NIS2: die neue Cybersecurity-Pflicht für den Mittelstand
Die NIS2-Richtlinie der EU ist die bisher umfassendste Regulierung zur IT-Sicherheit. Sie betrifft nicht nur Konzerne und kritische Infrastruktur, sondern erstmals auch tausende mittelständische Unternehmen in Deutschland.
Das Problem: Viele KMU wissen nicht, dass sie betroffen sind. Und die Umsetzungsfristen laufen.
Was ist NIS2?
NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Geltungsbereich massiv.
In Deutschland wird NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Die Anforderungen sind verbindlich, mit empfindlichen Strafen bei Nichteinhaltung.
Bin ich betroffen?
Die große Frage. NIS2 unterscheidet zwei Kategorien:
Wesentliche Einrichtungen (Essential Entities)
- Energie, Transport, Gesundheit, Wasser, Finanzwesen
- Digitale Infrastruktur, öffentliche Verwaltung
- Ab 250 Mitarbeiter oder 50 Mio. € Umsatz in diesen Sektoren
Wichtige Einrichtungen (Important Entities)
Hier wird es für den Mittelstand relevant:
- Herstellung: Maschinenbau, Lebensmittel, Chemie, Medizinprodukte
- Digitale Dienste: IT-Dienstleister, Managed Service Provider, Online-Marktplätze
- Post und Kurier: Logistikunternehmen
- Abfallwirtschaft: Entsorgungsunternehmen
- Forschung: Forschungseinrichtungen
Schwellenwerte für wichtige Einrichtungen:
- Ab 50 Mitarbeiter oder
- Ab 10 Mio. € Jahresumsatz
Achtung: Auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer für wesentliche Einrichtungen arbeiten. Die Lieferketten-Regelung zieht viele KMU indirekt mit rein.
Was muss ich umsetzen?
NIS2 fordert ein umfassendes Cybersecurity-Management. Die Kernanforderungen:
1. Risikomanagement
- Systematische Identifikation und Bewertung von IT-Risiken
- Dokumentierte Maßnahmen zur Risikominderung
- Regelmäßige Überprüfung und Aktualisierung
2. Technische Schutzmaßnahmen
- Netzwerksicherheit und Zugangskontrolle
- Verschlüsselung sensibler Daten
- Multi-Faktor-Authentifizierung
- Regelmäßige Backups mit getesteter Wiederherstellung
- Schwachstellenmanagement und Patch-Prozesse
3. Incident Management
- Verfahren zur Erkennung von Sicherheitsvorfällen
- Meldepflicht: Erstmeldung innerhalb von 24 Stunden an das BSI
- Vollständiger Bericht innerhalb von 72 Stunden
- Abschlussbericht innerhalb eines Monats
4. Business Continuity
- Notfallpläne für kritische Geschäftsprozesse
- Wiederherstellungsverfahren dokumentiert und getestet
- Krisenmanagement und Kommunikationspläne
5. Lieferkettensicherheit
- Sicherheitsanforderungen an Dienstleister und Zulieferer
- Vertragliche Regelungen zur IT-Sicherheit
- Regelmäßige Überprüfung der Lieferkette
6. Schulung und Awareness
- Regelmäßige Cybersecurity-Schulungen für alle Mitarbeiter
- Spezifische Schulung für die Geschäftsleitung
- Phishing-Awareness-Training
Was passiert bei Nichteinhaltung?
NIS2 hat Zähne. Die Strafen sind deutlich höher als bei der Vorgänger-Richtlinie:
- Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes
Und: Die Geschäftsführung haftet persönlich. Geschäftsführer und Vorstände können bei Verstößen persönlich zur Verantwortung gezogen werden.
Der Fahrplan: Was du jetzt tun solltest
Sofort: Betroffenheit prüfen
Fällt dein Unternehmen unter einen der genannten Sektoren? Erfüllst du die Schwellenwerte? Bist du Zulieferer für betroffene Unternehmen?
Kurzfristig: Gap-Analyse durchführen
Wo stehst du heute? Ein IT-Sicherheitscheck zeigt dir, welche NIS2-Anforderungen du bereits erfüllst und wo Lücken sind.
Mittelfristig: Maßnahmen umsetzen
Priorisiert nach Risiko und Aufwand:
- Incident-Response-Prozess einrichten (Meldepflicht!)
- MFA und Zugangskontrolle verschärfen
- Backup-Strategie überprüfen
- Risikomanagement dokumentieren
- Mitarbeiter schulen
Laufend: Dokumentation und Nachweis
NIS2 ist kein einmaliges Projekt. Du musst nachweisen können, dass du die Anforderungen kontinuierlich erfüllst. Das bedeutet:
- Regelmäßige Audits
- Aktualisierte Risikobewertungen
- Dokumentierte Schulungen
- Getestete Notfallpläne
Fazit: NIS2 ist kein Papiertiger
NIS2 ist die bisher größte Veränderung in der Cybersecurity-Regulierung für den Mittelstand. Wer betroffen ist und nicht handelt, riskiert nicht nur Strafen, sondern auch persönliche Haftung der Geschäftsleitung.
Die gute Nachricht: Viele der Anforderungen sind Dinge, die ohnehin sinnvoll sind. Backup, MFA, Schulungen: wer seine IT-Sicherheit ernst nimmt, hat einen Großteil der Arbeit bereits erledigt.
Lass uns gemeinsam prüfen, ob du von NIS2 betroffen bist und was zu tun ist. Im kostenlosen Erstgespräch geben wir dir eine erste Einschätzung.