· Mehdi Aroui · cybersecurity  · 3 min read

NIS2: Cybersicherheitspflichten für KMU im Überblick

NIS2 trifft mehr Unternehmen als erwartet: Wer ab 50 Mitarbeitenden in regulierten Sektoren tätig ist, ist betroffen. Eine Einordnung für Entscheider, wer fällt darunter, was sofort zu tun ist und welche Haftungsrisiken für Geschäftsführer bestehen.

NIS2 trifft mehr Unternehmen als erwartet: Wer ab 50 Mitarbeitenden in regulierten Sektoren tätig ist, ist betroffen. Eine Einordnung für Entscheider, wer fällt darunter, was sofort zu tun ist und welche Haftungsrisiken für Geschäftsführer bestehen.

Warum die EU IT-Sicherheit gesetzlich regelt

Digitale Infrastruktur ist Grundlage der europäischen Wirtschaft. Störungen durch Cyberangriffe auf kritische Systeme treffen nicht nur Hamburger Unternehmen, sondern ganze Lieferketten und öffentliche Versorgung. Die EU reagierte darauf mit einem Gesetzespaket, dessen zentrales Element die NIS2-Richtlinie (Network and Information Security Directive 2) ist.

NIS2 wurde Ende 2022 verabschiedet und erweitert die ursprüngliche NIS-Richtlinie von 2016 erheblich. Parallel entstand das deutsche IT-Sicherheitsgesetz 2.0, das BSI-Befugnisse ausbaut und KRITIS-Betreiber zu Systemen zur Angriffserkennung verpflichtet.

Wer ist von NIS2 betroffen?

NIS2 gilt für Unternehmen und Organisationen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz in regulierten Sektoren. Die Liste der betroffenen Sektoren ist breiter als bei der Vorgängerrichtlinie:

Sektoren mit hoher Kritikalität:

  • Energie (Strom, Gas, Öl, Fernwärme)
  • Transport und Logistik
  • Banken und Finanzmarktinfrastruktur
  • Gesundheitsdienstleister (Krankenhäuser, Arztpraxen, MVZs)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Rechenzentren, Cloud-Anbieter, DNS)
  • Öffentliche Verwaltung
  • Raumfahrt

Weitere regulierte Sektoren:

  • Post- und Kurierdienste
  • Chemische Industrie
  • Lebensmittelverarbeitung
  • Hersteller medizinischer Geräte, Fahrzeuge und Elektronik
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)

Schätzungen zufolge wissen bis zu 80 Prozent der betroffenen Unternehmen nicht, dass sie von NIS2 erfasst sind.

Was NIS2 konkret verlangt

NIS2 macht IT-Sicherheit zur Aufgabe der Geschäftsleitung, nicht nur der IT-Abteilung. Führungskräfte können persönlich haftbar gemacht werden.

Die Kernanforderungen:

Risikoanalyse und Sicherheitskonzept: Dokumentierte Bewertung der IT-Risiken und Maßnahmen zur Risikominimierung.

Notfall- und Wiederherstellungsplan: Business-Continuity-Plan und Disaster-Recovery-Dokumentation, die im Ernstfall funktioniert. Netzleiter erstellt solche Pläne gemeinsam mit den Kunden und testet sie.

Meldepflicht: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden dem BSI gemeldet werden (Erstmeldung), mit Folgemeldung innerhalb von 72 Stunden.

Technische Maßnahmen: Zugriffskontrolle (Least Privilege, MFA), Netzwerksegmentierung, Verschlüsselung sensibler Daten, Schwachstellenmanagement und Patch-Management.

Sicherheitsprüfungen der Lieferkette: Dienstleister und Zulieferer müssen auf IT-Sicherheitsrisiken geprüft werden.

Schulungen: Mitarbeitende und Führungskräfte müssen regelmäßig zu Cybersicherheitsthemen geschult werden.

Umsetzung mit Netzleiter

Netzleiter begleitet Unternehmen bei der NIS2-Compliance. Konkrete Leistungen:

  • Betroffenheitsanalyse: Fällt das Unternehmen unter NIS2?
  • Schutzkonzept und Risikoanalyse nach BSI-Grundschutz
  • Technische Umsetzung: Firewall, ESET PROTECT EDR, Veeam Backup, MFA und Zugangskontrolle via Entra ID
  • Erstellung von Notfallplänen und Meldeprozessen
  • Mitarbeiterschulungen zu Phishing, Passworthygiene und Stoerungsmeldung
  • Dokumentation für Audits und Behördenkommunikation

Für Arztpraxen und MVZs gilt zusätzlich §390 SGB V, der spezifische IT-Sicherheitsanforderungen in der vertragsärztlichen Versorgung regelt. Netzleiter ist nach diesem Standard zertifiziert.

Häufige Fragen

Ab wann gilt NIS2 für mein Unternehmen?

NIS2 gilt für Unternehmen mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz in einem der regulierten Sektoren. Schätzungen zufolge wissen bis zu 80 Prozent der betroffenen Unternehmen nicht, dass sie unter NIS2 fallen.

Was droht bei Verstößen gegen NIS2?

Führungskräfte können persönlich haftbar gemacht werden. Bußgelder sind im NIS2UmsuCG auf bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes festgelegt, je nachdem welcher Betrag höher ist.

Was muss ich nach einem Cyberangriff melden?

Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Erstmeldung beim BSI gemeldet werden. Innerhalb von 72 Stunden folgt eine Folgemeldung mit mehr Details.

Sind Arztpraxen von NIS2 betroffen?

Gesundheitsdienstleister einschließlich Arztpraxen und MVZs zählen zu den Sektoren mit hoher Kritikalität. Zusätzlich gilt für sie §390 SGB V mit spezifischen IT-Sicherheitsanforderungen in der vertragsärztlichen Versorgung.

Was kostet eine NIS2-Betroffenheitsanalyse bei Netzleiter?

Die Erstberatung zur NIS2-Betroffenheit ist auf Anfrage verfügbar. Hotline 040 25 499 500.

Hotline: 040 25 499 500. Erstberatung zur NIS2-Betroffenheit auf Anfrage.

Details zu EU-Pflichten: NIS2 und EU-Cybersicherheitspflichten

Share:
Back to Blog

Related Posts

View All Posts »
Cyberkriminalität: Erscheinungsformen und Schutz 2026

Cyberkriminalität: Erscheinungsformen und Schutz 2026

Phishing, Ransomware, Darknet-Marktplätze: Die Grundtaxonomie der Cyberkriminalität gilt seit Jahren. Was sich verändert hat, sind Geschwindigkeit, Automatisierung und die Ziele. Ein Überblick für KMU-Entscheider.