⚠️ Pflicht seit Oktober 2024
NIS2 – Jetzt Pflicht! Was KMU sofort tun müssen
Die EU-Richtlinie NIS2 ist in Kraft. Viele Mittelständler unterschätzen das Risiko – und die Strafen. Ein klarer Leitfaden für KMU.
📅 März 2025 | ⏱ ca. 3 Min. Lesezeit | 🏷 IT-Sicherheit & Compliance
📋 Inhalt
Was ist NIS2 – und warum betrifft es KMU?
NIS2 steht für „Network and Information Security Directive 2″ – die überarbeitete EU-Richtlinie zur Cybersicherheit, die seit Oktober 2024 in nationales Recht umgesetzt werden musste. Sie erweitert den Anwendungsbereich der alten NIS-Richtlinie erheblich und erfasst nun auch viele kleine und mittlere Unternehmen.
Das Ziel: Ein einheitlich hohes Cybersicherheitsniveau in der gesamten EU, besonders in kritischen Sektoren. Wer die Vorgaben ignoriert, riskiert nicht nur Bußgelder, sondern auch die persönliche Haftung der Geschäftsführung.
Wer ist betroffen?
NIS2 unterscheidet zwischen „wesentlichen” und „wichtigen” Einrichtungen. Entscheidend sind Branche und Unternehmensgröße:
| Kategorie | Sektoren (Auswahl) | Schwellenwert |
|---|---|---|
| Wesentlich | Energie, Transport, Banken, Gesundheit, Wasserversorgung | Ab 250 MA oder > 50 Mio. € Umsatz |
| Wichtig | Post, Chemie, Lebensmittel, Maschinenbau, Digitale Dienste | Ab 50 MA oder > 10 Mio. € Umsatz |
Ihre konkreten Pflichten unter NIS2
1. Risikomanagement
Sie müssen ein dokumentiertes Informationssicherheits-Managementsystem (ISMS) einführen oder vorhandene Strukturen auf NIS2-Konformität prüfen. Das umfasst regelmäßige Risikoanalysen und die Ableitung von Schutzmaßnahmen.
2. Incident Reporting
Sicherheitsvorfälle mit erheblichen Auswirkungen müssen innerhalb von 24 Stunden als Frühwarnung gemeldet werden, innerhalb von 72 Stunden folgt die detaillierte Meldung – in Deutschland an das BSI.
3. Supply-Chain-Sicherheit
Sie sind verantwortlich dafür, dass auch Ihre Lieferanten und Dienstleister angemessene Sicherheitsmaßnahmen umsetzen. Entsprechende Klauseln gehören in Verträge.
4. Technische Schutzmaßnahmen (Pflicht)
- Multi-Faktor-Authentifizierung (MFA) für alle kritischen Zugänge
- Verschlüsselung sensibler Daten (at rest & in transit)
- Regelmäßige Penetrationstests und Schwachstellenscans
- Patch-Management mit definierten SLAs
- Netzwerksegmentierung und Zero-Trust-Zugriffskontrollen
5. Business Continuity
Backup-Konzepte, Disaster-Recovery-Pläne und regelmäßige Tests des Wiederanlaufs nach einem Cyberangriff sind Pflicht – nicht Kür.
6. Schulungen & Awareness
Mitarbeitende müssen regelmäßig zu Cybersicherheitsrisiken geschult werden. Die Geschäftsführung trägt persönliche Verantwortung für die Umsetzung.
Strafen: Was droht bei Verstößen?
| Kategorie | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
Ihr 10-Punkte-Sofortplan
- ✅ Prüfen, ob Ihr Unternehmen unter NIS2 fällt (Sektor + Größenklasse)
- ✅ Bestandsaufnahme aller IT-Assets und kritischen Prozesse
- ✅ Gap-Analyse: Was fehlt noch bis zur NIS2-Konformität?
- ✅ MFA für alle externen Zugänge (VPN, RDP, Cloud) sofort aktivieren
- ✅ Backup-Konzept überprüfen und Wiederherstellungstest durchführen
- ✅ Incident-Response-Plan erstellen oder aktualisieren
- ✅ BSI-Registrierung prüfen (für betroffene Einrichtungen Pflicht)
- ✅ Lieferantenverträge auf Cybersicherheits-Klauseln prüfen
- ✅ Mitarbeiterschulung zur Cybersicherheit planen und dokumentieren
- ✅ Geschäftsführung über Pflichten und Haftungsrisiken briefen
Fazit
NIS2 ist kein bürokratisches Papierwerk, sondern eine echte Chance, die eigene Cybersicherheit auf ein zeitgemäßes Niveau zu heben. Wer bereits DSGVO-konform arbeitet oder ein ISMS betreibt, hat viele Grundlagen schon gelegt.
Wer NIS2 ignoriert, riskiert Bußgelder, Betriebsunterbrechungen und persönliche Haftung – gerade im Ernstfall eines Cyberangriffs.