Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit März 2025 in Deutschland in Kraft. ~30.000 Unternehmen sind betroffen — viele wissen es nicht.
In diesem Artikel erfährst du:
- Ob dein Unternehmen betroffen ist
- Welche konkreten Pflichten du hast
- Was bei Verstößen droht
- Einen praxistauglichen Maßnahmenplan
Was ist NIS2?
NIS2 (Network and Information Security Directive 2) ist die EU-Richtlinie zur Cybersicherheit, die in Deutschland als NIS2UmsuCG umgesetzt wurde. Sie ersetzt das bisherige IT-Sicherheitsgesetz und erweitert den Kreis der betroffenen Unternehmen massiv.
Wer ist betroffen?
Wesentliche Einrichtungen (strenge Pflichten):
- Energie (Strom, Gas, Öl, Wasserstoff)
- Transport (Luft, Schiene, Straße, Wasser)
- Bankwesen / Finanzmarktinfrastruktur
- Gesundheitswesen (Kliniken, Labore, Pharma)
- Trinkwasser / Abwasser
- Digitale Infrastruktur (RZ, CDN, DNS, Cloud)
- IKT-Dienstleistungsmanagement (MSP, MSSP)
Wichtige Einrichtungen (erhöhte Pflichten):
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemische Industrie
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
- Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen)
- Digitale Anbieter (Online-Marktplätze, Suchmaschinen)
Größenschwellen
| Kategorie | Mitarbeiter | Umsatz |
|---|---|---|
| Wesentliche Einrichtung | ≥ 250 | > €50 Mio. |
| Wichtige Einrichtung | ≥ 50 | > €10 Mio. |
| KRITIS | unabhängig | unabhängig |
Die 5 wichtigsten Pflichten
1. Registrierung beim BSI
Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Frist: sofort.
2. Risikomanagement (§30 NIS2UmsuCG)
- Informationssicherheits-Risikoanalyse durchführen
- Kritische Assets identifizieren
- Bedrohungsszenarien dokumentieren
- Maßnahmen priorisieren und umsetzen
3. Incident Response — Meldepflicht in 24 Stunden
Bei erheblichen Sicherheitsvorfällen:
- 24h: Frühwarnung an BSI
- 72h: Detaillierter Bericht mit Bewertung
- 1 Monat: Abschlussbericht mit Lessons Learned
4. Supply Chain Security
- Lieferanten-Register erstellen
- IT-Sicherheitsanforderungen in Verträge aufnehmen
- Software-Komponenten (SBOMs) für kritische Systeme kennen
5. Geschäftsführerhaftung
Neu bei NIS2: Geschäftsführer haften persönlich für die Umsetzung der Cybersicherheitsmaßnahmen. Das ist keine delegierbare Aufgabe mehr.
Was droht bei Verstößen?
| Verstoß | Bußgeld |
|---|---|
| Wesentliche Einrichtungen | bis €10 Mio. oder 2% des Jahresumsatzes |
| Wichtige Einrichtungen | bis €7 Mio. oder 1,4% des Jahresumsatzes |
| Meldepflicht-Verstoß | bis €500.000 |
Sofort-Maßnahmenplan für KMUs
Phase 1: Betroffenheit klären (diese Woche)
- [ ] Sektor prüfen (Anhang I oder II?)
- [ ] Größenschwellen prüfen
- [ ] Lieferketten-Anforderungen prüfen
Phase 2: Basis-Sicherheit (30 Tage)
- [ ] BSI-Registrierung durchführen
- [ ] IT-Sicherheitsbeauftragten benennen
- [ ] Risikoanalyse durchführen
- [ ] MFA für alle privilegierten Accounts
- [ ] Backup-Strategie prüfen (3-2-1 Regel)
Phase 3: Incident Response (60 Tage)
- [ ] Incident-Response-Plan erstellen
- [ ] BSI-Meldeweg testen
- [ ] Notfallkontakte dokumentieren
Phase 4: Kontinuierliche Verbesserung
- [ ] Patch-Management automatisieren
- [ ] Schwachstellen-Scanning einrichten
- [ ] Lieferanten-Sicherheit prüfen
- [ ] Jährlicher Penetrationstest
Fazit
NIS2 ist kein optionales Nice-to-have — es ist geltendes Recht mit persönlicher Geschäftsführerhaftung. Die gute Nachricht: Die meisten Maßnahmen sind auch ohne NIS2 sinnvoll.
Ressourcen
👉 NIS2 Readiness Check für KMU — Komplette Checkliste mit Betroffenheitsprüfung und Maßnahmenplan: Jetzt herunterladen auf Gumroad
👉 DSGVO-Audit-Checkliste (66 Punkte) — 66 Prüfpunkte für rechtssichere Websites: Hier downloaden
👉 Kostenloser Website-Check auf DSGVO-Verstöße: guard.nevki.de
Stand: März 2025 | Keine Rechtsberatung
🛠️ Services & Produkte
Brauchst du Hilfe mit DSGVO, WordPress oder NIS2?
| Service | Preis | Link |
|---|---|---|
| DSGVO Komplett-Audit | €149 | Jetzt buchen |
| NIS2 Compliance Audit | €299 | Jetzt buchen |
| IT-Beratung (1 Stunde) | €99 | Termin buchen |
| NIS2 + DSGVO Bundle | €499 | Jetzt buchen |
Kostenlose Tools:
- 🔍 DSGVO Website-Check — Prüfe deine Website kostenlos
- 📋 DSGVO-Checkliste (66 Punkte) — €19 Download
Fragen? → hi@nevik.de
Top comments (0)