tprime
IT-Sicherheit

NIS2-Richtlinie für KMU: Was du jetzt wissen und tun musst

NIS2 Richtlinie KMU: Wer ist betroffen, was muss umgesetzt werden und welche Strafen drohen? Kompakter Überblick mit konkreten Handlungsempfehlungen.

Elias Peters 8 Min. Lesezeit
Erklärung der NIS2-Richtlinie und ihrer Anforderungen am Whiteboard

NIS2: die neue Cybersecurity-Pflicht für den Mittelstand

Die NIS2-Richtlinie der EU ist die bisher umfassendste Regulierung zur IT-Sicherheit. Sie betrifft nicht nur Konzerne und kritische Infrastruktur, sondern erstmals auch tausende mittelständische Unternehmen in Deutschland.

Das Problem: Viele KMU wissen nicht, dass sie betroffen sind. Und die Umsetzungsfristen laufen.

Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Geltungsbereich massiv.

In Deutschland wird NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Die Anforderungen sind verbindlich, mit empfindlichen Strafen bei Nichteinhaltung.

Bin ich betroffen?

Die große Frage. NIS2 unterscheidet zwei Kategorien:

Wesentliche Einrichtungen (Essential Entities)

  • Energie, Transport, Gesundheit, Wasser, Finanzwesen
  • Digitale Infrastruktur, öffentliche Verwaltung
  • Ab 250 Mitarbeiter oder 50 Mio. € Umsatz in diesen Sektoren

Wichtige Einrichtungen (Important Entities)

Hier wird es für den Mittelstand relevant:

  • Herstellung: Maschinenbau, Lebensmittel, Chemie, Medizinprodukte
  • Digitale Dienste: IT-Dienstleister, Managed Service Provider, Online-Marktplätze
  • Post und Kurier: Logistikunternehmen
  • Abfallwirtschaft: Entsorgungsunternehmen
  • Forschung: Forschungseinrichtungen

Schwellenwerte für wichtige Einrichtungen:

  • Ab 50 Mitarbeiter oder
  • Ab 10 Mio. € Jahresumsatz

Achtung: Auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer für wesentliche Einrichtungen arbeiten. Die Lieferketten-Regelung zieht viele KMU indirekt mit rein.

Was muss ich umsetzen?

NIS2 fordert ein umfassendes Cybersecurity-Management. Die Kernanforderungen:

1. Risikomanagement

  • Systematische Identifikation und Bewertung von IT-Risiken
  • Dokumentierte Maßnahmen zur Risikominderung
  • Regelmäßige Überprüfung und Aktualisierung

2. Technische Schutzmaßnahmen

3. Incident Management

  • Verfahren zur Erkennung von Sicherheitsvorfällen
  • Meldepflicht: Erstmeldung innerhalb von 24 Stunden an das BSI
  • Vollständiger Bericht innerhalb von 72 Stunden
  • Abschlussbericht innerhalb eines Monats

4. Business Continuity

  • Notfallpläne für kritische Geschäftsprozesse
  • Wiederherstellungsverfahren dokumentiert und getestet
  • Krisenmanagement und Kommunikationspläne

5. Lieferkettensicherheit

  • Sicherheitsanforderungen an Dienstleister und Zulieferer
  • Vertragliche Regelungen zur IT-Sicherheit
  • Regelmäßige Überprüfung der Lieferkette

6. Schulung und Awareness

  • Regelmäßige Cybersecurity-Schulungen für alle Mitarbeiter
  • Spezifische Schulung für die Geschäftsleitung
  • Phishing-Awareness-Training

Was passiert bei Nichteinhaltung?

NIS2 hat Zähne. Die Strafen sind deutlich höher als bei der Vorgänger-Richtlinie:

  • Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Und: Die Geschäftsführung haftet persönlich. Geschäftsführer und Vorstände können bei Verstößen persönlich zur Verantwortung gezogen werden.

Der Fahrplan: Was du jetzt tun solltest

Sofort: Betroffenheit prüfen

Fällt dein Unternehmen unter einen der genannten Sektoren? Erfüllst du die Schwellenwerte? Bist du Zulieferer für betroffene Unternehmen?

Kurzfristig: Gap-Analyse durchführen

Wo stehst du heute? Ein IT-Sicherheitscheck zeigt dir, welche NIS2-Anforderungen du bereits erfüllst und wo Lücken sind.

Mittelfristig: Maßnahmen umsetzen

Priorisiert nach Risiko und Aufwand:

  1. Incident-Response-Prozess einrichten (Meldepflicht!)
  2. MFA und Zugangskontrolle verschärfen
  3. Backup-Strategie überprüfen
  4. Risikomanagement dokumentieren
  5. Mitarbeiter schulen

Laufend: Dokumentation und Nachweis

NIS2 ist kein einmaliges Projekt. Du musst nachweisen können, dass du die Anforderungen kontinuierlich erfüllst. Das bedeutet:

  • Regelmäßige Audits
  • Aktualisierte Risikobewertungen
  • Dokumentierte Schulungen
  • Getestete Notfallpläne

Fazit: NIS2 ist kein Papiertiger

NIS2 ist die bisher größte Veränderung in der Cybersecurity-Regulierung für den Mittelstand. Wer betroffen ist und nicht handelt, riskiert nicht nur Strafen, sondern auch persönliche Haftung der Geschäftsleitung.

Die gute Nachricht: Viele der Anforderungen sind Dinge, die ohnehin sinnvoll sind. Backup, MFA, Schulungen: wer seine IT-Sicherheit ernst nimmt, hat einen Großteil der Arbeit bereits erledigt.

Lass uns gemeinsam prüfen, ob du von NIS2 betroffen bist und was zu tun ist. Im kostenlosen Erstgespräch geben wir dir eine erste Einschätzung.

NIS2 IT-Sicherheit Compliance KMU Cybersecurity-Richtlinie

IT-Fragen? Wir haben Antworten.

In einem kostenlosen Erstgespräch besprechen wir, wie wir dein Unternehmen mit der richtigen IT weiterbringen.

Kein Verkaufsgespräch, nur ein ehrlicher Austausch über deine IT.