NIS2 Tools-Stack: Was reicht für KMU?
Welche Software-Kategorien sind für die NIS2-Mindestmaßnahmen in KMU relevant? Endpoint-Schutz, MFA, Backup, Monitoring, Awareness — Aufbau-Rahmen mit Kostenspanne und Grenzen, abhängig von Sektor und Größe.
ComplyCheck-Redaktion · Stand: 2026-06-23
NIS2 Tools-Stack: Was reicht für KMU?
Die Formulierung „Was reicht?" greift für eine seriöse Bewertung zu kurz. Maßgeblich für die Auswahl eines Tool-Stacks sind Sektor, Schutzbedarf, IT-Architektur und das Risikoprofil. Dieser Beitrag beschreibt einen in KMU verbreiteten Aufbau-Rahmen entlang der NIS2-Mindestmaßnahmen — ohne Empfehlung einzelner Produkte als pauschalen Mindeststandard.
Diese Einordnung ist eine pauschale Orientierung auf Basis öffentlicher Quellen. Sie ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung. Die konkrete Tool-Auswahl muss zum individuellen Risikoprofil, zum Sektor und zur IT-Architektur passen. Genannte Produktnamen sind nicht als Empfehlung, sondern als Markt-Beispiele zu lesen.
Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.
Welche regulatorischen Vorgaben sind einschlägig?
Art. 21 Abs. 2 NIS2 enthält den nicht-abschließenden Katalog der Mindestmaßnahmen. Tool-relevant sind insbesondere:
- lit. b: Bewältigung von Sicherheitsvorfällen — verlangt Erkennungs- und Reaktionsfähigkeit (Endpoint-Detection, Logging).
- lit. c: Geschäftskontinuität, Backup-Management und Krisenmanagement.
Detail
- lit. e: Sicherheit beim Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (Schwachstellen-Management).
- lit. f: Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen.
- lit. g: grundlegende Verfahren der Cyber-Hygiene und Cybersicherheits-Schulungen.
- lit. h: Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung.
- lit. i: Sicherheit des Personals, Zugriffskontrolle und Asset-Management.
- lit. j: Einsatz von Multi-Faktor-Authentifizierung und sicherer Sprach-, Video- und Textkommunikation.
Der BSI IT-Grundschutz strukturiert die technische Umsetzung in den Bausteinen SYS (Systeme), NET (Netze), DER (Detektion und Reaktion) und ORP (Organisation und Personal). Art. 32 DSGVO ergänzt für personenbezogene Verarbeitungen die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit.
Welche Konstellation passt zu deinem Unternehmen?
Die angemessene Tool-Tiefe hängt vom regulatorischen und technischen Profil ab:
- Wesentliche Einrichtung in einem Anhang-I-Sektor: Eine erweiterte Detektions- und Reaktions-Tiefe (SIEM, ggf. SOC-Anbindung, Threat-Intelligence) ist regelmäßig einschlägig.
- Wichtige Einrichtung mit überschaubarer IT-Landschaft: Ein modularer Stack auf Basis verbreiteter Endpoint- und Cloud-Sicherheits-Produkte deckt viele der Anforderungen ab; die Wirksamkeitsbewertung nach Art. 21 Abs. 2 lit. f NIS2 ist gesondert zu strukturieren.
Detail
- Mischflotte (Windows, macOS, Linux, mobile Geräte): Plattform-unabhängige Lösungen sind häufig pragmatischer als Microsoft- oder Apple-zentrierte Produkte.
- Microsoft-365-zentriertes Setup ohne Spezial-Anforderungen: Die in Microsoft 365 Business Premium und in den Defender-Produkten enthaltenen Sicherheits-Funktionen decken eine Teilmenge der Maßnahmen ab — die konkrete Abdeckungsquote hängt von Konfiguration und tatsächlicher Nutzung ab.
- Industrie-Setup mit OT-/ICS-Komponenten: Spezifische OT-Sicherheits-Tools (z.B. Asset-Discovery für Steuerungstechnik) sind regelmäßig zusätzlich erforderlich; reine IT-Tools decken OT nicht vollständig ab.
Welcher Aufbau-Rahmen ist verbreitet?
In einer KMU-Konstellation ohne sektorale Verschärfung sind die folgenden Kategorien verbreitet — jeweils mit Markt-Beispielen, nicht als Pauschal-Empfehlung:
Endpoint-Schutz mit Detection-Funktion (EDR): Klassische signaturbasierte Antivirus-Lösungen genügen den Anforderungen aus Art. 21 Abs. 2 lit. b NIS2 typischerweise nicht. Verbreitet sind Microsoft Defender for Endpoint (im M365-Stack enthalten), Sophos Intercept X, Crowdstrike Falcon oder vergleichbare Lösungen. Auswahl abhängig von Plattform-Mix, vorhandenem Management-Aufwand und Reporting-Anforderungen. Preisspanne: 5-15 €/Mitarbeitenden/Monat.
Detail
Identity-Management mit Multi-Faktor-Authentifizierung (MFA): MFA für administrative und kritische Zugänge ist nach Art. 21 Abs. 2 lit. j NIS2 ausdrücklich genannt. In Microsoft 365 und Google Workspace ist MFA enthalten — die effektive Nutzung setzt eine entsprechende Conditional-Access- oder Context-Aware-Access-Konfiguration voraus. Für komplexere Berechtigungsstrukturen werden eigenständige IAM-Lösungen wie Okta, JumpCloud, Microsoft Entra ID oder vergleichbare eingesetzt. Push- oder TOTP-basierte Authenticator-Verfahren sind nach aktuellem Stand der Technik den SMS-basierten Verfahren vorzuziehen (NIST SP 800-63B).
Backup mit Restore-Verifikation: Nach Art. 21 Abs. 2 lit. c NIS2 und BSI-Baustein CON.3 ist ein dokumentiertes Sicherungskonzept mit definierten Wiederherstellungszielen (RTO/RPO) erforderlich. Verbreitete Markt-Lösungen: Veeam, Acronis Cyber Protect, Synology Active Backup, Microsoft 365 Backup-Lösungen Dritter — die Auswahl hängt von Datenvolumen, RPO und Aufbewahrungsanforderungen ab. Eine regelmäßige Restore-Verifikation (Stichprobe) ist methodisch erforderlich, nicht optional.
Logging und Monitoring: Die Wirksamkeitsbewertung nach Art. 21 Abs. 2 lit. f NIS2 setzt eine strukturierte Auswertungs-Grundlage voraus. In KMU-Konstellationen ist das häufig eine Kombination aus den Logs der eingesetzten EDR-Lösung und den zentralen Audit-Logs der Cloud-Plattformen (z.B. Microsoft Purview, Google Workspace Audit). Volle SIEM-Lösungen (Microsoft Sentinel, Splunk, Elastic, Crowdstrike LogScale) rechnen sich regelmäßig erst ab größeren Strukturen oder bei sektoraler Pflicht.
Awareness-Trainingsstruktur: Schulungspflichten nach Art. 20 Abs. 2 und Art. 21 Abs. 2 lit. g NIS2 verlangen eine strukturierte und nachweisbare Schulungs-Praxis. Markt-Lösungen wie Hornetsecurity Security Awareness Service, KnowBe4, Sophos Phish Threat oder vergleichbare Plattformen kombinieren E-Learning mit simulierten Phishing-Tests. Die Teilnahme- und Erfolgsquoten sind dokumentationspflichtig.
Welche Konstellationen erfordern abweichendes Vorgehen?
Der hier beschriebene Aufbau-Rahmen ist nicht ausreichend, sofern eine der folgenden Konstellationen vorliegt:
- KRITIS-Betreiber nach BSI-Kritisverordnung: Die Audit-Anforderungen nach § 8a BSIG verlangen typischerweise erweiterte Detektions- und Nachweisstrukturen, einschließlich SIEM-Funktionalität und ggf. SOC-Anbindung.
- Hochkritische Sektoren mit OT/ICS-Anteilen (Energie, Wasser, Industriesteuerungs-relevante Maschinenbau-Anwendungen): Reine IT-Sicherheits-Tools decken die OT-Sicherheit nicht vollständig ab; sektorspezifische Lösungen sind regelmäßig zusätzlich erforderlich.
Detail
- Finanzwesen unter DORA: DORA-Anforderungen (insb. Art. 6-15) überlagern die NIS2-Vorgaben für ICT-Risikomanagement und verlangen spezifische Strukturen.
- Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO: Verschärfte Verschlüsselungs- und Zugriffskontrolle-Anforderungen können über den Standard-KMU-Stack hinausgehen.
- Konzern-Einbindung mit zentralisiertem Security-Operations-Modell: Eine eigenständige KMU-Stack-Auswahl ist dann typischerweise nicht zweckmäßig; die Konzern-Vorgaben sind maßgeblich.
Nächster Schritt
Eine erste Einordnung des voraussichtlichen Pflichten-Umfangs liefert der NIS2-Scope-Check. Daraus ergibt sich die angemessene Stack-Tiefe und die Priorisierung der einzelnen Tool-Kategorien.
Für die konkrete Produktauswahl, insbesondere bei sektorspezifischen Anforderungen, ist eine begleitende Beratung durch eine spezialisierte IT-Sicherheits-Beratung oder einen qualifizierten IT-Dienstleister regelmäßig sinnvoll. Die hier dargestellten Produkt-Beispiele sind redaktionell aufbereitet und ersetzen keine produktbezogene Eignungsprüfung.
Hintergrund zu den 11 Pflicht-Bausteinen: NIS2 Mindestmaßnahmen — die 11 Pflichten kompakt.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 23. Juni 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
NIS2 Quick-Check: 10 Fragen in 30 Minuten
Erste strukturierte NIS2-Selbst-Bewertung anhand von 10 Leitfragen. Typischer Aufwand 30-60 Minuten, abhängig von Vorwissen und Komplexität. Keine Rechtsberatung.
NIS2 für Familienunternehmen: Was ist anders?
Familienunternehmen und NIS2: Verantwortung der Leitungsorgane bei mehrstufigen Strukturen, Generationswechsel, Asset-/Share-Deals, Fördermöglichkeiten. Strukturfragen abhängig von Gesellschafterkreis und Sektor.
NIS2 selbst machen vs. Berater: Was lohnt sich?
NIS2 intern stemmen oder beratungsgestützt umsetzen? Kosten-Rahmen je nach Sektor und Größe, Hybrid-Pfad, Hinweise zu unzulässigen NIS2-Zertifikat-Angeboten.