Kurz die Antwort vorweg: Sehr wahrscheinlich ja, wenn du in einer der von NIS2 erfassten Branchen tätig bist und keine Kleinstfirma bist. Der Kreis der Betroffenen ist gerade deutlich gewachsen: Mit dem NIS2-Umsetzungsgesetz stehen ab sofort rund 29.500 Einrichtungen unter der Aufsicht des BSI, vor der Reform waren es nur etwa 4.500 (BSI, 2025).
Lange war IT-Sicherheit „nice to have”. Mit der NIS2-Richtlinie der EU wird sie für viele Unternehmen zur Pflicht — und der Kreis der Betroffenen ist deutlich größer als bei der Vorgängerregelung.
Hinweis: Ob und in welchem Umfang NIS2 für dich gilt, hängt von Branche und Größe ab. Diese Einordnung ersetzt keine rechtliche Prüfung.
Was ist an NIS2 neu?
Zwei Dinge sind wirklich neu. Erstens fallen jetzt viel mehr mittelständische Unternehmen aus mehr Branchen in den Anwendungsbereich, nicht mehr nur die klassische „kritische Infrastruktur”. Zweitens haftet die Geschäftsführung für die Umsetzung — Sicherheit ist damit Chefsache und nicht mehr allein Sache der IT. In Deutschland wird das über das nationale Umsetzungsgesetz konkretisiert. Wer betroffen ist, sollte das nicht aussitzen. Und wie du sauber prüfst, ob du überhaupt dazugehörst — inklusive der Falle mit verbundenen Unternehmen —, steht im Betroffenheits-Test.
Inhaltlich lässt sich das auf ein paar Kernpflichten herunterbrechen:
- Risiken kennen, bewerten und behandeln.
- Basis-Hygiene: Updates, Patches, Zugriffskontrolle, Verschlüsselung.
- Backups, die getestet sind und nicht nur existieren.
- Monitoring und klare Meldewege, um Vorfälle zu erkennen und fristgerecht zu melden.
- Eine Lieferkette, in der auch deine Dienstleister mitspielen.
Wie viel davon deckt guter Betrieb schon ab?
Das klingt nach viel. Der größere Teil ist aber schlicht ordentlicher Betrieb — etwas, das jedes ernstgemeinte System ohnehin braucht. So verteilt sich die Arbeit:
| NIS2 verlangt | Deckt managed Hosting das ab? |
|---|---|
| Updates, Patches, gehärtete Systeme | Ja — laufende Pflege gehört zum Betrieb, dokumentiert |
| Getestete Backups | Ja — inklusive geübter Wiederherstellung |
| Monitoring und Vorfallserkennung | Ja — rund um die Uhr, mit festem Ansprechpartner |
| Meldung an die Behörde | Nein — melden musst du selbst, der Betreiber liefert die Fakten |
| Risikoanalyse und Sicherheitsstrategie | Nein — das bleibt Chefsache |
Bringt dein Hosting die obere Hälfte mit, hast du einen wesentlichen Teil schon abgedeckt, und zwar nachweisbar. Die eigentliche Sicherheitsstrategie nimmt dir das nicht ab. Aber ein sauber betriebenes Fundament macht sie deutlich kleiner.
Du bist dir unsicher, ob NIS2 dich betrifft und wo du stehst? Lass uns das in einem kurzen Gespräch sortieren.