NIS2 für kleine Unternehmen 50-100 MA: Quick-Compliance
TL;DR
- NIS2-Compliance KMU 50–100 MA in 8 Wochen umsetzbar
- Budget: ca. 8.000 EUR (interner + externer Aufwand)
- Phasen: Asset-Inventory → MFA → Backup → Incident-Plan → BSI-Registrierung
- Pflicht ab 50 MA + Sektor-Kriterium (NIS2UmsuCG seit 06.12.2025)
- Bei Verstoß: bis 7 Mio. EUR / 1,4 % Umsatz (wichtige Einrichtungen)
Hauptartikel: Hauptartikel: NIS2-Umsetzung Deutschland — der vollständige Pillar-Artikel zum Thema.
Wer ist betroffen?
Wesentliche Einrichtungen: ab 50 MA + 10 Mio. EUR Umsatz UND einer der 11 NIS2-Sektoren (Energie, Banken, Health, Cloud, etc.). Wichtige Einrichtungen: ab 50 MA + 10 Mio. EUR + 7 Sektoren.
8-Wochen-Roadmap
W1: Asset-Inventar. W2: Risiko-Analyse. W3-4: 12 Pflicht-Policies. W5: MFA + Backup-Strategie. W6: IRP + Schulung. W7: Lieferanten-Audit Top-10. W8: Tabletop + Doku.
Budget 8k EUR aufgeteilt
Microsoft 365 Defender: in E5 enthalten. Veeam Cloud Backup: 1.500 EUR. Externe Beratung 5 PT: 5.000 EUR. Compliance-Kit NIS2-Kit: 1.490 EUR.
Externalisierung-Optionen
SOC-as-a-Service: 800-3.000 EUR/Monat. Externe DSB + ISO: 8-15k EUR/Jahr. Cybersecurity-Consultancy 1 PT/Monat: 1.500 EUR/Monat.
Was Sie SELBST machen müssen
Risiko-Akzeptanz Geschäftsführung. § 38 BSIG-Bewusstsein. Krisenstab-Bereitschaft.
Häufig gestellte Fragen
Bin ich überhaupt betroffen?
Reicht ISO 27001-Light?
Quellen
- BSIG 2025 (konsolidierte Fassung) — § 28, § 30 BSIG (Schwellenwerte) (Stand: 02.05.2026)
- NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026; in Kraft 06.12.2025)
- Richtlinie (EU) 2022/2555 (NIS2) — Art. 2 (Anwendungsbereich) (Stand: 02.05.2026)
- BSI — NIS-2 FAQ regulierte Unternehmen