NIS2 für Mittelstand, Industrie und Logistik
NIS2-Check: Sind Sie betroffen, direkt oder über die Lieferkette?
Seit dem 6. Dezember 2025 gilt das deutsche NIS2-Umsetzungsgesetz. Rund 29.500 Einrichtungen stehen damit unter der Aufsicht des BSI. Die eigentliche Welle trifft aber den Mittelstand erst über die Lieferkette, weil große Kunden ihre Sicherheitsanforderungen vertraglich an ihre Zulieferer weitergeben. Wir klären zuverlässig, ob und wie Sie betroffen sind, und sagen Ihnen in Klartext, was als Nächstes zu tun ist.

Was ist NIS2, und warum betrifft es auch den Mittelstand?
NIS2 ist die neue EU-Richtlinie für Cybersicherheit, in Deutschland seit dem 6. Dezember 2025 in Kraft. Sie verpflichtet betroffene Unternehmen dazu, ihre IT-Sicherheit nachweisbar in den Griff zu bekommen, und sie macht das ausdrücklich zur Sache der Geschäftsführung. Der eigentliche Hebel für kleinere Unternehmen liegt jedoch in der Lieferkette.
- Betroffene Unternehmen müssen ein Risikomanagement nachweisen und Sicherheitsvorfälle melden. Die Verantwortung dafür liegt ausdrücklich bei der Geschäftsleitung und lässt sich nicht einfach an die IT delegieren.
- Entscheidend für den Mittelstand ist die Lieferkette: Weil betroffene Unternehmen ihre Zulieferer und Dienstleister mit absichern müssen, geben sie die Anforderungen vertraglich nach unten weiter.
- So landet die Anforderung beim kleineren Zulieferer, Dienstleister oder Logistiker, der plötzlich Sicherheitsnachweise erbringen soll, obwohl er selbst nicht direkt unter NIS2 fällt. Wer hier nicht liefern kann, riskiert Aufträge und Ausschreibungen.
Sind Sie von NIS2 betroffen?
Ob Sie direkt unter das Gesetz fallen oder indirekt über Ihre Kunden in die Pflicht geraten, lässt sich nicht pauschal sagen. Genau das klären wir im Check anhand Ihrer Branche, Ihrer Größe und Ihrer Geschäftsbeziehungen, damit Sie Gewissheit haben.
Das Gesetz unterscheidet zwischen „wichtigen" und „besonders wichtigen" Einrichtungen, und die Einordnung hängt von mehreren Kriterien ab. Statt dass Sie sich durch Paragraphen und Schwellenwerte arbeiten, beantworten wir Ihnen eine einfache Frage: Sind Sie betroffen, und wenn ja, was bedeutet das konkret für Ihren Betrieb? Auf dieser Grundlage entscheiden Sie in Ruhe über die nächsten Schritte.
Unser Vorgehen
Betroffenheits-Check
Der schnelle Einstieg
- Direkt oder über die Lieferkette betroffen?
- Einordnung Ihrer Pflichten
- Ergebnis in Klartext statt Paragraphen
Gap-Analyse
Wo stehen Sie?
- Ist-Zustand im Abgleich mit NIS2
- Lücken nach Priorität sortiert
- Maßnahmenplan mit realistischem Aufwand
Umsetzung und Nachweise
Schritt für Schritt
- Risikomanagement aufsetzen
- Melde- und Reaktionsprozesse einführen
- Nachweise für Ihre Auftraggeber
Was eine NIS2-Gap-Analyse umfasst
In der Gap-Analyse schauen wir uns an, wo Ihr Unternehmen heute steht und was die Anforderungen konkret von Ihnen verlangen. Die rechtlichen Vorgaben übersetzen wir dabei in machbare Schritte, die zu Ihrer Größe und Ihrem Betrieb passen. Diese Themen sehen wir uns gemeinsam an:
- Risikomanagement und technische Schutzmaßnahmen
- Melde- und Reaktionsprozesse für Sicherheitsvorfälle
- Sicherheit in der Lieferkette
- Notfall- und Wiederanlaufplanung
- Nachweis-Dokumentation für Ihre Kunden
- Sensibilisierung der Mitarbeitenden
Häufige Fragen
Seit wann gilt NIS2 in Deutschland?
Das deutsche NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Damit stehen rund 29.500 Einrichtungen unter der Aufsicht des BSI.
Wir sind ein kleiner Zulieferer, betrifft uns das?
Möglicherweise ja, und zwar indirekt. Wenn Ihre Kunden unter NIS2 fallen, geben sie die Anforderungen vertraglich an Sie weiter. Genau das prüfen wir im Betroffenheits-Check, damit Sie wissen, woran Sie sind.
Was passiert, wenn wir nichts tun?
Direkt betroffene Unternehmen riskieren rechtliche Konsequenzen, und die Verantwortung liegt bei der Geschäftsleitung. Als Zulieferer riskieren Sie etwas ganz Konkretes: Sie verlieren Aufträge, wenn Sie die geforderten Sicherheitsnachweise nicht erbringen können.
Wie aufwendig ist der Check?
Der Betroffenheits-Check ist bewusst niedrigschwellig und schnell. Die anschließende Gap-Analyse ist ein klar abgegrenztes und planbares Projekt, bei dem Sie jederzeit wissen, was auf Sie zukommt.