Die NIS2-Richtlinie sorgt aktuell für viel Verunsicherung in kleinen und mittelständischen Unternehmen. Viele fragen sich, ob sie überhaupt betroffen sind, was genau zu tun ist und welche Fristen gelten. Die kurze Antwort: NIS2 betrifft deutlich mehr Unternehmen als bislang gedacht – auch viele KMU, die sich selbst nicht als klassisch „kritisch“ einstufen.
Damit Sie frühzeitig planen können, haben wir die wichtigsten Punkte verständlich zusammengefasst.
Was steckt hinter NIS2?
NIS2 ist eine EU-weite Richtlinie für mehr Cyber-Sicherheit. Sie verpflichtet Unternehmen, ihre IT-Systeme, Daten und Abläufe besser zu schützen und Sicherheitsvorfälle innerhalb kurzer Zeit zu melden. Deutschland setzt die Richtlinie mit dem neuen NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht um.
Ziel: Ausfälle und Cyberangriffe sollen verhindert werden oder so früh erkannt werden, dass sie keinen größeren Schaden anrichten.
Wer ist betroffen? Mehr Unternehmen als bisher
NIS2 erweitert den Geltungsbereich deutlich. Es reicht oft schon, eine bestimmte Unternehmensgröße zu erreichen, unabhängig davon, ob ein Betrieb als „kritisch“ eingestuft wird.
Ein Unternehmen fällt in der Regel unter NIS2, wenn es:
- mindestens 50 Mitarbeitende hat
- oder mehr als 10 Mio. € Jahresumsatz erreicht
Zusätzlich gibt es bestimmte Sektoren, die auch kleinere Firmen betreffen können, zum Beispiel:
– IT-Dienstleister und Managed-Services-Anbieter
– Energie
– Transport
– Post- und Kurierdienste
– Lebensmittel
– Maschinenbau
– Gesundheitswesen
– Chemie
– Abfall- und Wasserwirtschaft
Viele KMU entdecken erst beim genaueren Hinsehen, dass ihr Bereich in der NIS2-Liste auftaucht – besonders IT-nahe oder produktionsnahe Unternehmen.
Welche Anforderungen kommen auf KMU zu?
NIS2 schreibt keine einzelnen Produkte vor, sondern definiert klare Anforderungen an Organisation, Technik und Prozesse.
Die wichtigsten Pflichten für betroffene Unternehmen:
- Risikoanalyse durchführen und regelmäßig aktualisieren
- IT-Sicherheitsmaßnahmen einführen, die zum eigenen Risiko passen
- Schulungen für Mitarbeitende
- Notfall- und Wiederanlaufpläne bereitstellen
- Sicherheitsvorfälle melden (meist innerhalb von 24 Stunden)
- Lieferketten prüfen und Risiken dokumentieren
- Verantwortlichkeiten klar festlegen – inklusive Berichtspflichten der Geschäftsleitung
Für viele KMU bedeutet das:
Bestehende Lösungen reichen nicht mehr aus. Es braucht Strukturen, die dauerhaft gepflegt werden.
Welche Folgen drohen bei Nicht-Einhalten?
Die Strafen sind deutlich höher als bisher. NIS2 sieht u. a. vor:
- Bußgelder in beträchtlicher Höhe
- persönliche Haftung der Geschäftsführung
- verpflichtende Nachbesserungen
- öffentliche Bekanntgabe von Verstößen
Neben den rechtlichen Konsequenzen bleibt das größte Risiko jedoch ein Cybervorfall selbst – inklusive möglicher Betriebsstillstände, Datenverlust oder Imageschäden.
Was sollten KMU jetzt tun?
Damit Ihr Unternehmen vorbereitet ist, empfehlen wir folgende Schritte:
- Betroffenheit prüfen
Fällt Ihr Unternehmen unter die Kriterien? Falls unsicher: prüfen lassen.
- Bestehende IT-Sicherheit bewerten
Gibt es aktuelle Schwachstellen? Wo reichen heutige Maßnahmen nicht aus?
- Maßnahmenplan erstellen
Mit klaren Verantwortlichkeiten und realistischen Zeitfenstern.
- IT-Sicherheit professionalisieren
Zum Beispiel durch:
– Managed Firewall
– Monitoring
– regelmäßige Updates
– Backup- und Wiederherstellungskonzepte
– Sensibilisierungstrainings
- Dokumentation aufbauen
Wichtig für die Nachweispflicht gegenüber Behörden.
Warum ist das jetzt so relevant?
Der Bundestag hat am 13.11.2025 das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ beschlossen und führt so die EU-Richtlinie NIS2 in die deutsche Gesetzgebung. Der Bundesrat hat dieses Gesetz nun am 21.11.2025 auf seiner Tagesordnung stehen und erst danach wird der genaue Termin bekannt, ab dem diese Richtlinie für deutsche Unternehmen verbindlich ist.
Das bedeutet jedoch nicht, dass sich darauf ausgeruht werden kann, denn nach aktuellem Stand soll das Gesetz ohne Übergangsfristen gültig werden.
Wie die BES Systemhaus GmbH Sie bei NIS2 unterstützt:
Wir begleiten KMU seit vielen Jahren bei allen Fragen rund um IT-Sicherheit, Datenschutz und IT-Infrastruktur.
Wir unterstützen Sie u. a. bei:
– der Prüfung, ob Ihr Unternehmen unter NIS2 fällt
– Risikoanalysen
– der technischen Umsetzung
– der laufenden Überwachung Ihrer Systeme
– klaren Notfallprozessen
– der Dokumentation für Audit und Behörden
Gern beraten wir Sie persönlich und klären, wie Sie sich effizient und zukunftssicher aufstellen.
