Gilt NIS2 auch für KMU und Mittelstand?

Ja. NIS2 betrifft Unternehmen ab 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz, sofern sie in einem der 18 erfassten Sektoren tätig sind – darunter produzierendes Gewerbe, Logistik, Lebensmittel und IT-Dienste. Auch kleinere Unternehmen können mittelbar betroffen sein, wenn sie als Zulieferer für betroffene Unternehmen arbeiten und über die Lieferkettenpflichten eingebunden werden.

Was ist der Unterschied zwischen NIS2 und DORA?

NIS2 ist eine EU-Richtlinie für Cybersicherheit, die sektorenübergreifend für 18 Branchen gilt und in nationales Recht umgesetzt wird. DORA ist eine EU-Verordnung, die unmittelbar gilt und sich spezifisch auf die digitale operative Resilienz des Finanzsektors und dessen IKT-Dienstleister konzentriert. Bei Überschneidungen hat DORA Vorrang für den Finanzsektor.

Bis wann muss NIS2 umgesetzt werden?

Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Es gibt keine Übergangsfristen – die Anforderungen gelten sofort. Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. DORA gilt EU-weit bereits seit dem 17. Januar 2025.

Brauche ich als GmbH ein Risikomanagementsystem wegen NIS2?

Wenn Ihre GmbH die Größen- und Sektorkriterien erfüllt, ja. NIS2 fordert ein systematisches IT-Risikomanagement auf Basis eines gefahrenübergreifenden Ansatzes nach dem Stand der Technik. Die Geschäftsführung muss die Maßnahmen aktiv billigen und kann die Verantwortung nicht vollständig an die IT-Abteilung delegieren.

Was muss ich als erstes tun um NIS2-konform zu werden?

Prüfen Sie zunächst Ihre Betroffenheit über den NIS2-Betroffenheitscheck des BSI. Führen Sie dann eine Gap-Analyse durch, um den Ist-Zustand Ihrer IT-Sicherheit mit den Anforderungen abzugleichen. Bauen Sie ein systematisches IT-Risikomanagement auf, klären Sie die Verantwortlichkeiten auf Geschäftsführungsebene und etablieren Sie Meldeprozesse für die 24-Stunden-Meldepflicht bei Sicherheitsvorfällen.

NIS2 und DORA: Was die neuen EU-Regeln für den Mittelstand bedeuten

Q: Welche Strafen drohen bei Nicht-Einhaltung von NIS2?

Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Zusätzlich haften Geschäftsführer persönlich mit ihrem Privatvermögen, wenn sie keine angemessenen Maßnahmen ergriffen haben.

In vielen mittelständischen Unternehmen war Cybersicherheit lange ein Thema für die IT-Abteilung – nicht für die Geschäftsführung. Das hat sich geändert. Mit der NIS2-Richtlinie und der DORA-Verordnung hat die Europäische Union zwei Regelwerke geschaffen, die Cybersicherheit und IT-Risikomanagement zur Chefsache machen, mit persönlicher Haftung der Geschäftsführung und empfindlichen Bußgeldern bei Verstößen.

Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Die DORA-Verordnung gilt EU-weit bereits seit dem 17. Januar 2025. Übergangsfristen gibt es keine. Für viele Geschäftsführer im Mittelstand stellt sich daher nicht mehr die Frage ob, sondern wie schnell sie handeln müssen.

In diesem Beitrag: Was regeln NIS2 und DORA? Wer ist betroffen? Was ist konkret zu tun? Und was passiert, wenn nichts passiert?

NIS2: Die neue Cybersicherheits-Pflicht für den Mittelstand

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security 2) ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und verfolgt ein klares Ziel: ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Der entscheidende Unterschied zur Vorgängerrichtlinie: Der Anwendungsbereich wurde deutlich ausgeweitet. Statt einiger tausend KRITIS-Betreiber sind nun rund 29.000 bis 30.000 Unternehmen in Deutschland betroffen – darunter erstmals zahlreiche mittelständische Betriebe.

Welche Unternehmen sind von NIS2 betroffen?

Die Betroffenheit hängt von zwei Kriterien ab: Unternehmensgröße und Sektor.

Größenkriterium: Unternehmen mit mindestens 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanzsumme von über 10 Millionen Euro fallen grundsätzlich unter NIS2, sofern sie in einem der erfassten Sektoren tätig sind.

Sektoren: NIS2 erfasst 18 Sektoren, die als kritisch oder wichtig für Wirtschaft und Gesellschaft gelten:

Produzierendes Gewerbe – Maschinenbau, Fahrzeugbau, Elektrotechnik
Logistik und Transport – Straßen-, Schienen-, Luft- und Schiffsverkehr
Lebensmittelproduktion und -verarbeitung
Chemie und Pharma
Abfallwirtschaft
Digitale Infrastruktur und IT-Dienste – Cloud, Rechenzentren, Managed Services
Post- und Kurierdienste

Mittelbar betroffen: Auch KMU unter den Schwellenwerten

Selbst Unternehmen, die formal unter den Größenschwellen liegen, können mittelbar betroffen sein. Ein wesentlicher Aspekt des neuen BSIG ist die Pflicht zur Absicherung der Lieferkette. Großkunden und betroffene Unternehmen werden ihre Zulieferer zunehmend verpflichten, vergleichbare Sicherheitsstandards einzuhalten.

Was müssen betroffene Unternehmen tun?

Das neue BSIG definiert in § 30 Abs. 2 einen Katalog von zehn Mindestanforderungen:

1. IT-Risikomanagement einführen. Unternehmen müssen ein systematisches Risikomanagement für ihre Informationssicherheit aufbauen, auf einem gefahrenübergreifenden Ansatz basierend und nach dem Stand der Technik.

2. Sicherheitsvorfälle melden. Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden (Erstmeldung), gefolgt von einem Zwischenbericht innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats.

3. Business Continuity sicherstellen. Unternehmen brauchen Notfall- und Wiederherstellungspläne für kritische Geschäftsprozesse.

4. Lieferkettensicherheit gewährleisten. Die Sicherheit der gesamten Lieferkette – einschließlich der IT-Dienstleister und Zulieferer – muss aktiv gemanagt werden.

5. Beim BSI registrieren. Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren.

NIS2: Persönliche Haftung der Geschäftsführung

Persönliche Verantwortung: Geschäftsführer müssen die Risikomanagementmaßnahmen billigen – also aktiv prüfen, verstehen und freigeben. Eine reine Delegation an die IT-Abteilung reicht nicht. Fehlende Budgetfreigaben oder mangelnde Auseinandersetzung mit IT-Risiken können als Pflichtverletzung gewertet werden – mit der Folge einer persönlichen Haftung mit dem Privatvermögen.

DORA: Digitale Resilienz für den Finanzsektor – und seine Dienstleister

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit dem 17. Januar 2025 verbindlich gilt. Anders als NIS2 gilt DORA als Verordnung unmittelbar in allen EU-Mitgliedstaaten.

DORA zielt darauf ab, die digitale operative Widerstandsfähigkeit des gesamten EU-Finanzsektors zu stärken – und erstreckt sich ausdrücklich auf deren IKT-Dienstleister.

Wer ist von DORA betroffen?

DORA ist sektorspezifisch und betrifft primär den Finanzsektor: Kreditinstitute, Versicherungen, Wertpapierfirmen und Zahlungsdienstleister.

Entscheidend für den Mittelstand: DORA erfasst ausdrücklich auch die IKT-Drittdienstleister dieser Finanzunternehmen. Wer Software, Cloud-Dienste, Rechenzentrumsleistungen oder andere IT-Services für Finanzunternehmen erbringt, ist potenziell betroffen – unabhängig von der eigenen Unternehmensgröße.

Die fünf Säulen von DORA

1. IKT-Risikomanagement. IT-Risiken systematisch erfassen, analysieren und durch konkrete Maßnahmen steuern.

2. Meldung von IKT-Vorfällen. Schwerwiegende IT-Vorfälle nach vorgegebenem Schema klassifizieren und an die Aufsichtsbehörden melden.

3. Tests der digitalen Resilienz. Von Penetrationstests bis zu Simulationen realer Ausfallszenarien.

4. Management von Drittanbieterrisiken. Verträge mit IT-Dienstleistern müssen spezifische Anforderungen erfüllen – Audit-Rechte, Exit-Strategien und Sicherheitsreviews.

5. Informationsaustausch. Unternehmen werden zum Austausch von Informationen über Cyberbedrohungen angehalten.

NIS2 vs. DORA: Die Unterschiede auf einen Blick

	NIS2	DORA
Rechtsform	EU-Richtlinie (national umgesetzt)	EU-Verordnung (unmittelbar geltend)
In Kraft seit	6. Dezember 2025 (DE)	17. Januar 2025 (EU-weit)
Geltungsbereich	Sektorenübergreifend (18 Sektoren)	Finanzsektor + IKT-Dienstleister
Betroffene in DE	ca. 29.000 bis 30.000 Unternehmen	Finanzinstitute + potenziell 100.000 IT-Dienstleister
Größenschwelle	ab 50 Mitarbeiter / 10 Mio. € Umsatz	Keine feste Schwelle für Dienstleister
Kernfokus	Cybersicherheit allgemein	Digitale operative Resilienz
Aufsichtsbehörde (DE)	BSI	BaFin
Geschäftsführerhaftung	Ja, explizit verankert	Ja, über Governance-Anforderungen

Welche Strafen drohen bei Verstößen?

Bußgelder unter NIS2

Für besonders wichtige Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des Jahresumsatzes.

Sanktionen unter DORA

DORA sieht neben Bußgeldern auch aufsichtsrechtliche Maßnahmen vor, die bis zum Entzug der Geschäftserlaubnis reichen können.

Die größte Gefahr – Persönliche Haftung: Sowohl NIS2 als auch DORA verankern die Verantwortung für IT-Risikomanagement auf Geschäftsleitungsebene. Ein Geschäftsführer, der nachweislich keine angemessenen Maßnahmen ergriffen hat, kann persönlich – auch mit seinem Privatvermögen in Anspruch genommen werden. Die D&O-Versicherung greift bei wissentlichen Pflichtverletzungen in der Regel nicht.

Was Geschäftsführer im Mittelstand jetzt tun sollten

Schritt 1: Betroffenheit prüfen

Prüfen Sie zunächst, ob Ihr Unternehmen unter NIS2 fällt. Das BSI stellt dafür einen NIS2-Betroffenheitscheck auf seiner Website bereit. Für DORA: Prüfen Sie, ob Ihr Unternehmen als IKT-Dienstleister für Finanzunternehmen tätig ist.

Schritt 2: Gap-Analyse durchführen

Vergleichen Sie den Ist-Zustand Ihrer IT-Sicherheitsmaßnahmen mit den Anforderungen des neuen BSIG bzw. der DORA-Verordnung.

Schritt 3: IT-Risikomanagement aufbauen oder erweitern

Beide Regelwerke fordern ein systematisches IT-Risikomanagement. Die ISO 27001 (Informationssicherheit) und die ISO 31000 (Risikomanagement) bieten dafür anerkannte methodische Rahmen.

Schritt 4: Verantwortlichkeiten klären

IT-Sicherheit ist kein reines IT-Thema mehr – sie ist eine Governance-Aufgabe. Die Geschäftsführung muss als aktiver Entscheider eingebunden sein.

Schritt 5: Meldeprozesse und Notfallpläne etablieren

Die 24-Stunden-Meldepflicht bei Sicherheitsvorfällen ist ohne vorbereitete Prozesse nicht einzuhalten. Erstellen Sie einen Incident-Response-Plan und testen Sie ihn regelmäßig.

Schritt 6: Lieferantenverträge prüfen und anpassen

Prüfen Sie bestehende Verträge mit IT-Dienstleistern auf NIS2- und DORA-Konformität: Sicherheitsanforderungen, Audit-Rechte, Meldepflichten und Exit-Strategien.

Schritt 7: Mitarbeiter schulen

Security-Awareness-Schulungen für alle Mitarbeiter sind Teil der gesetzlichen Anforderungen. Die Geschäftsführung ist unter NIS2 ausdrücklich verpflichtet, sich im Bereich Cybersicherheit fortbilden zu lassen.

Doppelt betroffen? Wenn NIS2 und DORA gleichzeitig greifen

Einige mittelständische Unternehmen fallen unter beide Regelwerke. In diesem Fall gilt: DORA ist die vorrangige Norm für den Finanzsektor, NIS2 wirkt als Auffangregelung.

Die gute Nachricht: Wer ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 betreibt oder sich am BSI-Grundschutz orientiert, hat eine solide Basis für die Compliance mit beiden Regelwerken.

Regulatorischer Druck als Chance

Wettbewerbsvorteil in der Lieferkette. Unternehmen, die NIS2- und DORA-Compliance nachweisen können, werden für Großkunden zum bevorzugten Partner.

Besserer Schutz vor Cyberangriffen. Gerade KMU sind überproportional häufig Ziel von Ransomware-Angriffen, weil Angreifer dort geringere Sicherheitsstandards vermuten.

Stärkere Verhandlungsposition gegenüber Versicherern. Ein nachweisliches Risikomanagement kann zu besseren Konditionen bei Cyber-Versicherungen führen.

Fazit: Cybersicherheit ist jetzt Geschäftsführer-Pflicht

NIS2 und DORA verändern die europäische Regulierung von Cybersicherheit und IT-Risikomanagement. Erstmals treffen verbindliche, sanktionsbewehrte Pflichten in großem Umfang auch den Mittelstand.

Wer jetzt handelt, gewinnt Zeit, reduziert Haftungsrisiken und positioniert sein Unternehmen als verlässlichen Partner. Wer abwartet, riskiert Bußgelder, persönliche Haftung und den Verlust wichtiger Geschäftsbeziehungen.

IT-Risikomanagement aufbauen?

riskki bildet den gesamten Risikomanagementprozess ab – von der Risikoidentifikation bis zum bankentauglichen Report. KI-gestützt und sofort einsatzbereit.

Kostenlos starten →

Dieser Beitrag dient der allgemeinen Information und ersetzt keine rechtliche oder betriebswirtschaftliche Beratung im Einzelfall. Die dargestellten Informationen basieren auf dem Stand März 2026. Bei Fragen zur Betroffenheit Ihres Unternehmens oder zur Ausgestaltung Ihres IT-Risikomanagements stehen wir Ihnen gerne zur Verfügung.