Mittelstand / KMU

NIS2-Umsetzung für den Mittelstand

Ein praktischer 12-Wochen-Umsetzungsfahrplan für deutsche Unternehmen mit 50–250 Mitarbeitern – kein Sicherheitsteam erforderlich.

Sie sind betroffen. Was nun?

Schätzungsweise 29.500 Unternehmen in Deutschland fallen unter den NIS2-Anwendungsbereich. Wenn Sie mehr als 50 Mitarbeiter haben und in einem betroffenen Sektor tätig sind – Abfallwirtschaft, Lebensmittelproduktion, Verarbeitendes Gewerbe, Energie, Transport, Gesundheit, digitale Infrastruktur – gehören Sie mit hoher Wahrscheinlichkeit dazu. Das BSIG trat am 6. Dezember 2025 in Kraft, und die BSI-Registrierungsfrist war der 6. März 2026.

Was die meisten Berater Ihnen nicht sagen: Für ein mittelständisches Unternehmen mit grundlegender IT ist die NIS2-Compliance machbar. Es ist kein 6-monatiges, sechsstelliges Projekt. Die meisten der 49 BSIG-Anforderungen sind einmalige Dokumentationsaufgaben – Richtlinien, Risikobewertungen, Verfahren. Nur wenige erfordern laufende operative Prozesse. Das Gesetz verlangt ‚angemessene' Maßnahmen proportional zu Ihrem Risiko – keine Fortune-500-Sicherheitsinfrastruktur.

Dieser Leitfaden gibt Ihnen den praktischen Plan: einen 12-Wochen-Fahrplan, die Rollen, die Sie brauchen (alle in Teilzeit, alle bestehende Mitarbeiter), die häufigsten Fehler, die Unternehmen Ihrer Größe machen, und die Prioritätsreihenfolge für die 10 Pflichtmaßnahmen nach §30 BSIG. Keine Theorie, keine Panikmache – nur die konkreten Schritte.

Für wen dieser Leitfaden ist
Dieser Leitfaden richtet sich gezielt an mittelständische deutsche Unternehmen, die erstmals mit NIS2 in Berührung kommen.
  • Unternehmen mit 50–250 Mitarbeitern in NIS2-Sektoren
  • Begrenzte IT-Kapazität – vielleicht 2–5 Personen, kein eigenes Sicherheitsteam
  • Keine eigene Compliance-Abteilung und keine GRC-Erfahrung
  • Erstmaliger Kontakt mit NIS2, BSIG oder BSI-Registrierung

Umsetzungsfahrplan

Grundlagen
Wochen 1–2
Schaffen Sie die organisatorischen Grundlagen: Beim BSI registrieren, Verantwortlichkeiten zuweisen und die Geschäftsleitung über ihre persönliche Haftung nach §38 BSIG informieren. In dieser Phase geht es darum, die richtigen Personen einzubinden und den Geltungsbereich festzulegen.
  • BSI-Registrierung über Mein Unternehmenskonto + BSI-Portal
  • Compliance-Verantwortlichen benennen (Teilzeitrolle, keine Neueinstellung)
  • Management-Briefing zu §38 BSIG-Pflichten und persönlicher Haftung
  • Compliance-Plattform einrichten und Teammitglieder einladen
  • Initiale Einordnung: feststellen, welche Einrichtungskategorie gilt (bwE oder wE)
Risikobewertung
Wochen 3–4
Erstellen Sie Ihr Asset-Inventar und führen Sie die initiale Risikobewertung durch. Dies ist das Fundament, auf dem alles andere aufbaut – §30 Abs. 1 BSIG Maßnahme 1. Nutzen Sie die BSI-200-3-Risikoanalyse-Methodik: Assets identifizieren, Bedrohungen ermitteln, Eintrittswahrscheinlichkeit und Auswirkung bewerten, Behandlung festlegen.
  • Asset-Inventar erstellen – identische Assets gruppieren (z. B. ‚45 Laptops' = 1 Eintrag)
  • Lieferanten mit Zugang zu Ihren Systemen identifizieren und kategorisieren
  • Initiale Risikobewertung durchführen: Eintrittswahrscheinlichkeit × Auswirkung pro Asset
  • Risikobehandlungsentscheidungen dokumentieren: akzeptieren, mindern, übertragen oder vermeiden
  • Risiken den BSIG-Maßnahmen zuordnen – welche Kontrollen adressieren welche Risiken
Kontrollen & Dokumentation
Wochen 5–8
Dokumentieren Sie Ihre Sicherheitskontrollen und Verfahren. Diese Phase hat den größten Umfang, aber die meisten Anforderungen sind einmalige Dokumentationsaufgaben. Konzentrieren Sie sich darauf, zu dokumentieren, was Sie bereits tun (die meisten Unternehmen haben informelle Prozesse) und echte Lücken zu schließen.
  • Sicherheitsrichtlinien erstellen oder übernehmen (Informationssicherheit, Zugriffskontrolle, Vorfallreaktion)
  • Kryptographie-Einsatz und Schlüsselmanagement-Ansatz dokumentieren
  • Vorfallreaktionsprozess mit 24h/72h/1-Monat-Kaskade aufsetzen
  • Zugriffskontrolle prüfen: Least-Privilege-Prinzip, On-/Offboarding-Verfahren
  • Betriebskontinuität und Backup-Verfahren dokumentieren
  • MFA für kritische Systeme implementieren oder dokumentieren
Nachweise & Prüfungsbereitschaft
Wochen 9–12
Den Kreis schließen: Billigungen der Geschäftsleitung, Schulungsabschlüsse, Nachweissammlung und eine erste Wirksamkeitsprüfung. Diese Phase wandelt Ihre dokumentierten Maßnahmen in prüfbare Compliance-Nachweise um.
  • Geschäftsleitung billigt alle Cybersicherheitsmaßnahmen förmlich (§38-Pflicht)
  • Verpflichtende Cybersicherheitsschulung der Geschäftsleitung abschließen
  • Nachweisdokumente hochladen: Screenshots, Konfigurationen, Richtlinienfreigaben
  • Erste Wirksamkeitsbewertung durchführen – funktionieren die Kontrollen tatsächlich?
  • Compliance-Bericht für interne Prüfung exportieren
Rollen, die Sie brauchen
Sie müssen niemanden einstellen. Dies sind Teilzeitaufgaben für bestehende Mitarbeiter.

Compliance-Verantwortlicher (4–8 Stunden/Woche)

Treibt den Prozess voran, füllt Anforderungsformulare aus, koordiniert mit IT und Geschäftsleitung. Üblicherweise der IT-Leiter, Qualitätsmanager oder Betriebsleiter.

IT-Ansprechpartner (2–4 Stunden/Woche)

Liefert technischen Input: Asset-Details, Netzwerkarchitektur, Verschlüsselungsstatus, Zugriffskontrollen. Ihr Admin oder IT-Manager.

Management-Sponsor (1–2 Stunden/Woche)

Prüft und billigt Maßnahmen, absolviert Schulungen, demonstriert Überwachung. Vorgeschrieben durch §38 BSIG – nicht delegierbar.

Externer Prüfer (optional)

Für KRITIS-Betreiber: alle 3 Jahre vorgeschrieben. Für bwE/wE: optional, aber empfohlen für den ersten Compliance-Zyklus zur Validierung Ihrer Arbeit.

Häufige Fehler
Was wir bei Unternehmen immer wieder sehen – und wie Sie es vermeiden.

  • Auf ‚die endgültige Anleitung' warten

    Das Gesetz gilt seit Dezember 2025. Die CIR definiert die technischen Maßnahmen. Es kommt keine weitere Anleitung, die ändern würde, was Sie tun müssen. Fangen Sie jetzt an.

  • Die Lösung überdimensionieren

    Ein 100-Personen-Abfallwirtschaftsunternehmen braucht kein SOC und kein SIEM. Passen Sie Ihre Kontrollen an Ihr tatsächliches Risikoprofil an. Das BSIG verlangt ‚angemessene' Maßnahmen, nicht maximale Maßnahmen.

  • NIS2 als IT-Projekt behandeln

    §38 BSIG macht dies zu einer Managementverantwortung. Wenn der Geschäftsführer nicht eingebunden ist, sind Sie bereits nicht compliant. Planen Sie das Management-Briefing in Woche 1.

  • Lieferkettensicherheit ignorieren

    NIS2 verlangt ausdrücklich die Bewertung der Cybersicherheit Ihrer Lieferanten. Das überrascht viele Unternehmen. Beginnen Sie frühzeitig mit der Dokumentation der Lieferantenbeziehungen.

  • Papier-Compliance ohne echte Maßnahmen

    Richtlinien zu schreiben, die niemand liest, reicht nicht. Das BSI kann Nachweise verlangen, dass Maßnahmen tatsächlich umgesetzt und wirksam sind. Bauen Sie echte Prozesse auf, nicht nur Dokumente.

Starten Sie Ihre Umsetzung noch heute
Die Plattform führt Sie durch alle 49 BSIG-Anforderungen in der richtigen Reihenfolge, mit strukturierten Formularen, Nachweisupload und Management-Freigabe-Workflows – genau das, was ein Mittelstandsunternehmen braucht, um ohne Berater compliant zu werden.
NIS2-Compliance starten