← Alle Artikel
CompliancePricing

NIS2 mit Mittelstands-Budget: testen ohne 30.000-€-Pentest

NIS2 zieht rund 30.000 Unternehmen ohne Schonfrist in die Pflicht. So belegt der Mittelstand seine Maßnahmen mit einem SME-Budget.

Jamin Mahmood-Wiebe · Veröffentlicht · 10 Min. Lesezeit

Illustration im Gravur-Stil für NIS2 mit Mittelstands-Budget: testen ohne 30.000-€-Pentest

NIS2 erfasst jetzt Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz, genau den deutschen Mittelstand, und § 30 BSIG verlangt von ihnen, Schwachstellen zu managen (Nr. 5) und die Wirksamkeit ihrer Sicherheitsmaßnahmen zu belegen (Nr. 6). Der Haken: Ein hochwertiger manueller Pentest kostet in Deutschland 5.000–15.000 €, und dieses Budget hat mancher Mittelständler nicht, pro Anwendung, pro Jahr. Die Budget-Antwort hat zwei Teile: In einigen Bundesländern fördert die öffentliche Hand pauschal 50 % der Kosten, und autonome Plattformen entkoppeln den Preis von Personentagen. Ein fokussierter DeepMantis-Test beginnt bei 890 €, mit reproduzierbarem Proof of Concept für jedes Finding: genau dem Nachweis, den Nr. 6 fordert.

Warum gilt NIS2 plötzlich für mittelständische Unternehmen?

Weil die Größenschwellen niedriger liegen, als die meisten erwarten. § 28 BSIG definiert eine „wichtige Einrichtung" über die Mittelstandsschwelle, und der Gesetzestext ist eindeutig, wo diese Grenze liegt:

„mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen"

— § 28 Abs. 2 Nr. 3 BSIG

50 Mitarbeitende. Das ist keine Konzernschwelle; das ist ein typischer Mittelstands-SaaS-Anbieter, ein regionaler Logistiker, ein mittelständischer Fertiger mit vernetzter Lieferkette. Die Bundesregierung verortet rund 30.000 Einrichtungen im Anwendungsbereich, aufgeteilt in etwa 8.250 „besonders wichtige" und 21.600 „wichtige" — die Zahlen stammen aus dem Erfüllungsaufwand des NIS2UmsuCG-Regierungsentwurfs, aufbereitet von openKRITIS. Die größere dieser beiden Gruppen, die rund 21.600 „wichtigen" Einrichtungen, ist der neu erfasste Mittelstand.

Und es gibt keinen Anlauf. Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft, ohne Übergangsfrist (Bundesregierung); das BSI-Registrierungsfenster lief drei Monate ab Inkrafttreten und endete am 6. März 2026 (DENIC zur NIS2-Registrierungsfrist). Wer die Schwelle überschreitet, ist bereits in der Pflicht. Die Frage ist nicht mehr, ob getestet wird, sondern wie man es sich leistet.

Was musst du bei NIS2 eigentlich belegen?

Keinen Pentest dem Namen nach, sondern ein funktionierendes Maßnahmenpaket. Diesen Punkt argumentiert dieser Artikel nicht neu; der Schwester-Artikel dazu, ob NIS2 einen Pentest vorschreibt, geht § 30 vollständig durch. Budget-relevant ist, welche zwei Maßnahmen Geld kosten, wenn du sie nachweisen musst:

  • § 30 Abs. 2 Nr. 5 nennt Sicherheitsmaßnahmen „… einschließlich Management und Offenlegung von Schwachstellen": du musst Schwachstellen aktiv finden und managen, was das Suchen voraussetzt.
  • § 30 Abs. 2 Nr. 6 verlangt „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik": du musst belegen, dass deine Maßnahmen greifen, nicht nur behaupten (§ 30 BSIG).

Nr. 6 ist die teure. Ein Fragebogen oder ein Policy-Ordner bewertet keine Wirksamkeit; ein Test gegen einen realen Angriff schon. Deshalb ist der praktische Nachweis für Nr. 6 ein Proof of Concept pro Finding, und deshalb erledigt „lass einfach einen Gratis-Scanner laufen" die Pflicht nicht. Ein Scanner listet potenzielle Schwachstellen; er belegt keine Ausnutzbarkeit, und ohne mit Exploit belegte Ausnutzbarkeit gibt es keinen Wirksamkeitsnachweis.

Die Bedrohungslage hinter der Regulierung ist nicht abstrakt. Die Bitkom-Studie Wirtschaftsschutz 2025, vorgestellt am 18. September 2025 gemeinsam mit dem Bundesamt für Verfassungsschutz und über 1.000 befragten Unternehmen, beziffert den jährlichen Schaden durch Cyberangriffe für die deutsche Wirtschaft:

„202,4 Milliarden Euro nach 178,6 Milliarden Euro im Vorjahr"

Bitkom, Wirtschaftsschutz 2025 (Studienbericht, PDF) (202,4 Mrd. € Schaden durch Cyberangriffe, von einem Gesamtschaden von 289,2 Mrd. € über Datendiebstahl, Spionage und Sabotage)

Das sind die Kosten des Nichtstuns, nüchtern benannt: kein Grund zur Panik, sondern der Grund, warum die Schwelle dort gesetzt wurde, wo sie ist.

Warum kostet ein manueller Pentest mehr, als die meisten SMEs einplanen?

Weil manuelles Testen nach Personentagen abgerechnet wird, und Personentage teuer sind. Marktpreise deutscher Anbieter setzen einen ersten hochwertigen Pentest für einen Mittelständler bei rund 5.000–15.000 € an, mit einer breiten Marktspanne von 2.000–25.000 € je nach Scope und Tagessätzen bis etwa 1.800 € für zertifizierte Tester (Marktpreise laut Anbieterdaten: microCAT und DeepStrike).

Die Falle sitzt am unteren Ende dieser Spanne. Angebote unter 2.000 € sind fast immer automatisierte Scans im Pentest-Gewand: genau das „Scanner-Output ohne Beleg"-Artefakt, das an Nr. 6 scheitert. Der Mittelstand steckt also in der Klemme: Die günstige Option ist kein echter Nachweis, und der echte Nachweis ist nicht günstig. Rechne die Frequenz dazu (NIS2 will „Konzepte und Verfahren", einen wiederkehrenden Prozess, keinen einmaligen Test) und ein Betrieb, der vier 10.000-€-Tests pro Jahr auf einer Anwendung fährt, liegt bei 40.000 €, bevor er ein zweites Produkt anfasst.

Diese Rechnung ist es, die NIS2 für ein 60-Personen-Unternehmen unbezahlbar wirken lässt. Nicht die Regulierung ist teuer, sondern das Personentage-Modell, angewandt auf eine wiederkehrende Pflicht.

Kann öffentliche Förderung einen NIS2-Pentest bezahlen?

In Teilen Deutschlands: ja, und es ist der am stärksten ungenutzte Hebel, den der Mittelstand hat. Nordrhein-Westfalen fährt das Programm MID – Digitale Sicherheit, das SME-Sicherheitsarbeit über die NRW.BANK fördert und Penetrationstests ausdrücklich als förderfähige Kosten nennt:

„Gefördert werden … Penetrationstests, Behebung von Schwachstellen."

MID – Digitale Sicherheit FAQ

Die Konditionen sind konkret: pauschal 50 % der förderfähigen Ausgaben, gedeckelt bei einer maximalen Zuwendung von 15.000 €, mit einer Bagatellgrenze von 4.000 €, seit dem 1. Januar 2026 über die NRW.BANK nach der aktuellen Richtlinie (MID – Digitale Sicherheit Richtlinie, recht.nrw.de, PDF): „Der Fördersatz beträgt einheitlich 50 Prozent der förderfähigen Ausgaben bis zu einer maximalen Zuwendung in Höhe von 15 000 Euro." Für ein Unternehmen in NRW halbiert das die Rechnung für einen autonomen Test für 890–7.500 € oder ein manuelles Engagement für 5.000–15.000 €, bis zur 15.000-€-Grenze. Auch wenn dein Bundesland noch kein Pendant hat: Die bundesweite Förderdatenbank ist die Stelle, an der du prüfst, bevor du annimmst, die vollen Kosten lägen bei dir; Förderlinien für SME-Cybersicherheit werden aktiv ergänzt, und die Förderfähigkeit ist pro Programm definiert.

(Hinweis: Frühere Iterationen des MID-Programms förderten bis zu 80 % — dieser Satz wurde abgelöst. Die seit dem 1. Januar 2026 gültige Richtlinie setzt einheitlich 50 %. Veraltete 80-%-Angaben kursieren noch auf Marketing-Seiten; maßgeblich ist der Richtlinientext oben.)

Die Reihenfolge zählt: Prüfe die Förderfähigkeit, bevor du buchst, denn die meisten Programme setzen eine Bewilligung vor Projektbeginn voraus. Rückwirkende Förderung ist die Ausnahme, nicht die Regel.

Wie verändern autonome Pentests die Budget-Rechnung?

Indem sie pro Engagement statt pro Personentag abrechnen. Das ist die strukturelle Verschiebung, dieselbe, die die Pentest-Kosten-Aufschlüsselung vertieft, und für einen NIS2-erfassten Mittelständler macht sie aus einer wiederkehrenden Pflicht statt eines Unbezahlbaren eine Routine.

DeepMantis veröffentlicht drei On-Demand-Stufen: 890 € für eine Single-Surface-Anwendung (Tiefe eines einwöchigen manuellen Tests), 3.800 € für ein verbundenes Produkt mit sensiblen Daten und 7.500 € für ein verteiltes System mit regulierten Daten. Jedes Finding wird mit einem reproduzierbaren Proof of Concept belegt: der Wirksamkeitsnachweis für Nr. 6, standardmäßig produziert statt als kostenpflichtiges Extra. Weil pro Durchlauf keine Personentage anfallen, trägt auch der wiederkehrende Fall: monatliche Pentests ab 99 € pro Monat, jährliche Abrechnung. Das ist die „Konzepte und Verfahren"-Frequenz, die Nr. 5 und Nr. 6 nahelegen, zu einem Preis, den ein 60-Personen-Unternehmen tatsächlich trägt.

50 %
Pauschaler Anteil eines SME-Penetrationstests, den das NRW-Programm MID – Digitale Sicherheit übernimmt (Zuwendung gedeckelt bei 15.000 €) — kombinierbar mit einem 890-€-DeepMantis-Test.Quellen: MID – Digitale Sicherheit Richtlinie, recht.nrw.de (in Kraft seit 1. Januar 2026); DeepMantis-Preise laut deepmantis.io/de#pricing.

Die Ökonomie geht sauber auf. Nach § 65 BSIG drohen einer wichtigen Einrichtung Bußgelder „bis zu sieben Millionen Euro" und einer besonders wichtigen „bis zu zehn Millionen Euro" (§ 65 BSIG), und § 38 BSIG macht die Geschäftsleitung persönlich für die Umsetzung verantwortlich. Stell den 7.500-€-Test der obersten Stufe gegen einen 10-Mio.-€-Rahmen, und er liegt drei Größenordnungen darunter. Nüchtern gesagt: Der Nachweis kostet weniger als der Rundungsfehler auf der Strafe. Der Punkt ist nicht Angst, sondern dass mit einem SME-Budget der Beleg, dass deine Maßnahmen greifen, jetzt ein gelöstes Problem ist. Die Methodik und Scope-Grenzen von DeepMantis sind dokumentiert, damit du vor dem Kauf genau siehst, was der Test abdeckt und was nicht.

Häufig gestellte Fragen

Fällt ein 50-Personen-Unternehmen wirklich unter NIS2?

Wenn es zusätzlich in einem der 18 regulierten Sektoren tätig ist: ja. § 28 BSIG setzt die Schwelle für „wichtige Einrichtungen" bei 50 Mitarbeitenden oder 10 Mio. € bei Umsatz und Bilanz. Die Sektorzugehörigkeit ist das zweite Tor; prüfe deine gegen die veröffentlichte BSI-Liste. Klein zu sein ist keine Ausnahme mehr; die Schwelle wurde bewusst gesenkt, um den Mittelstand einzubeziehen.

Gibt es Förderung für die Kosten eines NIS2-Pentests?

In einigen Bundesländern: ja. Das NRW-Programm MID – Digitale Sicherheit übernimmt pauschal 50 % eines Pentests (Zuwendung gedeckelt bei 15.000 €, Bagatellgrenze 4.000 €), und die FAQ nennt „Penetrationstests, Behebung von Schwachstellen" unter den förderfähigen Aktivitäten. Prüfe die bundesweite Förderdatenbank auf das Pendant deines Bundeslandes und beantrage vor der Buchung; die meisten Programme setzen eine Bewilligung vor Projektbeginn voraus.

Reicht ein kostenloser Schwachstellenscan bei knappem Budget nicht?

Nein. Ein Scanner erfüllt einen Teil der Erkennung nach Nr. 5, aber nicht die Wirksamkeitsbewertung nach Nr. 6, weil er keine Ausnutzbarkeit belegt. Angebote unter 2.000 € sind meist Scans, keine Pentests. Der belastbare Nachweis ist ein Proof of Concept pro Finding, den ein 890-€-Test liefert und ein Gratis-Scan nicht.

Wie viel muss ein Mittelständler realistisch für Compliance ausgeben?

Weniger, als das Personentage-Modell nahelegt. Ein einzelner autonomer Test kostet 890–7.500 € je nach Scope; wiederkehrendes monatliches Testen startet bei 99 €/Monat. Mit staatlicher Förderung, die dort, wo verfügbar, pauschal 50 % übernimmt, kann der Eigenanteil für belegende Tests im niedrigen vierstelligen Bereich landen, deutlich unter den 5.000–15.000 €, die ein manuelles Engagement allein kosten würde.

Weiterführend


Stand Juli 2026. Die zitierten Gesetzesstellen stammen aus §§ 28, 30, 65 BSIG (gesetze-im-internet.de); die Pentest-Preisspannen sind Marktpreise laut den verlinkten Anbieterdaten. Diese Seite ist keine Rechtsberatung; die Einordnung deines Unternehmens und die Förderfähigkeit prüfst du mit fachkundiger Beratung. Methodik und Scope-Grenzen von DeepMantis sind auf der Security-Seite dokumentiert.

Willst du solche Findings für deinen eigenen Stack?

Pentest starten

Weitere Artikel

Pentest anfragen

Füll das Formular aus — wir melden uns innerhalb von 24 Stunden.

Tell us about your project

Protected by Cloudflare Turnstile.

HQ
Hamburg, Germany
Lieber kurz sprechen?
15-Min Call buchen