Montagmorgen, 7:12 Uhr: Die ersten Mitarbeitenden versuchen sich einzuloggen – und nichts funktioniert. Die Produktionssysteme stehen still, E-Mails lassen sich nicht öffnen, Kundendaten sind nicht mehr da.
Innerhalb weniger Minuten wird klar: Das Unternehmen ist Opfer eines Cyberangriffs geworden. Alle Abläufe brechen gleichzeitig zusammen – ohne die zentralen IT-Systeme geht nichts mehr. Dann taucht die Erpressernachricht auf dem Bildschirm auf …

Das ist kein fiktives Beispiel. Beim Angriff auf den Supply-Chain-Dienstleister Kaseya im Jahr 2021 waren über tausend Unternehmen weltweit gleichzeitig handlungsunfähig.

Cyberangriffe sind kein IT-Problem, sondern ein Realwelt-Risiko.

Ausgefallene IT-Systeme legen ganze Organisationen lahm, auch komplett unverschuldet. Man kann sich nicht 100% schützen, aber durch wenige punktierte Maßnahmen die eigene IT-Resilienz deutlich erhöhen.

Die NIS2-Richtlinie ist eine zentrale europäische Regulierung im Bereich der Cybersicherheit, die seit 2026 auch deutsche Unternehmen verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme umzusetzen. Sie erweitert bestehende Sicherheitsanforderungen deutlich und verankert Cybersicherheit erstmals klar als verantwortungsrelevantes Thema auf Geschäftsführungsebene. 

Sie als Geschäftsführung tragen persönlich die Verantwortung. Undelegierbar.

Dieser Artikel zeigt Ihnen konkret und Schritt für Schritt, was jetzt für Sie zu tun ist. Im Best Case investieren Sie nur 15 Minuten Ihrer Zeit. Das lohnt sich.

Die meisten Geschäftsführer kleiner Unternehmen mit wenigen Mitarbeitenden und 1 Mio. Euro Jahresumsatz denken: „NIS2 betrifft uns nicht. Das ist nur was für die Großen. Und uns greift sowieso keiner an.“

Das ist ein kritischer Denkfehler.

Seit Ende 2025  gelten in Deutschland neue verbindliche Cybersicherheitsanforderungen – und sie betreffen nicht nur große Konzerne, sondern auch viele kleine und sehr kleine Unternehmen in kritischen bzw. wichtigen Branchen. Insgesamt sind rund 29.500 Unternehmen betroffen, weit mehr als die bisherigen ~2.000 klassischen KRITIS-Betreiber unter dem alten Recht.

(https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2-Richtlinie/nis-2-richtlinie_node.html)

NIS2 umfasst nun wesentlich breitere Bereiche, in denen viele kleine und mittelständische Unternehmen erstmals unter Regulierungsdruck stehen. Denn einige Branchen wurden zusätzlich als systemrelevant identifiziert. Damit wird ihre besondere gesellschaftliche Verantwortung unterstrichen. Zu diesen Bereichen gehören:

• Post- und Kurierdienste / Logistik – Paket- und Liefernetzwerke.
• Chemieindustrie – Produktion/Handel mit Chemikalien.
• Lebensmittelwirtschaft – Produktion, Verarbeitung, Vertrieb und Großhandel von Lebensmitteln.
• Herstellendes Gewerbe & Maschinenbau – Fahrzeugbau, Elektronik-/ Geräteproduktion, Maschinen und Anlagen.
• Forschungseinrichtungen & Labore – außerhalb Verteidigungs-/ Sicherheitssektoren.
• Digitale Online-Anbieter / Plattformdienste – Marktplätze, Suchmaschinen, soziale Plattformen
• Abfallwirtschaft/Entsorgung, etc.

Könnten Sie betroffen sein? // Dauer: 10 Min.

Zunächst sollte jedes Unternehmen die mögliche Betroffenheit auf der BSI Seite prüfen:

https://betroffenheitspruefung-nis-2.bsi.de/

In 10 Minuten sind Sie schlauer.

Wenn Sie wenig Zeit haben, hier sind die zu bewältigenden Etappen:

1. Betroffenheit prüfen                                    >>> Klarheit
2. BSI-Registrierung durchführen          >>> rechtliche Mindestpflicht erfüllt
3. Schulungen starten                                      >>> Risiko sofort reduziert
4. IT-Basics umsetzen                                      >>> Mindestschutz aufgebaut
5. Beratung (Roadmap)                                   >>> gezielt Lücken schliessen
6. Prozesse                                                                 >>> langfristig Compliance sichern                                                                     

Abhängig von Ihrem aktuellen IT-Reifegrad ist mehr oder weniger zu tun. Aber Sie sollten es tun.  Einige dieser Aktivitäten sind auch stark zu empfehlen, wenn Ihr Unternehmen nicht NIS2-pflichtig sein sollte.

Die wichtigsten grundlegenden Schritte für Betroffene noch einmal etwas ausführlicher:

Pflicht 1: BSI-Registrierung (gesetzlich vorgeschrieben)

Direkt starten:
https://www.bsi.bund.de

Was Sie tun müssen:

• Mein Unternehmenskonto (MUK) einrichten
• Registrierung im BSI-Portal durchführen

Die Registrierung ist für Betroffene keine Option, sondern Pflicht.

Hier besteht umgehender Handlungsbedarf. Die BSI-Frist für die Registrierung ist schon am 6. März 2026 ausgelaufen …

Pflicht 2: NIS2 Schulung (auch für Geschäftsführer)

NIS2 verlangt:

• Schulung der Geschäftsführung
• Schulung der Mitarbeitenden
• Nachweisbarkeit

Warum ist diese unternehmensweite Aufmerksamkeit für die Cyberthemen wichtig? Die meisten Angriffe in der Praxis entstehen durch:

• Phishing
• menschliche Fehler
• fehlendes Bewusstsein

Oft investieren Unternehmen zigtausende Euro in technische Systeme und Firewalls, sparen aber bei der Schulung der Mitarbeitenden. Wenn diese simple Passwörter verwenden oder unbedacht Daten preisgeben, nutzen Ihnen die höchsten IT-Mauern gar nichts. Der Mensch ist immer die Schwachstelle. Das weiss jeder Hacker.

Pflicht 3: IT-Sicherheitsmaßnahmen

Starten Sie pragmatisch, erstmal mit den Basics:

• Passwort-Richtlinien
• Multi-Faktor-Authentifizierung (MFA)
• Mehrere unabhängige Backups parallel halten
  
  

NIS2 zwingt Sie nicht zu maximaler Sicherheit – sondern zu angemessener Sicherheit. Es geht immer um das Verhältnismässigkeitsprinzip. KMU müssen nicht analog zu Großunternehmen agieren. Sie können aber auch nicht nichts tun. 

Typischer Fehler heute

Viele Unternehmen warten zu lange. Sie ducken sich weg und scheuen den Aufwand.

Starten Sie besser früh – auch mit einfachen Maßnahmen. Das wird im Schadensfall honoriert.

Die meisten kleinen Unternehmen mit bis zu 20 Mitarbeitenden starten mit einem Budget zwischen 5.000 und 20.000 Euro und bauen ihre Maßnahmen schrittweise aus.

Das erstattet Ihnen kein Kunde. Die Kosten tragen Sie. Vergleichen Sie damit aber bitte den Impact, wenn Ihr Unternehmen stillsteht. Der Umsatz- und Reputationsverlust dürfte sich in einer ganz anderen Größenordnung bewegen.

Als Minimal-Setup – nur für die Pflicht und den pragmatischer Start – sind ca. 3.000 – 10.000 € einmalig zu investieren.

Enthalten sind:

• Schulungen (effizient: E-Learning) für alle Mitarbeitenden und die Geschäftsleitung
• einfache Sicherheitsmaßnahmen (MFA, Passwortregeln)
• erste Dokumentation
• ggf. kleiner IT-Dienstleister verschafft sich einen Überblick über die IT-Situation

Das ist das, was viele kleine Unternehmen als Einstieg machen.

Eine solide Umsetzung (empfohlen) braucht eher ca. 10.000 – 30.000 € im ersten Jahr, in den Folgejahren dann weniger.

Enthalten sind dann:

• strukturierte Schulungen
• externe Beratung / Gap-Analyse
• IT-Sicherheitsmaßnahmen (Backup, Zugriff, Monitoring)
• erste Prozesse
• Dokumentation
  
  

Das ist der realistische Standard, um sauber aufgestellt zu sein. Das ist noch nicht ISO 27001-Niveau, wäre für kleine Unternehmen aber auch überdimensioniert. Es geht um immer um Verhältnismässigkeit. Das erkennt auch der Gesetzgeber an.

Gerade für KMU und kleine Unternehmen entscheidend sind die folgenden Aspekte wichtig:

• schnell umsetzbar
• ohne IT- und Cber-Vorkenntnisse direkt starten
• nur rechtlich Relevantes abdecken, kein nice-to-have
• 
  

Mit den eLearnings von mybreev können Sie die wirklich relevanten Informationen rund um NIS2, Cyber Security und Phishing für alle Mitarbeitenden und auch die Geschäftsleitung leicht vermitteln. Damit gelingt es:

• Schulungspflichten zu erfüllen
• Risiko spürbar zu reduzieren
• Fortschritt nachzuweisen (auditsichere Dokumentation der Teilnahme)

NIS2 ist da und geht nicht mehr weg

NIS2 ist kein Zukunftsthema mehr, sondern bereits gelebte Realität – und betrifft mehr Unternehmen, als viele glauben. Entscheidend ist nicht, ob Sie alles perfekt umsetzen, sondern ob Sie jetzt strukturiert starten und Fortschritt nachweisen können. Die Kombination aus Registrierung, Schulung und ersten technischen Maßnahmen schafft bereits einen erheblichen Sicherheitsgewinn. Gerade kleine Unternehmen haben die Chance, mit überschaubarem Aufwand ihre Resilienz deutlich zu erhöhen. Wer früh handelt, reduziert nicht nur Risiken, sondern stärkt auch Vertrauen bei Kunden und Partnern. Warten hingegen ist keine Strategie – denn im Ernstfall tritt schneller ein als gedacht.

Quellen: 

Die Attacke auf Kaseya wird hier ausführlicher beschrieben, aber auch andere Störfälle:

https://www.washingtonpost.com/technology/2021/07/09/how-ransomware-attack-works/ Abgerufen am 17. März 2026.

https://www.mittelstandsbund.de/fileadmin/Artikel_Kacheln/pdf/20240702_%C3%9Cberblick_zu_NIS-2.pdf  Abgerufen am 17. März 2026.

Ulrich Plate: Cybersicherheit: Was Unternehmen über die NIS2-Richtlinie wissen müssen. In: heise online vom 5. Juni 2024. Abgerufen am 17. März 2026.

Prof. Dr. Dennis-Kenji Kipker erklärt NIS2 beim IDW Digital Summit 2024 live aus Köln auf YouTube (ca. 40 Min.), 22. November 2024, abgerufen am am 17. März 2026

NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz): Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, siehe: 

https://www.recht.bund.de/bgbl/1/2025/301/VO.html

Hinweis: Dieser Blog wurde in der Recherche mit KI unterstützt.