- Bedeutung
- Kleine und mittlere Unternehmen
- EU-Definition
- < 250 Mitarbeitende, ≤ 50 Mio. EUR Umsatz
- NIS2-Schwelle
- Meist ab 50 Mitarbeitenden oder 10 Mio. EUR
- Bezug zu NIS2
- Viele KMU erstmals betroffen
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein KMU?
KMU steht für kleine und mittlere Unternehmen. Nach der EU-Definition zählen dazu Betriebe mit weniger als 250 Mitarbeitenden und höchstens 50 Mio. EUR Jahresumsatz oder 43 Mio. EUR Bilanzsumme. Die Abgrenzung ist nicht nur statistisch relevant: Bei NIS2 entscheidet die Unternehmensgröße mit darüber, ob eine Organisation überhaupt als Einrichtung in den Anwendungsbereich der Richtlinie fällt.
KMU und NIS2
NIS2 betrifft in regulierten Sektoren in der Regel Organisationen ab 50 Mitarbeitenden oder mehr als 10 Mio. EUR Umsatz und Bilanzsumme. Damit knüpft die Richtlinie an die mittlere Größenklasse an: Kleinst- und Kleinunternehmen unterhalb dieser Schwelle bleiben meist außen vor, während mittlere Unternehmen erstmals unter verbindliche Cybersicherheitspflichten fallen. Je nach Sektor werden sie dann als wichtige oder wesentliche Einrichtung eingestuft.
Herausforderung und Chance
Gerade KMU haben oft keine eigene Sicherheitsabteilung und keine dedizierten Ressourcen für Compliance. NIS2 wirkt hier zunächst anspruchsvoll – ist aber auch eine Chance, Informationssicherheit endlich strukturiert, nachweisbar und mit überschaubarem Aufwand anzugehen. Wichtig ist: Die Pflichten gelten unabhängig von der eigenen IT-Reife, und die Geschäftsleitung trägt die Verantwortung für die Umsetzung.
Pragmatischer Einstieg
Sinnvoll ist ein schlanker, priorisierter Start: ein Asset-Inventar, eine einfache Risikoanalyse, grundlegende Cyberhygiene (Updates, Backups, Mehr-Faktor-Authentifizierung) und ein Notfallplan – statt sofort perfekter Vollabdeckung. Etwa: Ein IT-Dienstleister mit 70 Beschäftigten und 12 Mio. EUR Umsatz stellt fest, dass er die Schwelle überschreitet, holt seine BSI-Registrierung nach (die Erstfrist 6. März 2026 ist abgelaufen) und baut innerhalb weniger Wochen die Grundlagen auf, bevor er die Maßnahmen schrittweise vertieft.
Weiterführende Quelle: BSI – NIS-2-regulierte Unternehmen
Häufige Fragen
Was bedeutet KMU?
KMU steht für kleine und mittlere Unternehmen. Nach der EU-Definition zählen dazu Betriebe mit weniger als 250 Mitarbeitenden und höchstens 50 Mio. EUR Jahresumsatz oder 43 Mio. EUR Bilanzsumme. Die Abgrenzung ist nicht nur statistisch relevant, denn bei NIS2 entscheidet die Unternehmensgröße mit darüber, ob eine Organisation überhaupt als Einrichtung in den Anwendungsbereich der Cybersicherheitsrichtlinie fällt.
Sind KMU von NIS2 betroffen?
Ja, viele kleine und mittlere Unternehmen fallen erstmals unter NIS2. In regulierten Sektoren greift die Richtlinie meist ab 50 Mitarbeitenden oder mehr als 10 Mio. EUR Jahresumsatz und Bilanzsumme. Kleinst- und Kleinunternehmen unterhalb dieser Schwelle bleiben in der Regel außen vor, während mittlere Betriebe je nach Sektor als wichtige oder wesentliche Einrichtung unter verbindliche Cybersicherheitspflichten fallen.
Wie starten KMU am besten?
Sinnvoll ist ein schlanker, priorisierter Start statt sofort perfekter Vollabdeckung: zunächst ein Asset-Inventar aller IT-Systeme, eine einfache Risikoanalyse, grundlegende Cyberhygiene wie Mehr-Faktor-Authentifizierung, Updates und Backups sowie ein Notfallplan. Wichtig ist außerdem, die BSI-Registrierung der betroffenen Einrichtung nachzuholen, da die Erstfrist am 6. März 2026 abgelaufen ist, eine Nachregistrierung beim BSI jedoch weiterhin ohne weiteren Verzug möglich bleibt.