KMU und NIS2: Vorbereitung auch ohne direkten Anwendungsbereich

KMU, die nicht direkt in den NIS2-Anwendungsbereich fallen, sollten sich jetzt vorbereiten. Erfahren Sie, wie Lieferkette, Partnernetzwerke und indirekte Pflichten Ihr Unternehmen beeinflussen.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 17 Jun 2026 · 9 Min. Lesezeit
NIS2
KMU und NIS2: Vorbereitung auch ohne direkten Anwendungsbereich

Wer sollte das lesen: kleine und mittlere Unternehmen (KMU), Eigentümer von KMU, Compliance-Beauftragte, Betriebsteams, IT-Leiter.

Ein verbreitetes Missverständnis über NIS2 besteht darin, dass nur große wesentliche und wichtige Einrichtungen aufmerksam sein müssen. In Wirklichkeit liegen viele KMU außerhalb des direkten Anwendungsbereichs der Richtlinie, befinden sich aber in einer prekären Mittelposition: Sie sind nicht groß genug, um als wesentliche oder wichtige Einrichtungen reguliert zu werden, werden jedoch zunehmend von Cyberangriffen ins Visier genommen und in die Lieferketten viel größerer Einrichtungen integriert, die der NIS2-Konformität unterliegen. Dieser Beitrag erläutert die KMU-Landschaft unter NIS2 und warum Vorbereitung auch für nicht direkt regulierte Unternehmen wichtig ist.

Die NIS2-Richtlinie definiert „wesentliche Einrichtungen“ und „wichtige Einrichtungen“ anhand von Sektor, Größe und Kritikalität. Die Schwellenwerte sind hoch. Ein Hersteller von Netzwerkausrüstung kann aufgrund der Kritikalität seiner Produkte eine wichtige Einrichtung sein, unabhängig von der Größe. Ein großer Energieversorger wird stets wesentlich sein. Aber die meisten KMU, also die überwältigende Mehrheit der europäischen Unternehmen, fallen nicht unter diese Kategorien. Sie haben weniger als 250 Beschäftigte oder einen Jahresumsatz von weniger als 50 Millionen Euro. Sie sind in Sektoren tätig, die von NIS2 nicht ausdrücklich erfasst werden. Dies erweckt den Anschein eines Freipasses.

Dieser Anschein täuscht. Die NIS2-Richtlinie schafft über Artikel 7 Absatz 2 Buchstabe i und Erwägungsgrund 56 einen politischen Auftrag auf nationaler Ebene, die Cybersicherheitsbereitschaft von KMU zu unterstützen. Wichtiger noch: NIS2 erzeugt kaskadierende Pflichten, die in die Lieferketten der KMU hineinreichen. Jedes KMU, das Produkte, Dienstleistungen oder Daten an eine wesentliche oder wichtige Einrichtung liefert, wird für das Cybersicherheitsrisikomanagement dieser größeren Einrichtung relevant. Dieser Beitrag untersucht diese Effekte zweiter Ordnung und erklärt, warum KMU NIS2 auch ohne unmittelbare regulatorische Verpflichtung als geschäftlichen Treiber behandeln sollten.

Die KMU-Herausforderung unter NIS2

Erwägungsgrund 56 benennt die spezifischen Cybersicherheitsherausforderungen, denen KMU gegenüberstehen: „geringes Cyberbewusstsein, fehlende IT-Sicherheit für Fernzugriffe, hohe Kosten für Cybersicherheitslösungen und ein erhöhtes Bedrohungsniveau, etwa durch Ransomware, weshalb sie Orientierung und Unterstützung erhalten sollten“. Dies sind keine abstrakten Probleme. Sie beschreiben das Betriebsumfeld der meisten europäischen KMU.

Das Cyberbewusstsein in vielen KMU steckt in den Anfängen. Der Eigentümer weiß, dass Cybersicherheit wichtig ist, vielleicht nur vage, aber das Unternehmen hat keine formale Sicherheitsrichtlinie und keinen Plan für die Reaktion auf Vorfälle. IT-Sicherheit für Fernzugriffe bedeutet, dass die Sicherheitsüberwachung aussetzt, sobald die einzige IT-Fachkraft im Urlaub ist. Die hohen Kosten sind real: Eine umfassende Überholung der Sicherheit kann 5 bis 10 % der jährlichen IT-Budgets verschlingen, eine erhebliche Investition für Unternehmen mit knappen Margen. Ransomware ist eine konkrete, gegenwärtige Bedrohung. Zwischen 2020 und 2023 sind die Angriffsraten auf KMU sprunghaft gestiegen; viele KMU erhalten heute Lösegeldforderungen, obwohl sie nur über minimale Vermögenswerte oder geistiges Eigentum verfügen, das es wert wäre, abgegriffen zu werden. Angreifer nutzen Massenstrategien: Tausende KMU infizieren und sehen, welche zahlen.

Erwägungsgrund 56 hebt auch einen zweiten entscheidenden Faktor hervor: „Kleine und mittlere Unternehmen werden aufgrund ihrer weniger rigorosen Maßnahmen zum Cybersicherheitsrisikomanagement und Angriffsmanagement sowie aufgrund ihrer begrenzten Sicherheitsressourcen zunehmend zum Ziel von Angriffen auf die Lieferkette. Solche Angriffe auf die Lieferkette wirken sich nicht nur isoliert auf kleine und mittlere Unternehmen und deren Betrieb aus, sondern können auch eine Kaskadenwirkung auf größere Angriffe gegen die Einrichtungen haben, die sie beliefert haben.“

Dies ist die zentrale Erkenntnis. Ein KMU, das einer Bank, einem Energieversorger oder einem Krankenhaus Cloud-Computing-Dienste, Software-Updates oder Datenverarbeitung liefert, wird Teil der Angriffsfläche dieser größeren Einrichtung. Wird das KMU kompromittiert, gewinnt der Angreifer einen Fuß in der vertrauenswürdigen Lieferkette der größeren Einrichtung. Von dort kann der Angreifer lateral pivotieren, Daten exfiltrieren oder Sabotage betreiben. Die größere Einrichtung ist nach NIS2 nun verpflichtet, Lieferkettenrisiken zu bewerten und zu steuern. Das KMU wird, selbst wenn es nicht reguliert ist, zur Compliance-Anforderung für andere.

KMU innerhalb des Lieferkettenrisikomanagements

Artikel 21 der NIS2-Richtlinie verlangt von wesentlichen und wichtigen Einrichtungen, „geeignete Maßnahmen zu ergreifen, um Risiken in der Lieferkette zu bewerten und zu mindern“. Wenn eine wesentliche oder wichtige Einrichtung ihre Lieferanten überprüft, wird sie mit ziemlicher Sicherheit KMU in ihrer Lieferkette finden, insbesondere in den Bereichen Software, Hardware-Fertigung, verwaltete Dienste oder Datenverarbeitung. Diese Einrichtungen werden mit Fragen konfrontiert: Wie ist Ihre Cybersicherheitsposition? Können Sie nachweisen, dass Sie branchenübliche Sicherheitspraktiken anwenden? Wie ist Ihre Fähigkeit zur Reaktion auf Vorfälle?

Die Einrichtung, die diese Fragen stellt, will KMU nicht aus Bosheit belasten. Sie versucht, ihre eigenen NIS2-Pflichten zu erfüllen. Sie muss dokumentieren, dass sie Lieferkettenrisiken bewertet und verhältnismäßige Maßnahmen zu deren Minderung ergriffen hat. Eine der einfachsten Maßnahmen zur Risikominderung besteht darin, sicherzustellen, dass Lieferanten Mindestsicherheitsstandards erfüllen. Für das KMU am empfangenden Ende bedeutet dies, dass die Aufrechterhaltung der NIS2-Bereitschaft nicht mehr optional ist; sie ist eine Geschäftsbedingung.

Wie sieht NIS2-Bereitschaft für ein KMU aus? Auf einer Grundebene umfasst sie die in Artikel 21 dargelegten und im Rahmen der Richtlinie weiter ausgeführten Maßnahmen. Dies sind keine exotischen Anforderungen. Sie umfassen:

  • Asset-Management: Wissen, welche Hardware und Software Sie besitzen und betreiben.
  • Zugangskontrolle: Sicherstellen, dass nur autorisierte Personen auf Systeme und Daten zugreifen können, mit Mehrfaktor-Authentifizierung für Fernzugriffe.
  • Verschlüsselung: Verschlüsselung sensibler Daten bei der Übertragung und im Ruhezustand verwenden.
  • Erkennung von und Reaktion auf Vorfälle: Prozesse, um zu erkennen, wenn etwas nicht stimmt, und Verfahren zur Reaktion.
  • Sicherung und Wiederherstellung: Regelmäßige Sicherung kritischer Daten auf einem separaten System, damit Sie sich von Ransomware oder anderem Datenverlust erholen können.
  • Schwachstellenmanagement: Software und Systeme aktuell halten, nach bekannten Sicherheitslücken scannen und kritische Probleme zeitnah beheben.
  • Schulung des Personals: Sicherstellen, dass Mitarbeitende Phishing, Social Engineering und ihre Rolle für die Sicherheit verstehen.

Diese Praktiken sind nicht neu. Sie spiegeln jahrzehntelange bewährte Sicherheitspraxis wider. Aber viele KMU haben sie inkonsistent oder gar nicht umgesetzt. Ein KMU, das Lieferant regulierter Einrichtungen bleiben will, muss nachweisen, dass diese Praktiken vorhanden sind und funktionieren.

Nationale Unterstützung für KMU

In Anerkennung dieser Belastung fordert Erwägungsgrund 56 die Mitgliedstaaten auf, Unterstützung zu leisten: „Die Mitgliedstaaten sollten kleinen und mittleren Unternehmen über ihre nationalen Cybersicherheitsstrategien helfen, die Herausforderungen in ihren Lieferketten zu bewältigen. Die Mitgliedstaaten sollten auf nationaler oder regionaler Ebene über eine Anlaufstelle für kleine und mittlere Unternehmen verfügen, die entweder Orientierung und Unterstützung für kleine und mittlere Unternehmen bietet oder sie an die geeigneten Stellen für Orientierung und Unterstützung in Cybersicherheitsfragen verweist. Die Mitgliedstaaten werden zudem ermutigt, Dienste wie die Konfiguration von Websites und die Bereitstellung von Protokollierung für Kleinst- und Kleinunternehmen anzubieten, die diese Fähigkeiten nicht haben.“

Dies ist eine bedeutende Verpflichtung. Bis die NIS2-Richtlinie in den Mitgliedstaaten vollständig umgesetzt ist (zwischen Oktober 2024 und Oktober 2027), sollte jeder Mitgliedstaat eine Anlaufstelle eingerichtet haben (eine Person, ein Büro oder eine Website), bei der KMU um Orientierung in Cybersicherheitsfragen ersuchen können. Einige Mitgliedstaaten haben dies bereits getan; andere bauen ihre Infrastruktur derzeit auf. Diese Ressourcen sind für KMU nicht verpflichtend zu nutzen, sie sind aber ein Signal der Regierung, dass Cybersicherheit für KMU eine politische Priorität ist.

Darüber hinaus finanzieren oder subventionieren einige Mitgliedstaaten Cybersicherheitsdienste für KMU. Die Programme reichen von subventionierten Sicherheitsaudits über kostenlose Werkzeuge zur Schwachstellenprüfung bis hin zu Ausbildungszuschüssen. KMU sollten erkunden, was ihr Mitgliedstaat anbietet. Diese Programme bestehen gerade deshalb, weil die Regierungen anerkennen, dass KMU mit Hürden konfrontiert sind, die für größere Einrichtungen nicht bestehen.

Ransomware: der Auslöser für KMU-Handeln

Erwägungsgrund 56 stellt Ransomware in den Vordergrund, weil sie statistisch die größte Bedrohung für die meisten KMU darstellt. Ransomware ist nicht ausgeklügelt. Sie erfordert keine Fähigkeiten von Advanced Persistent Threats und keine staatliche Finanzierung. Sie ist ein Massengeschäft. Ein Angreifer versendet Phishing-E-Mails an Tausende von Organisationen. Einige E-Mails werden geöffnet. Einige Nutzer klicken auf Links oder laden Anhänge herunter. Die Schadsoftware installiert sich und breitet sich aus. Der Angreifer verschlüsselt die Dateien des Opfers und fordert Zahlung.

Warum werden KMU getroffen? Oft zufällig, weil sie schlicht auf der Liste der Organisationen stehen, die der Mail-Scanner des Angreifers gefunden hat. Manche Angriffe sind jedoch gezielt und richten sich gegen KMU in bestimmten Sektoren, von denen bekannt ist, dass sie wertvolle Daten halten (Gesundheitswesen, Finanzen, Rechtsdienstleistungen). Die Lösegeldforderungen sind häufig moderat, im Bereich von 5 000 bis 50 000 Euro, niedrig genug, dass einige KMU lieber zahlen, als Zeit und Geld in eine Wiederherstellung aus Sicherungen zu stecken.

NIS2 beseitigt das Ransomware-Risiko nicht. Aber die Richtlinie schafft einen Rahmen, in dem KMU nachweisen können, dass sie angemessene Vorkehrungen getroffen haben. Regelmäßige Sicherungen bedeuten, dass Sie sich ohne Zahlung wiederherstellen können. Zugangskontrollen erschweren dem Angreifer die Ausbreitung. Vorfallerkennung bedeutet, dass Sie Infektionen früher entdecken. Schulung des Personals führt dazu, dass weniger Phishing-E-Mails Nutzer erfolgreich ausnutzen. Zusammen verringern diese Maßnahmen sowohl die Wahrscheinlichkeit als auch die Auswirkung von Ransomware.

Ihr KMU auf NIS2 vorbereiten

Wenn Sie Eigentümer oder Manager eines KMU sind, ist die Vorbereitung auf NIS2 kein einmaliges Projekt; sie ist eine Weiterentwicklung Ihrer Cybersicherheitspraxis. Beginnen Sie mit den Grundlagen:

Führen Sie eine Selbstbewertung durch. Haben Sie eine Cybersicherheitsrichtlinie? Deckt sie Zugangskontrolle, Passwortpraxis und Reaktion auf Vorfälle ab? Wissen die Mitarbeitenden, dass sie existiert? Viele KMU haben keine formale Richtlinie; eine zu verfassen ist kostenlos und überraschend nützlich. Es zwingt Sie, zu artikulieren, was Ihrer Meinung nach geschehen sollte.

Identifizieren Sie Ihre kritischen Vermögenswerte. Welche Systeme, Daten oder Infrastrukturen würden eine Betriebsunterbrechung verursachen, wenn sie kompromittiert oder zerstört würden? Diese sind Ihre Schutzpriorität. Sie können nicht alles gleich schützen, also konzentrieren Sie sich auf das, was am wichtigsten ist.

Suchen Sie nach Schwachstellen und spielen Sie Patches ein. Viele KMU haben keinen Prozess für das Patchmanagement. Legen Sie eine Richtlinie fest: kritische Sicherheitsupdates innerhalb von 48 Stunden, andere Updates innerhalb von 30 Tagen. Verwenden Sie wo möglich automatisiertes Patching. Viele Angriffe haben Erfolg, weil Angreifer Patches ausnutzen, die seit Monaten oder Jahren existieren.

Aktivieren Sie Mehrfaktor-Authentifizierung für Fernzugriffe. Wenn Mitarbeitende remote auf Systeme zugreifen (zunehmend üblich nach der Pandemie), ist Mehrfaktor-Authentifizierung nicht verhandelbar. Sie blockiert die überwältigende Mehrheit phishingbasierter Angriffe.

Sichern Sie Ihre Daten. Automatisierte, ausgelagerte, regelmäßige Sicherungen. Testen Sie Ihren Wiederherstellungsprozess mindestens einmal pro Jahr. Ransomware wird zu einer geringfügigen Unannehmlichkeit, wenn Sie sich aus Sicherungen innerhalb von Stunden wiederherstellen können.

Schulen Sie Ihr Personal. Cybersicherheit ist nicht nur ein IT-Problem. Sie ist eine kollektive Verantwortung. Bringen Sie den Mitarbeitenden bei, Phishing zu erkennen, Passwörter sicher zu verwenden und verdächtige Aktivitäten zu melden. Viele Organisationen stellen fest, dass selbst grundlegende Schulungen Sicherheitsvorfälle um 30 bis 50 % reduzieren.

Dokumentieren Sie Ihre Praktiken. Wenn ein größerer Kunde fragt „Wie ist Ihre Cybersicherheitsposition?“, sollten Sie eine einseitige Zusammenfassung bereitstellen können. Das ist viel einfacher, wenn Sie dokumentiert haben, was Sie tun.

Wenn Sie über Ressourcen verfügen, ziehen Sie eine kostenpflichtige Sicherheitsbewertung durch einen vertrauenswürdigen Berater in Betracht. Selbst ein halbtägiges Engagement kann Ihre größten Risiken identifizieren. Wenn Ihr Budget sehr knapp ist, erkunden Sie die kostenlosen Ressourcen oder subventionierten Bewertungen, die Ihr Mitgliedstaat anbietet.

Wichtige Erkenntnisse

  • KMU sind nicht direkt den NIS2-Anforderungen unterworfen, aber Lieferkettenpflichten bedeuten, dass sich viele KMU dennoch vorbereiten müssen.
  • Wesentliche und wichtige Einrichtungen müssen Lieferkettenrisiken bewerten und steuern, was praktischen Druck auf KMU-Lieferanten erzeugt, ihre Cybersicherheitsbereitschaft nachzuweisen.
  • KMU-spezifische Herausforderungen, also geringes Bewusstsein, begrenzte Ressourcen, hohe Kosten von Lösungen und Ransomware-Zielausrichtung, werden in der NIS2-Politik anerkannt und sollten durch eine Kombination aus Selbsthilfe, Peer-Learning und staatlicher Unterstützung angegangen werden.
  • Die Mitgliedstaaten sind verpflichtet, Anlaufstellen einzurichten und KMU Orientierung in Cybersicherheitsfragen zu bieten, in Anerkennung der Ressourcenlücke zwischen KMU und großen Einrichtungen.
  • Praktische KMU-Vorbereitung umfasst grundlegende Sicherheitshygiene: Asset-Management, Patching, Zugangskontrolle, Verschlüsselung, Reaktion auf Vorfälle, Sicherungen und Schulung des Personals.
Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.