Zum Inhalt springen
Binsfeld
Alle Beiträge
· 4 min Lesezeit

NIS2 für KMU im Rheinland — was tun?

NIS2 für KMU im Rheinland: Betroffenheit prüfen, Pflichten priorisieren, Aufwand realistisch schätzen — ohne Compliance-Theater.

NIS2 IT-Sicherheit KMU Compliance

Worum es bei NIS2 wirklich geht

NIS2 ist die zweite Auflage der EU-Richtlinie für Cyber-Sicherheit, seit Dezember 2025 ist sie in Deutschland nationales Recht — ohne Übergangsfrist. Die Anzahl der direkt betroffenen Unternehmen liegt nach Schätzung des BSI im fünfstelligen Bereich; indirekt — als Lieferant oder Dienstleister — sind wahrscheinlich Hunderttausende KMU mittelbar gefordert.

Im Rheinland — Köln, Düsseldorf, Leverkusen, Bergisches Land — heißt das: Sehr viele mittelständische Unternehmen sind entweder direkt erfasst (über Schwellwerte oder Sektor-Zuordnung) oder werden indirekt gezogen, weil sie Pharma-, Chemie- oder Energie-Konzernen zuliefern, die NIS2-pflichtig sind.

Dieser Beitrag beantwortet die drei häufigsten Fragen aus meinen Erstgesprächen mit Geschäftsführungen:

  1. Bin ich überhaupt betroffen?
  2. Was muss ich konkret tun?
  3. Was kostet das realistisch?

Frage 1: Bin ich überhaupt betroffen?

NIS2-Betroffenheit ergibt sich aus zwei Variablen: Größe und Sektor.

Größenschwellen

Sie sind direkt erfasst, sobald eine der folgenden Schwellen erreicht ist:

  • 50 oder mehr Mitarbeitende, ODER
  • 10 Mio € Jahresumsatz oder Bilanzsumme

Wichtig: Es ist eine Oder-Verknüpfung, nicht eine Und-Verknüpfung. Ein 30-Personen-Unternehmen mit 12 Mio € Umsatz fällt rein.

Sektor-Zuordnung

Zusätzlich zur Größe muss Ihr Unternehmen einem der 18 NIS2-Sektoren angehören. Die wichtigsten für das Rheinland:

  • Energie (Stadtwerke, Energielieferanten — z.B. der gesamte Cluster rund um RWE/Rheinland)
  • Verkehr (Logistik, Spedition, Hafen-Logistik — relevant für den Kölner und Düsseldorfer Hafen-Cluster)
  • Banken und Finanzmärkte
  • Gesundheitswesen (Krankenhäuser, MVZs ab Schwelle)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Rechenzentren, ISPs, Cloud-Anbieter)
  • IT-Dienstleister (Managed-Service-Provider, Outsourcing — viele in Köln, Düsseldorf, Bonn)
  • Öffentliche Verwaltung
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie (sehr relevant für Leverkusen-Bayer-Cluster, Krefeld, Marl)
  • Lebensmittel (Großhandel, Lebensmittelproduktion)
  • Verarbeitendes Gewerbe (in bestimmten Untergruppen)

Die indirekte Betroffenheit

Selbst wenn Sie nicht direkt unter NIS2 fallen, kommen Anforderungen indirekt: NIS2-pflichtige Unternehmen müssen die Cybersicherheit in ihrer Lieferkette steuern. Das bedeutet: Ihre NIS2-pflichtigen Kunden werden vertraglich Sicherheitsanforderungen weitergeben. Der Mittelständler im Bergischen Land, der für Bayer in Leverkusen zuliefert, wird ohne formale NIS2-Pflicht eine NIS2-konforme Sicherheitsarchitektur nachweisen müssen — über Auftraggeber-Verträge.

Das ist die größte praktische Auswirkung von NIS2 im Rheinland: Der Druck kommt nicht nur direkt vom BSI, sondern indirekt von Konzern-Einkauf-Abteilungen.

Frage 2: Was muss ich konkret tun?

NIS2 verlangt zehn Maßnahmenbereiche — das BSI nennt sie „Mindestanforderungen". Konkret:

  1. Risikoanalyse und Sicherheitskonzept
  2. Vorfallsbewältigung — Incident-Response-Prozesse, Erkennung und Eindämmung
  3. Business Continuity — Backup, Wiederanlauf, Krisenkommunikation
  4. Sicherheit der Lieferkette
  5. Sicherheit von Beschaffung, Entwicklung und Wartung
  6. Maßnahmen-Wirksamkeitsbewertung
  7. Cyber-Hygiene und Schulung
  8. Einsatz von Kryptografie und Verschlüsselung
  9. Personalsicherheit, Zugriffskontrolle, Asset-Management
  10. Multi-Faktor-Authentifizierung und Kommunikationssicherheit

Daneben gibt es Meldepflichten: Erhebliche Sicherheitsvorfälle müssen binnen 24 Stunden an das BSI vorgemeldet, binnen 72 Stunden formal gemeldet, und nach einem Monat als Abschlussbericht vorgelegt werden.

Und vor allem: Geschäftsleitungs-Verantwortung. Anders als bei DSGVO sind Geschäftsführer und Vorstände persönlich verantwortlich — und persönlich haftbar — für die Umsetzung.

Frage 3: Was kostet das realistisch?

Hier wird es schwierig, weil Beratungs-Marktangebote zwischen 5.000 € und 250.000 € pro NIS2-Projekt schwanken. Die Spanne ist real, hängt aber an einer einzigen Variablen: Wie reif ist Ihr aktueller Sicherheits-Stand?

Reife-Stufe 1: „Wir haben eine Firewall und ein Backup"

Ausgangslage: Keine strukturierte IT-Sicherheits-Dokumentation, keine formalen Prozesse, gewachsene IT.

Realistischer NIS2-Aufwand:

  • Standortbestimmung: 3–5 Tagessätze, ergibt einen Maßnahmenplan
  • Initial-Umsetzung der Mindestanforderungen: 6–12 Monate, abhängig von interner IT-Kapazität
  • Externe Begleitung: typischerweise 15–40 Tagessätze über die Laufzeit verteilt
  • Tool-Investitionen (SIEM, MDR, Backup-Lösung, IAM): 30.000 € bis 150.000 € einmalig plus Lizenzen

Reife-Stufe 2: „Wir haben schon mal einen ISO-27001-Versuch gemacht"

Ausgangslage: Halbwegs strukturierte IT, ISMS-Ansatz vorhanden aber nicht zertifiziert, Backup und MFA bereits umgesetzt.

Realistischer NIS2-Aufwand:

  • Gap-Analyse zwischen ISO-27001-Stand und NIS2-Anforderungen: 2–3 Tagessätze
  • Anpassungen: 3–6 Monate, parallel zum Tagesgeschäft machbar
  • Externe Begleitung: 5–15 Tagessätze
  • Zusätzliche Tool-Investitionen: oft im fünfstelligen Bereich, weil die Foundation steht

Reife-Stufe 3: „Wir sind ISO-27001-zertifiziert"

Wenn Sie eine aktuelle ISO-27001-Zertifizierung haben, sind Sie zu 70–80 % NIS2-konform. Was fehlt: spezifische Meldepflicht-Prozesse Richtung BSI, gegebenenfalls erweiterte Lieferketten-Steuerung. Aufwand: 2–5 Tagessätze für Standortbestimmung und Lücken-Schließung.

Was Compliance-Theater ist und was nicht

Aus meiner Erfahrung sind die folgenden NIS2-Maßnahmen echter Sicherheitsgewinn:

  • MFA flächendeckend
  • Backup-Tests (nicht nur Backups)
  • Incident-Response-Plan, der einmal jährlich geübt wird
  • Logging und SIEM (auch in einer schlanken Variante)
  • Asset-Inventar mit Owner-Zuordnung

Das hier ist eher Compliance-Theater:

  • 200-Seiten-Sicherheitskonzept-Dokumente, die niemand liest
  • Quartalsweise Awareness-Schulungen via Klick-Test ohne Inhaltsbezug
  • Lieferantenfragebögen mit 80 Fragen, die niemand auswertet
  • Risiko-Bewertungen mit 1.500 Einzelrisiken in Excel

Die Versuchung in Beratungs-Mandaten ist hoch, viel Papier zu produzieren, weil Papier abrechenbar ist. Mein Anspruch ist das Gegenteil: NIS2-Umsetzung in Form, die Ihre Geschäftsleitung versteht, Ihre IT umsetzen kann und Auditoren akzeptieren — ohne aufgeblähte Dokumentation als Selbstzweck.

Fazit

NIS2 ist real und betrifft im Rheinland deutlich mehr Unternehmen als viele Geschäftsführer denken — direkt oder über die Lieferkette. Eine ehrliche NIS2-Standortbestimmung in 3–5 Tagen klärt, ob Sie betroffen sind und was Sie konkret tun müssen, ohne dass Sie sofort einem 6-Monats-Beratungsprojekt zustimmen müssen.

Wenn Ihr Unternehmen in Köln, Düsseldorf, Leverkusen, Bergisch Gladbach oder im weiteren Rheinland sitzt, ein erstes Gespräch ist kostenlos. Schreiben Sie kurz, wie groß Sie sind, in welchem Sektor Sie tätig sind, und wo Sie Ihren aktuellen Sicherheits-Reifegrad einordnen — ich melde mich mit einer realistischen Einschätzung zurück.

Frage zum Artikel oder Beratungsbedarf?

Schreiben Sie kurz, woran Sie arbeiten — ich melde mich zurück.

Kontakt aufnehmen