09.04.2026 | Lesezeit: 4 Minuten
Cyberangriffe treffen nicht nur Großkonzerne. Auch mittelständische Unternehmen geraten immer häufiger ins Visier von Erpressern, Spionen und professionellen Hackergruppen. Mit der neuen NIS‑2‑Richtlinie reagiert die EU auf diese Entwicklung. Sie macht Cybersicherheit für viele Unternehmen zur Pflichtaufgabe der Geschäftsführung.
Firmenkunden - Digitalisierung - Artikel
Das NIS‑2‑Gesetz setzt einen neuen Rahmen für mehr Cybersicherheit in Unternehmen. Aber ein Blick auf die Zahlen zeigt, dass es in den meisten Betrieben noch kein Bewusstsein für die neuen Regeln gibt. Nur ein Drittel der voraussichtlich betroffenen Unternehmen hat die erste Vorgabe erfüllt und sich bis zum 6. März beim Bundesamt für Sicherheit in der Informationstechnik registriert. Viele Firmen wissen noch nicht, ob sie überhaupt unter die neuen Pflichten fallen – oder schieben das Thema Cybersicherheit im Tagesgeschäft vor sich her.
NIS steht für Netz- und Informationssicherheit. NIS‑2 ist eine EU‑Richtlinie (Network and Information Security Directive). Sie soll die digitale Widerstandsfähigkeit von Unternehmen erhöhen. Gemeint ist: Angriffe und IT‑Ausfälle sollen Betriebe nicht mehr so leicht lahmlegen. Die Geschäftsführung rückt dabei stärker in die Verantwortung. Die Vorgaben stammen aus der EU und wurden mit dem deutschen Umsetzungsgesetz in nationales Recht überführt, das seit Ende 2025 gilt.
Im Unterschied zur alten Regelung betrifft NIS‑2 nicht mehr nur „kritische Infrastruktur“. Sie umfasst auch viele „ganz normale“ Mittelständler. Das gilt oft ab etwa 50 Mitarbeitenden oder 10 Millionen Euro Umsatz in bestimmten Branchen.
Dazu zählen zum Beispiel Energie, Gesundheitswesen, Transport, Abfallwirtschaft und Lebensmittelproduktion. Aber auch Maschinenbau, industrielle Fertigung oder IT‑Dienstleister sind häufig betroffen. Damit liegt NIS‑2 genau in den Bereichen, auf die sich viele KMU spezialisiert haben.
Ein Unternehmen fällt typischerweise unter NIS‑2, wenn zwei Punkte erfüllt sind.
Wichtig ist außerdem die Gruppe, zu der das Unternehmen gehört. Wenn sich Partner‑ oder Tochtergesellschaften eine gemeinsame IT‑Infrastruktur teilen, werden die Schwellen in der Regel für den gesamten Unternehmensverbund betrachtet – nicht nur für einzelne Einheiten.
Auch kleinere Betriebe können indirekt betroffen sein. Das ist der Fall, wenn sie wichtiger Zulieferer oder IT‑Dienstleister für NIS‑2‑pflichtige Kunden sind. Dann bekommen sie die Anforderungen über Verträge und Sicherheitsauflagen zu spüren. Viele Mittelständler merken das bereits heute. Große Kunden schicken Fragebögen, prüfen die IT‑Sicherheit oder bauen strenge IT‑Klauseln in neue Verträge ein.
Mit unserem Newsletter bleiben Sie am Puls der Zeit.
Jetzt abonnieren und nichts mehr verpassen!
Kern von NIS‑2 ist ein systematisches Risikomanagement für Informationssicherheit. Unternehmen sollen ihre wichtigsten Risiken kennen, passende Schutzmaßnahmen planen und regelmäßig überprüfen.
Dazu gehört ein Basis‑Sicherheitskonzept. Das umfasst zum Beispiel klare Regeln für Passwörter und Benutzerrechte, ein sauberes Backup‑Konzept und konsequente Updates.
Wichtig sind auch feste Abläufe für Sicherheitsvorfälle. Wer macht was, wenn ein Angriff entdeckt wird? Wie werden Systeme wiederhergestellt? Notfall‑ und Wiederanlaufpläne sollen genau diese Fragen klären. Ein weiterer Baustein sind Schulungen. Mitarbeitende müssen wissen, wie sie mit Phishing‑Mails, sensiblen Daten und externen Datenträgern umgehen.
Der Blick auf Dienstleister ist ebenfalls zentral. Cloud‑Anbieter, IT‑Admins, Software‑Partner und andere Externe hängen oft tief in den eigenen Prozessen. Sie müssen ins Sicherheitskonzept einbezogen werden. Ihre Leistungen und Schutzmaßnahmen sollten regelmäßig bewertet werden.
Unternehmen, die unter NIS‑2 fallen, müssen sich zudem beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die Frist für diese Erstregistrierung war der 6. März 2026. Wenn diese Frist verpasst wurde, sollte die Registrierung so schnell wie möglich nachgeholt werden.
Wer nicht weiß, ob das eigene Unternehmen betroffen ist, kann online eine NIS-2-Betroffenheitsprüfung durchführen.
Neu ist: Die Geschäftsleitung steht klar in der Pflicht. Sie muss Sicherheitsmaßnahmen nicht nur „abnicken“, sondern aktiv steuern. Dazu gehört, Budgets freizugeben, Ziele zu setzen und sich regelmäßig berichten zu lassen. Das alte Muster „Die IT kümmert sich darum“ reicht nicht mehr.
Wer die Vorgaben ignoriert, geht ein Risiko ein. Es drohen spürbare Bußgelder. Im Extremfall kann auch die persönliche Haftung von Geschäftsführern eine Rolle spielen, wenn sie ihre Sorgfaltspflicht verletzen.
Für viele KMU ist ein kurzer „Cybersicherheits‑Check“ ein guter Einstieg. Die zentralen Fragen lauten: Ist das Unternehmen betroffen? Wo steht es heute? Wo sind die größten Lücken?
Auf dieser Basis lässt sich ein einfaches Maßnahmenpaket bauen.
Typische erste Schritte sind: Verantwortliche benennen, eine grobe Bestandsaufnahme machen und schnell wirksame Basics umsetzen. Dazu zählen zum Beispiel starke Passwörter, Mehr‑Faktor‑Anmeldung, verlässliche Backups und klare Regeln für Admin‑Zugänge. Wo intern Know‑how fehlt, kann externe Unterstützung helfen, die ersten Bausteine zu strukturieren und Prioritäten zu setzen.
Der Aufwand ist spürbar, zahlt aber auf mehrere Ziele ein. Unternehmen reduzieren Ausfallzeiten durch Angriffe und Pannen. Sie stärken das Vertrauen von Kunden, Banken und Partnern. Und sie bringen gleichzeitig mehr Ordnung und Effizienz in ihre digitale Infrastruktur.
Wer sich als Unternehmen dem Fortschritt entzieht, verliert den Anschluss. Wer das nicht will, muss investieren. Die Berliner Volksbank hat passende Finanzierungskonzepte samt Fördermitteln sowie Digitalisierungs- und Investitionskredite parat.
Wie können Unternehmen KI sinnvoll nutzen – und wo liegen ihre Grenzen? Darüber spricht KI-Pionier Chris Boos und räumt mit Missverständnissen auf. Er erklärt, warum Innovation vom Menschen ausgehen muss und welche Chancen gerade kleine Betriebe haben.
Viele Unternehmen verzichten auf Fördermittel, weil Antragsprozesse zu aufwändig erscheinen. Oder sie wissen nicht, dass ihnen für geplante Investitionen Fördergelder zustehen. Ein Gespräch mit den Expert*innen der Berliner Volksbank ebnet den Weg.
