TL;DR
- NIS2-UmsuCG ist seit Q1 2025 in Kraft. Das BSI ist Aufsicht; Verstöße kosten bis zu 2 % des weltweiten Umsatzes.
- IT-Service-Provider sind doppelt betroffen — direkt ab 50 MA, indirekt über Supply-Chain-Klauseln nach Art. 21 NIS2.
- KI ist Hebel auf drei Workflows: Asset-Inventur, SBOM-Generierung, Incident-Triage — sie ersetzt keinen ISMS-Verantwortlichen.
Wer ist betroffen — die Realität
Die NIS2-Richtlinie kennt zwei Kategorien: „besonders wichtige" (ab 250 MA, proaktive BSI-Aufsicht, Bußgeld bis 2 % des weltweiten Umsatzes) und „wichtige" Einrichtungen (ab 50 MA, anlassbezogene Aufsicht, Bußgeld bis 1,4 %). IT-Service-Provider fallen ab 50 Mitarbeitenden unter den Anwendungsbereich — MSPs, Cloud-Anbieter, Software-Häuser, Rechenzentren, nicht nur reine Security-Firmen.
Der zweite Hebel ist die Supply-Chain. Art. 21 NIS2 zwingt Auftraggeber, ihre Lieferanten vertraglich auf NIS2-äquivalente Kontrollen zu verpflichten. In der Praxis: Ein kleiner IT-Dienstleister, der einen mittelständischen Maschinenbauer betreut, muss NIS2-konform liefern — auch wenn er selbst unter der Schwelle liegt. Diese Klausel ist seit Ende 2025 in jeder DACH-Mittelstand-Ausschreibung Standard. Wer sie nicht erfüllt, fliegt aus der Long-List.
Vier Pflichten, drei Stolpersteine
- 24-Stunden-Meldung. Bei einem erheblichen Vorfall: Frühwarnung ans BSI binnen 24 Stunden, Vorfall-Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Stolperstein: Die Definition von „erheblich" ist unscharf — Faustregel des BSI ist die Beeinträchtigung wesentlicher Dienstleistungen oder ein nennenswerter finanzieller Schaden.
- Risikomanagement nach Art. 21. Zehn Mindest-Maßnahmen, vom Asset-Management über Backup-Strategie bis Multi-Faktor-Authentifizierung. Nachweis durch ein dokumentiertes ISMS — angelehnt an ISO 27001, aber nicht zertifizierungspflichtig. Stolperstein: Viele MSPs haben ein gelebtes Security-Setup, aber keine Dokumentation — genau das wird bei einer Anlass-Prüfung zum Problem.
- Geschäftsleitungs-Haftung. Geschäftsführer und Vorstände haften persönlich. § 38 NIS2-UmsuCG verpflichtet die Leitungsorgane, die Maßnahmen nach § 30 zu billigen und zu überwachen. Stolperstein: Eine reine Delegation an den CISO reicht nicht — Schulungs-Nachweis und dokumentierte Billigung sind Pflicht.
- Registrierung. Bis 17. April 2025 mussten sich betroffene Einrichtungen beim BSI registrieren; wer das verpasst hat, riskiert ein Bußgeld.
Wo KI wirklich hilft
Drei Patterns, die 2025/26 bei IT-Service-Providern produktiv liefen — Workflows mit messbarer Zeitersparnis, keine Hype-Demos.
- Asset-Inventur automatisiert. CMDB-Daten, EDR-Logs, AD-Exports und Netzwerk-Scans werden via RAG in eine konsolidierte Asset-Sicht gemerged. Die KI deduppliziert, klassifiziert nach Schutzbedarf und markiert Lücken. Wirkung: 60–75 % weniger Zeit für das jährliche Asset-Review, von 8–12 Personen-Tagen auf 2–3.
- SBOM-Generierung. Software Bill of Materials nach CycloneDX oder SPDX. Die KI parsed Build-Artefakte, ergänzt CVE-Referenzen und erzeugt einen lieferfähigen SBOM pro Release. Wirkung: von 4–8 Stunden auf 20–40 Minuten pro Produkt, bei höherer Vollständigkeit.
- Incident-Triage. Eingehende Security-Events (SIEM, EDR, Helpdesk) werden als „erheblich nach NIS2", „meldepflichtig" oder „routine" klassifiziert. Die KI erzeugt den Frühwarnungs-Entwurf für das BSI-Portal direkt aus der Klassifikation — vom Event zur Vorlage in unter 90 Minuten, kritisch, wenn die 24-Stunden-Frist läuft.
Was bei einem Mittelstands-MSP gemessen wurde
Pilot-Implementierung Q3/2025 bei einem deutschen Managed-Service-Provider mit rund 210 Mitarbeitenden und 84 Mittelstands-Kunden im Portfolio.
| Workflow | Vor Pilot | Nach 120 Tagen | Delta |
|---|---|---|---|
| Asset-Inventur (jährlich) | 11 PT | 3 PT | –73 % |
| SBOM pro Release | 6 h | 35 min | –90 % |
| Incident-Triage bis Frühwarnung | 4–6 h | 75 min | –70 % |
| ISMS-Dokumentations-Pflege | 28 h/Monat | 9 h/Monat | –68 % |
Der wichtigste Effekt war nicht die Zeitersparnis pro Workflow, sondern die freigesetzte Senior-Kapazität (rund +1,4 FTE): Der CISO konnte sich erstmals auf strategische Themen konzentrieren — Lieferanten-Audits, Schulungs-Konzept, Krisenstab-Drills.
In NIS2-Pilots zeigt sich ein wiederkehrendes Muster: Die Regulierung zwingt MSPs, Security wie ein Produkt zu denken. Die KI macht die Hände frei, um genau das zu tun — Prozesse zu bauen statt Tickets zu schreiben.
Anti-Hype: was KI nicht macht
- KI ersetzt keinen ISMS-Verantwortlichen. Die Geschäftsleitungs-Haftung nach § 38 NIS2-UmsuCG lässt sich nicht delegieren, schon gar nicht an ein Modell. Was die KI liefert: schnellere Dokumentation und höhere Konsistenz.
- KI klassifiziert keine „erheblichen Vorfälle" autonom. Die Frühwarnungs-Entscheidung trifft ein Mensch. Die KI bereitet nur den Entwurf vor.
- KI prüft keine Verträge. Supply-Chain-Klauseln nach Art. 21 sind juristisch interpretierbar. Hier braucht es einen Anwalt mit IT-Recht-Schwerpunkt, kein Sprachmodell.
Einordnung für den GF-Tisch
NIS2 ist seit Q1 2025 Realität, nicht Roadmap. Wer als IT-Service-Provider im einschlägigen Größen-Korridor liegt, hat drei Optionen: Compliance bauen, kaufen oder Bußgeld riskieren. Die dritte ist im Aufsichtsregime des BSI keine ernsthafte mehr — die Anlass-Prüfungen 2026 zeigen, dass das Amt Bußgelder tatsächlich verhängt. KI ist hier kein Differentiator, sondern die einzige Möglichkeit, NIS2-Pflichten in einem Mittelstands-MSP ohne Verdoppelung des Security-Teams umzusetzen.
Stand Mai 2026. Förderpfad-Beratung und Antragsbegleitung in Kooperation mit autorisierten Partner-Beratungen — eigene BAFA-/go-digital-Akkreditierung in Vorbereitung Q3 2026.
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.