NIS2ComplianceIT-SicherheitKMURecht

NIS2-Richtlinie: Was KMU jetzt wissen und tun müssen

Seit Oktober 2024 gilt die NIS2-Richtlinie in Deutschland. Viele KMU sind betroffen, ohne es zu wissen. Ein Überblick über Pflichten, Fristen und konkrete Maßnahmen.

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Oktober 2024 in deutsches Recht umgesetzt und betrifft deutlich mehr Unternehmen als die Vorgängerversion. Schätzungen gehen von 30.000 bis 40.000 betroffenen Unternehmen allein in Deutschland aus — darunter viele, die sich bisher nicht als Teil der kritischen Infrastruktur gesehen haben.

Wer ist betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Betroffen sind Unternehmen in 18 Sektoren, darunter:

Wesentliche Einrichtungen (strengere Anforderungen):

  • Energie, Verkehr, Bankwesen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung

Wichtige Einrichtungen:

  • Verarbeitendes Gewerbe (z.B. Maschinenbau, Chemie)
  • Lebensmittelproduktion und -vertrieb
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Digitale Dienste (Cloud, Suchmaschinen, Online-Marktplätze)

Größenkriterien:

  • Ab 50 Mitarbeiter ODER
  • Ab 10 Mio. € Jahresumsatz ODER
  • Ab 10 Mio. € Jahresbilanzsumme

Ausnahme: Bestimmte Sektoren (z.B. digitale Infrastruktur) fallen unabhängig von der Größe unter NIS2.

Was fordert NIS2 konkret?

1. Risikomanagement

Unternehmen müssen angemessene technische und organisatorische Maßnahmen umsetzen:

  • Risikoanalyse und Sicherheitskonzepte
  • Incident Handling — Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle
  • Business Continuity — Backup-Management, Notfall- und Krisenmanagement
  • Supply Chain Security — Sicherheit in der Lieferkette
  • Schwachstellenmanagement — regelmäßige Updates und Patches
  • Kryptografie und Verschlüsselung wo angemessen
  • Zugriffskontrolle und Asset Management
  • Multi-Faktor-Authentifizierung

2. Meldepflichten

Sicherheitsvorfälle müssen an das BSI gemeldet werden — und zwar schnell:

FristWas
24 StundenErstmeldung nach Erkennung eines erheblichen Vorfalls
72 StundenDetaillierte Bewertung inkl. Schwere und Auswirkungen
1 MonatAbschlussbericht mit Ursachenanalyse und Maßnahmen

3. Geschäftsführerhaftung

Neu bei NIS2: Die Geschäftsführung haftet persönlich für die Umsetzung der Cybersicherheitsmaßnahmen. Sie muss die Maßnahmen genehmigen, ihre Umsetzung überwachen und sich regelmäßig schulen lassen.

NIS2-Compliance von Binary System Services

Was droht bei Verstößen?

Die Bußgelder sind erheblich:

  • Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes

Zusätzlich können die Behörden Anweisungen erteilen, Audits durchführen und im Extremfall die Geschäftsführung temporär untersagen.

Konkrete Schritte für KMU

Schritt 1: Betroffenheit prüfen

Fragen Sie sich:

  • In welchem Sektor ist unser Unternehmen tätig?
  • Haben wir mehr als 50 Mitarbeiter?
  • Liegt unser Umsatz über 10 Mio. €?
  • Erbringen wir Dienste für wesentliche Einrichtungen (Lieferkette)?

Schritt 2: GAP-Analyse durchführen

Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den NIS2-Anforderungen:

  • Gibt es ein dokumentiertes Sicherheitskonzept?
  • Werden regelmäßig Backups durchgeführt und getestet?
  • Gibt es einen Incident-Response-Plan?
  • Ist MFA für alle Nutzer aktiviert?
  • Werden Systeme regelmäßig gepatcht?

Schritt 3: Maßnahmen priorisieren

Nicht alles muss sofort umgesetzt werden. Priorisieren Sie nach Risiko:

  1. Sofort: MFA aktivieren, Backups prüfen, Patch-Management
  2. Kurzfristig: Incident-Response-Plan erstellen, Zugriffskontrolle überprüfen
  3. Mittelfristig: Risikomanagement-Framework einführen, Mitarbeiterschulungen
  4. Laufend: Monitoring, Schwachstellenscans, Compliance-Dokumentation

Schritt 4: Dokumentieren

NIS2 erfordert nachweisbare Maßnahmen. Dokumentieren Sie:

  • Was wurde umgesetzt?
  • Wann wurden Maßnahmen zuletzt geprüft?
  • Welche Risiken wurden identifiziert und wie werden sie behandelt?

Fazit

NIS2 ist keine Option — es ist geltendes Recht mit persönlicher Haftung für die Geschäftsführung. Viele der geforderten Maßnahmen sind grundlegende IT-Hygiene, die jedes Unternehmen ohnehin umsetzen sollte. Der Unterschied ist: Jetzt ist es Pflicht, und es wird kontrolliert.

Wenn Sie unsicher sind ob Ihr Unternehmen betroffen ist oder wo Sie stehen, bieten wir eine kostenlose Ersteinschätzung an.

Mehr zu unserer NIS2-Beratung