Was kostet NIS2-Compliance realistisch für einen 50-MA-Mittelständler?
Realistische Kostenrahmen für NIS2-Compliance im Mittelstand: Personal, externe Beratung, Tools, Zertifizierung. Mit Beispiel-Rechnung — Stand 2026-05-16.
ComplyCheck-Redaktion · Stand: 2026-06-29
Was kostet NIS2-Compliance realistisch für einen 50-MA-Mittelständler?
Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.
Methodik: Wie wir den Aufwand berechnen
Der NIS2-Aufwand für ein 50-MA-Unternehmen lässt sich nicht pauschal beziffern — er hängt ab von:
- Sektor-Komplexität — KRITIS-naher Sektor (z.B. Gesundheit) ist aufwändiger als Standard-IT-Dienstleister
- Vor-Reifegrad — ein Unternehmen mit ISO 27001 hat 50-70 % der Vorarbeit erbracht
- IT-Landschaft — komplexe On-Premise + Multi-Cloud + OT teurer als reine SaaS-Landschaft
- Geschäftsleitung-Beteiligung — Top-Down-Engagement reduziert Reibung und Kosten
- Make-or-Buy — interne Aufbau vs. externe Beratung haben unterschiedliche Kostenstrukturen
Wir gehen im Folgenden von einem typischen B2B-IT-Dienstleister mit 50 MA, mittlerem Cyber-Reifegrad ohne ISO 27001 aus. Die Werte sind Markt-Mittelwerte aus deutschen Beratungs-Projekten 2024-2026.
Vergleichswert: 1 schwerer Cyber-Vorfall vs. 1 Jahr NIS2-Investition
Branchen-Statistik: ein erfolgreicher Ransomware-Angriff kostet im deutschen Mittelstand im Schnitt 150.000-500.000 € (Lösegeld + Wiederherstellung + Betriebsunterbrechung + Reputations-Schaden). Ein Jahr NIS2-Investition liegt typisch bei 80.000-180.000 €. Die Compliance-Investition ist also strukturelle Risikoabsicherung, nicht zusätzlicher Overhead — die Frage „lohnt sich das?" beantwortet die Statistik eindeutig.
Kostenblock 1: Personalaufwand
Der größte Posten ist meist die Personalkapazität — entweder intern oder extern.
Internes Personal:
- 1 dedizierter Information Security Officer / Information Security Manager (0,5-1,0 VZÄ)
- Verteilte Mitarbeit aus IT, HR, Recht, Geschäftsleitung (kumuliert 0,3-0,5 VZÄ)
- Schulungs-Aufwand für die gesamte Belegschaft (typisch 8h pro Person pro Jahr)
Bei einem Vollkostensatz von 80-120 €/h für interne Mitarbeitende und 50 MA × 8h Schulungsaufwand ergeben sich:
- 0,75 VZÄ Information Security Officer: 60.000-90.000 €/Jahr
- 0,4 VZÄ verteilte Mitarbeit: 32.000-48.000 €/Jahr
- 400h Belegschafts-Schulung: 32.000-48.000 €/Jahr (Opportunity-Kosten der Mitarbeitenden-Zeit)
Externe Beratung:
- Initial-Beratung für Gap-Analyse und Roadmap: 15.000-40.000 €
- Begleitung der Umsetzung: 25.000-60.000 € über 12 Monate
- Schulungs-Programme (extern): 5.000-15.000 €
Die Make-or-Buy-Entscheidung hängt von der Strategie ab. Mittelständler ohne Information-Security-Kapazitäten setzen oft auf externe Beratung in der Erstphase und bauen dann interne Strukturen auf.
Kostenblock 2: Technische Maßnahmen
Konkrete technische Investitionen für die NIS2-Mindestmaßnahmen:
| Bereich | Investition | Jährliche Folgekosten |
|---|---|---|
| MFA-Roll-out (50 Nutzer) | 5.000-15.000 € (Lizenzen + Hardware-Keys) | 2.000-5.000 € |
| Asset-Management-Tool | 3.000-25.000 € (je nach Plattform) | 1.500-12.000 € |
| Endpoint Detection & Response (EDR) | 15.000-50.000 € | 12.000-40.000 € |
| Backup-Optimierung (3-2-1-Regel) | 10.000-30.000 € | 5.000-15.000 € |
| SIEM oder Log-Management-Lösung | 20.000-80.000 € | 15.000-60.000 € |
| Vulnerability Management Plattform | 8.000-25.000 € | 6.000-20.000 € |
| Patch-Management-Verbesserung | 5.000-20.000 € | 2.000-8.000 € |
| Pen-Test-Investition (erste Runde) | 15.000-40.000 € | 15.000-30.000 € (jährlich) |
| ISMS-Tool / GRC-Software | 8.000-30.000 € | 6.000-25.000 € |
Initial: 90.000-315.000 € (je nach bisheriger Reife). Jährlich danach: 65.000-215.000 €. Die Spannen sind groß, weil viele KMU bereits Teile dieser Maßnahmen haben.
Kostenblock 3: Externe Audits und Zertifizierungen
Optional, aber für die Nachweis-Führung sehr nützlich:
- ISO 27001 Zertifizierung erstmalig: 25.000-60.000 € (Beratung + Auditkosten)
- Jährliche Überwachungsaudits: 8.000-20.000 €
- Rezertifizierung alle 3 Jahre: 15.000-30.000 €
- BSI C5-Bericht (für Cloud-Anbieter): 30.000-80.000 €
- TISAX (Automobilbereich): 15.000-40.000 €
Eine ISO-27001-Zertifizierung ist nicht pflichtig für NIS2, aber sie kombiniert mehrere Vorteile: Audit-Nachweis für die NIS2-Selbstprüfung, Markt-Akzeptanz im B2B-Vertrieb, strukturierte Methodik. Ein Mittelständler im IT-Bereich sollte die ISO-Investition ernsthaft prüfen.
Tooling vor Prozessen
Viele Unternehmen kaufen am Anfang teures SIEM oder GRC-Tooling, ohne die Prozesse zu haben, die das Tool sinnvoll nutzen. Ergebnis: 50.000 € Lizenzkosten für ein Tool, das nach 6 Monaten keiner mehr ernsthaft befüllt. Reihenfolge: Prozesse zuerst, Tooling danach. Eine 6-monatige Excel-Phase mit gepflegtem Inventar und Risikoanalyse ist bessere Basis für eine spätere Tool-Auswahl als der direkte Tool-Kauf.
Beispiel-Rechnung: 50-MA-IT-Dienstleister ohne Vorarbeit
Konkrete Kalkulation für einen typischen Mittelständler:
Initial-Investition (Monate 1-12):
| Position | Kosten |
|---|---|
| Externe Beratung Gap-Analyse + Roadmap | 25.000 € |
| Information Security Officer (0,5 VZÄ × 1 Jahr) | 50.000 € |
| Interne Mitarbeit (verteilte 0,3 VZÄ) | 25.000 € |
| MFA-Roll-out (Lizenzen + Hardware) | 8.000 € |
| Asset-Management-Tool + Setup | 8.000 € |
| EDR-Software für 50 Endpoints | 18.000 € |
| Backup-Optimierung | 12.000 € |
| Pen-Test (erste Runde) | 18.000 € |
| Geschäftsleitungs-Schulung | 4.000 € |
| Belegschafts-Schulung (extern) | 8.000 € |
| Vertragsanpassungen (Anwalt) | 6.000 € |
| Puffer (10 %) | 18.000 € |
| Summe Initial | 200.000 € |
Jährliche Folgekosten (ab Jahr 2):
| Position | Kosten |
|---|---|
| Information Security Officer (0,5 VZÄ) | 50.000 € |
| Interne Mitarbeit | 20.000 € |
| Tooling-Lizenzen (EDR, Asset-Management, MFA) | 25.000 € |
| Pen-Test (jährlich) | 18.000 € |
| Externe Beratung (Begleitung, Audits) | 12.000 € |
| Schulungen | 8.000 € |
| Puffer (10 %) | 13.000 € |
| Summe pro Jahr | 146.000 € |
Diese Werte sind realistische Mittelwerte für ein 50-MA-Unternehmen mit mittlerem Cyber-Reifegrad. Wer schon ISO-zertifiziert ist, kann die Initial-Investition halbieren. Wer in einem komplexeren Sektor agiert (Gesundheit, OT-Umgebung), muss 30-50 % mehr einplanen.
Wo gespart werden kann — und wo nicht
Sinnvolle Spar-Hebel:
- Outsourcing der Schulungen — externe E-Learning-Plattformen kosten 30-60 €/Nutzer/Jahr und decken die Pflicht-Schulung ab
- Open-Source-Tools für Inventar, Schwachstellen-Scanning, Log-Management — höherer Konfigurations-Aufwand, aber spürbare Lizenz-Einsparung
- Konsortien und Branchen-Initiativen — gemeinsame Pen-Tests, gemeinsame Beratungs-Beauftragung in Branchen-Verbänden
- Bestehende Cloud-Sicherheits-Features nutzen — Microsoft 365 E5 oder Google Workspace Enterprise enthalten viele Funktionen, die separat 15.000-30.000 € kosten würden
Wo das Sparen teuer wird:
- Information Security Officer einsparen und alles über die IT-Abteilung laufen lassen — IT ist nicht IT-Sicherheit, die Rollen brauchen Trennung
- Externe Beratung komplett vermeiden — KMU haben oft keine Erfahrung mit regulatorischer Compliance, die Lernkurve ist teuer
- Pen-Tests aussetzen — wenn die Aufsicht Nachweis verlangt, ist Nachholen unter Zeitdruck teurer
- Geschäftsleitungs-Schulung als „nice-to-have" einstufen — Art. 20 NIS2 ist explizit, hier drohen direkte persönliche Sanktionen
Praxis: Budget-Planung
in einer Woche
Erste Budget-Schätzung in einer Woche: (1) Sektor-Klassifikation + Bestands-Audit der bestehenden Sicherheits-Maßnahmen (4h Workshop), (2) Externe Beratung für Gap-Analyse — Angebote von 3 Anbietern einholen (4h Eigen-Aufwand, Antworten kommen in 2-3 Wochen), (3) Vorhandene Tooling-Lizenzen prüfen — Microsoft 365 / Google Workspace Premium kann viel abdecken (3h), (4) Erste Budget-Range an Geschäftsleitung kommunizieren (2h Präsentation). In einer Woche ist die Investitions-Entscheidung vorbereitet.
Budget-Strategie:
- Bestandsaufnahme ehrlich durchführen — was ist da, was fehlt
- Gap-Analyse extern beauftragen für unabhängige Sicht
- Roadmap mit Prioritäten — Quick-Wins zuerst (Asset-Inventar, MFA, Schulungen), Investitions-intensive Maßnahmen (SIEM, EDR) verteilt
- 3-Jahres-Plan — Initial-Investition + 2 Folgejahre für Skalierung und Reifegrad-Aufbau
- Risikobudget einplanen — Vorfälle passieren auch in NIS2-konformen Unternehmen, Versicherung + Notfall-Beratungs-Retainer
FAQ
Sind die NIS2-Kosten von der Steuer absetzbar?
Ja, NIS2-Compliance-Kosten sind Betriebsausgaben und voll steuerlich abzugsfähig. Investitionen in Hardware und Software sind über die jeweilige AfA-Dauer abzuschreiben (typisch 3-5 Jahre). Externe Beratung und Schulungen sind sofort als Aufwand zu erfassen. Die effektive Belastung nach Steuer liegt bei einem 30-%-Steuersatz also bei etwa 70 % der Brutto-Aufwendungen.
Gibt es Förderprogramme?
Ja, mehrere Programme können NIS2-Investitionen mit-finanzieren. Auf Bundesebene gibt es Förderungen für Digitalisierungs- und Sicherheits-Maßnahmen über das BAFA und KfW. Länder haben eigene Programme (z.B. Digital Jetzt, Mittelstand-Digital). Branchen-Verbände unterstützen teilweise mit Beratungs-Gutscheinen. Die Förder-Quote liegt typisch bei 30-50 % der förderfähigen Kosten.
Lohnt sich die Eigenpflege oder besser ein Managed Service?
Für 50-MA-Unternehmen ist ein Hybrid-Modell oft am besten: interner Information Security Officer mit ergänzendem Managed Detection & Response (MDR) Service. Reine Eigenpflege überfordert KMU bei 24/7-Anforderungen. Reines Outsourcing schwächt die interne Steuerungsfähigkeit. Mischung mit interner Verantwortung + externer Operations ist Markt-Standard.
Was kostet ein erfolgreicher Vorfall im Vergleich?
Markt-Studien (Bitkom, BSI, ENISA) zeigen: ein erfolgreicher Ransomware-Angriff im deutschen Mittelstand kostet durchschnittlich 150.000-500.000 €, in schweren Fällen weit über 1 Mio. €. Hinzu kommen Reputations-Schäden und mögliche Bußgelder bei NIS2-Verstößen. Im Vergleich ist die jährliche NIS2-Investition von 100.000-150.000 € sehr günstige Risiko-Versicherung.
Wie skaliert der Aufwand mit Unternehmensgröße?
Grobe Faustregel: bei 100 MA verdoppelt sich der Aufwand nicht — die fixen Anteile (ISMS, Tooling, Beratung) bleiben ähnlich, nur die variablen Anteile (Schulungen, Endpoints) skalieren. Bei 200 MA liegt der Aufwand etwa beim 1,5-Fachen eines 50-MA-Unternehmens. Erst bei 500+ MA verdoppelt er sich. NIS2 ist damit relativ KMU-freundlich kalibriert — die Pflichten skalieren nicht linear mit der Belegschafts-Größe.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 29. Juni 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
ISO-27001-Zertifizierung: was kostet das wirklich?
Personal, Beratung, Audit, Tooling — die ehrlichen Kosten einer ISO-27001-Zertifizierung für KMU mit 50-250 MA. Stand: 2026-05-16.
Wie Incident-Handling im KMU realistisch aussieht
Detection-Eindämmung-Wiederherstellung ohne 24/7-SOC. Welche Tools für 50-200 Mitarbeitende reichen, welche Templates helfen und wie Tabletop-Übungen aussehen.
Cybersicherheits-Hygiene nach NIS2: Was reicht für KMU?
Art. 21 Abs. 2 Lit. g NIS2 fordert grundlegende Cybersicherheits-Hygiene. Was Patch, Awareness, MFA und Backups konkret leisten müssen — KMU-tauglich erklärt.