IKT-Dienstleistungen sowie wichtige Bereiche wie verarbeitendes Gewerbe, Chemie und Lebensmittel (Anhang I und II NIS2). Einige Kleinstbetriebe sind unabhängig von der Größe erfasst, etwa DNS-Anbieter oder regionale Alleinversorger kritischer Infrastruktur.
  • Indirekt betroffen: unter den Schwellen, aber Zulieferer oder Dienstleister eines direkt pflichtigen Unternehmens. Der häufigste Fall im Rhein-Main-Gebiet.
  • Noch nicht betroffen: weder pflichtig noch in einer relevanten Lieferkette. Mit jedem pflichtigen Tier-1-Kunden wandert ein weiterer Zulieferer in Kategorie 2.

Der wahre Hebel: NIS2 durch die Lieferkette

Artikel 21 NIS2 verlangt von erfassten Unternehmen, die Sicherheit ihrer Zulieferer nachzuweisen. Übersetzt: Ihr Kunde muss Sie prüfen, um selbst sauber zu sein. Also gibt er den Druck weiter, über drei Instrumente: vertragliche Cybersicherheits-Annexe mit Mindeststandards, Security-Fragebögen und geforderte Nachweise wie ISO 27001 oder das TISAX-Label.

In der Automobilindustrie ist TISAX, getragen von VDA und ENX und auf ISO/IEC 27001 aufgesetzt, längst Voraussetzung für Lieferanten (Quelle: ENX Association). Hier liegt der berechtigte Einwand: Wenn der Kundenfilter über TISAX-Fragebögen schon existiert, was bringt NIS2 dann zusätzlich? Drei Dinge. Erstens erweitert die Richtlinie den Kreis auf Sektoren ohne Automotive-Tradition, von Lebensmittel über Abwasser bis zu IT-Dienstleistern, in denen Lieferanten bisher nie geprüft wurden. Zweitens kommen verbindliche Meldepflichten bei Sicherheitsvorfällen hinzu. Drittens entsteht ein Haftungsdurchgriff auf die Leitungsebene. Für einen Tier-1-Lieferanten in der Industrie ist NIS2 also nur eine weitere Schicht. Für einen Caterer, ein Wasserwerk oder ein Software-Haus außerhalb der Automobilkette ist es der erste Kundenfilter überhaupt.

Die zehn Maßnahmen: was niedrigschwellig ist und was nicht

Artikel 21 NIS2 nennt zehn Maßnahmenbereiche. Mehrere davon sind günstig und schnell umsetzbar:

  • Multi-Faktor-Authentifizierung: oft kostenlos, in ein bis zwei Tagen aktiviert.
  • Verschlüsselung: häufig schon in der Standardsoftware enthalten.
  • Schulungen zur Cyberhygiene: rund 500 bis 2.000 € pro Jahr.

Aufwendiger werden Risikoanalyse und Richtlinien (rund 2.000 bis 8.000 € einmalig), Business Continuity mit Backup und Krisenmanagement (rund 3.000 bis 15.000 €) sowie jährliche Audits (rund 2.000 bis 6.000 €). Alle Beträge sind Erfahrungswerte, keine Studie.

Realistischer Gesamtaufwand für 20 bis 50 Mitarbeiter ohne Vorarbeit: 15.000 bis 40.000 € einmalig, 5.000 bis 15.000 € jährlich (Erfahrungswert). Eine volle ISO-27001-Zertifizierung mit 15.000 bis 50.000 € Erstaufwand ist für viele Betriebe dieser Größe wirtschaftlich unverhältnismäßig. Ein pragmatischer Einstieg ist das kostenlose IT-Grundschutz-Profil für kleine Unternehmen des BSI. Welche Maßnahmen in welcher Reihenfolge greifen, klären wir in einem kostenlosen Audit.

Der Fahrplan für Betriebe unter 50 Mitarbeitern

Sieben Schritte, geordnet nach Wirkung pro investiertem Euro:

  1. MFA aktivieren. Sofort, oft kostenlos, größter Sicherheitsgewinn pro Aufwand.
  2. Backup und Wiederherstellung testen. Ein Backup, das nie zurückgespielt wurde, ist kein Backup.
  3. Mitarbeiter schulen. Phishing bleibt das häufigste Einfallstor.
  4. Incident-Response-Plan schreiben. Wer macht im Ernstfall was, in welcher Reihenfolge.
  5. Zugriffsrechte aufräumen. Jeder bekommt nur, was er braucht.
  6. Risikoanalyse und Richtlinien dokumentieren. Das ist der Nachweis, den Ihr Kunde sehen will.
  7. Eigene Zulieferer prüfen. Die Lieferkette endet nicht bei Ihnen.

Haftung wird persönlich

Wer IT-Sicherheit als Sorgfaltspflicht ignoriert, riskiert die eigene Haftung. Artikel 20 NIS2 verpflichtet Leitungsorgane ausdrücklich, Cybersicherheitsmaßnahmen zu genehmigen, ihre Umsetzung zu überwachen und selbst Schulungen zu absolvieren. Bei besonders wichtigen Einrichtungen kann die Behörde Leitungspersonen vorübergehend von ihren Aufgaben ausschließen (Art. 32 Abs. 5).

Die Bußgelder differenzieren nach Einrichtungstyp: bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis 7 Mio. € oder 1,4 % für wichtige Einrichtungen. Diese Sanktionen treffen die pflichtigen Unternehmen direkt. Doch auch für kleinere Betriebe bleibt die Geschäftsführerhaftung nach § 43 GmbHG relevant: Wer eine erkennbare IT-Sicherheitspflicht schuldhaft verletzt und dadurch einen kausalen Schaden der Gesellschaft verursacht, kann persönlich haften. Eine Automatik ist das nicht, aber ein realer Hebel.

Was Förderung leistet und wo der Aufwand bleibt

Förderung dämpft die Kosten erheblich. Der hessische DIGI-Zuschuss fördert IT-Sicherheitsberatung und Implementierung mit bis zu 50 % (Quelle: HA Hessen Trade & Invest). DigiBoost Rheinland-Pfalz unterstützt Sicherheitskonzepte, Technik und Beratung, die aktuellen Konditionen sind direkt bei der ISB zu prüfen (Quelle: isb.rlp.de). Welcher Topf zu Ihrem Vorhaben passt, ordnen wir auf unserer Förderübersicht.

Ehrlich bleibt: Förderung trägt die Beratung, nicht die Disziplin. Den Plan müssen Sie umsetzen. Entscheidend ist der Perspektivwechsel auf der Vergabeseite: Nachweisbare NIS2-Konformität ist kein Compliance-Posten, sondern zunehmend ein Ausschreibungskriterium. Wer den Incident-Response-Plan und die dokumentierte Risikoanalyse auf den Tisch legt, bleibt in der Lieferkette, wenn unvorbereitete Wettbewerber herausfallen. Beginnen Sie mit einer ehrlichen Standortbestimmung, etwa im kostenlosen Audit.

Quellen

Häufige Fragen

Mein Betrieb hat unter 50 Mitarbeiter. Bin ich von NIS2 wirklich betroffen?

Nicht direkt, aber sehr wahrscheinlich indirekt. Ist Ihr größter Auftraggeber NIS2-pflichtig, muss er die Sicherheit seiner Zulieferer nachweisen (Art. 21 NIS2) und reicht die Anforderungen vertraglich an Sie weiter. Spürbar wird das über Cybersicherheits-Annexe, Security-Fragebögen und geforderte Nachweise wie ISO 27001 oder TISAX.

Was sollte ich zuerst umsetzen, wenn das Budget begrenzt ist?

Beginnen Sie mit den Maßnahmen mit dem größten Sicherheitsgewinn pro Euro: Multi-Faktor-Authentifizierung aktivieren (oft kostenlos), Backup-Wiederherstellung testen und Mitarbeiter gegen Phishing schulen. Das BSI bietet ein kostenloses IT-Grundschutz-Profil für kleine Unternehmen. Risikoanalyse und Richtlinien dokumentieren Sie danach, denn das ist der Nachweis, den Ihr Kunde sehen will.

Haftet die Geschäftsführung persönlich, wenn IT-Sicherheit vernachlässigt wird?

Bei pflichtigen Unternehmen verpflichtet Art. 20 NIS2 die Leitung direkt, und die Behörde kann Leitungspersonen vorübergehend ausschließen. Für kleinere Betriebe greift § 43 GmbHG: Eine persönliche Haftung kann entstehen, wenn eine erkennbare Sicherheitspflicht schuldhaft verletzt wird und dadurch ein kausaler Schaden der Gesellschaft eintritt. Eine Automatik ist das nicht.

NIS2LieferketteIT-SicherheitMittelstandCompliance

Ihr nächster Schritt

Wir schauen ehrlich auf Ihre IT und finden den größten Hebel. Kostenlos und unverbindlich.

Website jetzt prüfen →

Weiterlesen

IT-Sicherheit

Warum Angreifer 2026 lieber Ihren Betrieb wählen

Nicht die Größe entscheidet über Ihr Cyberrisiko, sondern ob Ihr Betrieb aus dem automatisierten Raster fällt. Drei Hebel, die das ändern.

Lesen →KI & Automatisierung

Effizienz ist tot, Compliance bleibt: KI im Mittelstand

Deutschland gewinnt das KI-Modellrennen nicht. Muss es auch nicht. Warum der einzige tragfähige Souveränitätsvorteil in der Datenkontrolle liegt.

Lesen →Mittelstand & Förderung

DIGI-Zuschuss Hessen 2026: Wie das Losverfahren funktioniert und wie Sie sich richtig bewerben

Bis zu 50 Prozent für Ihr Digitalprojekt, vergeben per wöchentlicher Verlosung. Was das für Ihre Bewerbung bedeutet und wie Sie Ihre Chance maximieren, ohne sich falsche Hoffnungen zu machen.

Lesen →