NIS2 für KMU: Gilt die Richtlinie für kleine und mittlere Unternehmen?

TL;DR

NIS2 gilt offiziell nicht für Kleinstunternehmen (<10 MA, <€2 Mio.) und kleine Unternehmen (<50 MA, <€10 Mio.). Aber: Für bestimmte Sektoren gelten Ausnahmen von der Größenregel, und als Zulieferer einer Wesentlichen Einrichtung können Sie indirekt betroffen sein. Dieser Leitfaden erklärt, was Sie konkret tun sollten.

Für kleine und mittlere Unternehmen (KMU) ist die NIS2-Betroffenheit oft unklar. Viele KMU hören von NIS2, wissen aber nicht, ob es für sie gilt. Dieser Leitfaden erklärt genau, wann NIS2 gilt, welche Ausnahmen existieren, was KMU als Zulieferer tun sollten und wie viel eine NIS2-Compliance-Basisimplementierung kostet.

Die NIS2-Größenschwellenwerte

Unternehmensgröße	Mitarbeiter	Umsatz / Bilanz	NIS2-Status
Kleinstunternehmen	< 10	< €2M	Ausgenommen ✓
Kleines Unternehmen	< 50	< €10M	Ausgenommen ✓
Mittleres Unternehmen	50–249	€10–50M	Ggf. betroffen ⚠
Großes Unternehmen	≥ 250	> €50M	Betroffen ✗

* Größe wird anhand BEIDER Kriterien bewertet. Ein mittleres Unternehmen muss sowohl die Mitarbeiter- als auch die Umsatzschwelle erfüllen.

Ausnahmen von der Größenregel: Diese KMU sind trotzdem betroffen

NIS2 Artikel 2(2) listet Einrichtungstypen auf, die unabhängig von ihrer Größe in den Anwendungsbereich fallen. Wenn Ihr Unternehmen in einer dieser Kategorien tätig ist, spielt die Mitarbeiterzahl keine Rolle:

🌐DNS-Dienstleister (einschließlich rekursiver DNS-Resolver)

🔤Betreiber von Top-Level-Domain-Registrierungen (TLDs)

🔒Vertrauensdiensteanbieter (qualifizierte und nicht-qualifizierte)

📡Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

🏛️Öffentliche Verwaltungsstellen (Bund, Länder, je nach nationaler Umsetzung)

🌍Von Mitgliedsstaaten als kritisch eingestufte Einrichtungen (unabhängig von der Größe)

Indirekte Betroffenheit: KMU als Zulieferer

Auch wenn Ihr Unternehmen selbst nicht unter NIS2 fällt, können Sie indirekt betroffen sein, wenn Sie als Zulieferer oder Dienstleister für eine Wesentliche oder Wichtige Einrichtung tätig sind.

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

⚠️ Lieferkettenpflicht nach Artikel 21(2)(d)

NIS2-betroffene Einrichtungen müssen die Sicherheitspraktiken ihrer Zulieferer bewerten. Das bedeutet: Wenn Sie einen NIS2-betroffenen Kunden haben, wird dieser wahrscheinlich Sicherheitsfragebögen, Auditzugang oder vertragliche Cybersicherheitsklauseln von Ihnen verlangen, auch wenn Sie selbst nicht direkt unter NIS2 fallen.

Wenn Sie über die Schwellenwerte wachsen

Viele wachsende Unternehmen übersehen, dass NIS2 ab dem Moment gilt, in dem sie die Schwellenwerte überschreiten, nicht erst, wenn die Behörde sie informiert. NIS2 Artikel 3(3) verpflichtet Einrichtungen zur Selbstregistrierung bei der zuständigen Behörde, sobald sie die Schwellenwerte erfüllen.

Praktisch bedeutet das: Wenn Ihr Unternehmen im Laufe eines Jahres auf 55 Mitarbeiter und einen Umsatz von 12 Mio. € wächst und in einem NIS2-Sektor tätig ist, müssen Sie sich registrieren und mit der Umsetzung beginnen, auch wenn Sie vorher keine Kenntnis von NIS2 hatten.

ℹ️ Empfehlung für wachsende Unternehmen

Überprüfen Sie jährlich, ob Sie die NIS2-Schwellenwerte erfüllt haben. Beginnen Sie frühzeitig mit der Vorbereitung, wenn Sie sich den Schwellenwerten nähern. Die Registrierung und erste Compliance-Maßnahmen nehmen Zeit in Anspruch, die Sie nicht haben, wenn Sie die Schwelle bereits überschritten haben.

Kosten einer NIS2-Basisimplementierung für KMU

Eine häufige Frage ist: Was kostet NIS2-Compliance für ein mittleres Unternehmen? Die Kosten variieren stark je nach bestehendem Sicherheitsniveau. Unternehmen ohne jegliche bestehende Sicherheitsstruktur zahlen erheblich mehr als solche, die bereits ISO 27001 oder ähnliche Rahmenwerke implementiert haben.

Kostenbereich	Ausgangspunkt: kein ISMS	Ausgangspunkt: ISO 27001
Initialbewertung / Gap-Analyse	€5.000–15.000	€2.000–5.000
Politiken und Dokumentation	€10.000–25.000	€2.000–5.000
Technische Maßnahmen (MFA, EDR, Backup, SIEM)	€30.000–80.000	€5.000–20.000
Management-Schulung	€2.000–5.000	€2.000–5.000
Incident-Response-Plan und Übungen	€5.000–15.000	€2.000–5.000
Lieferketten-Bewertung	€5.000–15.000	€3.000–8.000
Jährliche laufende Kosten (Audits, Training, Updates)	€15.000–40.000	€8.000–20.000

Richtwerte für ein mittleres Unternehmen (50–249 MA). Individuelle Kosten hängen stark von bestehender Infrastruktur, Sektoranforderungen und der Entscheidung zwischen interner Umsetzung und externer Beratung ab.

Nationale Förderprogramme für KMU

Mehrere EU-Mitgliedsstaaten haben Programme entwickelt, um KMU bei der Cybersicherheit zu unterstützen:

🇩🇪 DeutschlandBSI

Das BSI bietet kostenlose Orientierungshilfen und den IT-Grundschutz-Kompendium an, der speziell auf KMU zugeschnitten ist. BSI IT-Grundschutz-Zertifizierung wird von Behörden als NIS2-Nachweis anerkannt.

🇧🇪 BelgienCCB

Das CyberFundamentals Framework (CFF) hat einen 'Basic'-Level, der explizit für KMU konzipiert ist und deutlich weniger Aufwand als ISO 27001 erfordert. Das CCB bietet kostenlose Leitfäden und Self-Assessment-Tools an.

🇳🇱 NiederlandeDTC

Das Digital Trust Center bietet speziell KMU-orientierten Beratungsdienste und ein kostenfreies Cyber Security Assessment Tool.

EU-weitENISA

ENISA veröffentlicht regelmäßig KMU-spezifische Leitfäden zur Cybersicherheit und betreibt das European Cyber Security Month (ECSM) mit Ressourcen für kleinere Unternehmen.

Was KMU konkret tun sollten

Betroffenheit prüfen

Nutzen Sie unseren NIS2-Anwendungsbereichscheck, um in 60 Sekunden zu klären, ob NIS2 direkt gilt. Berücksichtigen Sie dabei auch die Ausnahmen von der Größenregel und prüfen Sie, in welchen Sektoren Ihr Unternehmen tätig ist.

Kundenanforderungen antizipieren

Fragen Sie bei Ihren wichtigsten Kunden nach, ob diese als NIS2-Einrichtung eingestuft sind. Wenn ja, bereiten Sie sich auf Sicherheitsfragebögen, Audits und vertragliche Cybersicherheitsklauseln vor.

Basis-Cybersicherheit aufbauen

Implementieren Sie MFA, Patch-Management, regelmäßige Backups und einen grundlegenden Incident-Response-Prozess, auch wenn Sie nicht direkt betroffen sind. Das stärkt Ihre Position als Zulieferer und reduziert eigene Risiken.

Zertifizierung erwägen

ISO 27001 oder nationale Rahmenwerke wie Belgiens CyberFundamentals Basic-Level können als Nachweis gegenüber NIS2-betroffenen Kunden dienen. Der Basic-Level des CyberFundamentals-Frameworks ist kostengünstiger als ISO 27001 und speziell für KMU konzipiert.

Vertragsklauseln prüfen und verhandeln

Wenn Ihre Kunden begonnen haben, NIS2-Sicherheitsklauseln in Verträge aufzunehmen, prüfen Sie, welche Anforderungen Sie erfüllen können und welche unverhältnismäßig erscheinen. Manche Klauseln (z.B. unbeschränktes Auditrecht) können verhandelt werden.

Sind Sie direkt betroffen?

Unser Anwendungsbereichscheck gibt in 60 Sekunden eine klare Antwort.

🎯 Jetzt prüfen

FAQ

Wir haben 45 Mitarbeiter und 8 Mio. € Umsatz. Gilt NIS2 für uns?▾

Nein, sofern Sie nicht in einem der sektorspezifischen Ausnahmebereiche tätig sind (DNS, TLD, Vertrauensdienste, öffentliche Verwaltung). Sie erfüllen beide Bedingungen für ein kleines Unternehmen (unter 50 MA und unter 10 Mio. €) und sind damit von NIS2 ausgenommen. Prüfen Sie trotzdem, ob Ihre Kunden NIS2-Einrichtungen sind, die Anforderungen an Sie stellen könnten.

Wir sind ein Cloud-Anbieter mit 30 Mitarbeitern. Gilt NIS2?▾

Das hängt davon ab, welche Art von Cloud-Diensten Sie anbieten. Anbieter von Cloud-Computing-Diensten fallen unter NIS2, wenn sie als 'DNS-Dienstanbieter' oder 'Cloud-Computing-Dienstanbieter' im Sinne der Richtlinie einzustufen sind. Bei IaaS, PaaS oder SaaS mit mehr als einem bestimmten Nutzerschwellenwert können Sie trotz kleiner Unternehmensgröße betroffen sein. Lassen Sie Ihre spezifische Dienstleistung rechtlich prüfen.

Unsere Kunden verlangen NIS2-Compliance-Nachweise von uns. Was können wir tun?▾

Sie haben mehrere Optionen: (1) ISO 27001 Zertifizierung, (2) CyberFundamentals-Zertifizierung auf Basic-Level (kostengünstiger, in Belgien von CCB anerkannt), (3) Ausfüllen von Sicherheitsfragebögen (SIG-Lite, CAIQ), (4) Bereitstellung von Penetrationstestergebnissen oder Sicherheitsberichten. Fragen Sie Ihren Kunden, welcher Nachweis konkret akzeptiert wird.

Wenn wir nicht direkt betroffen sind, müssen wir trotzdem etwas tun?▾

Rechtlich gesehen nein. NIS2 verpflichtet nur Wesentliche und Wichtige Einrichtungen direkt. Aber wirtschaftlich betrachtet: Wenn Ihre wichtigsten Kunden NIS2-Einrichtungen sind und von Ihnen Sicherheitsnachweise verlangen, ist das ein Marktdruck, der faktisch genauso wirkt wie eine gesetzliche Pflicht.