NIS2 für 30-Mitarbeiter-Firma: Was reicht uns wirklich?

Die Frage „Was reicht?" lässt sich für ein Unternehmen mit 30 Mitarbeitenden nicht generisch beantworten. Maßgeblich sind Sektor, Rolle in der Lieferkette und das individuelle Risikoprofil. Dieser Beitrag ordnet die rechtlichen Schwellen ein und beschreibt einen verbreiteten Aufbau-Rahmen — ohne pauschale Entwarnung.

Welche regulatorischen Vorgaben sind einschlägig?

Die Richtlinie (EU) 2022/2555 (NIS2) unterscheidet in Art. 2 zwei Hauptkategorien adressierter Einrichtungen:

• Wesentliche Einrichtungen: Unternehmen mit mehr als 250 Mitarbeitenden oder über 50 Mio. € Jahresumsatz in einem hochkritischen Sektor nach Anhang I (Energie, Verkehr, Banken, Finanzmarkt-Infrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsverwaltung, öffentliche Verwaltung, Weltraum).
• Wichtige Einrichtungen: Unternehmen mit 50-250 Mitarbeitenden oder 10-50 Mio. € Umsatz in einem kritischen Sektor nach Anhang II (Post, Abfall, Chemie, Lebensmittel, Maschinenbau, Kraftfahrzeuge, IT-Dienstleister, Forschung, digitale Anbieter).

Detail

Daneben existieren Sonderregeln ohne Größenschwellen (Art. 2 Abs. 2 NIS2): Vertrauensdiensteanbieter nach eIDAS-Verordnung, DNS-Service-Anbieter, TLD-Registrys, qualifizierte Managed-Security-Service-Provider, Anbieter öffentlicher elektronischer Kommunikationsnetze und weitere Einrichtungen sind unabhängig von der Mitarbeitendenzahl einbezogen.

Die KMU-Definition aus Empfehlung 2003/361/EG (Mitarbeitende, Umsatz, Bilanzsumme) ist Referenz für die Schwellwerte, wird aber durch die genannten Sonderregeln durchbrochen.

Welche Konstellation passt zu deinem Unternehmen mit 30 Mitarbeitenden?

Sofern keine Sektor-Sonderregel greift, liegt das Unternehmen mit 30 Mitarbeitenden in der Regel unterhalb der direkten NIS2-Schwellwerte. Daraus folgt nicht, dass das Thema irrelevant wäre — folgende Konstellationen sind in der Praxis typisch:

Detail

• B2B-Lieferant pflichtiger Einrichtungen: Lieferanten-Anforderungen kommen über Vertragsklauseln und Fragebögen herein (Art. 21 Abs. 2 lit. d NIS2). Erste Konzerne versenden entsprechende Fragebögen seit Q3 2025; die Reaktionsfristen liegen häufig im 14-Tage-Bereich.
• Sektor-Sonderregel anwendbar: Bei eIDAS-, DNS-, TLD-, MSSP- oder vergleichbarer Tätigkeit greift die NIS2-Pflicht unabhängig von der Größe — eine Einzelfallprüfung ist zwingend.
• Konzern-Verflechtung: Bei Konzern-Zugehörigkeit kann die NIS2-Bewertung über die wirtschaftliche Einheit erfolgen; die Mitarbeitenden-Schwelle gilt dann ggf. konsolidiert (siehe Empfehlung 2003/361/EG zur Berücksichtigung verbundener Unternehmen).
• Keine der genannten Konstellationen: Direkte NIS2-Pflicht ist unwahrscheinlich. Eine regelmäßige Re-Evaluation (mindestens jährlich oder bei wesentlichen Veränderungen) ist gleichwohl empfehlenswert.

Welcher Aufbau-Rahmen ist verbreitet?

Sofern weder eine direkte NIS2-Pflicht noch eine durchsetzbare Lieferanten-Anforderung vorliegt, orientieren sich KMU-Sicherheitskonzepte häufig am BSI IT-Grundschutz, insbesondere an den Basis-Bausteinen ORP.1 (Organisation), SYS.1.1 (Allgemeiner Server), CON.3 (Datensicherungskonzept) und DER.2.1 (Behandlung von Sicherheitsvorfällen). Verbreitete Bausteine in dieser Konstellation:

Detail

• Asset-Inventar: Strukturierte Erfassung aller IT-Systeme, Cloud-Services und verarbeiteten Datenkategorien. Der BSI-Grundschutz-Baustein OPS.1.2.4 (Outsourcing) gibt hierzu strukturelle Anhaltspunkte. Der typische Erstaufwand beträgt 0,5-2 Personentage, abhängig von der IT-Komplexität.
• Multi-Faktor-Authentifizierung (MFA): Für administrative Zugänge und kritische Anwendungen gilt MFA als Stand der Technik (siehe BSI-Empfehlung sowie Art. 32 DSGVO). Die konkrete Ausgestaltung (Authenticator-App, Hardware-Token) hängt vom Risikoprofil ab.
• Backup-Konzept: Eine dokumentierte Sicherungsstrategie mit definierten Wiederherstellungszielen (RTO/RPO) und regelmäßigen Restore-Tests gilt nach BSI-Baustein CON.3 als Mindeststandard. Die häufig zitierte 3-2-1-Strategie ist ein verbreiteter Orientierungswert — die tatsächliche Ausgestaltung muss zum Risikoprofil passen.
• Vorfall-Behandlung: Ein dokumentiertes Vorgehen für die Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen (BSI-Baustein DER.2.1) sowie eine Meldekette zur Geschäftsleitung. Bei NIS2-Pflicht kommen die spezifischen Meldefristen (24h Frühwarnung, 72h Erstmeldung, 1 Monat Abschlussbericht) nach Art. 23 NIS2 hinzu.

Diese Bausteine sind kein Pauschal-Programm und kein Schutz vor regulatorischer Pflicht. Sie bilden einen anerkannten Orientierungsrahmen, dessen konkrete Tiefe vom Sektor, von der Datenkategorie und vom Risikoprofil abhängt.

Welche Konstellationen erfordern abweichendes Vorgehen?

Der hier beschriebene Orientierungsrahmen ist nicht ausreichend, sofern eine der folgenden Konstellationen vorliegt:

• Vertrauensdiensteanbieter, DNS-/TLD-Dienste, qualifizierte MSSP, öffentliche Telekommunikationsnetze (Art. 2 Abs. 2 NIS2): Es gilt die volle NIS2-Pflicht; ein KMU-Basis-Rahmen genügt regulatorisch nicht.
• Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, etc.): Die Sicherheitsanforderungen nach Art. 32 DSGVO sind sektoral verschärft; zusätzlich greifen sektorspezifische Vorgaben (z.B. § 75c SGB V bei Leistungserbringern im Gesundheitswesen).

Detail

• KRITIS-Status nach BSI-Kritisverordnung: Bei Erfüllung der KRITIS-Schwellwerte gelten parallel die Anforderungen nach § 8a BSIG; Audit-Pflichten und Nachweisformate sind regulatorisch festgelegt.
• Konzern-Zugehörigkeit mit Schwellwert-Überschreitung im Verbund: Bei wirtschaftlicher Einheit mit weiteren Gesellschaften kann die NIS2-Schwelle konsolidiert überschritten sein.
• Aktive Lieferantenbeziehung zu pflichtiger Einrichtung mit dokumentationspflichtigen Anforderungen: Vertragliche Verpflichtungen können einzelne Maßnahmen (z.B. ISO-27001-Zertifizierung oder TISAX-Label) ausdrücklich vorschreiben — der hier skizzierte Rahmen genügt dann ggf. nicht.

In diesen Konstellationen ist eine qualifizierte Einzelfall-Prüfung durch IT-Sicherheits- oder Rechtsberatung mit NIS2-Erfahrung dringend angezeigt.

Nächster Schritt

Eine erste strukturierte Einordnung liefert der NIS2-Scope-Check. Er ersetzt keine rechtliche Bewertung, gibt aber einen dokumentierbaren Ausgangspunkt für die weitere Abstimmung mit interner IT, externer IT-Beratung oder Rechtsberatung.

Bei Unsicherheit hinsichtlich Sektor-Einordnung, Lieferanten-Exposure oder Konzern-Verflechtung empfiehlt sich eine Einzelfall-Prüfung durch eine auf IT-Sicherheits- und Datenschutzrecht spezialisierte Beratung oder Anwaltskanzlei. Die hier dargestellten Informationen sind redaktionell aufbereitet und ersetzen keine Rechtsberatung.

Weiterführender Hintergrund zu typischen Lieferanten-Pflichten: Bin ich indirekt betroffen? Lieferanten-Pflichten unter NIS2.