Wissen/Was kostet NIS2-Compliance realistisch für einen 50-MA-Mittelständler?

Was kostet NIS2-Compliance realistisch für einen 50-MA-Mittelständler?

Realistische Kostenrahmen für NIS2-Compliance im Mittelstand: Personal, externe Beratung, Tools, Zertifizierung. Mit Beispiel-Rechnung — Stand 2026-05-16.

ComplyCheck-Redaktion · Stand: 2026-06-29

nis2kostenbudgetmittelstandkmuaufwand

Was kostet NIS2-Compliance realistisch für einen 50-MA-Mittelständler?

Rechtsstand

Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.

Methodik: Wie wir den Aufwand berechnen

Der NIS2-Aufwand für ein 50-MA-Unternehmen lässt sich nicht pauschal beziffern — er hängt ab von:

  • Sektor-KomplexitätKRITIS-naher Sektor (z.B. Gesundheit) ist aufwändiger als Standard-IT-Dienstleister
  • Vor-Reifegrad — ein Unternehmen mit ISO 27001 hat 50-70 % der Vorarbeit erbracht
  • IT-Landschaft — komplexe On-Premise + Multi-Cloud + OT teurer als reine SaaS-Landschaft
  • Geschäftsleitung-Beteiligung — Top-Down-Engagement reduziert Reibung und Kosten
  • Make-or-Buy — interne Aufbau vs. externe Beratung haben unterschiedliche Kostenstrukturen

Wir gehen im Folgenden von einem typischen B2B-IT-Dienstleister mit 50 MA, mittlerem Cyber-Reifegrad ohne ISO 27001 aus. Die Werte sind Markt-Mittelwerte aus deutschen Beratungs-Projekten 2024-2026.

Hinweis

Vergleichswert: 1 schwerer Cyber-Vorfall vs. 1 Jahr NIS2-Investition

Branchen-Statistik: ein erfolgreicher Ransomware-Angriff kostet im deutschen Mittelstand im Schnitt 150.000-500.000 € (Lösegeld + Wiederherstellung + Betriebsunterbrechung + Reputations-Schaden). Ein Jahr NIS2-Investition liegt typisch bei 80.000-180.000 €. Die Compliance-Investition ist also strukturelle Risikoabsicherung, nicht zusätzlicher Overhead — die Frage „lohnt sich das?" beantwortet die Statistik eindeutig.

Kostenblock 1: Personalaufwand

Der größte Posten ist meist die Personalkapazität — entweder intern oder extern.

Internes Personal:

  • 1 dedizierter Information Security Officer / Information Security Manager (0,5-1,0 VZÄ)
  • Verteilte Mitarbeit aus IT, HR, Recht, Geschäftsleitung (kumuliert 0,3-0,5 VZÄ)
  • Schulungs-Aufwand für die gesamte Belegschaft (typisch 8h pro Person pro Jahr)

Bei einem Vollkostensatz von 80-120 €/h für interne Mitarbeitende und 50 MA × 8h Schulungsaufwand ergeben sich:

  • 0,75 VZÄ Information Security Officer: 60.000-90.000 €/Jahr
  • 0,4 VZÄ verteilte Mitarbeit: 32.000-48.000 €/Jahr
  • 400h Belegschafts-Schulung: 32.000-48.000 €/Jahr (Opportunity-Kosten der Mitarbeitenden-Zeit)

Externe Beratung:

  • Initial-Beratung für Gap-Analyse und Roadmap: 15.000-40.000 €
  • Begleitung der Umsetzung: 25.000-60.000 € über 12 Monate
  • Schulungs-Programme (extern): 5.000-15.000 €

Die Make-or-Buy-Entscheidung hängt von der Strategie ab. Mittelständler ohne Information-Security-Kapazitäten setzen oft auf externe Beratung in der Erstphase und bauen dann interne Strukturen auf.

Kostenblock 2: Technische Maßnahmen

Konkrete technische Investitionen für die NIS2-Mindestmaßnahmen:

Bereich Investition Jährliche Folgekosten
MFA-Roll-out (50 Nutzer) 5.000-15.000 € (Lizenzen + Hardware-Keys) 2.000-5.000 €
Asset-Management-Tool 3.000-25.000 € (je nach Plattform) 1.500-12.000 €
Endpoint Detection & Response (EDR) 15.000-50.000 € 12.000-40.000 €
Backup-Optimierung (3-2-1-Regel) 10.000-30.000 € 5.000-15.000 €
SIEM oder Log-Management-Lösung 20.000-80.000 € 15.000-60.000 €
Vulnerability Management Plattform 8.000-25.000 € 6.000-20.000 €
Patch-Management-Verbesserung 5.000-20.000 € 2.000-8.000 €
Pen-Test-Investition (erste Runde) 15.000-40.000 € 15.000-30.000 € (jährlich)
ISMS-Tool / GRC-Software 8.000-30.000 € 6.000-25.000 €

Initial: 90.000-315.000 € (je nach bisheriger Reife). Jährlich danach: 65.000-215.000 €. Die Spannen sind groß, weil viele KMU bereits Teile dieser Maßnahmen haben.

Kostenblock 3: Externe Audits und Zertifizierungen

Optional, aber für die Nachweis-Führung sehr nützlich:

  • ISO 27001 Zertifizierung erstmalig: 25.000-60.000 € (Beratung + Auditkosten)
  • Jährliche Überwachungsaudits: 8.000-20.000 €
  • Rezertifizierung alle 3 Jahre: 15.000-30.000 €
  • BSI C5-Bericht (für Cloud-Anbieter): 30.000-80.000 €
  • TISAX (Automobilbereich): 15.000-40.000 €

Eine ISO-27001-Zertifizierung ist nicht pflichtig für NIS2, aber sie kombiniert mehrere Vorteile: Audit-Nachweis für die NIS2-Selbstprüfung, Markt-Akzeptanz im B2B-Vertrieb, strukturierte Methodik. Ein Mittelständler im IT-Bereich sollte die ISO-Investition ernsthaft prüfen.

Achtung

Tooling vor Prozessen

Viele Unternehmen kaufen am Anfang teures SIEM oder GRC-Tooling, ohne die Prozesse zu haben, die das Tool sinnvoll nutzen. Ergebnis: 50.000 € Lizenzkosten für ein Tool, das nach 6 Monaten keiner mehr ernsthaft befüllt. Reihenfolge: Prozesse zuerst, Tooling danach. Eine 6-monatige Excel-Phase mit gepflegtem Inventar und Risikoanalyse ist bessere Basis für eine spätere Tool-Auswahl als der direkte Tool-Kauf.

Beispiel-Rechnung: 50-MA-IT-Dienstleister ohne Vorarbeit

Konkrete Kalkulation für einen typischen Mittelständler:

Initial-Investition (Monate 1-12):

Position Kosten
Externe Beratung Gap-Analyse + Roadmap 25.000 €
Information Security Officer (0,5 VZÄ × 1 Jahr) 50.000 €
Interne Mitarbeit (verteilte 0,3 VZÄ) 25.000 €
MFA-Roll-out (Lizenzen + Hardware) 8.000 €
Asset-Management-Tool + Setup 8.000 €
EDR-Software für 50 Endpoints 18.000 €
Backup-Optimierung 12.000 €
Pen-Test (erste Runde) 18.000 €
Geschäftsleitungs-Schulung 4.000 €
Belegschafts-Schulung (extern) 8.000 €
Vertragsanpassungen (Anwalt) 6.000 €
Puffer (10 %) 18.000 €
Summe Initial 200.000 €

Jährliche Folgekosten (ab Jahr 2):

Position Kosten
Information Security Officer (0,5 VZÄ) 50.000 €
Interne Mitarbeit 20.000 €
Tooling-Lizenzen (EDR, Asset-Management, MFA) 25.000 €
Pen-Test (jährlich) 18.000 €
Externe Beratung (Begleitung, Audits) 12.000 €
Schulungen 8.000 €
Puffer (10 %) 13.000 €
Summe pro Jahr 146.000 €

Diese Werte sind realistische Mittelwerte für ein 50-MA-Unternehmen mit mittlerem Cyber-Reifegrad. Wer schon ISO-zertifiziert ist, kann die Initial-Investition halbieren. Wer in einem komplexeren Sektor agiert (Gesundheit, OT-Umgebung), muss 30-50 % mehr einplanen.

Wo gespart werden kann — und wo nicht

Sinnvolle Spar-Hebel:

  • Outsourcing der Schulungen — externe E-Learning-Plattformen kosten 30-60 €/Nutzer/Jahr und decken die Pflicht-Schulung ab
  • Open-Source-Tools für Inventar, Schwachstellen-Scanning, Log-Management — höherer Konfigurations-Aufwand, aber spürbare Lizenz-Einsparung
  • Konsortien und Branchen-Initiativen — gemeinsame Pen-Tests, gemeinsame Beratungs-Beauftragung in Branchen-Verbänden
  • Bestehende Cloud-Sicherheits-Features nutzen — Microsoft 365 E5 oder Google Workspace Enterprise enthalten viele Funktionen, die separat 15.000-30.000 € kosten würden

Wo das Sparen teuer wird:

  • Information Security Officer einsparen und alles über die IT-Abteilung laufen lassen — IT ist nicht IT-Sicherheit, die Rollen brauchen Trennung
  • Externe Beratung komplett vermeiden — KMU haben oft keine Erfahrung mit regulatorischer Compliance, die Lernkurve ist teuer
  • Pen-Tests aussetzen — wenn die Aufsicht Nachweis verlangt, ist Nachholen unter Zeitdruck teurer
  • Geschäftsleitungs-Schulung als „nice-to-have" einstufen — Art. 20 NIS2 ist explizit, hier drohen direkte persönliche Sanktionen

Praxis: Budget-Planung

Praxis-Tipp

in einer Woche

Erste Budget-Schätzung in einer Woche: (1) Sektor-Klassifikation + Bestands-Audit der bestehenden Sicherheits-Maßnahmen (4h Workshop), (2) Externe Beratung für Gap-Analyse — Angebote von 3 Anbietern einholen (4h Eigen-Aufwand, Antworten kommen in 2-3 Wochen), (3) Vorhandene Tooling-Lizenzen prüfen — Microsoft 365 / Google Workspace Premium kann viel abdecken (3h), (4) Erste Budget-Range an Geschäftsleitung kommunizieren (2h Präsentation). In einer Woche ist die Investitions-Entscheidung vorbereitet.

Budget-Strategie:

  1. Bestandsaufnahme ehrlich durchführen — was ist da, was fehlt
  2. Gap-Analyse extern beauftragen für unabhängige Sicht
  3. Roadmap mit Prioritäten — Quick-Wins zuerst (Asset-Inventar, MFA, Schulungen), Investitions-intensive Maßnahmen (SIEM, EDR) verteilt
  4. 3-Jahres-Plan — Initial-Investition + 2 Folgejahre für Skalierung und Reifegrad-Aufbau
  5. Risikobudget einplanen — Vorfälle passieren auch in NIS2-konformen Unternehmen, Versicherung + Notfall-Beratungs-Retainer

FAQ

Sind die NIS2-Kosten von der Steuer absetzbar?

Ja, NIS2-Compliance-Kosten sind Betriebsausgaben und voll steuerlich abzugsfähig. Investitionen in Hardware und Software sind über die jeweilige AfA-Dauer abzuschreiben (typisch 3-5 Jahre). Externe Beratung und Schulungen sind sofort als Aufwand zu erfassen. Die effektive Belastung nach Steuer liegt bei einem 30-%-Steuersatz also bei etwa 70 % der Brutto-Aufwendungen.

Gibt es Förderprogramme?

Ja, mehrere Programme können NIS2-Investitionen mit-finanzieren. Auf Bundesebene gibt es Förderungen für Digitalisierungs- und Sicherheits-Maßnahmen über das BAFA und KfW. Länder haben eigene Programme (z.B. Digital Jetzt, Mittelstand-Digital). Branchen-Verbände unterstützen teilweise mit Beratungs-Gutscheinen. Die Förder-Quote liegt typisch bei 30-50 % der förderfähigen Kosten.

Lohnt sich die Eigenpflege oder besser ein Managed Service?

Für 50-MA-Unternehmen ist ein Hybrid-Modell oft am besten: interner Information Security Officer mit ergänzendem Managed Detection & Response (MDR) Service. Reine Eigenpflege überfordert KMU bei 24/7-Anforderungen. Reines Outsourcing schwächt die interne Steuerungsfähigkeit. Mischung mit interner Verantwortung + externer Operations ist Markt-Standard.

Was kostet ein erfolgreicher Vorfall im Vergleich?

Markt-Studien (Bitkom, BSI, ENISA) zeigen: ein erfolgreicher Ransomware-Angriff im deutschen Mittelstand kostet durchschnittlich 150.000-500.000 €, in schweren Fällen weit über 1 Mio. €. Hinzu kommen Reputations-Schäden und mögliche Bußgelder bei NIS2-Verstößen. Im Vergleich ist die jährliche NIS2-Investition von 100.000-150.000 € sehr günstige Risiko-Versicherung.

Wie skaliert der Aufwand mit Unternehmensgröße?

Grobe Faustregel: bei 100 MA verdoppelt sich der Aufwand nicht — die fixen Anteile (ISMS, Tooling, Beratung) bleiben ähnlich, nur die variablen Anteile (Schulungen, Endpoints) skalieren. Bei 200 MA liegt der Aufwand etwa beim 1,5-Fachen eines 50-MA-Unternehmens. Erst bei 500+ MA verdoppelt er sich. NIS2 ist damit relativ KMU-freundlich kalibriert — die Pflichten skalieren nicht linear mit der Belegschafts-Größe.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 29. Juni 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.