securityIT-Security·7 Min. Lesezeit

NIS2 für den Mittelstand: Was Geschäftsführer in Bayern 2026 jetzt wirklich tun müssen

Viele mittelständische Betriebe in Bayern unterschätzen ihre NIS2-Pflichten. Was die Richtlinie verlangt, wen sie betrifft, und wie eine realistische Umsetzung aussieht.

person
Christoph Helminger
1. Februar 2026
NIS2 Umsetzung Mittelstand Bayern IT-Security

"Betrifft uns nicht, wir sind zu klein." Das hören wir in Beratungsgesprächen zum Thema NIS2 noch immer — von Geschäftsführern mittelständischer Unternehmen, die 60 oder 80 Mitarbeiter beschäftigen, einen Jahresumsatz von 15 bis 40 Millionen Euro machen, und trotzdem überzeugt sind, dass die EU-Richtlinie für sie keine Rolle spielt.

Meistens liegen sie falsch.

Wer tatsächlich unter NIS2 fällt — und wer sich irrt

Die NIS2-Richtlinie unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Die Schwellenwerte, die häufig zitiert werden — 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz — gelten für die niedrigere Kategorie. Das klingt nach einem weiten Netz, ist es aber nicht in allen Sektoren.

Entscheidend ist der Sektor. Ein Metallbetrieb in Traunstein mit 45 Mitarbeitern, der Teile für die Automobilindustrie fertigt, kann durch die Lieferkette erfasst sein — auch wenn er die Schwellenwerte nicht erreicht. Wer als kritischer Zulieferer einer wesentlichen Einrichtung gilt, trägt indirekte Pflichten. Das ist der Punkt, der in der Praxis am meisten unterschätzt wird.

Wir haben in den vergangenen Monaten Erstberatungen mit Unternehmen aus dem Chiemgau und dem Berchtesgadener Land geführt. Von neun mittelständischen Betrieben, die sich "sicher nicht betroffen" wähnten, waren nach der Analyse vier direkt erfasst, drei über Lieferkettenpflichten relevant — und nur zwei tatsächlich außen vor.

Was das NIS2-Umsetzungsgesetz konkret verlangt

Deutschland hat die NIS2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. Die wesentlichen Pflichten für betroffene Unternehmen:

Risikomanagement: Jedes erfasste Unternehmen muss ein dokumentiertes Risikomanagementsystem für Cybersicherheit einführen. Kein Papiertiger, sondern ein lebendiges Dokument mit regelmäßigen Überprüfungen.

Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden — eine erste Erstmeldung, nicht die vollständige Analyse. Das setzt voraus, dass interne Erkennungs- und Eskalationsprozesse überhaupt existieren.

Lieferkettensicherheit: Unternehmen müssen die Sicherheit ihrer IT-Dienstleister und kritischer Zulieferer bewerten. Das ist neu und trifft viele, die bislang davon ausgegangen sind, dass die Verantwortung beim Dienstleister liegt.

Geschäftsführerhaftung: Das ist der Punkt, der Aufmerksamkeit verdient. Bei schuldhafter Verletzung der Pflichten haften Geschäftsführer persönlich — also nicht nur das Unternehmen, sondern die Person selbst.

Wie eine realistische Umsetzung in 90 Tagen aussieht

Ein Unternehmen aus dem Lebensmittelverarbeitungsbereich in Bad Reichenhall — 130 Mitarbeiter, Zulieferer für regionalen Einzelhandel und einen bundesweit agierenden Discounter — hat uns im vergangenen Herbst für die NIS2-Vorbereitung beauftragt. Ausgangslage: keine dokumentierten IT-Prozesse, keine formale Sicherheitsrichtlinie, Backup-Konzept auf dem Stand von 2019.

Wir haben den Prozess in drei Phasen strukturiert:

Phase 1 (Wochen 1–3): Bestandsaufnahme. IT-Inventar vollständig erfassen, kritische Systeme identifizieren, bestehende Schutzmaßnahmen dokumentieren. Was haben wir vorgefunden? Einen Terminalserver, der seit drei Jahren kein Sicherheits-Update erhalten hatte, weil "der läuft ja". Sechs Benutzerkonten ehemaliger Mitarbeiter, die noch aktiv waren. Und ein Backup, das zuletzt vor acht Monaten manuell getestet worden war.

Phase 2 (Wochen 4–8): Maßnahmen. Priorisiert nach Risiko, nicht nach Aufwand. Kritische Patches zuerst. Identitätsmanagement bereinigen: 47 Konten deaktiviert, darunter drei mit Admin-Rechten. Backup-Prozess automatisiert und in den Monitoringrhythmus aufgenommen. Notfallplan für Meldepflichten erstellt — wer meldet was, an wen, in welcher Frist.

Phase 3 (Wochen 9–12): Dokumentation und Schulung. Die technischen Maßnahmen nützen wenig, wenn die Mitarbeiter nicht wissen, wie sie mit Phishing-Mails umgehen oder einen Vorfall intern eskalieren. Wir haben ein zweistündiges Pflichttraining eingeführt — kein Tod-durch-Präsentation, sondern Simulationsübungen mit konkreten Szenarien aus der Branche.

Das Ergebnis nach 90 Tagen: Das Unternehmen erfüllt die wesentlichen NIS2-Anforderungen und hat erstmals eine dokumentierte Sicherheitsgrundlage. Kein Zertifikat, kein Goldstandard — aber eine belastbare Basis.

Was der Geschäftsführer wissen muss, bevor er unterschreibt

NIS2-Umsetzung ist kein IT-Projekt. Das ist der wichtigste Satz, den wir in Erstgesprächen sagen. Wenn ein Geschäftsführer die Verantwortung vollständig an die IT-Abteilung oder einen externen Dienstleister delegiert und den Abschlussbericht dann unterschreibt, ohne ihn zu verstehen, hat er die Haftungsproblematik nicht gelöst — er hat sie möglicherweise verschärft.

Was Geschäftsführer konkret tun müssen: Die Risikoanalyse verstehen und formal verabschieden. Sicherstellen, dass Meldeketten definiert sind und getestet werden. Und ehrlich prüfen, ob die Ressourcen für einen dauerhaften Betrieb des Risikomanagementsystems vorhanden sind — nicht nur für die Einführung.

Für Unternehmen, die noch nicht eingeschätzt haben, ob sie unter NIS2 fallen, bieten wir eine kostenlose Ersteinschätzung an. Details zu unserem IT-Security & Cybersecurity Angebot und zu unserem IT-Consulting für Digitalisierungsprojekte finden Sie auf den entsprechenden Seiten.

NIS2IT-SecurityBayernKMUComplianceChiemgauBSICybersecurity

Projekt besprechen?

Wir setzen um, was wir hier beschreiben — in Bayern und dem gesamten DACH-Raum.

mailKontakt aufnehmen

Weitere Artikel

DSGVO Audit Checkliste KMU Bayern Datenschutz
securityIT-Security·7 Min.

DSGVO-Audit selbst gemacht: Die 12 Punkte, die wir bei jedem KMU zuerst prüfen

Aus Dutzenden Audits bei bayerischen KMU haben wir 12 Punkte destilliert, die fast immer Lücken zeigen. Eine Checkliste für den ersten Überblick.

7. März 2026Weiterlesenarrow_forward
IoT Internet of Things Mittelstand Bayern Sensorik Netzwerk
hubNetzwerke & IT·6 Min.

IoT im Betrieb: Wie mittelständische Unternehmen in Bayern sinnvoll einsteigen

Sensordaten, Loxone-Integration, Energiemonitoring: Wie mittelständische Betriebe in Bayern IoT sinnvoll einsetzen — ohne zu groß zu starten.

6. Mai 2026Weiterlesenarrow_forward
jobportal.bayern regionale Jobbörse Alpenregion Bayern
storageERP & Digitalisierung·6 Min.

jobportal.bayern: Wie eine regionale Jobbörse entstand, die Bayern wirklich denkt

jobportal.bayern verbindet Arbeitgeber und Bewerber in der bayerischen Alpenregion. Wie die Plattform aus HELITS HRIS entstanden ist und was sie von generischen Jobbörsen unterscheidet.

16. Dezember 2025Weiterlesenarrow_forward