Compliance

NIS2-Richtlinie: Was KMUs jetzt wissen müssen

2. April 2026 · 8 Min. Lesezeit

Was ist NIS2 — und warum betrifft es plötzlich KMUs?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Verordnung, die Unternehmen zu bestimmten IT-Sicherheitsmaßnahmen verpflichtet. Die erste Version betraf vor allem Großkonzerne und Betreiber kritischer Infrastruktur. NIS2 erweitert den Kreis massiv — und plötzlich können auch KMUs betroffen sein.

Die nationale Umsetzung in Deutschland erfolgt über das NIS2-Umsetzungsgesetz. Die Frist für die vollständige Compliance läuft auf Oktober 2026 zu. Wer jetzt noch nichts getan hat, sollte dringend anfangen.

NIS2 ist kein IT-Thema — es ist Chefsache. Bei Verstößen haften Geschäftsführer persönlich.

Bin ich betroffen?

Die ehrliche Antwort: Vielleicht. NIS2 betrifft Unternehmen in bestimmten Sektoren ab einer bestimmten Größe. Aber auch kleinere Unternehmen können betroffen sein, wenn sie Zulieferer von betroffenen Unternehmen sind.

Direkt betroffene Sektoren (Auswahl):

  • Energie (Strom, Gas, Öl, Fernwärme)
  • Transport und Verkehr
  • Gesundheitswesen
  • Digitale Infrastruktur (Rechenzentren, DNS, Cloud-Dienste)
  • Abfallwirtschaft
  • Lebensmittelproduktion und -verteilung
  • Verarbeitendes Gewerbe (Maschinenbau, Fahrzeugbau, Chemie)
  • Post- und Kurierdienste

Größenschwellen: Generell ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz. Aber: Zulieferer können unabhängig von der Größe in die Pflicht genommen werden, wenn sie Teil der Lieferkette eines betroffenen Unternehmens sind.

Ein Bauunternehmen mit 30 Mitarbeitern, das Aufträge von einem Energieversorger bearbeitet? Potenziell betroffen. Ein IT-Dienstleister mit 15 Mitarbeitern, der Cloud-Services anbietet? Direkt betroffen.

Was fordert NIS2 konkret?

NIS2 verlangt keine spezifischen Produkte, sondern angemessene Maßnahmen. Die wichtigsten:

1. Risikomanagement: Ihr müsst eure IT-Risiken kennen, bewerten und dokumentieren. Welche Systeme sind kritisch? Was passiert bei einem Ausfall?

2. Incident Response: Es muss einen Plan geben, was bei einem Sicherheitsvorfall passiert. Wer wird informiert? Wie schnell? An wen muss gemeldet werden? NIS2 fordert eine Erstmeldung innerhalb von 24 Stunden.

3. Technische Maßnahmen: Multi-Faktor-Authentifizierung, Verschlüsselung, regelmäßige Updates, Backup-Strategie, Zugriffskontrollen.

4. Lieferkettensicherheit: Ihr müsst sicherstellen, dass auch eure Dienstleister und Zulieferer angemessene Sicherheitsstandards einhalten.

5. Schulungen: Geschäftsführer müssen Cybersecurity-Schulungen nachweisen. Mitarbeiter müssen regelmäßig sensibilisiert werden.

Was hat Microsoft 365 damit zu tun?

Ziemlich viel. Viele der technischen Anforderungen von NIS2 lassen sich mit den Bordmitteln von Microsoft 365 Business Premium umsetzen:

  • MFA (Multi-Faktor-Authentifizierung): In M365 mit wenigen Klicks aktivierbar — und von NIS2 explizit gefordert.
  • Conditional Access: Zugriffe nur von verwalteten Geräten, bestimmten Standorten oder nach MFA-Bestätigung.
  • Microsoft Defender: Schutz vor Phishing, Malware und Ransomware — direkt in M365 integriert.
  • Audit Logs: Protokollierung von Zugriffen und Änderungen — wichtig für die Nachweispflicht.
  • Data Loss Prevention (DLP): Verhindert, dass sensible Daten unkontrolliert das Unternehmen verlassen.
  • Backup & Retention: Aufbewahrungsrichtlinien für E-Mails und Dokumente.

Das heißt nicht, dass M365 automatisch NIS2-konform macht. Aber es liefert die Werkzeuge — ihr müsst sie nur einschalten und richtig konfigurieren.

Was passiert bei Verstößen?

NIS2 hat Biss. Die Bußgelder können bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen. Und — das ist neu — Geschäftsführer können persönlich haftbar gemacht werden, wenn sie ihre Überwachungspflichten verletzen.

Das ist kein theoretisches Risiko. Die Aufsichtsbehörden werden aktiv prüfen, und die Meldepflicht bei Sicherheitsvorfällen bedeutet, dass Verstöße schnell sichtbar werden.

Euer 5-Schritte-Plan

Schritt 1: Prüft, ob ihr betroffen seid. Sektor, Unternehmensgröße und Lieferkettenbeziehungen bestimmen das.

Schritt 2: Macht eine Bestandsaufnahme eurer IT-Sicherheit. Was ist schon da? Was fehlt?

Schritt 3: Aktiviert die Sicherheitsfunktionen in M365 — MFA, Conditional Access, Defender, Audit Logs.

Schritt 4: Erstellt einen Incident-Response-Plan. Muss kein 50-Seiten-Dokument sein — ein klarer Ablauf auf zwei Seiten reicht für den Anfang.

Schritt 5: Dokumentiert alles. NIS2 ist auch eine Dokumentationspflicht. Ihr müsst nachweisen können, was ihr getan habt.

NIS2-Check für euer Unternehmen?

Wir prüfen gemeinsam, ob ihr betroffen seid und welche M365-Einstellungen ihr sofort aktivieren solltet — kostenlos und unverbindlich.

Erstgespräch buchen →
mc
mema consulting
Marcel & Melvin beraten KMUs bei der Einführung von Microsoft 365 und Dynamics 365 — praxisnah, zum Festpreis und ohne Berater-Bla.

Weitere Artikel

IT-Sicherheit für KMUs: Die 7 häufigsten Fehler

Welche typischen Lücken kleine Unternehmen haben — und wie ihr sie mit M365 schließt.

M365-Sicherheit richtig konfigurieren

MFA, Conditional Access, DSGVO, Backup — die Checkliste fürs sichere KMU.

Cloud-Migration für KMUs: Der ehrliche Leitfaden

Was wirklich passiert, wenn ihr von lokalen Servern auf Microsoft 365 umsteigt.