Redaktioneller Hinweis (Review Mai 2026): Dieser Artikel wurde ursprünglich am 21. Juni 2017 veröffentlicht. Die folgenden Informationen wurden geprüft und aktualisiert. Veraltete Abschnitte sind mit dem ursprünglichen Stand gekennzeichnet.

NIS2-Update (Mai 2026): Die NIS2-Richtlinie gilt seit Oktober 2024 europaweit. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) ist im März 2025 in Kraft getreten. Betroffene Unternehmen müssen Sicherheitsmaßnahmen nachweisen und Vorfälle innerhalb von 24 Stunden melden.

Basisschutz: zwölf Maßnahmen, die seit Jahren gelten

Die grundlegenden Schutzmaßnahmen gegen Cyberkriminalität haben sich in den letzten Jahren nicht verändert. Aus unserer Praxis in Hamburg sehen wir, dass gerade die Basics oft vernachlässigt werden. Was sich geändert hat: Ihre rechtliche Verbindlichkeit.

Die zwölf Basismaßnahmen:

Betriebssystem- und Software-Updates regelmäßig einspielen
Antivirenprogramme aktuell halten (heute: EDR-Lösungen wie ESET PROTECT)
Firewall betreiben und korrekt konfigurieren
Benutzerkonten auf notwendige Berechtigungen begrenzen (Least Privilege)
Sorgsamer Umgang mit persönlichen Daten in digitalen Kanälen
Sichere Browser und Browser-Konfiguration nutzen
Starke Passwörter verwenden und regelmäßig wechseln (heute: Passkeys bevorzugen)
Nur verschlüsselte Verbindungen nutzen (HTTPS, VPN)
Unnötige Software deinstallieren
Regelmäßige Datensicherungen anlegen und testen
WLAN mit WPA3 oder WPA2 absichern
Sicherheitsstatus regelmäßig prüfen

Diese Liste stammt aus 2017. Sie ist weiterhin gültig. Wer alle zwölf Punkte konsequent umsetzt, schließt die häufigsten Einfallstore für Ransomware, Phishing und Datenlecks.

NIS2: EU-weite Pflichten ab 2024

Die EU-Richtlinie NIS2 (Network and Information Security Directive 2) wurde Ende 2022 verabschiedet und sollte bis Oktober 2024 in nationales Recht umgesetzt werden. Sie erweitert den Kreis betroffener Unternehmen erheblich und macht IT-Sicherheitsmaßnahmen zur gesetzlichen Pflicht.

Betroffene Unternehmen: Mindestens 50 Mitarbeitende und 10 Millionen Euro Jahresumsatz in einem der regulierten Sektoren. Dazu zählen neben KRITIS-Betreibern (Energie, Gesundheit, Wasser, Transport) auch digitale Dienste, Post, Chemie, Lebensmittel und Teile der Fertigungsindustrie.

Was NIS2 verlangt:

Dokumentiertes Risikomanagementsystem
Notfall- und Wiederherstellungspläne (Business Continuity, Disaster Recovery)
Meldung erheblicher Vorfälle innerhalb von 24 Stunden an das BSI (Erstmeldung)
Technische Maßnahmen: Zugangskontrolle, Verschlüsselung, Schwachstellenmanagement, Netzwerksegmentierung
Schulungen für Mitarbeitende und Führungskräfte

IT-Sicherheitsgesetz 2.0

Das deutsche IT-Sicherheitsgesetz 2.0 erweitert die Befugnisse des BSI und verpflichtet KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse zu konkreten Schutzmaßnahmen, darunter Systeme zur Angriffserkennung (SzA) mit einer Übergangsfrist bis 2023. Für Arztpraxen und MVZs gilt §390 SGB V als branchenspezifischer Rahmen.

Was das für KMU bedeutet

Viele Mittelständler wissen nicht, dass sie von NIS2 betroffen sind. NIS2 gilt nicht nur für Konzerne, sondern für jedes Unternehmen der genannten Sektoren ab der Schwellengröße. Besonders relevant für den Hamburger Mittelstand: Gesundheitsdienstleister, Logistik, Lebensmittelverarbeitung und digitale Dienstleister.

Netzleiter unterstützt bei:

NIS2-Betroffenheitsanalyse für das eigene Unternehmen
Erstellung von Schutzkonzepten und Notfallplänen
Technischer Umsetzung: Firewall, ESET PROTECT EDR, Veeam Backup, Zugriffskontrolle
Reaktionsplan-Dokumentation und BSI-Meldeprozess
Mitarbeiterschulungen zu Phishing und sicherem Verhalten

Hotline: 040 25 499 500. Kostenfreie Erstberatung zur NIS2-Betroffenheit auf Anfrage.