Zum Inhalt springen
Home » NIS2 Mittelstand: Was gilt für kleine und mittlere Unternehmen?

NIS2 Mittelstand: Was gilt für kleine und mittlere Unternehmen?

NIS2 Mittelstand: Was gilt für kleine und mittlere Unternehmen?

Viele mittelständische Unternehmen stellen sich bei NIS2 dieselbe Frage: Gilt das wirklich für uns – oder nur für große Konzerne, Energieversorger und Krankenhäuser?

Die Antwort ist für den Mittelstand besonders schwierig. NIS2 betrifft nicht automatisch jedes kleine oder mittlere Unternehmen. Gleichzeitig können aber viele Mittelständler erstmals unter verbindliche Cybersicherheits-, Melde- und Organisationspflichten fallen.

Entscheidend sind nicht nur Branche und Mitarbeiterzahl. Relevant sind vor allem die konkrete Tätigkeit, der Sektor, Umsatz, Bilanzsumme, mögliche Sonderrollen und die Einordnung als wichtige Einrichtung oder besonders wichtige Einrichtung.

Dieser Beitrag ist Teil unserer NIS2-Beitragsreihe. Einen allgemeinen Überblick über Rechtslage, Pflichten, Fristen und Umsetzung finden Sie im Hauptbeitrag NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen. Wenn Sie zunächst klären möchten, ob Ihr Unternehmen überhaupt betroffen ist, lesen Sie den Beitrag Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen.

NIS2-Beratung für Unternehmen

Unsicher, ob Ihr Unternehmen NIS2-betroffen ist?

Lassen Sie Ihre Betroffenheit prüfen und erhalten Sie eine klare Einschätzung zu Pflichten, Fristen und nächsten Schritten.

NIS2-Betroffenheit prüfen lassen Unverbindlich · Persönliche Ersteinschätzung

Das Wichtigste in Kürze

  • NIS2 betrifft nicht automatisch jedes KMU. Kleine Unternehmen sind häufig nicht direkt erfasst, müssen aber Umsatz, Bilanzsumme, Sonderfälle und Kundenanforderungen prüfen.
  • Die Mitarbeiterzahl allein reicht nicht aus. Ein Unternehmen mit weniger als 50 Mitarbeitenden kann trotzdem relevant werden, wenn wirtschaftliche Schwellenwerte überschritten werden oder eine Sonderrolle vorliegt.
  • Mittlere Unternehmen sind die zentrale Prüfgruppe. Wer relevante Tätigkeiten ausübt und Größenwerte erreicht, kann als wichtige Einrichtung unter NIS2 fallen.
  • Mittelstand ist nicht gleich KMU. Ein familiengeführtes Unternehmen kann wirtschaftlich Mittelstand sein, rechtlich aber bereits als großes Unternehmen gelten.
  • Die Kategorie entscheidet über die nächsten Schritte. Besonders wichtig ist die Abgrenzung zwischen wichtiger und besonders wichtiger Einrichtung.
  • Indirekte Betroffenheit wird oft unterschätzt. Auch nicht direkt regulierte Zulieferer oder Dienstleister können über Kunden, Verträge und Lieferketten unter Druck geraten.
  • Der erste Schritt ist keine Maßnahmenliste, sondern die Einordnung. Erst wenn klar ist, ob und wie ein Unternehmen betroffen ist, lassen sich Registrierung, Meldepflichten, Haftungsfragen und Umsetzung sinnvoll planen.
  •  

Warum ist NIS2 gerade für den Mittelstand so relevant?

Viele mittelständische Unternehmen waren bisher nicht als Kritische Infrastruktur reguliert. Sie hatten keine formale BSI-Registrierung, keine gesetzlich vorgegebenen Meldewege und oft auch kein vollständig dokumentiertes Informationssicherheits-Managementsystem.

Genau deshalb trifft NIS2 den Mittelstand an einer empfindlichen Stelle: Die Anforderungen sind verbindlicher geworden, aber die internen Strukturen sind häufig noch nicht darauf ausgelegt.

Typische Ausgangslagen im Mittelstand sind:

  • gewachsene IT-Landschaften ohne vollständige Dokumentation
  • starke Abhängigkeit von einzelnen IT-Dienstleistern
  • keine eigene Rechts- oder Compliance-Abteilung
  • begrenzte Ressourcen in IT und Informationssicherheit
  • hohe Abhängigkeit von Produktionssystemen, Lieferketten oder digitalen Prozessen
  • Geschäftsführung und IT-Leitung sind operativ stark eingebunden
  • Unsicherheit, ob man direkt betroffen, indirekt betroffen oder gar nicht betroffen ist

Für mittelständische Unternehmen ist deshalb nicht nur die technische Umsetzung relevant. Entscheidend ist zunächst eine saubere Einordnung: Welche Rolle hat das Unternehmen nach NIS2?

Mittelstand ist nicht gleich KMU

Im Alltag werden „Mittelstand“ und „KMU“ oft gleich verwendet. Für NIS2 ist diese Gleichsetzung riskant.

Ein Unternehmen kann wirtschaftlich eindeutig zum Mittelstand gehören, rechtlich aber nicht mehr als kleines oder mittleres Unternehmen gelten. Das betrifft zum Beispiel familiengeführte Industrieunternehmen mit mehreren hundert Beschäftigten, Unternehmensgruppen mit mehreren Gesellschaften oder spezialisierte Hersteller mit hohem Umsatz.

Für die NIS2-Prüfung sollten Mittelständler deshalb drei Gruppen unterscheiden:

Unternehmenstyp Typische NIS2-Relevanz
Kleines Unternehmen meist nicht direkt betroffen, aber Umsatz, Bilanzsumme, Sonderfälle und indirekte Anforderungen müssen geprüft werden
Mittleres Unternehmen zentrale Prüfgruppe für eine mögliche Einstufung als wichtige Einrichtung
Großer Mittelständler je nach Tätigkeit und Sektor mögliche Einstufung als besonders wichtige Einrichtung

Der Begriff „Mittelstand“ schützt also nicht vor NIS2. Entscheidend ist, ob das Unternehmen nach Tätigkeit, Sektor, Größe, Umsatz, Bilanzsumme oder Sonderrolle in den gesetzlichen Anwendungsbereich fällt.

Gilt NIS2 für kleine Unternehmen?

Kleine Unternehmen sind in vielen Fällen nicht direkt NIS2-pflichtig. Eine Entwarnung allein wegen einer Mitarbeiterzahl unter 50 wäre aber zu kurz gegriffen.

Für die Einordnung zählt nicht nur die Beschäftigtenzahl, sondern auch die wirtschaftliche Größe. Nach der üblichen KMU-Logik gilt ein kleines Unternehmen nur dann als klein, wenn es weniger als 50 Mitarbeitende hat und zugleich die maßgeblichen Umsatz- beziehungsweise Bilanzsummengrenzen nicht überschreitet.

Für die NIS2-Prüfung bedeutet das:

  • Ein Unternehmen mit weniger als 50 Mitarbeitenden ist nicht automatisch ausgenommen.
  • Umsatz und Bilanzsumme müssen mitgeprüft werden.
  • Sonderrollen können unabhängig von der klassischen Größenlogik relevant sein.
  • Auch nicht direkt betroffene Unternehmen können über Kunden und Lieferketten Anforderungen erhalten.

Ein kleines Unternehmen sollte daher genauer hinsehen, wenn es:

  • IT- oder Sicherheitsdienstleistungen für regulierte Kunden erbringt
  • digitale Infrastruktur bereitstellt
  • als Zulieferer in kritischen Lieferketten tätig ist
  • zentrale Leistungen für eine Unternehmensgruppe übernimmt
  • vertraglich zu Sicherheitsnachweisen verpflichtet wird
  • von Kunden nach NIS2-Anforderungen, Incident-Prozessen oder Sicherheitsmaßnahmen gefragt wird

In solchen Fällen liegt nicht zwingend eine direkte gesetzliche Betroffenheit vor. Praktisch kann NIS2 aber trotzdem relevant werden, weil Kunden, Versicherer, Banken oder Auftraggeber höhere Sicherheitsanforderungen stellen.

Mehr zur eigentlichen Frage „Sind wir betroffen?“ finden Sie im Beitrag Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen.

Sonderfälle: Wann auch kleine Unternehmen direkt betroffen sein können

Die Aussage „kleine Unternehmen sind meist nicht direkt betroffen“ gilt nicht uneingeschränkt. Bestimmte Einrichtungen können unabhängig von der klassischen Größenlogik direkt unter NIS2 fallen.

Das ist besonders wichtig für kleinere IT-, Telekommunikations- und Infrastrukturanbieter. Gerade diese Unternehmen schauen häufig nur auf die Mitarbeiterzahl und übersehen, dass ihre konkrete Rolle entscheidend sein kann.

Zu den besonders relevanten Sonderfällen gehören unter anderem:

  • qualifizierte Vertrauensdiensteanbieter
  • Top-Level-Domain-Name-Registries
  • DNS-Diensteanbieter
  • Anbieter öffentlich zugänglicher Telekommunikationsdienste
  • Betreiber öffentlicher Telekommunikationsnetze
  • Einrichtungen mit besonderer Bedeutung oder Alleinstellung in einem Mitgliedstaat
  • Betreiber kritischer Anlagen oder besonders relevanter digitaler Infrastruktur

Für kleine Unternehmen bedeutet das: Wer eine solche Rolle ausübt, sollte die NIS2-Betroffenheit nicht allein anhand der Mitarbeiterzahl prüfen. Entscheidend ist dann, welche konkrete Dienstleistung erbracht wird und ob diese Dienstleistung unter eine Sonderregel fällt.

Gilt NIS2 für mittlere Unternehmen?

Mittlere Unternehmen sind für NIS2 besonders relevant. Viele erreichen die Größenwerte, ab denen eine Einordnung als wichtige Einrichtung möglich wird, waren bisher aber nicht als KRITIS-Betreiber im Blick.

Besonders häufig prüfen sollten mittelständische Unternehmen aus Bereichen wie:

  • Maschinenbau
  • Fahrzeugbau und Zulieferindustrie
  • Elektrotechnik und Elektronik
  • Herstellung von Medizinprodukten
  • Lebensmittelproduktion und -verarbeitung
  • Chemie und Herstellung chemischer Stoffe
  • Trinkwasser
  • Abwasserwirtschaft
  • Abfallwirtschaft
  • Logistik und Transport
  • IT-Dienstleistungen
  • Managed Services und Managed Security Services
  • Cloud-, Rechenzentrums- oder Plattformleistungen
  • Forschung und Entwicklung in relevanten Bereichen

Wichtig ist: Nicht die allgemeine Branchenbezeichnung entscheidet allein. Maßgeblich ist die konkrete Tätigkeit.

Ein Maschinenbauer ist nicht automatisch NIS2-pflichtig, nur weil er Maschinen herstellt. Ein IT-Dienstleister ist nicht automatisch betroffen, nur weil er IT betreibt. Aber beide können in den Anwendungsbereich fallen, wenn Tätigkeit, Sektor, Größe, Umsatz, Bilanzsumme oder Sonderrolle zusammenkommen.

Wichtige Einrichtung oder besonders wichtige Einrichtung?

Für den Mittelstand ist die Unterscheidung zwischen wichtiger Einrichtung und besonders wichtiger Einrichtungzentral. Sie entscheidet, wie das Unternehmen regulatorisch eingeordnet wird und welche Risiken bei Aufsicht, Nachweisen, Bußgeldern und Geschäftsleitungsverantwortung entstehen.

Kategorie Typischer Mittelstandsfall Bedeutung
Wichtige Einrichtung mittleres Unternehmen in einem relevanten Sektor NIS2-Pflichten gelten; Einordnung, Registrierung, Meldewege, Risikomanagement und Dokumentation müssen aufgebaut werden
Besonders wichtige Einrichtung größerer Mittelständler, kritische Anlage oder besonders relevante digitale/infrastrukturelle Rolle höheres Aufsichts- und Sanktionsrisiko; Geschäftsleitung und Nachweisdokumentation besonders wichtig
Nicht direkt betroffen kleines Unternehmen ohne relevante Tätigkeit, wirtschaftliche Schwellenüberschreitung oder Sonderfall keine unmittelbare NIS2-Pflicht, aber mögliche Anforderungen über Kunden, Konzern oder Lieferkette

Gerade große Mittelständler unterschätzen diesen Punkt. Ein Unternehmen kann sich selbst als mittelständisch verstehen und trotzdem in eine Kategorie fallen, die nach NIS2 deutlich strengere Anforderungen auslöst.

Die konkrete Einstufung sollte dokumentiert werden. Das gilt nicht nur, wenn ein Unternehmen betroffen ist, sondern auch dann, wenn es zu dem Ergebnis kommt, wahrscheinlich nicht direkt betroffen zu sein.

Typische Mittelstandsbeispiele

Beispiel 1: Kleiner Produktionsbetrieb mit 35 Mitarbeitenden

Ein kleiner Produktionsbetrieb mit 35 Mitarbeitenden ist nicht allein wegen seiner Mitarbeiterzahl aus NIS2 heraus. Zusätzlich müssen Umsatz, Bilanzsumme, konkrete Tätigkeit und mögliche Sonderrollen betrachtet werden.

Liegt das Unternehmen unterhalb der maßgeblichen Größenwerte und gibt es keine Sonderrolle, ist es häufig nicht direkt NIS2-pflichtig. Trotzdem kann NIS2 relevant werden, wenn regulierte Kunden Sicherheitsnachweise, Notfallkonzepte oder vertragliche Zusicherungen verlangen.

Praxisfolge: häufig keine direkte Registrierungspflicht, aber mögliche indirekte Anforderungen über Kunden und Lieferketten.


Beispiel 2: Maschinenbauer mit 120 Mitarbeitenden

Ein Maschinenbauer mit 120 Mitarbeitenden sollte die NIS2-Betroffenheit strukturiert prüfen. Entscheidend ist, ob seine konkrete Tätigkeit einer relevanten Einrichtungsart zugeordnet werden kann und ob die Größenwerte erreicht werden.

Praxisfolge: mögliche Einstufung als wichtige Einrichtung, wenn Tätigkeit, Sektor und Größenwerte passen.


Beispiel 3: IT-Dienstleister mit 40 Mitarbeitenden

Ein IT-Dienstleister mit weniger als 50 Mitarbeitenden ist nicht automatisch ausgenommen. Entscheidend ist, welche Leistungen er erbringt und ob eine Sonderrolle vorliegt.

Besonders genau prüfen sollten Anbieter, die Telekommunikationsdienste, öffentliche Netze, DNS-Dienste, Vertrauensdienste, Managed Services, Managed Security Services oder zentrale digitale Infrastruktur bereitstellen.

Praxisfolge: trotz kleiner Mitarbeiterzahl kann eine direkte oder indirekte NIS2-Relevanz bestehen.


Beispiel 4: IT-Dienstleister mit 80 Mitarbeitenden

Ein IT-Dienstleister mit 80 Mitarbeitenden sollte besonders sorgfältig prüfen, welche Leistungen er tatsächlich erbringt. Managed Services, Managed Security Services, Cloud-nahe Leistungen, Rechenzentrumsbetrieb oder zentrale IT-Betriebsleistungen können für die NIS2-Einordnung entscheidend sein.

Praxisfolge: erhöhtes Risiko einer direkten Betroffenheit oder zumindest starker Anforderungen durch Kunden.


Beispiel 5: Familienunternehmen mit 400 Mitarbeitenden

Ein familiengeführtes Unternehmen kann wirtschaftlich Mittelstand sein, rechtlich aber bereits als großes Unternehmen gelten. Wenn es in einem relevanten Sektor tätig ist, kann eine Einordnung als besonders wichtige Einrichtung in Betracht kommen.

Praxisfolge: Geschäftsleitung, Dokumentation, Risikomanagement und Nachweise sollten nicht aufgeschoben werden.


Beispiel 6: Zulieferer eines NIS2-pflichtigen Kunden

Ein Zulieferer wird nicht automatisch selbst NIS2-pflichtig, nur weil sein Kunde betroffen ist. Dennoch können über Verträge, Audits, Informationssicherheitsfragebögen und Lieferkettenanforderungen erhebliche Pflichten entstehen.

Praxisfolge: keine automatische direkte Betroffenheit, aber oft erheblicher Umsetzungsdruck aus der Geschäftsbeziehung.


Beispiel 7: Unternehmensgruppe mit zentraler IT-Gesellschaft

Viele Mittelständler bestehen aus mehreren Gesellschaften. Eine zentrale IT-Gesellschaft betreibt Systeme, Sicherheitslösungen oder Supportstrukturen für die Gruppe. Diese Rolle kann für die NIS2-Prüfung wichtiger sein als die Außenwahrnehmung der Unternehmensgruppe.

Praxisfolge: Gesellschaftsstruktur, Leistungsbeziehungen und technische Verantwortung müssen sauber geprüft werden.

Was bedeutet NIS2 praktisch für betroffene Mittelständler?

Wenn ein mittelständisches Unternehmen als wichtige oder besonders wichtige Einrichtung einzustufen ist, muss es NIS2 nicht nur technisch, sondern organisatorisch umsetzen.

Für Mittelständler bedeutet das vor allem:

  • Betroffenheit und Kategorie nachvollziehbar dokumentieren
  • Geschäftsleitung aktiv einbinden
  • Verantwortlichkeiten für Informationssicherheit festlegen
  • BSI-Registrierung vorbereiten oder nachholen
  • Meldeprozess für erhebliche Sicherheitsvorfälle definieren
  • Risiken für IT-Systeme, Produktion, Daten und Lieferketten bewerten
  • technische und organisatorische Maßnahmen priorisieren
  • Dienstleister und Lieferanten in die Sicherheitsbetrachtung einbeziehen
  • Schulungen und Sensibilisierung organisieren
  • Entscheidungen, Maßnahmen und Restrisiken dokumentieren

Dieser Beitrag beschreibt bewusst nicht jede einzelne Maßnahme im Detail. Die konkrete Umsetzung wird im Folgebeitrag NIS2-Checkliste: Diese Maßnahmen müssen Unternehmen jetzt umsetzen vertieft.

NIS2-Beratung für Unternehmen

Sie möchten schnell wissen, ob Ihr Unternehmen betroffen ist?

Wir prüfen Branche, Größe, Konzernstruktur und konkrete Tätigkeit und geben Ihnen eine belastbare Ersteinschätzung.

Betroffenheitscheck anfragen Unverbindlich · Persönliche Ersteinschätzung

Was gilt für Mittelständler gerade nicht?

NIS2 bedeutet nicht, dass jedes kleine Unternehmen automatisch reguliert ist.

NIS2 bedeutet auch nicht, dass jedes betroffene Unternehmen sofort eine Zertifizierung nach ISO 27001 benötigt. Ein Informationssicherheits-Managementsystem kann sinnvoll sein, aber der erste Schritt ist die rechtliche und organisatorische Einordnung.

Ebenso falsch ist die Annahme, dass die IT-Abteilung das Thema allein lösen kann. Technische Maßnahmen können delegiert werden. Verantwortung, Priorisierung, Budget, Dokumentation und Überwachung bleiben aber Leitungsthemen.

Vertiefend dazu erscheint der Beitrag NIS2: Haftung des Geschäftsführers und Vorstands.

Häufige Irrtümer im Mittelstand

„Wir sind Mittelstand, also nicht gemeint.“

Falsch. Viele Mittelständler gehören genau zu den Unternehmen, die NIS2 erstmals erfassen kann. Entscheidend sind Tätigkeit, Sektor, Größenwerte und mögliche Sonderrollen.

„Wir sind keine KRITIS, also betrifft uns NIS2 nicht.“

Das ist einer der häufigsten Fehler. NIS2 geht deutlich über die klassische KRITIS-Logik hinaus. Auch Unternehmen, die bisher nicht als Kritische Infrastruktur reguliert waren, können betroffen sein.

„Unter 50 Mitarbeitenden sind wir sicher raus.“

Nicht zwingend. Die Mitarbeiterzahl allein reicht nicht aus. Auch Umsatz, Bilanzsumme und Sonderrollen müssen geprüft werden. Gerade kleinere IT-, Telekommunikations- und Infrastrukturanbieter können trotz geringer Mitarbeiterzahl relevant sein.

„Unter 250 Mitarbeitenden sind wir sicher raus.“

Falsch. Die 250-Mitarbeitenden-Grenze ist vor allem für die Abgrenzung zu großen Unternehmen beziehungsweise besonders wichtigen Einrichtungen relevant. Für viele Mittelständler beginnt die relevante NIS2-Prüfung bereits deutlich früher: nämlich ab 50 Mitarbeitenden oder bei Überschreiten der maßgeblichen wirtschaftlichen Schwellenwerte.

„Unser IT-Dienstleister ist verantwortlich.“

Ein Dienstleister kann technische Aufgaben übernehmen. Die Verantwortung für Organisation, Auswahl, Kontrolle, Dokumentation und Risikosteuerung bleibt beim Unternehmen.

„Unser Kunde ist betroffen, also sind wir automatisch auch betroffen.“

Nein. Ein NIS2-pflichtiger Kunde macht den Zulieferer nicht automatisch selbst zur regulierten Einrichtung. Praktisch können aber vertragliche Sicherheitsanforderungen, Nachweispflichten und Auditfragen entstehen.

„Wir prüfen das, wenn das BSI sich meldet.“

Riskant. Unternehmen müssen ihre Betroffenheit selbst prüfen. Wer abwartet, verliert Zeit für Registrierung, Meldeprozesse, Dokumentation und interne Umsetzung.

Welche Fragen sollte die Geschäftsleitung jetzt stellen?

Für mittelständische Unternehmen sollte die Geschäftsleitung nicht mit technischen Detailmaßnahmen starten, sondern mit einer strukturierten Einordnung.

Wichtige Leitfragen sind:

  • Welche konkrete Tätigkeit erbringen wir?
  • Gehört diese Tätigkeit zu einem NIS2-relevanten Sektor?
  • Wie viele Mitarbeitende beschäftigen wir?
  • Welche Umsatz- und Bilanzsummenwerte erreichen wir?
  • Gibt es Sonderrollen, etwa als DNS-Diensteanbieter, Vertrauensdiensteanbieter, Telekommunikationsanbieter, Managed Service Provider oder Betreiber digitaler Infrastruktur?
  • Sind wir Teil einer Unternehmensgruppe?
  • Gibt es zentrale IT- oder Sicherheitsleistungen für mehrere Gesellschaften?
  • Sind wir direkt betroffen oder nur indirekt über Kunden und Lieferketten?
  • Kommt eine Einstufung als wichtige oder besonders wichtige Einrichtung in Betracht?
  • Wer dokumentiert die Entscheidung?
  • Welche nächsten Schritte ergeben sich aus der Einstufung?

Wenn mehrere Antworten „unklar“ lauten, sollte die Einordnung nicht informell in der IT verbleiben. Dann braucht es eine dokumentierte Prüfung für Geschäftsleitung, Compliance und operative Umsetzung.

Wie dieser Beitrag in die NIS2-Reihe passt

Dieser Beitrag ordnet ein, was NIS2 speziell für den Mittelstand bedeutet. Für die nächsten Schritte helfen die weiteren Beiträge der Reihe:

FrageVertiefender Beitrag
Sind wir überhaupt betroffen?Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen
Was gilt allgemein nach NIS2?NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen
Wer haftet in der Geschäftsleitung?NIS2: Haftung des Geschäftsführers und Vorstands
Was ist bei einem Sicherheitsvorfall zu melden?NIS2 Meldepflicht: Was muss bei einem Sicherheitsvorfall gemeldet werden?
Wie läuft die Registrierung beim BSI?NIS2 Registrierung BSI: So melden Sie sich richtig an
Welche Maßnahmen müssen umgesetzt werden?NIS2-Checkliste: Diese Maßnahmen müssen Unternehmen jetzt umsetzen
Welche Sanktionen drohen?NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?

Was ist jetzt der nächste Schritt?

Für mittelständische Unternehmen sollte die wichtigste Frage nicht sofort sein: „Welche Tools brauchen wir?“

Die erste Frage lautet:

Sind wir nach NIS2 eine wichtige Einrichtung, eine besonders wichtige Einrichtung, nur indirekt betroffen oder wahrscheinlich nicht direkt erfasst?

Erst danach lässt sich sinnvoll entscheiden, ob eine BSI-Registrierung erforderlich ist, welche Meldeprozesse vorbereitet werden müssen, welche Maßnahmen Priorität haben und welche Verantwortung die Geschäftsleitung dokumentieren sollte.

NIS2-Einordnung für den Mittelstand prüfen lassen

Sie sind unsicher, ob Ihr Unternehmen als wichtige oder besonders wichtige Einrichtung gilt?

Wir prüfen für Sie:

  • Branche und konkrete Tätigkeit
  • Mitarbeiterzahl, Umsatz und Bilanzsumme
  • Unternehmens- und Konzernstruktur
  • Sonderfälle und digitale Rollen
  • direkte oder indirekte Betroffenheit
  • Einordnung als wichtige oder besonders wichtige Einrichtung
  • nächste Schritte für Geschäftsleitung, IT und Compliance

NIS2-Beratung für den Mittelstand

Machen Sie Ihr Unternehmen jetzt NIS2-konform

Klären Sie, ob Ihr Unternehmen betroffen ist, welche Pflichten gelten und welche Maßnahmen jetzt priorisiert werden sollten.

Kostenlose Erstberatung sichern Unverbindlich · Persönliche Ersteinschätzung