NIS2 und was sie für mittelständische IT-Beratungsunternehmen in Deutschland wirklich bedeutet
🎧 Listen to this article
IT-Security / Compliance · 2026-06-24
Vollständig KI-generierter Artikel (ohne Vorabprüfung).
1. Der Aufhänger: Warum das jetzt auf Ihrem Radar sein sollte
Zwei Jahrzehnte lang bedeutete "Cybersicherheitsregulierung" in Deutschland vor allem KRITIS — eine kurze Liste großer Betreiber kritischer Infrastrukturen (Stromnetze, Krankenhäuser, Wasserversorger). Wer ein 60-Personen-IT-Beratungs- oder Managed-Services-Unternehmen führte, war davon schlicht nicht betroffen.
Die NIS2-Richtlinie der EU (Richtlinie (EU) 2022/2555) beendet das. Sie erhöht die Zahl der regulierten Unternehmen in Deutschland um etwa das 10- bis 15-Fache und erfasst mittelständische Unternehmen in 18 Sektoren — darunter explizit Managed Service Provider (MSP) und Managed Security Service Provider (MSSP). Deutschland setzt NIS2 über das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in nationales Recht um; die Umsetzung hat sich gegenüber der EU-Frist vom Oktober 2024 mehrfach verzögert, daher lohnt sich ein Blick auf den aktuellen Gesetzgebungsstand — die inhaltlichen Pflichten selbst sind jedoch auf EU-Ebene bereits feststehend und werden sich nicht mehr ändern.
Der eigentlich aufhorchen lassende Punkt: NIS2 reguliert nicht nur direkt betroffene Unternehmen. Die Pflichten wirken auch entlang der Lieferkette — das heißt, selbst ein kleines Beratungsunternehmen, das formal unter der Größenschwelle liegt, kann von einem Kunden, der selbst im Anwendungsbereich liegt, vertraglich zu NIS2-äquivalenten Pflichten verpflichtet werden. Und erstmals in der deutschen Cyber-Regulierung haften Mitglieder der Geschäftsführung persönlich bei Verstößen — nicht nur das Unternehmen.
Das ist also kein "IT-Abteilungsthema". Es ist ein Geschäftsrisiko-Thema, das Verträge, Governance und persönliche Haftung für jeden betrifft, der ein Beratungsunternehmen führt oder berät.
2. Die Kernkonzepte verständlich erklärt
2.1 Wer ist eigentlich betroffen?
NIS2 unterteilt regulierte Organisationen in zwei Kategorien:
- Wesentliche Einrichtungen ("essential entities") — größere oder besonders risikorelevante Organisationen (Energie, Verkehr, Banken, Gesundheitswesen, digitale Infrastrukturbetreiber wie DNS-/Cloud-Anbieter usw.)
- Wichtige Einrichtungen ("important entities") — eine breitere Kategorie, die Post, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, digitale Anbieter umfasst und entscheidend: "Anbieter von Managed Services" und "Anbieter von Managed Security Services" als eigener benannter Unterbereich unter "Verwaltung von IKT-Diensten (B2B)".
Die allgemeine Größenschwelle liegt bei ≥50 Beschäftigten ODER ≥10 Mio. € Jahresumsatz/Bilanzsumme. Darunter liegt man in der Regel außerhalb des direkten Anwendungsbereichs — aber einige wenige Einrichtungstypen (z. B. qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registries, Anbieter öffentlicher elektronischer Kommunikationsnetze) sind unabhängig von ihrer Größe erfasst.
Warum diese Unterscheidung weniger ausmacht, als man denkt: "Wichtige" Einrichtungen unterliegen einer leichteren Aufsicht (überwiegend reaktiv, nach einem Vorfall) im Vergleich zu "wesentlichen" Einrichtungen (proaktive Audits) — aber die inhaltlichen Sicherheitspflichten sind für beide Kategorien identisch. Es gibt kein "wichtig = weniger Aufwand".
2.2 Die Pflichten nach Artikel 21 — Ihre eigentliche To-Do-Liste
Artikel 21 NIS2 listet zehn Kategorien von Mindestmaßnahmen zum Cybersicherheitsrisikomanagement auf, die betroffene Einrichtungen "auf der Grundlage eines All-Hazards-Ansatzes" umsetzen müssen. Vereinfacht sind das folgende zehn Bereiche:
- Risikoanalyse und Sicherheitskonzepte für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs & Notfallwiederherstellung (Backups, Krisenmanagement)
- Sicherheit der Lieferkette — einschließlich Sicherheitsaspekten in Beziehungen zu Zulieferern/Dienstleistern
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen (inkl. Schwachstellenmanagement)
- Konzepte zur Bewertung der Wirksamkeit der eigenen Sicherheitsmaßnahmen
- Grundlegende Cyberhygiene-Praktiken und Sicherheitsschulungen
- Konzepte zu Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Asset-Management
- Einsatz von Multi-Faktor-Authentifizierung, sicherer Sprach-/Video-/Textkommunikation und sicherer Notfallkommunikation
Das ist im Grunde eine kodifizierte Version dessen, was eine ausgereifte IT-Sicherheitsbasis ohnehin schon umfassen sollte — nur dass es jetzt eine gesetzliche Mindestanforderung ist und keine Best-Practice-Empfehlung mehr.
2.3 Meldepflichten bei Vorfällen — die Uhr, die viele kalt erwischt
Bei einem "erheblichen Sicherheitsvorfall" schreibt NIS2 einen strikten, mehrstufigen Meldeprozess an die nationale CSIRT/zuständige Behörde (in Deutschland das BSI) vor:
- Innerhalb von 24 Stunden nach Kenntnisnahme: eine Frühwarnung (Verdacht auf rechtswidrige/böswillige Handlung, mögliche grenzüberschreitende Auswirkungen?)
- Innerhalb von 72 Stunden: eine ausführlichere Meldung des Vorfalls (erste Bewertung, Schweregrad, Auswirkungen, Kompromittierungsindikatoren)
- Innerhalb von 1 Monat: ein Abschlussbericht (Ursache, Gegenmaßnahmen, grenzüberschreitende Auswirkungen, falls zutreffend)
Die meisten Incident-Response-Pläne sind heute auf "Eindämmen, Beseitigen, Wiederherstellen" ausgerichtet — nicht auf eine rechtlich bindende externe 24-Stunden-Meldeuhr, die in dem Moment zu laufen beginnt, in dem jemand etwas Verdächtiges bemerkt. Genau in dieser Lücke werden Unternehmen in der Praxis erwischt.
2.4 Governance und persönliche Haftung — die eigentliche Verschiebung
Das ist der Teil, der Gespräche auf Geschäftsführungsebene verändert:
- Die Geschäftsleitung muss die Risikomanagementmaßnahmen zur Cybersicherheit billigen, deren Umsetzung überwachen und kann bei Versäumnissen persönlich haftbar gemacht werden.
- Die Geschäftsleitung muss an Schulungen zu Cyberrisiken teilnehmen und vergleichbare Schulungen den Mitarbeitenden anbieten.
- Bei wesentlichen Einrichtungen kann wiederholte, schwerwiegende Nichteinhaltung zu einem vorübergehenden Verbot der Wahrnehmung von Geschäftsführungsfunktionen führen — vergleichbar mit der persönlichen Verantwortlichkeit nach DSGVO-Vorbild, hier jedoch speziell für Sicherheits-Governance.
- Bußgelder folgen der DSGVO-Logik: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, 7 Mio. € oder 1,4 % für wichtige Einrichtungen — je nachdem, welcher Betrag höher ist.
3. Drei konkrete Beispiele
Beispiel 1 — Der MSP, der sich nicht für betroffen hielt. Ein IT-Dienstleister mit 70 Mitarbeitenden in NRW betreut rund 40 KMU-Kunden mit ausgelagertem Helpdesk, Patch-Management und Netzwerküberwachung. Man ging davon aus, NIS2 betreffe "Betreiber kritischer Infrastrukturen", nicht das eigene Unternehmen. Doch "Anbieter von Managed Services" ist als explizit benannte Kategorie in Anhang I (Verwaltung von IKT-Diensten, B2B) aufgeführt, und das Unternehmen liegt deutlich über der 50-Mitarbeiter-Schwelle. Es ist eine wichtige Einrichtung — direkt, aus eigenem Recht, unabhängig von jeder Kundenbeziehung.
Beispiel 2 — Die 12-Personen-Beratung, die über einen Kundenvertrag hineingezogen wird. Eine kleine, 12-köpfige Cybersicherheits-Beratungsfirma liegt formal unter der NIS2-Größenschwelle und hat keine direkte Pflicht. Einer ihrer Kunden ist jedoch ein regionaler Energieverteiler — eine wesentliche Einrichtung nach NIS2. Artikel 21 Abs. 2 lit. d verpflichtet diese wesentliche Einrichtung zum Management der Lieferkettensicherheit, was in der Praxis bedeutet: Sie muss ihre Zulieferer (einschließlich dieser kleinen Beratungsfirma) bewerten und vertraglich an NIS2-äquivalente Kontrollen binden — Meldefristen für Vorfälle, Sicherheitsfragebögen, Auditrechte, MFA-Anforderungen. Die Beratungsfirma registriert sich nie beim BSI, muss aber faktisch so agieren, als wäre sie selbst betroffen — weil die Compliance ihres Kunden davon abhängt.
Beispiel 3 — Die Meldeuhr in der Praxis. Ein mittelständisches Beratungsunternehmen entdeckt am Montag um 09:00 Uhr Ransomware-Aktivität auf dem Dateiserver eines Kunden. Sofern dies als "erheblicher Sicherheitsvorfall" bei einer betroffenen Einrichtung einzustufen ist, gilt nach NIS2 (in der jeweiligen Umsetzung): Die Frühwarnung an das BSI ist bis Dienstag, 09:00 Uhr fällig, die ausführliche Meldung bis Donnerstag, 09:00 Uhr, der Abschlussbericht innerhalb von einem Monat. Wenn im Incident-Response-Vertrag bzw. in der SOP des Beratungsunternehmens nicht explizit festgelegt ist, wer für das Auslösen und Nachverfolgen dieser externen Meldeuhr verantwortlich ist — getrennt von der technischen Eindämmung — wird die Frist standardmäßig verpasst, nicht aus Fahrlässigkeit, sondern aus fehlender Zuständigkeit.
4. Die konkrete Handlungsempfehlung
Führen Sie diese Woche einen 30-minütigen NIS2-Betroffenheitscheck für Ihr eigenes Unternehmen und Ihre 3–5 wichtigsten Kunden durch:
- Scope-Check: Erfüllt Ihr Unternehmen die Schwelle von ≥50 Mitarbeitenden / ≥10 Mio. € Umsatz, und fällt es unter einen der benannten Sektoren aus Anhang I/II (insbesondere "Verwaltung von IKT-Diensten — B2B", falls Sie MSP-/MSSP-Leistungen erbringen)?
- Lieferketten-Check: Zählt einer Ihrer Kunden als wesentliche oder wichtige Einrichtung? Falls ja, rechnen Sie mit (oder bieten Sie proaktiv an) einen Sicherheitsfragebogen, vertragliche Sicherheitsklauseln und Meldefristen-SLAs von dessen Seite.
- Uhren-Check: Benennt Ihr Incident-Response-Plan eine konkrete Person/Rolle, die für die 24-Stunden-/72-Stunden-/1-Monats-Meldeuhr verantwortlich ist — getrennt von denjenigen, die die technische Behebung durchführen?
Lautet die Antwort auf Frage 1 oder 2 "ja" oder "unsicher", ist das der priorisierte nächste Schritt — keine allgemeine Sicherheitsprüfung, sondern speziell eine Gap-Analyse gegen die zehn Maßnahmen aus Artikel 21 sowie gegen Ihren Meldeprozess.
Reflexionsfrage: Welcher Ihrer aktuellen Kunden würde bei einem Sicherheitsvorfall morgen eine Lieferketten-Melde- oder Compliance-Pflicht auslösen, die auf Sie zurückfällt — und haben Sie aktuell eine Vertragsklausel oder einen Prozess, der das abdeckt?