· Cybersecurity  · 3 min read

NIS2: Cybersicherheitspflichten für KMU im Überblick

NIS2 gilt seit Oktober 2024 für zehntausende deutsche Unternehmen. Viele wissen nicht, dass sie betroffen sind. Pflichten, Sektoren und erste Umsetzungsschritte erklärt.

NIS2 gilt seit Oktober 2024 für zehntausende deutsche Unternehmen. Viele wissen nicht, dass sie betroffen sind. Pflichten, Sektoren und erste Umsetzungsschritte erklärt.

NIS2: Cybersicherheitspflichten für KMU im Überblick

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie, die seit Oktober 2024 in deutschem Recht gilt und IT-Sicherheit zur gesetzlichen Pflicht macht. Sie erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie von 2016 erheblich und erfasst jetzt auch viele KMU. Laut Schätzungen wissen bis zu 80 Prozent der betroffenen Unternehmen nicht, dass sie unter NIS2 fallen.

Warum die EU IT-Sicherheit gesetzlich regelt

Digitale Infrastruktur ist Grundlage der europäischen Wirtschaft. Störungen durch Cyberangriffe auf kritische Systeme treffen nicht nur einzelne Unternehmen, sondern ganze Lieferketten und öffentliche Versorgung. Parallel zu NIS2 entstand das deutsche IT-Sicherheitsgesetz 2.0, das BSI-Befugnisse ausbaut und KRITIS-Betreiber zu Systemen zur Angriffserkennung verpflichtet.

Wer ist betroffen?

NIS2 gilt für Unternehmen und Organisationen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz in regulierten Sektoren.

Sektoren mit hoher Kritikalität:

  • Energie (Strom, Gas, Öl, Fernwärme)
  • Transport und Logistik
  • Banken und Finanzmarktinfrastruktur
  • Gesundheitsdienstleister (Krankenhäuser, Arztpraxen, MVZs)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Rechenzentren, Cloud-Anbieter, DNS)
  • Öffentliche Verwaltung
  • Raumfahrt

Weitere regulierte Sektoren:

  • Post- und Kurierdienste
  • Chemische Industrie
  • Lebensmittelverarbeitung
  • Hersteller medizinischer Geräte, Fahrzeuge und Elektronik
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)

Was NIS2 konkret verlangt

NIS2 macht IT-Sicherheit zur Aufgabe der Geschäftsleitung, nicht nur der IT-Abteilung. Führungskräfte können persönlich haftbar gemacht werden.

Risikoanalyse und Sicherheitskonzept: Dokumentierte Bewertung der IT-Risiken und Maßnahmen zur Risikominimierung nach BSI-Grundschutz oder vergleichbarem Framework.

Notfall- und Wiederherstellungsplan: Business-Continuity-Plan und Disaster-Recovery-Dokumentation, die im Ernstfall tatsächlich funktioniert. Planen allein genügt nicht, die Wiederherstellung muss getestet sein.

Meldepflicht: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden dem BSI gemeldet werden (Erstmeldung), mit Folgemeldung innerhalb von 72 Stunden.

Technische Maßnahmen:

  • Zugriffskontrolle nach Least-Privilege-Prinzip und MFA
  • Netzwerksegmentierung
  • Verschlüsselung sensibler Daten
  • Schwachstellenmanagement und Patch-Management

Sicherheitsprüfung der Lieferkette: Dienstleister und Zulieferer müssen auf IT-Sicherheitsrisiken bewertet werden.

Schulungen: Mitarbeitende und Führungskräfte müssen regelmäßig zu Cybersicherheitsthemen geschult werden.

Spezialfall Gesundheitssektor

Für Arztpraxen und MVZs gilt zusätzlich §390 SGB V, der spezifische IT-Sicherheitsanforderungen in der vertragsärztlichen Versorgung regelt. Die Anforderungen sind konkret benannt und müssen nachweisbar erfüllt sein.

Erste Schritte zur NIS2-Compliance

  1. Betroffenheitsanalyse: Fällt das Unternehmen unter NIS2 (Sektor, Größe)?
  2. Gap-Analyse: Welche Anforderungen sind bereits erfüllt, welche fehlen?
  3. Schutzkonzept erstellen: Risikoanalyse, Sicherheitsmaßnahmen dokumentieren
  4. Technische Umsetzung: Firewall, EDR, verschlüsselte Backups, MFA und Zugangskontrolle
  5. Meldeprozesse definieren: Wer meldet was, an wen und in welchem Zeitfenster?
  6. Mitarbeiter schulen: Phishing, Passworthygiene, Störungsmeldung

Techiota unterstützt bei der Gap-Analyse, beim Aufbau konformer IT-Sicherheitsmaßnahmen und bei der Dokumentation für Audits. Sprechen Sie uns an: techiota.de

Ab wann gilt NIS2? NIS2 ist in Deutschland seit Oktober 2024 in Kraft. Unternehmen, die in den Geltungsbereich fallen, sind ab diesem Datum zur Umsetzung verpflichtet. Aufsichtsbehörde ist das BSI.

Was passiert bei Verstößen gegen NIS2? Bei schuldhaften Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Geschäftsführende können persönlich haftbar gemacht werden.

Muss ich als Kleinunternehmen nichts tun? Unternehmen unter 50 Mitarbeitenden und 10 Millionen Euro Umsatz fallen in der Regel nicht direkt unter NIS2. Ausnahmen gelten für kritische Infrastruktur unabhängig von der Größe. Als Zulieferer größerer Unternehmen können jedoch indirekt Anforderungen entstehen (Lieferkettenpflicht).

Share:
Back to Blog

Related Posts

View All Posts »
Passkeys und FIDO2: Passwortsicherheit für KMU

Passkeys und FIDO2: Passwortsicherheit für KMU

Apple, Microsoft und Google haben FIDO2-Passkeys als Standard etabliert. Windows Hello for Business und Entra-Passkeys ersetzen Passwörter in verwalteten Unternehmensumgebungen. Was KMU jetzt vorbereiten sollten.