Viele mittelständische Unternehmen gehen noch immer davon aus, NIS2 sei ein Thema für Konzerne und kritische Infrastrukturen. Ein gefährlicher Irrtum: Die EU-Richtlinie erweitert den Kreis der regulierten Unternehmen massiv - und erstmals fallen zehntausende KMU darunter, oft ohne es zu wissen. Wer betroffen ist und nichts tut, riskiert empfindliche Bußgelder und die persönliche Haftung der Geschäftsführung. Diese Checkliste bringt Klarheit: Sind Sie betroffen, und wenn ja, was müssen Sie tun?
Was ist NIS2 - kurz und verständlich
NIS2 ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die die ältere NIS-Richtlinie ablöst und deutlich verschärft. Ziel ist ein einheitlich hohes Sicherheitsniveau für Unternehmen, die für Wirtschaft und Gesellschaft wichtig sind. In Deutschland wird sie über das nationale Umsetzungsgesetz (NIS2UmsuCG) in geltendes Recht überführt. Für betroffene Unternehmen bedeutet das verbindliche Mindeststandards bei der IT-Sicherheit, Meldepflichten bei Vorfällen und eine klare Verantwortung der Leitungsebene.
NIS2 ist keine einmalige Aufgabe, die man abhakt, sondern ein dauerhafter Prozess. Entscheidend ist, dass Sie zuerst Ihre Betroffenheit klären - und dann mit den richtigen Maßnahmen beginnen. Wer früh handelt, hat es leichter als wer auf eine Prüfung wartet.
Schritt 1: Sind Sie überhaupt betroffen?
Die Betroffenheit ergibt sich aus zwei Faktoren: der Branche (Sektor) und der Unternehmensgröße. Grob gilt: Unternehmen ab 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz in einem der geregelten Sektoren fallen unter NIS2 - manche unabhängig von der Größe. Unterschieden wird zwischen wesentlichen und wichtigen Einrichtungen, was vor allem den Umfang der Aufsicht beeinflusst.
| Kriterium | Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
| Größe (Richtwert) | Ab ca. 250 Mitarbeitern oder 50 Mio. Euro Umsatz | Ab ca. 50 Mitarbeitern oder 10 Mio. Euro Umsatz |
| Beispiel-Sektoren | Energie, Wasser, Gesundheit, Finanzen, digitale Infrastruktur | Post/Kurier, Abfall, Chemie, Lebensmittel, Maschinenbau, digitale Dienste |
| Aufsicht | Strenger, auch proaktive Kontrollen | Aufsicht eher anlassbezogen |
| Bußgeldrahmen | Bis 10 Mio. Euro oder 2 % des weltweiten Umsatzes | Bis 7 Mio. Euro oder 1,4 % des weltweiten Umsatzes |
Zu den geregelten Sektoren gehören unter anderem Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser und Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, das verarbeitende Gewerbe (darunter Maschinenbau und Medizintechnik) sowie Anbieter digitaler Dienste. Gerade in Südbaden mit seiner hohen Dichte an Maschinenbauern, Zulieferern und Medizintechnik-Firmen fallen viele Betriebe erstmals unter die Regulierung.
⚠️ Wichtig: Auch wenn Sie selbst nicht direkt betroffen sind, kann NIS2 Sie über die Lieferkette einholen: Betroffene Kunden müssen die Sicherheit ihrer Zulieferer prüfen. Es kann also sein, dass ein großer Kunde von Ihnen Nachweise zu Ihrer IT-Sicherheit verlangt - selbst wenn Sie nicht selbst reguliert sind.
Schritt 2: Die persönliche Haftung der Geschäftsführung
Ein zentraler und oft unterschätzter Punkt: NIS2 nimmt die Leitungsebene direkt in die Pflicht. Geschäftsführer und Vorstände müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und sich entsprechend schulen lassen. Bei Versäumnissen haften sie persönlich. Die Verantwortung lässt sich nicht vollständig an die IT-Abteilung oder einen Dienstleister delegieren.
Die 10 zentralen Maßnahmen - Ihre NIS2-Checkliste
NIS2 verlangt ein angemessenes Risikomanagement nach dem Stand der Technik. Die folgenden zehn Maßnahmenbereiche bilden den Kern. Nutzen Sie die Checkliste, um Ihren aktuellen Stand ehrlich zu bewerten.
NIS2-Maßnahmen für Ihr Unternehmen
- Risikoanalyse und Sicherheitskonzept für die Informationssysteme sind dokumentiert und aktuell
- Es gibt ein Verfahren zur Bewältigung von Sicherheitsvorfällen (Erkennung, Reaktion, Meldung)
- Business Continuity und Backup-Management mit getesteter Wiederherstellung sind etabliert
- Die Sicherheit der Lieferkette wird bewertet (Anforderungen an Dienstleister und Zulieferer)
- Sicherheit bei Beschaffung, Entwicklung und Wartung der IT-Systeme ist geregelt
- Die Wirksamkeit der Sicherheitsmaßnahmen wird regelmäßig überprüft
- Grundlegende Cyberhygiene und regelmäßige Schulungen der Mitarbeiter finden statt
- Konzepte für Kryptografie und Verschlüsselung sind vorhanden
- Zugriffskontrolle, Personalsicherheit und ein Konzept für Anlagenverwaltung bestehen
- Multi-Faktor-Authentifizierung und sichere Kommunikation (Sprache, Video, Text) sind im Einsatz
Schritt 3: Die Meldepflichten kennen
Ein Kernstück von NIS2 sind die strengen Meldepflichten bei erheblichen Sicherheitsvorfällen. Diese Fristen sollten Sie kennen - und vorbereitet sein, sie einzuhalten.
Frühwarnung innerhalb von 24 Stunden
Nach Kenntnis eines erheblichen Vorfalls muss eine erste Meldung an die zuständige Behörde (in Deutschland das BSI) erfolgen.
Meldung innerhalb von 72 Stunden
Eine ausführlichere Bewertung des Vorfalls mit ersten Erkenntnissen und ergriffenen Maßnahmen folgt.
Abschlussbericht innerhalb eines Monats
Ein detaillierter Bericht zu Ursache, Auswirkungen und Gegenmaßnahmen schließt die Meldekette ab.
Registrierung bei der Behörde
Betroffene Einrichtungen müssen sich registrieren und Kontaktdaten hinterlegen, damit die Behörde sie im Ernstfall erreichen kann.
Bereiten Sie die Meldewege vor, bevor der Ernstfall eintritt. Im Krisenfall ist keine Zeit, erst zu klären, wer was an wen melden muss. Ein dokumentierter Notfallplan mit klaren Zuständigkeiten ist die halbe Miete - und ohnehin Teil der NIS2-Anforderungen.
So gehen Sie das Thema praktisch an
NIS2 wirkt auf den ersten Blick erschlagend. In der Praxis lässt sich das Thema in überschaubare Etappen zerlegen - und der größte Teil davon ist schlicht gute, solide IT-Sicherheit, von der Ihr Unternehmen ohnehin profitiert.
Betroffenheit klären
Prüfen Sie anhand von Sektor und Größe, ob und als welche Art von Einrichtung Sie unter NIS2 fallen. Im Zweifel hilft eine fachliche Einschätzung.
Ist-Zustand erfassen
Eine Bestandsaufnahme der aktuellen IT-Sicherheit zeigt, wo Sie bereits gut aufgestellt sind und wo die größten Lücken liegen.
Gap-Analyse gegen die Anforderungen
Die zehn Maßnahmenbereiche werden gegen den Ist-Zustand abgeglichen. Daraus ergibt sich eine klare, priorisierte To-do-Liste.
Maßnahmen umsetzen
Die wichtigsten Lücken werden zuerst geschlossen - meist sind das MFA, Backup-Strategie, Notfallplan und Mitarbeiterschulungen.
Dokumentieren und überwachen
NIS2 verlangt Nachweise. Maßnahmen, Verantwortlichkeiten und Vorfälle werden dokumentiert und regelmäßig überprüft.
Häufige Missverständnisse zu NIS2
Fazit: NIS2 ist machbar - mit Plan und Partner
NIS2 ist kein Grund zur Panik, aber ein klarer Handlungsauftrag. Der erste Schritt ist immer die Klärung der Betroffenheit, der zweite eine ehrliche Bestandsaufnahme. Vieles, was NIS2 verlangt, ist solide IT-Sicherheit, die Ihr Unternehmen ohnehin schützt - MFA, getestete Backups, ein Notfallplan und geschulte Mitarbeiter. Für Unternehmen in Freiburg, am Kaiserstuhl und im gesamten Südbaden begleiten wir den Weg von der Betroffenheitsprüfung bis zur dokumentierten Umsetzung.