Compliance

NIS-2 und Ihr DMS: Pflichten und Stolperfallen für KMU ab 2026

Die NIS-2-Richtlinie betrifft mehr Unternehmen als allgemein bekannt — und Ihr Dokumentenmanagement steht direkt im Fokus. Was wirklich Pflicht ist, was nice-to-have, und wo Bußgelder drohen.

Peter Wenzel
Consultant & Mitgründer
27. Mai 2026
5 Min. Lesezeit
Error loading image

NIS-2 und Ihr DMS: Pflichten und Stolperfallen für KMU ab 2026

Vor zwei Jahren hätte ich diese Frage von einem 80-Personen-Mittelständler nicht erwartet: "Sind wir eigentlich NIS-2-pflichtig?" 2026 stellt sie fast jede Geschäftsführung, mit der ich spreche. Mit gutem Grund — die Richtlinie ist breiter als ihr Vorgänger NIS-1, und die deutsche Umsetzung über das NIS2UmsuCG zieht den Kreis der betroffenen Unternehmen deutlich.

Als Consultant, der seit 2024 Dutzende NIS-2-Bewertungen für Mittelständler gemacht hat, möchte ich hier mit drei Mythen aufräumen — und konkret zeigen, was Ihr Dokumentenmanagement damit zu tun hat.

Mythos 1: "NIS-2 betrifft nur kritische Infrastrukturen"

Falsch. NIS-2 unterscheidet zwischen "wesentlichen Einrichtungen" (250+ Mitarbeiter oder >50 Mio. € Umsatz in 18 definierten Sektoren) und "wichtigen Einrichtungen" (ab 50 Mitarbeiter oder 10 Mio. € Umsatz). Die zweite Gruppe umfasst zum Beispiel:

  • Post- und Kurierdienste (auch lokale Anbieter)
  • Abfallwirtschaft (auch der mittelständische Entsorger)
  • Chemieproduktion und -handel
  • Lebensmittelproduktion und -großhandel
  • Digitale Dienste (auch B2B-SaaS-Anbieter mit 50+ Mitarbeitern)
  • Anbieter von Datenzentren und Content Delivery Networks
  • Forschungseinrichtungen

Für Hersteller bestimmter Produkte (Medizingeräte, IT, Maschinen) gelten zusätzliche Schwellen. In Summe: Schätzungen gehen von rund 30.000 betroffenen Unternehmen in Deutschland aus — vor NIS-1 waren es etwa 2.000.

Unsere Faustregel im Erstgespräch: Wenn Sie in einem der 18 Sektoren sind und über 50 Mitarbeiter haben, sollten Sie eine NIS-2-Prüfung machen lassen. Im Zweifel hilft die offizielle NIS-2-Selbsteinschätzung des BSI.

Mythos 2: "Das macht unser IT-Dienstleister"

Die Geschäftsführung haftet persönlich, mit dem Privatvermögen. NIS-2 macht das explizit: Wer als Geschäftsführer die NIS-2-Pflichten nicht umsetzt, haftet bei einem Sicherheitsvorfall persönlich. Bußgelder bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes.

Der IT-Dienstleister kann die technische Umsetzung übernehmen — aber Verantwortlich bleibt die Geschäftsführung. Sie müssen nachweisen können, dass Sie geeignete Maßnahmen getroffen haben. Und Sie müssen jährlich an Schulungen zu Cyber-Risiken teilnehmen. Persönlich.

Mythos 3: "Wir nutzen Microsoft 365, also sind wir sicher"

Microsoft hat NIS-2-konforme Hosting-Optionen — aber die Verantwortung für die Konfiguration liegt bei Ihnen. Wer mit den Default-Einstellungen läuft, ist nicht NIS-2-konform.

Auch der pauschale "Microsoft ist sicher"-Verweis funktioniert nicht: Sie müssen für jeden eingesetzten Cloud-Dienst dokumentieren, welche personenbezogenen und unternehmensrelevanten Daten dort verarbeitet werden, welche Subdienstleister beteiligt sind, und wie ein Sicherheitsvorfall gemeldet würde.

Genau hier kommt das DMS ins Spiel — denn es ist meist der Ort, an dem die meisten geschäftskritischen Dokumente liegen.

Was NIS-2 für Ihr DMS konkret bedeutet

Das BSI hat 10 Risikomanagement-Mindestmaßnahmen festgelegt (§30 BSIG). Davon betreffen 7 direkt Ihr DMS:

1. Konzepte für die Risikoanalyse und für die Sicherheit von Informationssystemen. Ihr DMS muss Teil einer dokumentierten IT-Sicherheitsstrategie sein. Wo liegen die Dokumente? Wer hat Zugriff? Wie sind sie klassifiziert?

2. Bewältigung von Sicherheitsvorfällen. Sie brauchen einen dokumentierten Prozess, was bei einem Datenleck im DMS passiert: Meldung ans BSI innerhalb von 24 Stunden, vollständiger Bericht innerhalb von 72 Stunden.

3. Aufrechterhaltung des Betriebs (Backup-Management). Tägliche Backups sind Mindestanforderung, getrennte Speicherorte sind Pflicht, Restore-Tests müssen dokumentiert sein. Wer noch nie einen Restore probiert hat, hat keine Backups — er hat Speicherort-Optimismus.

4. Sicherheit der Lieferkette. Wenn Ihr DMS-Anbieter selbst gehackt wird, sind Sie betroffen. Sie müssen wissen, welche Subdienstleister Ihr Anbieter nutzt, und das im Vertrag geregelt haben.

5. Verschlüsselung. Daten in Transit (TLS 1.3) und at Rest (AES-256) verschlüsseln. Klingt trivial — viele ältere DMS-Installationen erfüllen das nicht.

6. Zugriffskontrolle und Multi-Faktor-Authentifizierung. Insbesondere für privilegierte Konten ist MFA Pflicht. Im DMS heißt das: Admin-Zugänge, aber auch Geschäftsführer-Zugänge mit Vollzugriff auf alle Akten.

7. Sicherheitsschulungen. Mitarbeiter müssen regelmäßig zu Cyber-Risiken geschult werden, mit dokumentierter Teilnahme.

Die praktische Stolperfalle: Subdienstleister-Kette

Die meisten Unterschätzungen sehe ich beim Punkt "Sicherheit der Lieferkette". Klassisches Beispiel: Mittelstand nutzt SharePoint Online. SharePoint läuft auf Azure. Azure wird vom Microsoft-Subdienstleister A betrieben. A nutzt Cloudflare als CDN. Im DMS-Vertrag steht: "Microsoft". Im NIS-2-Audit muss aber jede dieser Ebenen genannt und vertraglich geregelt sein.

Bei Aktenplatz ist das einfacher: ein Anbieter (Ladewig GmbH), ein Hosting-Partner (Hetzner in Deutschland), keine Subprozessoren in Drittländern, eine Vertragsbeziehung — fertig. Wer auf Self-Hosting setzt, hat sogar nur sich selbst in der Kette.

Was Sie diese Woche tun sollten

Für alle Geschäftsführer die das hier lesen und nicht sicher sind: machen Sie folgende vier Schritte in den nächsten 14 Tagen.

  1. NIS-2-Betroffenheit prüfen — entweder selbst über die BSI-Selbsteinschätzung, oder von einem Berater bestätigen lassen. Dauer: ein halber Tag.
  2. Asset-Liste erstellen — welche Systeme verarbeiten welche Daten? Inklusive aller Cloud-Dienste, auch der "kleinen" wie Calendly oder Trello.
  3. Lieferantenliste mit Subdienstleistern — für jeden Cloud-Dienst die Subdienstleister-Kette dokumentieren. Wo das nicht möglich ist (Anbieter weigert sich), ist Wechsel die einzige Option.
  4. Schulung planen — sowohl Geschäftsführung als auch Mitarbeiter. Mindestens einmal jährlich, dokumentiert.

Fazit

NIS-2 ist nicht das Ende der Welt — aber auch nicht zu unterschätzen. Wer die Maßnahmen ernsthaft umsetzt, hat ein deutlich sichereres Unternehmen und nebenbei einen Wettbewerbsvorteil bei Ausschreibungen. Wer es ignoriert, riskiert persönliche Haftung und bei einem Vorfall sechsstellige Bußgelder.

Für Steuerkanzleien, Anwaltskanzleien und Beratungen — also genau die Unternehmen, deren Dokumente besonders sensibel sind — empfehlen wir, NIS-2-Konformität als Verkaufsargument zu nutzen. Mandanten fragen 2026 zunehmend nach dem Cyber-Sicherheitsniveau ihrer Dienstleister. Wer hier sauber aufgestellt ist, gewinnt.

Wenn Sie konkret unsicher sind, ob und wo Ihr DMS NIS-2-Schwachstellen hat, sprechen Sie uns an — wir machen eine kostenfreie Erst-Einschätzung und sagen Ihnen ehrlich, ob bei Ihnen Handlungsbedarf besteht.

Tags:

NIS-2Cyber-SicherheitBSIKMUGeschäftsführer-Haftung

Über den Autor

Weitere Artikel