NIS2 für Mittelstand, Industrie und Logistik

NIS2-Check: Sind Sie betroffen, direkt oder über die Lieferkette?

Seit dem 6. Dezember 2025 gilt das deutsche NIS2-Umsetzungsgesetz. Rund 29.500 Einrichtungen stehen damit unter der Aufsicht des BSI. Die eigentliche Welle trifft aber den Mittelstand erst über die Lieferkette, weil große Kunden ihre Sicherheitsanforderungen vertraglich an ihre Zulieferer weitergeben. Wir klären zuverlässig, ob und wie Sie betroffen sind, und sagen Ihnen in Klartext, was als Nächstes zu tun ist.

Moderne Produktions- und Logistikumgebung mit Sicherheitsfokus

Was ist NIS2, und warum betrifft es auch den Mittelstand?

NIS2 ist die neue EU-Richtlinie für Cybersicherheit, in Deutschland seit dem 6. Dezember 2025 in Kraft. Sie verpflichtet betroffene Unternehmen dazu, ihre IT-Sicherheit nachweisbar in den Griff zu bekommen, und sie macht das ausdrücklich zur Sache der Geschäftsführung. Der eigentliche Hebel für kleinere Unternehmen liegt jedoch in der Lieferkette.

  • Betroffene Unternehmen müssen ein Risikomanagement nachweisen und Sicherheitsvorfälle melden. Die Verantwortung dafür liegt ausdrücklich bei der Geschäftsleitung und lässt sich nicht einfach an die IT delegieren.
  • Entscheidend für den Mittelstand ist die Lieferkette: Weil betroffene Unternehmen ihre Zulieferer und Dienstleister mit absichern müssen, geben sie die Anforderungen vertraglich nach unten weiter.
  • So landet die Anforderung beim kleineren Zulieferer, Dienstleister oder Logistiker, der plötzlich Sicherheitsnachweise erbringen soll, obwohl er selbst nicht direkt unter NIS2 fällt. Wer hier nicht liefern kann, riskiert Aufträge und Ausschreibungen.

Sind Sie von NIS2 betroffen?

Ob Sie direkt unter das Gesetz fallen oder indirekt über Ihre Kunden in die Pflicht geraten, lässt sich nicht pauschal sagen. Genau das klären wir im Check anhand Ihrer Branche, Ihrer Größe und Ihrer Geschäftsbeziehungen, damit Sie Gewissheit haben.

Das Gesetz unterscheidet zwischen „wichtigen" und „besonders wichtigen" Einrichtungen, und die Einordnung hängt von mehreren Kriterien ab. Statt dass Sie sich durch Paragraphen und Schwellenwerte arbeiten, beantworten wir Ihnen eine einfache Frage: Sind Sie betroffen, und wenn ja, was bedeutet das konkret für Ihren Betrieb? Auf dieser Grundlage entscheiden Sie in Ruhe über die nächsten Schritte.

Unser Vorgehen

Schritt 1

Betroffenheits-Check

Der schnelle Einstieg

  • Direkt oder über die Lieferkette betroffen?
  • Einordnung Ihrer Pflichten
  • Ergebnis in Klartext statt Paragraphen
Schritt 2

Gap-Analyse

Wo stehen Sie?

  • Ist-Zustand im Abgleich mit NIS2
  • Lücken nach Priorität sortiert
  • Maßnahmenplan mit realistischem Aufwand
Schritt 3

Umsetzung und Nachweise

Schritt für Schritt

  • Risikomanagement aufsetzen
  • Melde- und Reaktionsprozesse einführen
  • Nachweise für Ihre Auftraggeber

Was eine NIS2-Gap-Analyse umfasst

In der Gap-Analyse schauen wir uns an, wo Ihr Unternehmen heute steht und was die Anforderungen konkret von Ihnen verlangen. Die rechtlichen Vorgaben übersetzen wir dabei in machbare Schritte, die zu Ihrer Größe und Ihrem Betrieb passen. Diese Themen sehen wir uns gemeinsam an:

  • Risikomanagement und technische Schutzmaßnahmen
  • Melde- und Reaktionsprozesse für Sicherheitsvorfälle
  • Sicherheit in der Lieferkette
  • Notfall- und Wiederanlaufplanung
  • Nachweis-Dokumentation für Ihre Kunden
  • Sensibilisierung der Mitarbeitenden

Häufige Fragen

Seit wann gilt NIS2 in Deutschland?

Das deutsche NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Damit stehen rund 29.500 Einrichtungen unter der Aufsicht des BSI.

Wir sind ein kleiner Zulieferer, betrifft uns das?

Möglicherweise ja, und zwar indirekt. Wenn Ihre Kunden unter NIS2 fallen, geben sie die Anforderungen vertraglich an Sie weiter. Genau das prüfen wir im Betroffenheits-Check, damit Sie wissen, woran Sie sind.

Was passiert, wenn wir nichts tun?

Direkt betroffene Unternehmen riskieren rechtliche Konsequenzen, und die Verantwortung liegt bei der Geschäftsleitung. Als Zulieferer riskieren Sie etwas ganz Konkretes: Sie verlieren Aufträge, wenn Sie die geforderten Sicherheitsnachweise nicht erbringen können.

Wie aufwendig ist der Check?

Der Betroffenheits-Check ist bewusst niedrigschwellig und schnell. Die anschließende Gap-Analyse ist ein klar abgegrenztes und planbares Projekt, bei dem Sie jederzeit wissen, was auf Sie zukommt.

S+S Cybersecurity

© 2026 S+S Cybersecurity UG (haftungsbeschränkt). Alle Rechte vorbehalten.

Diese Website verwendet keine Cookies.

Für Partner: IT-Systemhäuser