Die NIS2-Richtlinie (Network and Information Security Directive 2) ist das neue EU-Rahmenwerk für Cybersicherheit – und sie betrifft weit mehr Unternehmen, als die meisten denken. Während viele KMU glauben, dass IT-Sicherheitsgesetze nur für Konzerne gelten, zeigt die Realität ein anderes Bild: Auch kleine Unternehmen können direkt oder über die Lieferkette betroffen sein.
Was ist die NIS2-Richtlinie?
NIS2 ist die Weiterentwicklung der ersten NIS-Richtlinie aus 2016. In Deutschland erfolgt die Umsetzung durch das NIS2UmsuCG. Ziel: ein einheitliches, hohes Cybersicherheitsniveau in der gesamten EU. Statt ca. 2.000 sind nun schätzungsweise 30.000–40.000 Unternehmen in Deutschland betroffen. Neu: die persönliche Haftung der Geschäftsführung.
Wen betrifft NIS2?
Direkt betroffen
Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in Sektoren wie Energie, Transport, Gesundheit, digitale Infrastruktur, Lebensmittel u.v.m.
Indirekt betroffen (Lieferkette)
Auch als kleineres Unternehmen: Wenn Sie Zulieferer oder Dienstleister für ein direkt betroffenes Unternehmen sind, können Sie vertraglich zur Einhaltung verpflichtet werden.
Unabhängig von Größe
Bestimmte Unternehmen fallen unabhängig von ihrer Größe unter NIS2: DNS-Dienste, TLD-Registrare, qualifizierte Vertrauensdienste, KRITIS-Betreiber.
Welche Pflichten gibt es?
- Risikomanagement: Systematische Analyse und Bewertung von Cyberrisiken
- Incident Response: Prozesse für die Erkennung, Behandlung und Meldung von Sicherheitsvorfällen
- Business Continuity: Backup-Management und Notfall-Wiederherstellungspläne
- Lieferkettensicherheit: Sicherheitsanforderungen an Zulieferer und Dienstleister
- Verschlüsselung: Einsatz von Kryptografie, wo angemessen
- Zugangskontrollen: Multi-Faktor-Authentifizierung und Zugriffsmanagement
- Schulungen: Regelmäßige Cybersicherheitsschulungen für alle Mitarbeiter
5 Schritte zur NIS2-Compliance
Betroffenheit klären
Prüfen Sie anhand der NIS2-Sektoren und Schwellenwerte, ob Ihr Unternehmen direkt oder indirekt betroffen ist.
Bestandsaufnahme machen
Welche IT-Systeme, Daten und Prozesse haben Sie? Wo liegen die größten Risiken?
Grundschutz umsetzen
Starke Passwörter + 2FA, Backups (3-2-1-Regel), aktuelle Software, Firewall, Mitarbeiterschulungen.
Incident-Response-Plan
Wer macht was bei einem Sicherheitsvorfall? Erkennung, Eindämmung, Meldung, Wiederherstellung, Nachbereitung.
Dokumentation & Nachweis
Halten Sie alle Maßnahmen schriftlich fest. Im Ernstfall müssen Sie nachweisen können, dass Sie Ihre Pflichten erfüllt haben.
Checkliste für Unternehmen
NIS2-Checkliste
- Betroffenheit nach NIS2-Sektoren und Schwellenwerten geprüft
- IT-Asset-Inventar erstellt (Hardware, Software, Cloud-Dienste)
- Passwort-Manager und 2FA für alle kritischen Systeme eingeführt
- Backup-Strategie nach 3-2-1-Regel umgesetzt und getestet
- Alle Systeme auf aktuellem Patch-Stand
- Firewall aktiv und korrekt konfiguriert
- Mitarbeiter zu Phishing und Social Engineering geschult
- VPN für Remote-Zugriffe eingerichtet
- Incident-Response-Plan dokumentiert und kommuniziert
- Zugriffsrechte nach dem Minimalprinzip vergeben
- Verträge mit Dienstleistern auf Sicherheitsanforderungen geprüft
- Geschäftsführung über NIS2-Pflichten und Haftung informiert
Nicht alles auf einmal: Arbeiten Sie die Checkliste Schritt für Schritt ab. Jeder umgesetzte Punkt verbessert Ihre Sicherheit – und Ihre Position bei einer möglichen Prüfung.