| 16. Mai 2026 | 15 Min.

NIS2 nach 12 Monaten: Praxis-Erfahrungen 2026 aus dem Mittelstand

NIS2 nach 12 Monaten Praxis: Was hat sich bewährt?

Nach 12 Monaten NIS2-Umsetzungsgesetz zeigt die Praxis: Wer früh mit der Dokumentation begonnen hat, kommt am leichtesten durch Audits. Die häufigsten Findings sind unvollständige Asset-Inventare, fehlende MFA auf privilegierten Konten und nie getestete Incident-Response-Pläne. Lieferketten-Anforderungen sind in Ausschreibungen längst Standard. Realistische Kosten im ersten Jahr: 50.000 bis 150.000 Euro für ein typisches KMU.

Inhalt in Kürze

NIS2-Stand Mai 2026: rund 17.000 BSI-Registrierungen bei geschätzt 29.500 betroffenen Einrichtungen — die Lücke ist haftungsrelevant
Top-5 Audit-Findings: Asset-Inventar, MFA-Lücken, nicht getestete Incident-Response, fehlende Backup-Tests, keine Lieferanten-Bewertung
Lieferketten-NIS2: auch nicht direkt betroffene Mittelständler werden von Kunden in die Pflicht genommen — NIS2-Fragebögen sind in Ausschreibungen Standard
Realistische Kosten: 50.000 bis 150.000 Euro im ersten Jahr für ein KMU, 1 bis 2 Prozent vom IT-Budget laufend
Strafen: bis 10 Mio. Euro / 2 Prozent Jahresumsatz für besonders wichtige Einrichtungen, bis 7 Mio. Euro / 1,4 Prozent für wichtige Einrichtungen
Größter Hebel: Governance und Dokumentation zuerst — Technik allein scheitert im Audit

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit Ende 2024 in Kraft. Anderthalb Jahre später sehen wir bei unseren Kunden in Hamburg und Norddeutschland ein klares Muster: Die Technik ist meist beherrschbar — es scheitert an Dokumentation, Governance und Lieferketten-Bewertung. Dieser Pillar ist die Fortsetzung unseres Grundlagen-Artikels NIS2-Beratung Hamburg. Wer Definitionen, Schwellenwerte und Sektoren sucht, beginnt dort. Hier geht es um die nächste Stufe: Was hat sich nach 12 Monaten Praxis bewährt — und was nicht?

NIS2-Stand Mai 2026 — Umsetzung in Deutschland

Die offiziellen Zahlen zum Stand der NIS2-Umsetzung sind ernüchternd. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet bis Anfang 2026 rund 17.000 Registrierungen — bei geschätzten 29.500 betroffenen Unternehmen in den 18 NIS2-Sektoren. Das bedeutet: Rund 40 Prozent der Pflichtigen sind beim BSI noch nicht einmal registriert. Eine Pflichtverletzung, die in einem Audit als erstes auffällt.

NIS2-Compliance-Dokumentation Schreibtisch

Die Branchenverbände Bitkom und eco haben Anfang 2026 Mitgliederbefragungen veröffentlicht. Demnach haben rund 40 bis 50 Prozent der betroffenen Unternehmen die Pflichten mit dokumentierter Strategie umgesetzt. Weitere 30 Prozent arbeiten daran. Etwa 20 Prozent haben noch nicht einmal die Betroffenheitsanalyse abgeschlossen. Das deckt sich mit unseren Beobachtungen in Hamburger Mandaten: Wer 2025 nichts gemacht hat, läuft 2026 in Audit-Probleme.

17.000

BSI-Registrierungen Anfang 2026

29.500

geschätzt betroffene Einrichtungen

300.000+

neue Malware-Varianten täglich (BSI)

10×

DDoS-Anstieg im Mittelstand

Der BSI-Lagebericht 2025 liefert die Begründung, warum das Gesetz nicht aufgeweicht wird. Die Behörde meldet täglich über 300.000 neue Malware-Varianten, eine Verzehnfachung der DDoS-Vorfälle gegenüber dem Vorjahr und eine deutliche Verschiebung der Angriffsziele in Richtung Mittelstand. Wer 50 bis 250 Mitarbeiter hat, ist mittlerweile statistisch häufiger Ziel als ein DAX-Konzern — weil die Schutzlücke größer ist.

Jens Hagel, Geschäftsführer hagel IT-Services GmbH

Die Mandanten, die uns Anfang 2025 angerufen haben, sind heute durch ihre Audits. Die, die jetzt anrufen, haben oft schon das erste Schreiben einer Aufsichtsbehörde im Posteingang. Der Unterschied zwischen entspannt und Panik liegt bei NIS2 in vielleicht sechs Monaten Vorlauf.
Jens Hagel, Geschäftsführer hagel IT-Services

Die 5 häufigsten Audit-Findings nach 12 Monaten

Wir begleiten Hamburger und norddeutsche Mittelständler seit der Inkrafttretung durch NIS2-Audits — als externer Begleiter, nicht als Auditor selbst. Aus dieser Praxis kristallisieren sich fünf Findings heraus, die in nahezu jedem Erstaudit auftauchen. Sie ähneln dem, was CISA für vergleichbare US-Frameworks (NIST CSF 2.0) öffentlich dokumentiert.

Unvollständiges Asset-Inventar: Schatten-IT, IoT-Geräte, Cloud-Dienste und mobile Endgeräte fehlen häufig komplett. Auditoren stichproben: drei zufällige Geräte aus dem Inventar — sind die wirklich gepatcht? Drei zufällige Cloud-Dienste — sind die dokumentiert? Wenn die Antwort drei Mal Nein lautet, ist das Finding gesetzt.
MFA nicht überall, wo sie hingehört: Domain-Admins haben MFA, das gewerbliche Wartungskonto vom Drucker nicht. Service-Accounts ohne MFA, Notfall-Logins ohne MFA, Cloud-Admin-Konten mit MFA-Bypass für IT-Support. Auditoren ziehen die Identitätsmanagement-Listen und prüfen jede einzelne privilegierte Identität. Mehr dazu in unserem Artikel MFA-Level-Up: Warum SMS-Codes 2026 fahrlässig sind.
Incident-Response-Plan nie getestet: Der Plan liegt im Schrank, aber keine Tabletop-Übung dokumentiert. Auditoren fragen nicht "Haben Sie einen Plan?", sondern "Wann haben Sie ihn zuletzt geprobt?". Die ehrliche Antwort lautet meistens: nie.
Backup-Tests nicht regelmäßig: Backups laufen, aber Restore-Tests wurden seit Jahren nicht durchgeführt. Auditoren bestehen oft auf einer Live-Demo: "Stellen Sie diese Datei aus dem Backup von vor zwei Monaten wieder her, jetzt." Bei jedem dritten Mandanten fehlt der Prozess.
Keine Lieferanten-Bewertung: Verträge mit IT-Dienstleistern enthalten keine NIS2-konformen Sicherheits- und Meldeklauseln. Sub-Dienstleister sind nicht erfasst. Die Pflicht zur "Sicherheit der Lieferkette" steht direkt im Gesetz — ohne dokumentierte Bewertung ist das ein automatisches Finding.

Diese fünf Findings decken nach unserer Erfahrung rund 80 Prozent aller Erst-Audits ab. Wer sie vor dem Audit aufräumt, kommt durch — wer sie ignoriert, bekommt Nachbesserungsfristen mit klarer Frist und behördlicher Eskalation.

Achtung Audit-Tiefe:

Auditoren prüfen 2026 anders als 2025. Im ersten Jahr lag der Fokus auf Existenz von Maßnahmen. Im zweiten Jahr prüfen sie Wirksamkeit. Ein Plan ohne Übung gilt als nicht wirksam. Ein Inventar ohne Stichprobenprüfung gilt als nicht wirksam. Ein Backup ohne Restore-Nachweis gilt als nicht vorhanden.

Lieferketten-NIS2 — was indirekte Betroffenheit konkret heißt

Das Lieferketten-Argument ist der Hebel, der die Reichweite von NIS2 weit über die 29.500 direkt betroffenen Einrichtungen hinaus zieht. Wer Lieferant einer regulierten Einrichtung ist — egal in welcher Größe — bekommt NIS2-Anforderungen vertraglich durchgereicht. In Hamburg betrifft das praktisch jeden Mittelständler mit Industriekunden oder öffentlichen Auftraggebern.

Lieferketten-Cybersecurity für Werften und Industrie in Norddeutschland

Was uns Hamburger Geschäftsführer seit Anfang 2026 berichten:

Maschinenbau-Zulieferer mit 40 Mitarbeitern verliert eine Ausschreibung bei einem Großkunden, weil er kein dokumentiertes Informationssicherheits-Managementsystem (ISMS) vorweisen kann.
Logistik-Dienstleister muss in jedem Vertragsverlängerungs-Gespräch einen NIS2-Fragebogen mit 80 bis 120 Fragen beantworten — Backup-Frequenz, Verschlüsselung im Ruhezustand, Penetrationstests, Incident-Meldewege.
IT-Dienstleister werden vertraglich zur 24-Stunden-Erstmeldung an den Kunden verpflichtet — und zwar zusätzlich zur eigenen BSI-Meldepflicht.

Das Gesetz selbst formuliert das in §30 als “Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern”. Übersetzt: Die regulierten Unternehmen müssen ihre Lieferanten bewerten, dokumentieren und vertraglich einbinden. Sie geben den Druck nach unten weiter.

Für nicht direkt betroffene Mittelständler heißt das konkret:

Auskunftsfähigkeit: Sie brauchen klare, dokumentierte Antworten auf Fragebögen. “Wir haben das alles” reicht nicht — es muss schriftlich vorliegen.
Vertragsklauseln akzeptieren: Meldepflichten, Audit-Rechte des Kunden, Incident-Kooperationspflichten gehören mittlerweile zum Standard.
Eigene Sub-Lieferanten bewerten: Wer Software, Cloud oder Wartung einkauft, muss diese Anbieter selbst nach Sicherheitskriterien bewerten — und dokumentieren.

Wer als Hamburger Lieferant in regulierten Branchen unterwegs ist, sollte sich nicht fragen “Bin ich betroffen?”, sondern “Wann fragt mich mein erster Kunde nach NIS2?”. Die Antwort lautet in den meisten Fällen: 2026, im nächsten Verhandlungszyklus. Mehr zur Frage, wie wir das in Hamburg praktisch absichern, beschreiben wir auf der Themenseite Compliance & Datenschutz.

Häufige Fehler im Mittelstand — was wir immer wieder sehen

Neben den fünf großen Audit-Findings gibt es eine zweite Kategorie: stille Fehler, die im Audit nicht direkt auffallen, aber im Ernstfall katastrophal werden. Die folgende Liste basiert auf unseren Beobachtungen in über 30 NIS2-Begleitungen 2025 bis 2026.

Fehler 1: Schulungspflicht delegiert. Die NIS2-Richtlinie schreibt vor, dass die Geschäftsleitung selbst geschult werden muss — nicht “die Firma” abstrakt, sondern die Person an der Spitze. In der Praxis wird das gerne an den IT-Leiter delegiert. Im Audit fragt der Prüfer nach Teilnahmebestätigungen mit Namen, Datum und Inhalt. Wenn die der CFO oder der CEO nicht vorweisen kann, ist das ein klares Finding — und im Haftungsfall ein massives Problem.

Fehler 2: Asset-Inventar als Excel-Liste vom letzten Jahr. Inventare brauchen einen lebenden Prozess: Wer trägt ein neues Asset wann ein? Wer prüft das Inventar wann auf Vollständigkeit? In der Realität existiert in vielen Mittelständlern eine Liste, die niemand pflegt. Auditoren prüfen die Aktualität gezielt — sie vergleichen Beschaffungs-Rechnungen mit dem Inventar.

Fehler 3: Patch-Management ohne SLA. “Wir patchen regelmäßig” ist keine Antwort. NIS2 fordert nachweisbares Schwachstellenmanagement: Wie schnell werden kritische Patches eingespielt? Welcher Patch-Stand ist Soll? Welche Ausnahmen gibt es, mit welcher Begründung? Wer das nicht in SLAs gegossen hat — intern oder mit Dienstleister — patcht in den Augen des Auditors nicht.

Hamburger Praxis:

Wir setzen mit Mandanten Patch-SLAs nach CVSS-Score auf: kritische Lücken (CVSS ≥ 9.0) innerhalb 72 Stunden, hohe Lücken (7.0 bis 8.9) innerhalb 14 Tagen, mittlere innerhalb 30 Tagen. Diese Quote wird monatlich gemessen und im Management-Review berichtet. Das ist auditfest und gleichzeitig betrieblich machbar.

Fehler 4: Cloud blind eingekauft. Microsoft 365, Salesforce, irgendein Backup-Tool, eine Marketing-SaaS — viele Mittelständler haben 20 bis 50 Cloud-Dienste im Einsatz, aber nur eine Handvoll davon im Compliance-Register. NIS2 fordert für jede ausgelagerte Datenverarbeitung eine Risikobewertung. Wer das nicht hat, hat ein doppeltes Problem: Audit-Finding und DSGVO-Verstoß. Tipps zur sicheren Cloud-Architektur finden Sie in Compliance & Datenschutz in der Cloud.

Fehler 5: Nur einmal jährlich an Sicherheit denken. NIS2 verlangt einen kontinuierlichen Verbesserungsprozess — kein Jahres-Projekt mit Abschlussbericht. Wir sehen Mittelständler, die 2025 alles auf den Stand der Technik gebracht haben und dann wieder loslassen. Im 2026er-Folgeaudit fallen sie durch, weil sich die Bedrohungslage weiter entwickelt hat und das ISMS nicht nachgezogen wurde.

Was bewährt sich — die TOP-5-Maßnahmen aus 12 Monaten Praxis

Auf der positiven Seite haben sich nach 12 Monaten klare Best-Practices herauskristallisiert. Diese fünf Maßnahmen liefern den größten Hebel pro investiertem Euro — basierend auf unseren Mandaten in Hamburg, Bremen, Kiel und Lübeck.

ISMS leichtgewichtig aufsetzen — nicht ISO 27001 voll. Wer kein Zertifikat braucht (was bei NIS2 nicht Pflicht ist), kommt mit einem schlanken ISMS auf Basis von BSI-Grundschutz-Kompendium oder NIST CSF 2.0 weiter als mit einem vollen ISO-Stack. 80 Prozent der Anforderungen lassen sich mit 30 Prozent des Aufwands abbilden. Wichtig ist Konsistenz: Eine Risikomethodik, ein Asset-Register, eine Lieferantenliste — gepflegt und versioniert.
MFA überall — auch bei Service-Accounts und Notfall-Logins. Phishing-resistente MFA (FIDO2-Token, Passkeys, Microsoft Authenticator mit Number-Matching) auf allen privilegierten und nutzergebundenen Konten. SMS-Codes raus. Service-Accounts mit Conditional-Access-Policies absichern. Notfall-Logins (Break-Glass) in einem Safe, mit dokumentiertem Use-Case und Audit-Trail. Mehr dazu in Multi-Faktor-Authentifizierung statt Passwörter.
Backup mit Immutable Storage und regelmäßigem Restore-Test. Backup auf Standardspeicher ist 2026 nicht mehr ausreichend. Ransomware-Angreifer löschen Backups, bevor sie verschlüsseln. Antwort: Immutable-Storage (Object-Lock oder Tape-Air-Gap), zusätzlich Off-Site, und ein dokumentierter Restore-Test mindestens halbjährlich. Wer das hat, übersteht einen Ransomware-Vorfall in 48 Stunden statt in vier Wochen. Hintergrund in Backup-Best-Practices in Azure Blob Storage.
Incident-Response-Plan plus jährliche Tabletop-Übung. Plan mit klaren Rollen (IT-Lead, Krisenkommunikation, Geschäftsführung, externer Berater), Meldewegen (BSI, Kunden, Dienstleister) und Eskalationsstufen. Jährliche Übung mit 2 bis 3 Szenarien (Ransomware, Datenleck, Lieferanten-Vorfall). Dauer 2 bis 4 Stunden. Dokumentation der Übung als Audit-Nachweis. Mehr zur konkreten Vorgehensweise in Ransomware-Angriff: Was Sie statt Lösegeld tun können.
Lieferanten-Bewertung als laufender Prozess. Jeder neue Dienstleister bekommt vor Vertragsabschluss einen kurzen Sicherheits-Fragebogen (10 bis 15 Fragen). Bestehende kritische Dienstleister werden jährlich neu bewertet. Verträge enthalten Standard-Klauseln zu Meldepflichten, Audit-Rechten und Sub-Dienstleister-Genehmigung. Im Ernstfall greifen diese Klauseln — ohne sie steht Ihr Unternehmen allein da.

Diese fünf Maßnahmen sind kein Hexenwerk, aber sie verlangen Disziplin. In unseren Mandaten sehen wir, dass der Unterschied zwischen erfolgreicher und scheiternder Compliance bei NIS2 nicht in der Technik liegt — sondern in der Konsequenz, mit der diese fünf Dinge gemacht und gepflegt werden.

Kosten und Aufwand nach 12 Monaten — realistische Zahlen

Die Frage, was NIS2 wirklich kostet, lässt sich nach 12 Monaten deutlich besser beantworten als vor einem Jahr. Wir haben die Aufwände in unseren Mandaten ausgewertet und kommen auf folgende Bandbreite — abhängig von Reifegrad, Branche und vorhandener IT-Infrastruktur.

Einmalig im ersten Jahr (KMU 50 bis 250 Mitarbeiter):

Posten	Kostenrahmen
Betroffenheitsanalyse + Gap-Analyse	5.000 bis 15.000 €
ISMS-Aufbau (Dokumentation, Prozesse)	15.000 bis 40.000 €
Tool-Investitionen (SIEM, EDR, Backup-Upgrade)	15.000 bis 50.000 €
Schulung Geschäftsführung + Mitarbeiter	3.000 bis 10.000 €
Lieferanten-Bewertung + Vertragsanpassung	5.000 bis 15.000 €
Erste Tabletop-Übung + Incident-Plan	3.000 bis 10.000 €
Audit-Begleitung (intern oder extern)	5.000 bis 15.000 €
Summe Jahr 1	51.000 bis 155.000 €

Laufend ab Jahr 2: rund 1 bis 2 Prozent vom gesamten IT-Budget, also bei einem KMU mit 200 Mitarbeitern oft 30.000 bis 60.000 Euro pro Jahr. Diese Kosten verteilen sich auf laufende Lizenzen, Schulungen, Lieferanten-Reviews, Tabletop-Übungen und Dokumentationspflege.

Wer schon ISO 27001 oder TISAX hat:

kommt mit 30 bis 50 Prozent weniger Aufwand davon — viele Anforderungen sind deckungsgleich. Der Aufwand reduziert sich vor allem in den Bereichen ISMS-Aufbau und Lieferanten-Bewertung, weil die Strukturen schon stehen.

Der größte Kostentreiber ist nicht Technik, sondern Dokumentations- und Schulungsaufwand. Wir sehen in unseren Mandaten regelmäßig, dass 60 Prozent des Aufwands in der Erstellung und Pflege von Dokumenten stecken — Richtlinien, Risikobewertungen, Meldewege, Schulungsnachweise. Wer hier mit Vorlagen und einem strukturierten Vorgehen arbeitet, spart real Geld.

Mandanten fragen mich oft: Was würden Sie heute anders machen? Antwort: früher mit der Dokumentation anfangen. Die Dokumentation ist 60 Prozent des Aufwands, nicht 10. Wer das umdreht und zuerst die Technik plant und dann erst dokumentiert, verdoppelt seine Projektlaufzeit.
Jens Hagel, Geschäftsführer hagel IT-Services

Strafen und Vorfälle in DE — was bisher bekannt geworden ist

Eine der Fragen, die uns Geschäftsführer 2026 am häufigsten stellen: Sind eigentlich schon Strafen verhängt worden? Die ehrliche Antwort: Bis Mai 2026 sind in Deutschland keine konkret bestätigten NIS2-Bußgelder öffentlich bekannt geworden. Das BSI hat im ersten Jahr stark auf Aufsicht und Beratung gesetzt — Verfahren laufen, aber öffentliche Eskalationen sind selten.

Das heißt nicht, dass nichts passiert. Aus unseren Mandaten und Branchengesprächen wissen wir:

Aufsichtsschreiben mit konkreten Nachbesserungsfristen wurden in mehreren Hamburger Unternehmen ausgesprochen. Frist meist 3 bis 6 Monate.
Meldepflichtverletzungen sind das häufigste behördliche Thema. Unternehmen melden zu spät, unvollständig oder gar nicht.
Sicherheitsvorfälle mit gesetzlicher Meldepflicht haben sich in Deutschland 2025/2026 deutlich erhöht. Der BSI-Lagebericht spricht von einer Verdopplung der gemeldeten erheblichen Vorfälle gegenüber 2024.

In anderen EU-Ländern läuft die Eskalation schneller. In Spanien und Italien gibt es laut Berichten erste Bußgeldverfahren wegen Meldepflichtverletzungen — im sechs- bis siebenstelligen Bereich. Die deutsche Aufsicht wird mittelfristig nachziehen müssen, um Glaubwürdigkeit zu wahren.

Die Höchstmaße bleiben harte Realität:

Besonders wichtige Einrichtungen (Energie, Banken, Gesundheit, digitale Infrastruktur): bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes — der höhere Betrag gilt.
Wichtige Einrichtungen (Maschinenbau, Chemie, Lebensmittel, Logistik, IT-Dienstleister): bis 7 Mio. Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
Geschäftsführungs-Haftung: persönlich bei grober Fahrlässigkeit. Das BSI kann Geschäftsführer öffentlich benennen und (in Extremfällen) die Berufsausübung untersagen lassen — bisher nicht angewandt, aber im Gesetz vorgesehen.

Die EU-Kommission selbst dokumentiert NIS2 transparent unter Europäische Cybersecurity-Strategie. Wer die rechtliche Grundlage prüfen will, findet dort die konsolidierte Fassung der Richtlinie und FAQs zur Umsetzung in den Mitgliedstaaten.

Wie wir Hamburger Mittelständler durch NIS2 begleiten

Bei hagel IT begleiten wir Mandanten seit Anfang 2025 durch NIS2-Projekte — von der Erstanalyse bis zum auditfesten Stand. Der Schwerpunkt liegt auf KMU mit 30 bis 250 Mitarbeitern in Hamburg und Norddeutschland: Maschinenbau, Logistik, Architektur, IT-Dienstleister, produzierendes Gewerbe. Mehr zu unserer Cybersecurity-Beratung und zur Compliance-Begleitung.

Unser Standard-Vorgehen:

15-Minuten-Erstgespräch zur Betroffenheits-Einschätzung — kostenlos, ohne Verpflichtung.
Strukturierte Gap-Analyse anhand BSI-Grundschutz oder NIST CSF 2.0 — schriftliches Ergebnis mit priorisierter Maßnahmenliste.
Schrittweise Umsetzung über 3 bis 6 Monate, parallel laufende Risiko-Reduktion (MFA, Backup-Härtung, EDR).
Audit-Vorbereitung mit Probe-Audit, Tabletop-Übung und Dokumentationspflege.
Laufende Compliance-Pflege im Rahmen unserer Managed-IT-Verträge.

Wer noch nicht angefangen hat, sollte spätestens jetzt einen verbindlichen Plan aufsetzen. 2026 ist das Jahr, in dem die ersten echten Audits durchschlagen — und in dem Lieferketten-Anforderungen aus regulierten Branchen unausweichlich werden.

Take-aways aus 12 Monaten NIS2-Praxis

Die Hälfte der Pflichtigen ist noch nicht beim BSI registriert — das ist das einfachste Audit-Finding überhaupt.
Die fünf häufigsten Findings betreffen Asset-Inventar, MFA, Incident-Response, Backup-Tests und Lieferanten-Bewertung. Wer diese fünf Punkte sauber hat, kommt durch.
Lieferketten-NIS2 trifft auch nicht direkt betroffene Mittelständler über Kundenanforderungen. Auskunftsfähigkeit ist Pflicht.
Realistische Erstjahreskosten: 50.000 bis 150.000 Euro für ein typisches KMU. Laufend 1 bis 2 Prozent vom IT-Budget.
Größter Erfolgsfaktor ist nicht Technik, sondern Governance und Dokumentation. Wer das früh einplant, spart Monate Nacharbeit.
Strafen sind in DE bisher selten öffentlich — die rechtliche Schärfe (bis 10 Mio. Euro, persönliche Haftung) bleibt aber bestehen.

NIS2 ist nach 12 Monaten kein theoretisches Thema mehr. Die Praxis hat klare Muster ergeben — wir wissen, was funktioniert und wo es scheitert. Wer 2026 noch nicht angefangen hat, läuft in einen Engpass: Beratungsmarkt ist eng, Audit-Slots werden knapper, Kunden fragen härter. Ein 15-Minuten-Gespräch mit uns klärt, wo Sie stehen — und was die nächsten drei Schritte sind.

Jens Hagel

Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel

Geschäftsführer · Hanse Service

Bester IT-Dienstleister

2026 — brand eins / Statista

Fallstudie · Private Equity

IT-Ausgründung in Hamburg: 5 Schritte zur erfolgreichen Trennung von der Konzern-IT – Eine Fallstudie

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann

Alle ansehen

Inhalt

Alle Kundenstimmen

Ausgezeichnete Bewertung

Basierend auf 46 Bewertungen

Robin Koppelmann

Alle ansehen

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Nach Schätzungen aus Branchenverbänden (Bitkom, eco) haben rund 40 bis 50 Prozent der betroffenen Unternehmen die Pflichten mit einer dokumentierten Strategie umgesetzt. Weitere 30 Prozent arbeiten an der Umsetzung, etwa 20 Prozent haben noch nicht einmal die Betroffenheitsanalyse abgeschlossen. Das BSI selbst meldete bis Anfang 2026 rund 17.000 Registrierungen — bei geschätzten 29.500 betroffenen Einrichtungen ist das eine Lücke, die für die Geschäftsführung haftungsrelevant ist.

Unsere Auswertung aus Audit-Begleitungen in Hamburg und Norddeutschland zeigt fünf Klassiker: Erstens unvollständige Asset-Inventare (oft fehlen Schatten-IT, IoT-Geräte und Cloud-Dienste). Zweitens nicht dokumentierte Incident-Response-Prozesse — der Plan steht im Kopf der IT-Leitung, nicht auf Papier. Drittens fehlende MFA auf privilegierten Konten. Viertens Backup-Tests, die nie durchgeführt wurden. Fünftens fehlende Lieferanten-Bewertungen — Sub-Unternehmer werden vertraglich nicht eingebunden.

Realistisch sind 50.000 bis 150.000 Euro im ersten Jahr für ein KMU mit 50 bis 250 Mitarbeitern — inklusive externer Beratung, ISMS-Aufbau, Tool-Lizenzen (SIEM, EDR, Backup) und interner Personalbindung. Laufend liegen die Kosten bei rund 1 bis 2 Prozent vom IT-Budget. Wer schon ISO 27001 oder TISAX umgesetzt hat, kommt deutlich günstiger weg. Größter Kostentreiber ist nicht die Technik, sondern die Dokumentations- und Schulungspflicht.

Bis Mai 2026 sind keine konkret bestätigten NIS2-Bußgelder in Deutschland öffentlich bekannt geworden. Das liegt vor allem daran, dass das BSI im ersten Jahr auf Aufsicht und Beratung setzt und Verfahren noch nicht abgeschlossen sind. In anderen EU-Ländern, etwa Spanien und Italien, laufen erste Bußgeldverfahren wegen Meldepflichtverletzungen. Die Höchstmaße bleiben hart: bis 10 Mio. Euro oder 2 Prozent Jahresumsatz für besonders wichtige Einrichtungen, bis 7 Mio. Euro oder 1,4 Prozent für wichtige Einrichtungen.

Auch wenn Sie selbst nicht unter NIS2 fallen, werden Ihre Kunden aus regulierten Sektoren NIS2-konforme Lieferanten verlangen. In der Praxis bedeutet das: Sie müssen Auskünfte über Ihre Sicherheitsmaßnahmen geben, Vertragsklauseln zu Incident-Meldungen akzeptieren und unter Umständen Audits Ihrer Kunden zulassen. Hamburger Maschinenbauer, Logistiker und IT-Dienstleister berichten uns, dass NIS2-Fragebögen mittlerweile Standard in Ausschreibungen sind — wer hier nicht liefert, fliegt aus dem Bieterkreis.

Nein. Die Anforderung lautet nicht 'Plan vorhanden', sondern 'Plan getestet und wirksam'. Auditoren prüfen, ob Tabletop-Übungen dokumentiert sind, ob Rollen klar zugewiesen sind und ob die 24-Stunden-Erstmeldung beim BSI im Ernstfall überhaupt funktioniert. Wir empfehlen mindestens eine Übung pro Jahr mit der gesamten Eskalationskette — von der IT bis zur Geschäftsführung. Wer das nicht macht, fliegt bei jedem ernsthaften Audit auf.

Das Gesetz schreibt 'regelmäßige Schulungen' vor, ohne einen konkreten Rhythmus zu nennen. In der Praxis hat sich ein jährliches Format etabliert: zwei bis vier Stunden pro Jahr, mit Fokus auf aktuelle Bedrohungslage, Haftungsfragen und Krisenkommunikation. Wichtig ist die Dokumentation — Teilnehmerliste, Inhalt, Datum. Diese Schulung ist nicht delegierbar. Wer als Geschäftsführer fehlt, hat im Schadensfall kaum eine Chance auf Haftungsbefreiung.

Besonders wichtige Einrichtungen (Energie, Banken, Gesundheit, digitale Infrastruktur) müssen mit bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes rechnen — es gilt der höhere Betrag. Wichtige Einrichtungen (Maschinenbau, Chemie, Lebensmittel, Logistik, IT-Dienstleister) haften mit bis zu 7 Mio. Euro oder 1,4 Prozent. Beide Gruppen unterliegen identischen technischen Pflichten — der Unterschied liegt vor allem in Aufsichtstiefe und Strafrahmen, nicht im Maßnahmenkatalog.

Der BSI-Lagebericht 2025 liefert die offizielle Begründung dafür, warum NIS2 nicht aufgeweicht wird: täglich über 300.000 neue Malware-Varianten, eine Verzehnfachung der DDoS-Vorfälle gegenüber dem Vorjahr und gezielte Angriffe auf den Mittelstand als bevorzugtes Ziel. Auditoren nutzen die Zahlen, um die Verhältnismäßigkeit von Sicherheitsmaßnahmen zu begründen. Wer in seinem Risikomanagement die BSI-Bedrohungslage nicht referenziert, argumentiert schwach.

Drei Dinge: Erstens früher mit der Dokumentation anfangen — nicht erst, wenn die Technik steht. Die Dokumentation ist 60 Prozent des Aufwands, nicht 10. Zweitens die Lieferanten-Bewertung als laufenden Prozess aufsetzen, nicht als Einmal-Projekt. Drittens die Geschäftsführung von Anfang an aktiv einbinden, nicht erst beim ersten Audit. NIS2 scheitert nicht an der IT, sondern an der Governance — wer das früh begreift, spart sich Monate Nacharbeit.

Modern Workplace

Managed IT ★

Co-Managed IT

Enterprise IT