07131-38507-0info@anderl-it.de
Jetzt anfragen
Logo Anderl IT Solutions
← Zurück zum BlogIT-Sicherheit

NIS2 Richtlinie: Was kleine und mittlere Unternehmen jetzt wissen müssen

1. April 2026·4 Min. Lesezeit·Anderl IT Solutions
NIS2 Richtlinie: Was kleine und mittlere Unternehmen jetzt wissen müssen

Was ist die NIS2 Richtlinie?

Die NIS2 Richtlinie (Network and Information Security Directive 2) ist eine EU-Verordnung, die den Cybersicherheitsstandard für Unternehmen und Organisationen in Europa deutlich anheben soll. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich erheblich.

Das Ziel: Ein einheitliches, hohes Sicherheitsniveau für kritische und wichtige Infrastrukturen in der gesamten EU.

Wer ist von NIS2 betroffen?

Hier liegt die größte Überraschung für viele Unternehmen: NIS2 betrifft deutlich mehr Branchen und Unternehmensgrößen als die Vorgängerrichtlinie. Die Richtlinie unterscheidet zwischen:

Wesentliche Einrichtungen (Essential Entities)

  • Energie, Transport, Bankwesen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung

Wichtige Einrichtungen (Important Entities)

  • Verarbeitendes Gewerbe / Herstellung – Maschinen, Fahrzeuge, Elektrogeräte
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Lebensmittelproduktion und -vertrieb
  • Chemische Erzeugnisse
  • Digitale Dienste – Online-Marktplätze, Suchmaschinen, Cloud-Dienste

Größenschwellen

Grundsätzlich gilt NIS2 für Unternehmen mit:

  • Mindestens 50 Mitarbeitenden oder
  • Mindestens 10 Mio. Euro Jahresumsatz

Achtung: Auch kleinere Unternehmen können betroffen sein, wenn sie Teil der Lieferkette eines betroffenen Unternehmens sind. Die sogenannte Lieferkettenverantwortung ist ein zentraler Aspekt von NIS2.

Welche Pflichten bringt NIS2 mit sich?

Betroffene Unternehmen müssen umfangreiche Maßnahmen umsetzen:

1. Risikomanagement

Ein systematisches Risikomanagement für IT-Systeme muss etabliert werden. Dazu gehören:

  • Identifikation und Bewertung von Cyberrisiken
  • Dokumentierte Sicherheitsrichtlinien
  • Regelmäßige Überprüfung und Aktualisierung

2. Technische Schutzmaßnahmen

Konkrete technische Maßnahmen sind Pflicht:

  • Zugriffskontrolle und Authentifizierung – Multi-Faktor-Authentifizierung wird zum Standard
  • Verschlüsselung – Daten in Transit und at Rest müssen verschlüsselt werden
  • Netzwerksicherheit – Firewalls, Netzwerksegmentierung, Intrusion Detection
  • Endpoint Protection – Alle Endgeräte müssen geschützt sein

3. Incident Reporting

Sicherheitsvorfälle müssen gemeldet werden:

  • Innerhalb von 24 Stunden: Erste Meldung an die zuständige Behörde
  • Innerhalb von 72 Stunden: Detaillierte Einschätzung des Vorfalls
  • Innerhalb eines Monats: Abschlussbericht mit Ursachenanalyse

4. Lieferkettensicherheit

Unternehmen müssen die Cybersicherheit ihrer Lieferanten und Dienstleister bewerten und sicherstellen. Das betrifft insbesondere:

  • IT-Dienstleister und Cloud-Anbieter
  • Software-Zulieferer
  • Externe Wartungszugänge

5. Geschäftskontinuität

Business Continuity Pläne müssen existieren und regelmäßig getestet werden:

  • Backup-Strategien mit dokumentierten Recovery-Zeiten
  • Notfallpläne für verschiedene Szenarien
  • Regelmäßige Tests und Übungen

Welche Strafen drohen bei Nichteinhaltung?

NIS2 hat Zähne. Bei Verstößen drohen:

  • Wesentliche Einrichtungen: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsführung – Leitungsorgane können bei grober Fahrlässigkeit persönlich haftbar gemacht werden

Was KMU jetzt konkret tun sollten

Schritt 1: Betroffenheit prüfen

Klären Sie zunächst, ob Ihr Unternehmen direkt oder über die Lieferkette betroffen ist. Prüfen Sie:

  • Ihre Branchenzugehörigkeit nach der NIS2-Sektorenliste
  • Ihre Unternehmensgröße (Mitarbeiter und Umsatz)
  • Ob Sie Zulieferer oder Dienstleister für betroffene Unternehmen sind

Schritt 2: IST-Zustand erfassen

Machen Sie eine Bestandsaufnahme Ihrer aktuellen IT-Sicherheit:

  • Welche Schutzmaßnahmen existieren bereits?
  • Wo gibt es Lücken im Vergleich zu den NIS2-Anforderungen?
  • Gibt es dokumentierte Sicherheitsrichtlinien?

Schritt 3: Maßnahmenplan erstellen

Priorisieren Sie die notwendigen Maßnahmen:

  • Sofort: MFA aktivieren, Backup-Strategie überprüfen, Endpoint Protection sicherstellen
  • Kurzfristig: Risikomanagement aufsetzen, Notfallpläne erstellen, Mitarbeitende schulen
  • Mittelfristig: Lieferkettenbewertung durchführen, Monitoring implementieren, Incident-Response-Prozesse etablieren

Schritt 4: Partner einbinden

Die wenigsten KMU können NIS2 alleine umsetzen. Ein erfahrener IT-Partner unterstützt bei:

  • Gap-Analyse und Maßnahmenplanung
  • Implementierung technischer Schutzmaßnahmen
  • Laufendem Monitoring und Incident Response
  • Dokumentation und Audit-Vorbereitung

Fazit: NIS2 als Chance für bessere IT-Sicherheit

NIS2 stellt Unternehmen vor Herausforderungen, bietet aber auch die Chance, die eigene IT-Sicherheit nachhaltig zu verbessern. Wer jetzt handelt, schützt nicht nur sein Unternehmen vor Cyberbedrohungen, sondern erfüllt auch die regulatorischen Anforderungen.

Sie sind unsicher, ob Ihr Unternehmen von NIS2 betroffen ist? Wir helfen Ihnen bei der Einschätzung und erstellen gemeinsam einen Maßnahmenplan. Kontaktieren Sie uns für eine unverbindliche Erstberatung.

Passend dazu: Managed Services: Warum IT-Outsourcing sich lohnt und Microsoft 365 für Unternehmen einrichten