NIS2 in Deutschland 2025: Der vollständige Guide für KMUs
Seit Oktober 2024 ist die NIS2-Richtlinie (Network and Information Security Directive 2) EU-weit in Kraft. Deutschland hat mit dem NIS2-Umsetzungsgesetz nachgezogen — und plötzlich sind nicht nur Großkonzerne betroffen, sondern auch tausende kleine und mittelständische Unternehmen.
Was ist NIS2?
NIS2 ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich massiv.
Die wichtigsten Änderungen:
- Mehr Sektoren: 18 statt vorher 7 betroffene Sektoren
- Kleinere Unternehmen: Ab 50 Mitarbeiter oder 10 Mio. € Umsatz
- Strengere Meldepflichten: 24 Stunden für Erstmeldung (vorher 72h)
- Persönliche Haftung: Geschäftsführer haften persönlich
- Höhere Bußgelder: Bis zu 10 Mio. € oder 2% des weltweiten Umsatzes
Welche Unternehmen sind betroffen?
"Wesentliche Einrichtungen" (Essential Entities)
- Energie (Strom, Gas, Öl, Fernwärme)
- Transport (Luft, Schiene, Wasser, Straße)
- Bankwesen & Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser & Abwasser
- Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
- ICT Service Management (B2B)
- Öffentliche Verwaltung
- Weltraum
"Wichtige Einrichtungen" (Important Entities)
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Industrie
- Lebensmittelproduktion & -vertrieb
- Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, KFZ)
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, Social Media)
- Forschungseinrichtungen
Der 5-Schritte-Plan für KMUs
Schritt 1: Betroffenheitsanalyse
Prüfen Sie zuerst, ob Ihr Unternehmen überhaupt unter NIS2 fällt:
✅ Sektor betroffen? (siehe Liste oben)
✅ Mehr als 50 Mitarbeiter ODER mehr als 10 Mio. € Umsatz?
✅ Oder: Kritische Dienstleistung unabhängig von Größe?
Tipp: Auch wenn Sie selbst nicht direkt betroffen sind — als Zulieferer eines betroffenen Unternehmens können Supply-Chain-Anforderungen auf Sie zukommen.
Schritt 2: Risikomanagement aufsetzen
NIS2 verlangt ein systematisches Risikomanagement:
- Risikoanalyse durchführen
- Technische und organisatorische Maßnahmen (TOMs) dokumentieren
- Business Continuity Plan erstellen
- Supply-Chain-Security bewerten
Schritt 3: Incident Response vorbereiten
Die Meldepflichten sind streng:
| Frist | Aktion |
|---|---|
| 24 Stunden | Erstmeldung an BSI (Bundesamt für Sicherheit in der Informationstechnik) |
| 72 Stunden | Detaillierter Zwischenbericht |
| 1 Monat | Abschlussbericht mit Root-Cause-Analyse |
Schritt 4: Technische Maßnahmen implementieren
Minimum-Anforderungen:
- Multi-Faktor-Authentifizierung (MFA)
- Verschlüsselung (at rest + in transit)
- Regelmäßige Backups (3-2-1 Regel)
- Netzwerksegmentierung
- Patch-Management-Prozess
- Logging & Monitoring
Schritt 5: Schulung & Awareness
- Geschäftsführung muss nachweislich geschult werden
- Regelmäßige Security-Awareness-Trainings für alle Mitarbeiter
- Dokumentation der Schulungen
Bußgelder und Konsequenzen
| Kategorie | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. € oder 2% des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes |
Neu: Die Geschäftsführung kann persönlich haftbar gemacht werden. Ein Delegieren der Verantwortung an den IT-Leiter reicht nicht mehr.
Was die meisten KMUs falsch machen
- "Wir sind zu klein" — Die Schwelle liegt bei 50 Mitarbeitern, und Supply-Chain-Anforderungen treffen auch Kleinere
- "Wir haben ja eine Firewall" — NIS2 verlangt ein ganzheitliches Sicherheitskonzept, nicht nur Technik
- "Der IT-Dienstleister kümmert sich" — Die Verantwortung bleibt beim Unternehmen
- "Passiert uns schon nicht" — 46% der deutschen KMUs wurden 2024 Opfer eines Cyberangriffs (BSI-Lagebericht)
Fazit: Jetzt handeln
NIS2 ist kein optionales Nice-to-have. Es ist geltendes Recht mit empfindlichen Strafen. Die gute Nachricht: Wer jetzt mit der Umsetzung beginnt, kann die meisten Anforderungen mit überschaubarem Aufwand erfüllen.
Die Grundformel:
- Risikomanagement ✅
- Incident Response Plan ✅
- Technische Basismaßnahmen ✅
- Dokumentation ✅
- Schulung ✅
Ich helfe deutschen KMUs bei der Umsetzung von NIS2 und DSGVO-Compliance. Wenn Sie unsicher sind, ob Ihr Unternehmen betroffen ist, schauen Sie auf nevki.de vorbei — dort finden Sie kostenlose Ressourcen und einen Quick-Check.
Haben Sie Fragen zu NIS2? Schreiben Sie einen Kommentar — ich antworte auf jeden.
🛠️ Services & Produkte
Brauchst du Hilfe mit DSGVO, WordPress oder NIS2?
| Service | Preis | Link |
|---|---|---|
| DSGVO Komplett-Audit | €149 | Jetzt buchen |
| NIS2 Compliance Audit | €299 | Jetzt buchen |
| IT-Beratung (1 Stunde) | €99 | Termin buchen |
| NIS2 + DSGVO Bundle | €499 | Jetzt buchen |
Kostenlose Tools:
- 🔍 DSGVO Website-Check — Prüfe deine Website kostenlos
- 📋 DSGVO-Checkliste (66 Punkte) — €19 Download
Fragen? → hi@nevik.de
Top comments (0)