NIS2 & Cybersecurity in KMU: Was Unternehmen tun müssen

Cyberangriffe treffen längst nicht mehr nur „die Großen“. Gerade KMU sind im Fokus, weil Angreifer wissen: weniger Schutz, aber trotzdem wertvolle Daten und Lieferkettenzugänge. 2025 kam hier noch eine zweite Dynamik dazu: Deutschland setzt die NIS2-Richtlinie mit einem neuen Cybersicherheitsgesetz um. Das betrifft viele Unternehmen direkt – und noch mehr indirekt über Kunden und Partner.  

Das Wichtigste in 60 Sekunden 

  • Das NIS2-Umsetzungsgesetz wurde 2025 beschlossen und trat nach Verkündung in Kraft; Pflichten greifen seither.  

  • Betroffen sind wesentliche und wichtige Einrichtungen (Branchen + Größenkriterien).  

  • Auch nicht direkt betroffene KMU müssen reagieren, weil Großkunden Security-Nachweise in der Lieferkette verlangen 

  • Kern ist ein verbindliches Risikomanagement (Technik, Prozesse, Menschen).  

  • Mit einer 10-Punkte-Checkliste sind Sie in 30 Minuten deutlich klarer. 

Was ist NIS2 – kurz und ohne Juristendeutsch 

NIS2 ist eine EU-Richtlinie, die Cybersicherheits-Mindeststandards für Unternehmen deutlich anhebt. Hintergrund: mehr Angriffe, mehr digitale Abhängigkeiten, höhere politische und wirtschaftliche Risiken. Deutschland setzte das 2025 über ein neues Cybersicherheitsgesetz um; das BSI stellt dafür Starterpakete und Kick-off-Seminare bereit.  

Wichtig: Sobald das Gesetz offiziell verkündet wurde, gelten die Pflichten ohne große Schonfrist.  

Bin ich als KMU betroffen?

Hier lohnt sich ein sehr klarer Blick – und der funktioniert in zwei Schritten. 

1) Direkt betroffen, wenn… 

Sie sind wahrscheinlich direkt NIS2-relevant, wenn Sie 

  • in bestimmten kritischen oder stark regulierten Branchen arbeiten (z. B. Energie, Transport, Gesundheits-/Pharmabereich, IT-/Cloud-Services, bestimmte Teile des verarbeitenden Gewerbes) und 
  • Größen-/Schwellenwerte erreichen.  

Das BSI bietet dafür eine Betroffenheitsprüfung und wird sie mit Gesetzesinkrafttreten nochmals ausweiten.

2) Indirekt betroffen, wenn… 

Auch wenn Sie formal nicht unter die Richtlinie fallen, sind Sie praktisch betroffen, sobald Sie 

  • Zulieferer für größere, direkt betroffene Unternehmen sind 
  • als IT-Dienstleister, Logistik- oder Produktionspartner in deren Lieferkette hängen 
  • personenbezogene oder sensible Kundendaten verarbeiten 

Denn: Großkunden werden Cyber-Standards vertraglich nach unten durchreichen. Das sieht man bereits 2025 sehr deutlich in vielen Lieferverträgen.  

10-Punkte-Sofort-Check für KMU (30 Minuten) 

Ein Cyber-Projekt wirkt schnell wie ein Fass ohne Boden. Deshalb: erst Grundschutz. Gehen Sie diese Liste durch und markieren Sie Ihre Ampel (grün/gelb/rot). 

  • 1

    Verantwortliche benannt? 
    Gibt es eine Person, die das Thema wirklich führt? 

  • 2

    Kritische Systeme & Daten identifiziert? 
    Was wäre im Angriffsfall zuerst gefährdet? 

  • 3

    Backups vorhanden – und getestet? 
    „Backup existiert“ ist nicht dasselbe wie „Backup funktioniert“. 

  • 4

    Multi-Factor-Auth (MFA) überall aktiv? 
    E-Mail, ERP, Admin-Zugänge, Cloud. 

  • 5

    Patch- und Update-Routine klar geregelt? 
    Wer prüft wann welche Systeme? 

  • 6

    Mitarbeiterschulung gemacht? 
    Phishing ist Nummer 1 der Einfallstore. 

  • 7

    Notfallplan/Ransomware-Plan vorhanden? 
    Wer macht was, wenn Systeme verschlüsselt sind? 

  • 8

    Lieferanten/Cloud-Risiken bewertet? 
    Habt ihr Mindeststandards bei Dienstleistern? 

  • 9

    Logging/Monitoring aktiv? 
    Mindestens Basis-Protokollierung, um Angriffe zu erkennen. 

  • 10

    Dokumentation der Maßnahmen? 
    NIS2 verlangt Nachweisfähigkeit – nicht nur Technik.  

Wenn Sie hier mehrere rote Punkte haben, sind Sie nicht „schlecht“ – Sie sind normal. Aber: dann brauchen Sie eine klare 90-Tage-Priorisierung. 

Maßnahmenplan „90 Tage Cyber-Fit“ 

Ein pragmatischer Fahrplan, der für die meisten KMU funktioniert: 

Woche 1–2: Inventur + Quick Wins

  • Systeme/Datenliste erstellen 
  • MFA aktivieren 
  • Backup-Test durchführen 
  • kritische Updates schließen 

Woche 3–6: Prozesse & Menschen

  • Patch-Routine definieren 
  • Phishing-Awareness-Training 
  • Zuständigkeiten im Notfall fixieren 
  • Lieferanten-Check starten 

Woche 7–12: Notfall-/Audit-Stufe

  • Notfallplan dokumentieren + Probe 
  • Basis-Monitoring einrichten 
  • Dokumentation so aufbauen, dass Sie Kunden/Prüfern zeigen können, was Sie tun.

Genau diese Kombination (Technik + Prozess + Mensch) betont auch die IHK Schwaben als Kernbestandteil nachhaltiger Sicherheitsstrategien.

Was kostet das – und was lohnt sich zuerst? 

Cybersecurity ist nicht billig, aber Unschutz ist teurer. Wichtig ist Priorität statt Perfektion: 

Extrem lohnende Basics (günstig, hoher Effekt): 

  • MFA 
  • Backup-Strategie + Tests 
  • Awareness-Training 
  • klare Verantwortlichkeiten 

Teurere Schritte (später, nach Risiko): 

  • erweitertes Monitoring/SIEM 
  • externe Pen-Tests 
  • Zertifizierungen/ISMS-Systeme 

Wenn Sie indirekt NIS2-Druck aus Lieferketten haben, zählt vor allem: können Sie zeigen, dass Sie strukturiert arbeiten? Das ist oft wichtiger als sofort High-End-Technik. 

FAQ

Das Umsetzungsgesetz ist 2025 verabschiedet/beschlossen und trat nach offizieller Verkündung in Kraft; Pflichten gelten seither unmittelbar.  

Nicht automatisch. Viele kleine Betriebe sind formal nicht erfasst, können aber indirekt betroffen sein, wenn Großkunden Nachweise verlangen. 

Risikomanagement, technische Maßnahmen, Verantwortlichkeiten, Notfallprozesse – so, dass Sie bei Nachfrage belegen können, wie Sie diese Sicherheit umsetzen.  

Über Ihre Basis-Dokumentation + Maßnahmenplan und klare Standards in Ihren Prozessen. 

Schlussgedanke 

NIS2 ist kein reines „IT-Thema“. Es ist ein Geschäftsrisiko- und Resilienzthema. Wer 2025 noch strukturiert startet, bekommt drei Vorteile: 

  1. weniger operative Risiken
  2. bessere Verhandlungsposition in Lieferketten 
  3. echte Ruhe im Kopf der Geschäftsführung 

Wenn ihr unsicher seid, wo ihr steht: bringt euren 10-Punkte-Check in eine Netzwerkrunde. Wir priorisieren gemeinsam die nächsten drei Schritte, die für euren Betrieb im Wittelsbacher Land am meisten Wirkung bringen.

    Über den Autor

    Unternehmercoach im Portrait

    Norman Herz

    Norman Herz ist Inhaber des KMU Netzwerk mit Herz für Unternehmer:innen. Er sammelte knapp 30 Jahre Berufserfahrung, 21 davon in verschiedensten Tochtergesellschaften des MAN Konzerns, insbesondere in HR-Leitungs-, Prokuristen- und Geschäftsführerpositionen. Als Experte in den Bereichen Personal- und Business-Coaching mit umfangreicher HR- und Managementerfahrung unterstützt er seit vielen Jahren Unternehmer:innen erfolgreich dabei, ihre Unternehmen nachhaltig zu entwickeln und Profitabilität zu steigern. Zudem ist er mit Leidenschaft als ehrenamtlicher Richter sowohl am Arbeitsgericht München als auch am Sozialgericht München tätig.