Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Wer als betroffenes Unternehmen noch nicht gehandelt hat, riskiert nicht nur ein Bußgeld bis 10 Millionen Euro, sondern auch die persönliche Haftung der Geschäftsleitung nach § 38 BSIG. Das Gesetz macht dabei keinen Unterschied zwischen einem Konzern mit eigenem CISO und einem Maschinenbauunternehmen mit 80 Mitarbeitenden, drei IT-Mitarbeitenden und keiner dedizierten Sicherheitsfunktion.
Dieser Artikel richtet sich an genau diese zweite Gruppe. Nicht an Unternehmen, die bereits ein ISMS betreiben – sondern an IT-Teams, die jetzt wissen müssen, was Art. 21 NIS-2 konkret bedeutet, welche Maßnahmen realistisch priorisierbar sind, und wo die größten offenen Lücken typischerweise liegen.
Bin ich überhaupt betroffen?
NIS-2 gilt für Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz in 18 definierten Sektoren – von Energie und Gesundheit bis zu Lebensmittelproduktion und verarbeitendem Gewerbe. Die BSI-Betroffenheitsprüfung unter bsi.bund.de klärt das in etwa 10 Minuten. Wer betroffen ist und sich noch nicht registriert hat: Die Registrierung ist über muk.bsi.bund.de bis zum 31. Juli 2026 nachholbar – verspätete Registrierung ist besser als keine.
Was Art. 21 konkret fordert
Art. 21 NIS-2 – im deutschen Recht umgesetzt in § 30 BSIG – definiert zehn Mindestmaßnahmen, die alle betroffenen Einrichtungen umsetzen müssen. Das Gesetz formuliert dabei bewusst technologieneutral: "geeignete, verhältnismäßige und wirksame" Maßnahmen, bemessen an Risikoexposition, Unternehmensgröße und Implementierungskosten. Was das für ein KMU bedeutet, ist weniger ein ISM-Vollprogramm als ein strukturierter Basisschutz – aber ein strukturierter.
Die zehn Maßnahmen lassen sich für eine 3-Personen-IT in drei Gruppen einteilen: Maßnahmen, die in den meisten Unternehmen bereits teilweise vorhanden sind und nur dokumentiert werden müssen; Maßnahmen, die technisch einfach umsetzbar sind, aber noch nicht systematisch erfolgen; und Maßnahmen, die echte Projektarbeit erfordern und priorisiert werden müssen.
GAP-Check: Wo typische KMU stehen
Die folgende Tabelle bildet die zehn Art.-21-Maßnahmen gegen den typischen Ist-Stand eines produzierenden KMU ohne dediziertes Sicherheitsteam ab – auf Basis der BAM NIS-2-Objekte, die denselben Strukturrahmen verwenden.
| Art. 21 Maßnahme | § BSIG | Typischer KMU-Stand | BAM-Objekt |
|---|---|---|---|
| Risikoanalyse und Sicherheitskonzept | § 30 §2a | Lücke Meist kein formaler Prozess, kein dokumentiertes Risikoregister | NIS2-RM-01 |
| Bewältigung von Sicherheitsvorfällen | § 30 §2b | Teilweise Reaktion vorhanden, aber kein dokumentierter Prozess, keine Meldekette | NIS2-IR-01 |
| Business Continuity, Backup, Krisenmanagement | § 30 §2c | Teilweise Backups vorhanden, aber selten getestet und ohne dokumentierten Wiederanlaufplan | NIS2-BC-01 |
| Sicherheit der Lieferkette | § 30 §2d | Lücke Lieferanten-Sicherheitsanforderungen fehlen fast immer | NIS2-SC-01 |
| Sicherheit bei Erwerb, Entwicklung und Wartung | § 30 §2e | Teilweise Patchmanagement meist vorhanden, aber ohne SLA und Ausnahmedokumentation | NIS2-PM-01 |
| Wirksamkeit der Maßnahmen (Bewertung) | § 30 §2f | Lücke Kein formaler Review-Prozess, keine Wirksamkeitsmessung | NIS2-EV-01 |
| Cyberhygiene und Schulungen | § 30 §2g | Teilweise Gelegentliche Schulungen, aber kein dokumentiertes Schulungsprogramm | NIS2-TR-01 |
| Kryptographie und Verschlüsselung | § 30 §2h | Vorhanden TLS, Festplattenverschlüsselung meist aktiv – selten dokumentiert | NIS2-CR-01 |
| Sicherheit des Personals, Zugriffskontrolle | § 30 §2i | Teilweise MFA oft nicht flächendeckend, keine formale Zugriffsüberprüfung | NIS2-AC-01 |
| Multi-Faktor-Authentifizierung | § 30 §2j | Teilweise MFA für externe Zugänge oft vorhanden, interne Systeme meist nicht | NIS2-MF-01 |
Die drei Maßnahmen mit dem besten Aufwand-Wirkung-Verhältnis
Wer mit drei IT-Mitarbeitenden und laufendem Tagesbetrieb beginnt, muss priorisieren. Die folgende Reihenfolge basiert auf zwei Kriterien: niedrigem technischem Initialaufwand und hohem Beitrag zur nachweisbaren Compliance.
Erst: MFA flächendeckend aktivieren (NIS2-MF-01). Das ist die einzige Maßnahme, die in den meisten Microsoft-365- und Google-Workspace-Umgebungen ohne zusätzliche Investition innerhalb von Tagen umgesetzt werden kann. MFA für alle externen Zugänge und für privilegierte Konten ist der Minimalstandard – und einer der wenigen Punkte, bei dem ein BSI-Prüfer mit hoher Wahrscheinlichkeit sofort schaut. Zeitaufwand: 4–8 Stunden für rollout und Dokumentation.
Dann: Backup-Prozess dokumentieren und einen Wiederanlauftest durchführen (NIS2-BC-01). Backups laufen in den meisten Unternehmen bereits. Was fehlt, ist der dokumentierte Nachweis: Wer ist für Backup zuständig? In welchem Intervall? Was ist die Ziel-Wiederherstellungszeit (RTO)? Wurde der Wiederanlauf innerhalb der letzten 12 Monate einmal getestet? Dieser Test dauert für ein KMU typischerweise einen halben Tag – und erzeugt das Audit-Artefakt, das der BSI-Prüfer später sehen will. Zeitaufwand: 1–2 Tage.
Parallel: Risikoregister anlegen (NIS2-RM-01). Das klingt nach Projektarbeit, ist aber für ein KMU kein ISO-27001-Vollprogramm. Ein Risikoregister im Sinne von § 30 §2a BSIG kann mit einem strukturierten Dokument beginnen, das zehn bis zwanzig identifizierte Risiken mit Eintrittswahrscheinlichkeit, Auswirkung und geplanter Gegenmaßnahme enthält. Das BAM NIS2-RM-01-Objekt enthält das Remediation-Feld mit einer Schritt-für-Schritt-Anleitung dafür. Zeitaufwand: 1 Tag initial, danach quartalsweise Review.
Was sofort erledigt werden muss, unabhängig vom Rest
BSI-Registrierung über muk.bsi.bund.de – sofern noch nicht erfolgt. Die Frist lief am 6. März 2026 ab, nachholbar ist sie bis 31. Juli 2026. Voraussetzung ist ein ELSTER-Organisationszertifikat, dessen Beantragung einige Werktage dauert. Wer bis Ende Juni noch kein ELSTER-Zertifikat hat, muss jetzt starten, um die Juli-Frist zu halten.
Was realistisch nicht in drei Monaten geht
Lieferkettensicherheit (NIS2-SC-01) ist die Maßnahme mit dem höchsten Initialaufwand für ein KMU. Sie erfordert, alle wesentlichen IKT-Dienstleister und Lieferanten zu inventarisieren, deren Sicherheitsniveau zu bewerten und vertragliche Mindestanforderungen zu verankern. Das ist bei bestehenden Vertragsbeziehungen rechtlich komplex und braucht Zeit. Empfehlung: Mit einem Lieferanten-Inventar beginnen, Neuvergaben sofort mit Sicherheitsanforderungen versehen, Bestandsverträge bei der nächsten Verlängerung anpassen.
Wirksamkeitsbewertung (NIS2-EV-01) ist die Maßnahme, die am häufigsten übersehen wird – weil sie keine einmalige Implementierung ist, sondern ein laufender Prozess. Ein jährlicher interner Review-Termin, bei dem alle zehn Maßnahmen gegen ihren aktuellen Umsetzungsstand geprüft werden, reicht als Einstieg. Das BAM NIS2-EV-01-Objekt enthält das Evidence-Feld mit dem Nachweis, was ein BSI-Prüfer dafür erwartet: ein datiertes, unterzeichnetes Protokoll des Reviews.
Wie BAM NIS-2-Objekte den GAP-Check strukturieren
Jedes der zehn Objekte im BAM NIS-2-Modul folgt derselben Struktur: Das Requirement-Feld enthält die genaue gesetzliche Anforderung mit Artikelverweis, das Gap-Check-Feld übersetzt sie in eine Ja/Nein/Teilweise-Frage, das Remediation-Feld liefert die Umsetzungsschritte mit Zeitschätzung, und das Evidence-Feld definiert, welcher Nachweis im Audit erwartet wird.
Das macht den Unterschied zwischen einer Checkliste, die man abhakt, und einem Compliance-Artefakt, das im Audit standhält. Ein abgehaktes Kästchen in einer Excel-Tabelle beantwortet nicht, wer wann welche Maßnahme umgesetzt hat und was der Nachweis dafür ist. Das BAM-Objekt tut genau das.
NIS-2 · KMU-Praxisfrage
Ein KMU mit 75 Mitarbeitenden hat regelmäßige Backups, aber keinen dokumentierten Wiederanlaufplan und keinen durchgeführten Restore-Test. Welcher NIS-2-Pflicht kommt das Unternehmen damit nicht nach?
NIS-2-Compliance ist für ein KMU mit drei IT-Mitarbeitenden kein Projekt, das nebenher läuft. Es ist auch keines, das unlösbar ist – wenn die Maßnahmen in der richtigen Reihenfolge angegangen werden und der Nachweis von Anfang an mitgedacht wird, nicht erst vor dem Audit.