NIS2 einfach erklärt. Was kleine und mittelständische Unternehmen jetzt wissen müssen

Die EU-Richtline NIS2 schreibt kleinen und mittelständischen Unternehmen seit Oktober 2024 höhere Sicherheitsstandards für ihre IT-Infrastruktur vor. Doch zahlreiche Firmen wissen gar nicht, dass sie davon auch betroffen sind. In diesem Ratgeber erklären wir die Anforderungen, sodass Sie Klarheit darüber gewinnen, ob für Ihr Unternehmen Handlungsbedarf besteht. So minimieren Sie mögliche Risiken, vermeiden Bußgelder und stärken Ihre IT mittel- bis langfristig.

Inhaltsverzeichnis

Was ist NIS2?

NIS2 ist die überarbeitete EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen. Sie soll die digitale Widerstandsfähigkeit europäischer Firmen erhöhen. Konkret heißt das, viele Unternehmen müssen nun konkrete Sicherheitsmaßnahmen umsetzen. Das gilt für die Bereiche Risikomanagement, IT-Sicherheit, Vorfallmeldungen und Notfallmanagement. Wer diese Maßnahmen nicht umsetzt, muss mit empfindlichen Bußgeldstrafen rechnen.

Das ist jetzt wichtig für Ihr Unternehmen zu wissen:

  • welche Vorgaben auf Sie zutreffen,
  • innerhalb welcher Fristen Sie handeln müssen und
  • wie Sie die neuen Pflichten im Geschäftsalltag anwenden.

Was die NIS1 besagt.
Bislang wurden lediglich besonders kritische Infrastrukturen, beispielsweise in den Sektoren Energie oder Gesundheit, durch die NIS1 reguliert.

Was die NIS2 besagt.
Mit der NIS2 weitet man das Konzept auf eine höhere Anzahl von Unternehmen unterschiedlichster Branchen aus. Dazu gehören zahlreiche kleine und mittelständische Firmen.

Ist unser Unternehmen von der NIS2 betroffen?

Ihre Branche und Unternehmensgröße sind die entscheidenden Faktoren dafür, ob Sie von der NIS2-Richtlinie betroffen sind. Ziel der neuen EU-Richtlinie ist es, neben großen Firmen nun auch zahlreiche kleine und mittelständische Unternehmen in die Pflicht zu nehmen. So will man IT-Ausfälle und Sicherheitsvorfälle so gering wie möglich zu halten, denn diese würden gravierende Auswirkungen auf die europäische Wirtschaft haben.

Für wen die NIS2 grundsätzlich gilt:

  • mittelgroße Unternehmen (ab 50 Mitarbeitenden oder mehr als 10 Mio. Euro Jahresumsatz) zahlreicher Sektoren
  • auch kleinere Firmen, wenn sie in einem sogenannten „besonders wichtigen Sektor“ tätig sind (z.B. Transport, Lebensmittelversorgung, Abfallwirtschaft, digitale Dienste oder Cloud)
  • möglicherweise auch Zulieferer oder Partner von kritischen Infrastrukturen, wenn ihre IT-Sicherheit für die Versorgungsketten relevant ist.

Die neue Gesetzeslage sieht recht komplex aus. Falls Sie sich nicht sicher sind, ob Ihr Unternehmen zu einem der oben genannten Fälle gehört, schafft das Online-Tool vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Klarheit.

Machen Sie jetzt die NIS-2-Betroffenheitsprüfung des BSI – Bundesamt für Sicherheit in der Informationstechnik.

Zum NIS2-Check

Bußgelder bei Nichteinhaltung der NIS2-Vorgaben

Das NIS2-Umsetzungsgesetz sieht empfindliche Bußgelder für Unternehmen vor, die die Vorgaben nicht einhalten.

Für „wesentliche Einrichtungen“ (darunter Betreiber kritischer Infrastrukturen) können Geldstrafen von bis zu 10 Mio. € oder alternativ 2% des weltweiten Jahresumsatzes verhängt werden
(je nachdem, welcher Betrag höher ist).

Für „wichtige Einrichtungen“ gelten Bußgelder von bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes.

 

Bundesamt für Sicherheit in der Informationstechnik (BSI)

OpenKRITIS – NIS2-Umsetzungsgesetz in Deutschland 2025

Welche Fristen und Pflichten gelten?

Seit Oktober 2024 gilt NIS2 verbindlich. Das heißt, sollten Sie betroffen sein, müssen Sie nun konkrete Fristen und Pflichten erfüllen.

Zu den wichtigsten Pflichten gehören:

  • Einführung eines Risikomanagements für Ihre IT-Sicherheit
  • technische und organisatorische Sicherheitsmaßnahmen, z.B. Firewalls, Zugriffskontrollen, Patch-Management
  • erste Meldung schwerwiegender Sicherheitsvorfälle innerhalb von 24h an die zuständigen Behörden
  • ergänzende Detailberichte mit weiteren Informationen zum Vorfall innerhalb von 72h
  • Erstellung von Notfall- und Wiederherstellungsplänen, um nach Angriffen oder Ausfällen handlungsfähig zu bleiben
  • Schulungen und Sensibilisierung all Ihrer Mitarbeitenden im Bereich Cybersicherheit
  • Nachweise und Dokumentationen als Belege, dass die Vorgaben eingehalten werden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Aufsicht über die korrekte Umsetzung dieser Maßnahmen. Verstöße oder Nichterfüllung können zu empfindlich hohen Geldstrafen führen.

Wie sieht ein Maßnahmenplan für Unternehmen zur Erfüllung der NIS2 Richtlinie aus?

Ein möglicher Maßnahmenplan für Ihr Unternehmen könnte so aussehen:

Bestandsaufnahme

Beginnen Sie mit einer gründlichen Bestandsaufnahme Ihrer IT-Landschaft. Dabei überprüfen Sie im Idealfall alle Systeme, Netzwerke und Anwendungen auf bereits bestehende Sicherheitsmaßnahmen und mögliche Lücken.

Dokumentieren Sie diese Schwachstellen. So erhalten Sie Klarheit über Defizite und schaffen gleichzeitig die Grundlage für Ihre weiteren Schritte. Ohne solche eine Bestandsaufnahme wird die Einleitung gezielter Maßnahmen schwierig.

Risikobewertung

Bewerten Sie auf Grundlage Ihrer Bestandsaufnahme Ihre Risiken. Stellen Sie sich die Frage, welche Szenarien besonders kritisch für Ihre Firme wären, z.B. Cyberangriffe auf vertrauliche Kundendaten, Ransomware-Angriffe oder längere Systemausfälle. Mit einer konkreten Risikobewertung wissen Sie, wo dringlicher Handlungsbedarf besteht. Außerdem priorisieren Sie so besser Ihre internen Ressourcen.

Technische Schutzmaßnahmen einführen

Dann geht es an die konkrete Umsetzung Ihrer technischen Schutzmaßnahmen, damit Ihre Firma NIS2-konform wird. Dazu zählen:

  • Firewalls
  • Virenschutz
  • Zugriffskontrollen
  • Verschlüsselungstechnologien sowie
  • ein konsequentes Patch- und Update-Management.

Beachten Sie außerdem, regelmäßige Backups durchzuführen. So gehen Ihnen im Ernstfall keine wichtigen Daten verloren. Wenn Sie all diese Maßnahmen schaffen bzw. weiterhin einhalten, hält Ihre IT-Umgebung möglichen Angriffen besser stand oder kann schneller wiederhergestellt werden.

Notfall- und Wiederherstellungspläne entwickeln

Ein Notfall trifft die meisten Unternehmen unerwartet. Wichtig ist dann, einen ausgereiften Notfall- und Wiederherstellungsplan zu haben. Darin legen Sie fest:

  • wer welche Aufgaben übernimmt,
  • welche Systeme priorisiert werden und
  • welche Kommunikationswege gelten.

Am besten testen Sie diesen Plan vorab anhand eines Übungsfalls. So reagiert Ihr Team im Ernstfall sicher und schnell.

Mitarbeitende schulen

Technik und Organisation sind eine Seite der Medaille. Die andere besteht aus der Sensibilisierung Ihrer Mitarbeitenden. Schulen Sie Ihre Belegschaft regelmäßig zum Thema IT-Sicherheit. Dies fängt beim Erkennen von Phishing-Mails an und geht bis hin zum sicheren Umgang mit Passwörtern und Daten. Mit Übungen und wiederkehrende Maßnahmen zur Bewusstseinserhöhung stärken Sie die Aufmerksamkeit Ihrer Mitarbeitenden erheblich.

Kontinuierliches Monitoring und Audits

Ihre IT-Sicherheit zu gewähren, ist keine einmalige Aufgabe. Vielmehr sollten Sie darunter einen laufenden Prozess verstehen, der auf kontinuierliches Monitoring Ihrer Systeme setzt. So erkennen Sie verdächtige Aktivitäten frühzeitig und gehen dagegen vor. Mit regelmäßigen internen oder externen Audits gehen Sie sicher, dass die NIS2-Anforderungen korrekt in Ihrem Unternehmen umgesetzt werden. Sehen Sie diese Überprüfungen als positive Wirkung, immer auf dem aktuellen Stand zu sein und neuartige Bedrohungslagen rechtzeitig adressieren zu können.

Fazit. So machen Sie Ihr Unternehmen NIS2-sicher!

Die EU-Richtlinie NIS2 betrifft deutlich mehr Unternehmen, als viele zunächst vermuten. Jetzt stehen auch kleine und mittelständische Betriebe in der Verantwortung, ihre IT-Sicherheit zu stärken. Sorgen Sie als betroffenes Unternehmen dafür, dass Sie die gesetzlichen Vorgaben einhalten und sich optimal gegen Cyberangriffe aufstellen.

Überprüfen Sie Ihre IT-Strategie grundlegend, schließen Sie bestehende Lücken und machen Sie Ihre Belegschaft fit. Mit der richtigen Umsetzung vermeiden Sie interne Sicherheitslücken und schützen Ihre Firma vor empfindlich hohen Geldstrafen. Bei we-IT unterstützen wir Sie gern bei der Durchführung aller wichtigen Maßnahmen.

Jetzt ihr Unternehmen absichern und die NIS2-Betroffenheitsprüfung beim BSI machen!

Zum NIS2-Check

Über den Autor Marc Weigand

Marc Weigand begleitet die Entwicklung der we IT GmbH von Anfang an: 2001 wagte er den Schritt in die Selbstständigkeit – der Grundstein für das Unternehmen in seiner heutigen Form. Als Fachinformatiker für Anwendungsentwicklung (IHK) begann er seine Laufbahn bei Logitech, wo er automatisierte Testsoftware entwickelte und anschließend im Außendienst Vertrieb in den USA und Südamerika tätig war. Diese Kombination aus fundiertem technischem Know how und internationaler Vertriebserfahrung bildet die Basis seines ganzheitlichen Verständnisses für die Anforderungen moderner Unternehmen.

Gemeinsam mit seinem Team evaluiert er jede neue Lösung sorgfältig, um höchste Leistungsfähigkeit und Stabilität sicherzustellen. Dabei legt er großen Wert auf persönliche Betreuung: Marc Weigand steht als Inhaber Kunden direkt zur Verfügung. Langjährige Partnerschaften – viele davon seit über einem Jahrzehnt – bestätigen den nachhaltigen Erfolg dieses Vorgehens. Zahlreiche Zertifizierungen (u. a. Cisco, Microsoft 365 Administrator Experte) sowie seine ausgewiesene Expertise in Datenschutz und IT Standards (DSGVO, ISO 27001, NIS2, TISAX) belegen seinen Anspruch an IT Sicherheit (compliance.we it.de).

image
Cookie Consent Banner von Real Cookie Banner