Mit der NIS-2-Richtlinie zieht die EU die Anforderungen an die Cybersicherheit deutlich an – und sie betrifft weit mehr Unternehmen als ihre Vorgängerregelung. Viele mittelständische Betriebe, die sich bislang nie mit IT-Sicherheitsregulierung beschäftigt haben, fallen nun erstmals in den Anwendungsbereich. Das Problem: Wer betroffen ist, muss handeln – und die Geschäftsleitung haftet persönlich. Dieser Beitrag gibt Ihnen eine praxisnahe Orientierung, wen NIS-2 erfasst, welche Pflichten gelten und wie Sie sich vorbereiten. Er ersetzt keine Rechtsberatung, hilft Ihnen aber, die richtigen Fragen zu stellen.
Was NIS-2 ist – und warum es Sie betreffen kann
NIS-2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit. Sie wird in nationales Recht umgesetzt und verpflichtet betroffene Unternehmen zu einem Mindestmaß an IT-Sicherheit, zu Meldepflichten bei Vorfällen und zu nachweisbarem Risikomanagement. Der entscheidende Unterschied zur alten NIS-Richtlinie: Der Kreis der betroffenen Sektoren und Unternehmen ist massiv gewachsen.
Wer ist betroffen?
Die Betroffenheit hängt von Sektor und Unternehmensgröße ab. Grob gilt eine Größenschwelle ab etwa 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz – kombiniert mit der Zugehörigkeit zu einem regulierten Sektor.
| Kategorie | Beispiele für Sektoren | Größenkriterium (Orientierung) |
|---|---|---|
| Wesentliche Einrichtungen | Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur | i. d. R. ab 250 Beschäftigten / 50 Mio. € Umsatz |
| Wichtige Einrichtungen | Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste | i. d. R. ab 50 Beschäftigten / 10 Mio. € Umsatz |
Wichtig: Auch wenn Sie selbst nicht direkt betroffen sind, kann NIS-2 Sie über die Lieferkette erreichen. Betroffene Unternehmen müssen die Sicherheit ihrer Dienstleister bewerten – und geben diese Anforderungen an ihre Zulieferer und IT-Partner weiter.
Welche Pflichten gelten?
NIS-2 verlangt kein abstraktes Sicherheitsniveau, sondern konkrete Maßnahmen. Im Kern müssen betroffene Unternehmen:
- ein Risikomanagement für ihre Netz- und Informationssysteme einführen,
- technische und organisatorische Maßnahmen umsetzen (z. B. Zugriffskontrolle, Verschlüsselung, Backups, Notfallpläne),
- die Sicherheit der Lieferkette berücksichtigen,
- erhebliche Sicherheitsvorfälle melden – mit einer Erstmeldung typischerweise innerhalb von 24 Stunden,
- die Wirksamkeit der Maßnahmen regelmäßig überprüfen.
Die Geschäftsleitung in der Pflicht
Ein oft unterschätzter Punkt: NIS-2 macht IT-Sicherheit ausdrücklich zur Chefsache. Die Geschäftsleitung muss die Maßnahmen billigen, ihre Umsetzung überwachen und sich entsprechend schulen. Bei Verstößen drohen empfindliche Bußgelder – und persönliche Verantwortung. IT-Sicherheit lässt sich also nicht mehr vollständig „nach unten" delegieren.
In vier Schritten zur Vorbereitung
- Betroffenheit klären: Prüfen Sie anhand von Sektor und Größe, ob NIS-2 für Sie gilt – und ob Sie über die Lieferkette erfasst werden.
- Status erfassen: Bewerten Sie Ihre bestehenden Sicherheitsmaßnahmen ehrlich gegen die Anforderungen.
- Lücken schließen: Führen Sie fehlende technische und organisatorische Maßnahmen ein und etablieren Sie einen Meldeprozess.
- Verankern und prüfen: Machen Sie Sicherheit zum laufenden Prozess mit regelmäßiger Überprüfung und dokumentierter Verantwortung.
Gerade KMU ohne eigene Sicherheitsabteilung profitieren hier von einem Partner, der die Anforderungen pragmatisch übersetzt. Wie ein belastbares Sicherheitsfundament aussieht, zeigen wir auf unserer Seite zur IT-Sicherheit für den Mittelstand.
Was Sie jetzt konkret tun sollten
Auch unabhängig von Fristen lohnt sich die Vorbereitung – denn die geforderten Maßnahmen sind ohnehin gute IT-Hygiene:
- Backups regelmäßig testen, nicht nur erstellen
- Zugriffsrechte nach dem Prinzip der minimalen Berechtigung vergeben
- Updates zeitnah einspielen und Altsysteme ablösen
- Notfallplan schreiben und im Team durchsprechen
- Lieferantenverträge auf Sicherheitsanforderungen prüfen
Viele dieser Punkte überschneiden sich mit einer ohnehin sinnvollen Modernisierung – mehr dazu im Beitrag zur IT-Modernisierung im Mittelstand. Wer NIS-2 ernst nimmt, gewinnt also nicht nur Compliance, sondern eine spürbar widerstandsfähigere IT.
NIS-2, DSGVO und DORA – kein Widerspruch
Viele Unternehmen empfinden die wachsende Zahl an Regelwerken als Belastung. Tatsächlich überschneiden sich die Anforderungen aber stark: Wer ein solides Risikomanagement, getestete Backups, eine saubere Zugriffskontrolle und einen funktionierenden Meldeprozess aufbaut, erfüllt damit gleichzeitig zentrale Forderungen von NIS-2, der DSGVO und – für betroffene Finanzunternehmen – auch von DORA. Es lohnt sich daher, Compliance nicht als Sammlung isolierter Pflichten zu begreifen, sondern als ein gemeinsames Sicherheitsfundament.
Für viele Mittelständler bedeutet das: Ein gut investierter Euro zahlt auf mehrere Regelwerke gleichzeitig ein. Wer den DORA-Kontext im Detail verstehen möchte, findet weitere Orientierung in unserem Leitfaden zu DORA für KMU. Entscheidend ist, die Maßnahmen so zu strukturieren, dass sie sich gegenseitig stützen statt zu duplizieren.
Verschaffen Sie sich Klarheit
NIS-2 wirkt umfangreich, lässt sich für KMU aber strukturiert angehen. Der erste und wichtigste Schritt ist eine ehrliche Standortbestimmung: Sind Sie betroffen, und wo stehen Sie? Nutzen Sie dafür unseren kostenlosen Compliance-Checker für eine erste Einschätzung. Auf dieser Basis lässt sich gezielt aufbauen – etwa gemeinsam mit einem festen Ansprechpartner im Rahmen unserer Leistungen zur IT-Sicherheit.
Dieser Beitrag dient der allgemeinen Orientierung und stellt keine Rechtsberatung dar. Für eine verbindliche Bewertung Ihrer Pflichten ziehen Sie bitte fachkundigen Rechtsrat hinzu.