Zum Inhalt springen

Cookies 🍪

Diese Website verwendet Cookies, die Ihre Zustimmung brauchen.

aconitas
Wissen / NIS2

NIS2 Compliance: Die 10 wichtigsten Anforderungen für KMU

Die NIS2-Richtlinie betrifft mehr Unternehmen als gedacht. Dieser Guide erklärt die 10 wichtigsten Anforderungen und wie KMU sie erfüllen können.

10 Min. Lesezeit Aktualisiert: 10.03.2026
TL;DR – Das Wichtigste in Kürze

Die NIS2-Richtlinie erweitert den Anwendungsbereich für Cybersicherheit erheblich. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz in 18 Branchen. Die wichtigsten Anforderungen: Risikomanagement, Incident Response Plan, 24h-Meldepflicht, Geschäftsführer-Haftung und Lieferketten-Sicherheit. Bei Verstößen drohen bis zu 10 Mio. € Strafe.

Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich.

Wer ist betroffen?

  • Wesentliche Einrichtungen: Energie, Verkehr, Gesundheit, Trinkwasser, Digitale Infrastruktur
  • Wichtige Einrichtungen: Chemie, Lebensmittel, verarbeitendes Gewerbe, Abfallwirtschaft, Post, Forschung
  • Größenkriterien: Ab 50 Mitarbeiter ODER ab 10 Mio. € Jahresumsatz

Die 10 wichtigsten NIS2-Anforderungen

1. Risikomanagement etablieren

Unternehmen müssen einen systematischen Prozess zur Identifikation, Bewertung und Behandlung von Cyberrisiken einführen.

Was zu tun ist:

  • Risikobewertung durchführen
  • Maßnahmenplan erstellen
  • Regelmäßige Überprüfung (mind. jährlich)

2. Incident Response Plan erstellen

Ein dokumentierter Notfallplan für Sicherheitsvorfälle ist Pflicht.

Muss enthalten:

  • Meldewege und Verantwortlichkeiten
  • Eskalationsstufen
  • Kommunikationsplan (intern/extern)
  • Wiederherstellungsverfahren

3. Meldepflichten einhalten

Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden.

Frist Anforderung
24 Stunden Erstmeldung
72 Stunden Detaillierter Bericht
1 Monat Abschlussbericht

4. Geschäftsführung einbinden

Die Geschäftsleitung trägt persönliche Verantwortung für Cybersicherheit.

Konsequenzen:

  • Pflicht zur Überwachung der Maßnahmen
  • Schulungspflicht für Führungskräfte
  • Persönliche Haftung bei Verstößen möglich

5. Lieferketten-Sicherheit gewährleisten

Die Sicherheit von Zulieferern und Dienstleistern muss überprüft werden.

Maßnahmen:

  • Sicherheitsanforderungen in Verträgen
  • Regelmäßige Überprüfung der Partner
  • Notfallpläne für Lieferantenausfälle

6. Zugangskontrollen implementieren

Identity & Access Management wird zur Pflicht.

Anforderungen:

  • Rollenbasierte Zugriffsrechte
  • Multi-Faktor-Authentifizierung (MFA)
  • Regelmäßige Überprüfung der Berechtigungen
  • Sichere Passwortverwaltung

7. Verschlüsselung einsetzen

Kryptografie muss zum Schutz sensibler Daten eingesetzt werden.

Bereiche:

  • Daten in Übertragung (TLS/SSL)
  • Daten im Ruhezustand (Festplattenverschlüsselung)
  • E-Mail-Verschlüsselung bei sensiblen Inhalten

8. Mitarbeiter schulen

Regelmäßige Security Awareness Trainings sind verpflichtend.

Inhalte:

  • Phishing-Erkennung
  • Sichere Passwörter
  • Social Engineering
  • Meldepflichten

9. Business Continuity sicherstellen

Notfallpläne für den Weiterbetrieb bei Cyberangriffen müssen existieren.

Elemente:

  • Backup-Strategie (3-2-1-Regel)
  • Wiederherstellungszeiten definieren
  • Regelmäßige Tests der Backups
  • Alternative Kommunikationswege

10. Regelmäßige Audits durchführen

Überprüfungen der Sicherheitsmaßnahmen müssen dokumentiert werden.

Optionen:

  • Interne Audits
  • Externe Penetrationstests
  • Zertifizierungen (ISO 27001)

Strafen bei Verstößen

Kategorie Maximale Strafe
Wesentliche Einrichtungen 10 Mio. € oder 2% des Jahresumsatzes
Wichtige Einrichtungen 7 Mio. € oder 1,4% des Jahresumsatzes

Nächste Schritte

  1. Betroffenheitsanalyse durchführen
  2. Gap-Analyse der aktuellen Maßnahmen
  3. Maßnahmenplan erstellen
  4. Umsetzung starten

Key Takeaways

  • NIS2 betrifft mehr Unternehmen als gedacht – prüfen Sie Ihre Betroffenheit
  • Geschäftsführung haftet persönlich – Cybersicherheit ist Chefsache
  • 24-Stunden-Meldepflicht – Incident Response muss vorbereitet sein
  • Lieferketten im Fokus – auch Partner müssen sicher sein
  • Dokumentation ist alles – Nachweise für Audits bereithalten

Häufige Fragen

Wann tritt NIS2 in Deutschland in Kraft?

Die EU-Richtlinie ist seit Oktober 2024 in Kraft. Die deutsche Umsetzung (NIS2UmsuCG) wird schrittweise umgesetzt. Unternehmen sollten jetzt mit der Umsetzung beginnen.

Wie finde ich heraus, ob mein Unternehmen betroffen ist?

Die Betroffenheit hängt von zwei Faktoren ab: 1) Ihre Branche (einer der 18 Sektoren) und 2) Ihre Unternehmensgröße (≥50 Mitarbeiter oder ≥10 Mio. € Umsatz). Wir bieten eine kostenlose Erstberatung zur Betroffenheitsprüfung.

Was passiert, wenn ich die 24-Stunden-Meldefrist verpasse?

Verspätete oder unterlassene Meldungen können als Verstoß gewertet werden und zu Bußgeldern führen. Wichtig: Ein dokumentierter Incident Response Plan hilft, die Fristen einzuhalten.

Muss ich als Zulieferer eines NIS2-Unternehmens auch compliant sein?

Nicht direkt, aber NIS2 verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu überprüfen. Faktisch werden viele Zulieferer also indirekt Sicherheitsanforderungen erfüllen müssen.

Teilen

Jetzt Anrufen

Tel.: +49 (800) 8669000
Montag 08:00 - 18:00
Dienstag 08:00 - 18:00
Mittwoch 08:00 - 18:00
Donnerstag 08:00 - 18:00
Freitag 08:00 - 18:00
Samstag Geschlossen
Sonntag Geschlossen
* Die SLA-Regelung tritt nach unseren regulären Geschäftszeiten in Kraft.

aconitas GmbH

Unser Team ist für Sie da. Kontaktieren Sie uns – wir freuen uns, Ihnen weiterzuhelfen.

Unser Service & Support für Unternehmen

Telefon Support

+49 (800) 8669000

E-Mail Support

service@aconitas.com

Supremo - Remote Support

Für Windows downloaden Für macOS downloaden