← Zurück zum Blog

8. April 2026 · 2 Min. Lesezeit

NIS2 trifft jetzt auch den Mittelstand

NIS2 weitet Cybersecurity-Pflichten auf viele mittelständische Unternehmen aus. Wer betroffen ist, was zu tun ist — und wie managed Hosting einen Teil abnimmt.

AA
Anton Anders
IT-Berater & Entwickler

Kurz die Antwort vorweg: Sehr wahrscheinlich ja, wenn du in einer der von NIS2 erfassten Branchen tätig bist und keine Kleinstfirma bist. Der Kreis der Betroffenen ist gerade deutlich gewachsen: Mit dem NIS2-Umsetzungsgesetz stehen ab sofort rund 29.500 Einrichtungen unter der Aufsicht des BSI, vor der Reform waren es nur etwa 4.500 (BSI, 2025).

Lange war IT-Sicherheit „nice to have”. Mit der NIS2-Richtlinie der EU wird sie für viele Unternehmen zur Pflicht — und der Kreis der Betroffenen ist deutlich größer als bei der Vorgängerregelung.

Hinweis: Ob und in welchem Umfang NIS2 für dich gilt, hängt von Branche und Größe ab. Diese Einordnung ersetzt keine rechtliche Prüfung.

Was ist an NIS2 neu?

Zwei Dinge sind wirklich neu. Erstens fallen jetzt viel mehr mittelständische Unternehmen aus mehr Branchen in den Anwendungsbereich, nicht mehr nur die klassische „kritische Infrastruktur”. Zweitens haftet die Geschäftsführung für die Umsetzung — Sicherheit ist damit Chefsache und nicht mehr allein Sache der IT. In Deutschland wird das über das nationale Umsetzungsgesetz konkretisiert. Wer betroffen ist, sollte das nicht aussitzen. Und wie du sauber prüfst, ob du überhaupt dazugehörst — inklusive der Falle mit verbundenen Unternehmen —, steht im Betroffenheits-Test.

Inhaltlich lässt sich das auf ein paar Kernpflichten herunterbrechen:

  • Risiken kennen, bewerten und behandeln.
  • Basis-Hygiene: Updates, Patches, Zugriffskontrolle, Verschlüsselung.
  • Backups, die getestet sind und nicht nur existieren.
  • Monitoring und klare Meldewege, um Vorfälle zu erkennen und fristgerecht zu melden.
  • Eine Lieferkette, in der auch deine Dienstleister mitspielen.

Wie viel davon deckt guter Betrieb schon ab?

Das klingt nach viel. Der größere Teil ist aber schlicht ordentlicher Betrieb — etwas, das jedes ernstgemeinte System ohnehin braucht. So verteilt sich die Arbeit:

NIS2 verlangtDeckt managed Hosting das ab?
Updates, Patches, gehärtete SystemeJa — laufende Pflege gehört zum Betrieb, dokumentiert
Getestete BackupsJa — inklusive geübter Wiederherstellung
Monitoring und VorfallserkennungJa — rund um die Uhr, mit festem Ansprechpartner
Meldung an die BehördeNein — melden musst du selbst, der Betreiber liefert die Fakten
Risikoanalyse und SicherheitsstrategieNein — das bleibt Chefsache

Bringt dein Hosting die obere Hälfte mit, hast du einen wesentlichen Teil schon abgedeckt, und zwar nachweisbar. Die eigentliche Sicherheitsstrategie nimmt dir das nicht ab. Aber ein sauber betriebenes Fundament macht sie deutlich kleiner.


Du bist dir unsicher, ob NIS2 dich betrifft und wo du stehst? Lass uns das in einem kurzen Gespräch sortieren.

Häufige Fragen

Gilt NIS2 auch für mittelständische Unternehmen? +

Sehr wahrscheinlich ja, wenn du in einem erfassten Sektor tätig und keine Kleinstfirma bist. Der Kreis ist mit dem Umsetzungsgesetz deutlich gewachsen: Laut BSI stehen rund 29.500 Einrichtungen unter Aufsicht, vor der Reform waren es etwa 4.500.

Was verlangt NIS2 konkret? +

Risiken kennen und behandeln, Basis-Hygiene wie Updates und Zugriffskontrolle, getestete Backups, Monitoring mit klaren Meldewegen und eine Lieferkette, in der die Dienstleister mitspielen. Für die Umsetzung haftet die Geschäftsführung.

Nimmt mir managed Hosting die NIS2-Pflichten ab? +

Einen wesentlichen Teil: Updates, getestete Backups und Monitoring sind dokumentierter, nachweisbarer Betrieb. Risikoanalyse, Sicherheitsstrategie und die Meldung von Vorfällen bleiben aber Aufgabe des Unternehmens.

Ist IT-Sicherheit unter NIS2 Chefsache? +

Ja. Die Geschäftsführung haftet für die Umsetzung und kann die Verantwortung nicht komplett an die IT oder externe Dienstleister abgeben. Delegieren lässt sich der Betrieb, nicht die Verantwortung.

Klingt nach deinem Thema?

Lass uns unverbindlich darüber reden — kostenlos und ohne Verpflichtung.