Montagmorgen, 8:30 Uhr in einem Metallbaubetrieb mit 55 Mitarbeitern irgendwo in Baden-Württemberg. Geschäftsführer Thomas Müller öffnet einen offiziell wirkenden Brief vom Bundesamt für Sicherheit in der Informationstechnik. „Registrierungspflicht nach NIS-2-Umsetzungsgesetz“ steht in fettgedruckten Buchstaben oben. Er überfliegt den Text: „Risikomanagementmaßnahmen“, „Meldepflichten bei IT-Sicherheitsvorfällen“, „persönliche Haftung der Geschäftsführung“. Sein erster Gedanke: Was zum Teufel ist NIS-2? Und warum betrifft das ausgerechnet seinen Betrieb?
Thomas ist kein Einzelfall. Seit dem 6. Dezember 2025 gilt in Deutschland das NIS-2-Umsetzungsgesetz – und betrifft damit schlagartig rund 29.500 Unternehmen, die vorher nichts mit IT-Sicherheitsregulierung am Hut hatten. Dazu kommt die DSGVO, die seit 2018 gilt und deren Bußgelder kontinuierlich steigen. Für viele kleine und mittlere Unternehmen wird Compliance zur Überforderung. In diesem Artikel erfahren Sie, was NIS-2 und DSGVO konkret bedeuten, warum gerade KMUs damit kämpfen – und wie Managed Services eine pragmatische Lösung bieten.
Was ist NIS-2 – und bin ich überhaupt betroffen?
NIS-2 steht für „Network and Information Security Directive 2″ – eine EU-Richtlinie, die Deutschland Ende 2025 ins nationale Recht umgesetzt hat. Das Ziel: Die Cybersicherheit in kritischen und wichtigen Sektoren europaweit stärken. Klingt erst mal nach Großkonzernen und Kraftwerken. Tatsächlich aber sind die Schwellenwerte so niedrig angesetzt, dass plötzlich auch der Mittelstand betroffen ist.
Sie fallen unter NIS-2, wenn beide Kriterien zutreffen:
- Unternehmensgröße: Mindestens 50 Mitarbeiter ODER 10 Millionen Euro Jahresumsatz
- Sektor: Ihr Unternehmen ist in einem der 18 regulierten Bereiche tätig – darunter Energie, Transport, Gesundheit, digitale Dienste, Abfallwirtschaft, Lebensmittelproduktion, Maschinenbau, chemische Industrie oder IT-Dienstleister
Ein Beispiel: Eine Spedition mit 52 Mitarbeitern und 8 Millionen Euro Umsatz ist betroffen, weil sie im Sektor „Transport“ tätig ist und über 50 Mitarbeiter hat. Eine Bäckerei mit 60 Mitarbeitern dagegen nicht – außer sie betreibt einen Onlineshop, der als „digitaler Dienst“ eingestuft werden könnte.
Das Tückische: Es gibt keine Übergangsfrist. Seit Dezember 2025 gelten die Pflichten. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt betroffenen Unternehmen, sich bis Ende 2025 zu registrieren – über das neue BSI-Portal und „Mein Unternehmenskonto“. Wer das ignoriert, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (bei wichtigen Einrichtungen) bzw. 7 Millionen Euro oder 1,4 Prozent (bei besonders wichtigen Einrichtungen).
DSGVO: Die unterschätzte Dauerbaustelle
Die Datenschutz-Grundverordnung kennen die meisten – zumindest dem Namen nach. Seit 2018 regelt sie EU-weit, wie Unternehmen mit personenbezogenen Daten umgehen müssen. Das Problem: Viele KMUs haben die DSGVO halbherzig umgesetzt oder sich darauf verlassen, dass „bei uns eh nichts passiert“.
Die Zahlen sprechen eine andere Sprache. Europäische Datenschutzbehörden haben seit 2018 über 2.245 Bußgelder verhängt – mit einer Gesamtsumme von mehr als 5,88 Milliarden Euro. Und nein, das trifft nicht nur Meta, Google und Amazon. Auch kleine Unternehmen zahlen: Ein Finanzunternehmen in Hamburg kassierte wegen automatisierter Kreditablehnungen ein Bußgeld, spanische Apotheken zwischen 6.600 und 21.000 Euro wegen unverschlüsselter E-Mails mit Gesundheitsdaten.
Die häufigsten DSGVO-Verstöße bei KMUs:
- Fehlende oder unzureichende Einwilligungen bei der Datenverarbeitung
- Keine oder veraltete Datenschutzerklärungen
- Mangelnde technische Sicherheitsmaßnahmen – etwa fehlende Verschlüsselung bei Backups
- Unzureichende Auftragsverarbeitungsverträge mit Dienstleistern
- Versäumte Meldung von Datenschutzverletzungen
Was viele nicht wissen: Das maximale Bußgeld liegt bei 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Für einen Handwerksbetrieb mit 3 Millionen Euro Umsatz wären das theoretisch 120.000 Euro. In der Praxis fallen die Strafen bei KMUs zwar oft niedriger aus, aber 50.000 Euro treffen einen 10-Personen-Betrieb deutlich härter als Millionenstrafen einen Konzern.
Warum NIS-2 und DSGVO gerade KMUs überfordern
Große Unternehmen haben Rechtsabteilungen, Datenschutzbeauftragte und IT-Security-Teams. Mittelständler nicht. Hier kümmert sich „der IT-affine Kollege“ nebenbei um Server, Backups und Passwörter – meistens ohne formale Ausbildung, geschweige denn Compliance-Wissen.
Das sind die größten Hürden für KMUs:
1. Fehlendes Fachwissen NIS-2 verlangt unter anderem Risikoanalysen, ein Informationssicherheitsmanagementsystem (ISMS), Notfallpläne und regelmäßige Schulungen der Geschäftsleitung. Die DSGVO fordert Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen und technisch-organisatorische Maßnahmen. Für jemanden, der nebenbei die IT betreut, sind das Fremdwörter.
2. Zeitaufwand Die Umsetzung von NIS-2 und DSGVO kostet Zeit – Zeit, die in operativen Betrieben fehlt. Eine Studie schätzt die Umsetzungskosten von NIS-2 in Deutschland auf 2,2 Milliarden Euro einmalig und 2,3 Milliarden Euro jährlich. Für ein einzelnes KMU bedeutet das: Mehrere Wochen Arbeit für die Ersterfassung, dann laufender Aufwand für Dokumentation, Updates und Schulungen.
3. Unklarheit über den Status Viele Unternehmen wissen schlicht nicht, ob sie betroffen sind. Bin ich ein „digitaler Dienstleister“, wenn ich einen Webshop betreibe? Fällt meine Nebentätigkeit unter die regulierten Sektoren? Das Gesetz lässt Interpretationsspielraum – und Unsicherheit.
4. Persönliche Haftung NIS-2 macht Compliance zur Chefsache – im wahrsten Sinne. Geschäftsführer haften bei Verstößen persönlich und müssen regelmäßig Cybersicherheitsschulungen absolvieren. Das erhöht den Druck erheblich.
5. Kosten Externe Berater, Security-Software, Schulungen, Dokumentationstools – alles kostet Geld. Laut Schätzungen müssen betroffene Unternehmen mit Investitionen im fünf- bis sechsstelligen Bereich rechnen. Für einen Betrieb mit 60 Mitarbeitern und knapper Marge ist das eine echte Belastung.
Wie Managed Services die Compliance-Lücke schließen
Hier kommt die gute Nachricht: Sie müssen das nicht alleine stemmen. Managed Service Provider übernehmen genau die Aufgaben, die NIS-2 und DSGVO verlangen – und zwar professionell, rechtssicher und zu planbaren Kosten.
Was Managed Services konkret leisten:
Risikomanagement und Monitoring NIS-2 verlangt kontinuierliches Monitoring Ihrer IT-Infrastruktur. Managed Services überwachen Server, Netzwerke und Endgeräte rund um die Uhr. Auffälligkeiten wie ungewöhnliche Anmeldeversuche oder Systemausfälle werden sofort erkannt – und gemeldet, bevor es zu einem meldepflichtigen Sicherheitsvorfall wird.
Backup und Disaster Recovery Beide Regelwerke fordern sichere, verschlüsselte Backups. Ein Managed Service Provider richtet automatisierte Backup-Systeme ein, testet regelmäßig die Wiederherstellbarkeit und stellt sicher, dass Ihre Daten DSGVO-konform gespeichert werden – etwa in deutschen Rechenzentren statt auf US-Servern.
Patch-Management und Updates Ungepatchte Systeme sind ein häufiges Einfallstor für Cyberangriffe. Managed Services übernehmen die Installation von Sicherheitsupdates auf allen Geräten – automatisch, außerhalb der Geschäftszeiten, ohne dass Ihre Mitarbeiter etwas davon mitbekommen.
Dokumentation und Compliance-Reporting NIS-2 und DSGVO verlangen lückenlose Dokumentation: Was wurde wann getan? Welche Maßnahmen sind aktiv? Managed Service Provider führen diese Dokumentation automatisch mit und liefern Ihnen bei Bedarf fertige Compliance-Reports – etwa für Audits oder Behördenanfragen.
Schulungen und Awareness Ihre Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette. Managed Services bieten Awareness-Trainings an – etwa simulierte Phishing-Mails, um Mitarbeiter für Gefahren zu sensibilisieren. NIS-2 verlangt außerdem, dass Geschäftsführungen geschult werden. Gute Provider bieten auch das an.
Incident Response Trotz aller Vorsicht kann es zu einem Sicherheitsvorfall kommen. Managed Services haben Notfallpläne parat, reagieren innerhalb von Minuten und helfen bei der Meldung an Behörden – NIS-2 verlangt eine Meldung innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls.
Ein Praxis-Beispiel: Metallbaubetrieb setzt auf Managed Services
Zurück zu Thomas Müller, unserem Geschäftsführer aus dem Metallbau. Nach dem Schreckmoment mit dem BSI-Brief hat er sich beraten lassen. Sein Fazit: Einen IT-Security-Experten in Vollzeit einstellen (Jahresgehalt: 60.000-80.000 Euro plus Sozialabgaben) kann er sich nicht leisten. Auch externe Berater für jede Aufgabe einzeln zu beauftragen – Datenschutzbeauftragter, IT-Sicherheitsberater, Schulungsanbieter – wird schnell unübersichtlich und teuer.
Seine Lösung: Ein Managed Service Provider übernimmt die komplette IT-Betreuung für monatlich 1.800 Euro. Darin enthalten: 24/7-Monitoring, automatische Backups in deutschem Rechenzentrum, Patch-Management, Security-Updates, Helpdesk für die Mitarbeiter – und eben auch die Compliance-Dokumentation für NIS-2 und DSGVO. Der Provider hat Thomas bei der BSI-Registrierung unterstützt, eine Gap-Analyse durchgeführt („Was fehlt noch?“) und ein maßgeschneidertes Sicherheitskonzept erstellt.
Das Ergebnis: Thomas kann nachts wieder ruhig schlafen. Die Registrierung beim BSI ist erledigt, die größten Sicherheitslücken sind geschlossen – etwa die fehlende Multi-Faktor-Authentifizierung für den Remote-Zugriff. Und falls doch mal ein IT-Problem auftaucht, ist innerhalb von zwei Stunden jemand da, der sich auskennt.
Fazit: Compliance ist keine Eintagsfliege
NIS-2 und DSGVO sind gekommen, um zu bleiben. Die Anforderungen werden nicht einfacher, die Kontrollen nicht lockerer. Europäische Behörden haben 2025 deutlich gemacht, dass sie es ernst meinen – mit Rekord-Bußgeldern und verstärkten Prüfungen.
Für KMUs bedeutet das: Wegschauen ist keine Option. Aber Sie müssen das Rad auch nicht neu erfinden. Managed Services bieten eine pragmatische, kosteneffiziente Lösung, um Compliance-Anforderungen zu erfüllen, ohne dafür eigene IT-Abteilungen aufbauen zu müssen. Sie bekommen Expertise, Dokumentation und technische Umsetzung aus einer Hand – zu planbaren monatlichen Kosten statt unvorhersehbarer Investitionen oder böser Bußgeld-Überraschungen.
Die Frage ist nicht, ob Sie sich Managed Services leisten können. Die Frage ist, ob Sie sich das Risiko leisten können, es nicht zu tun.
Kostenlose NIS-2 & DSGVO Erstberatung für KMUs
Sind Sie von NIS-2 betroffen? Erfüllt Ihre IT die DSGVO-Anforderungen? Wir analysieren Ihre aktuelle Situation und zeigen konkrete Lücken auf – kostenfrei und unverbindlich. Ohne Fachchinesisch, dafür mit klaren Handlungsempfehlungen und realistischer Einschätzung, was wirklich nötig ist. Kontakt
