IT-Sicherheit & NIS-2: Was Unternehmen jetzt tun müssen
Die EU-Richtlinie NIS-2 verschärft die Anforderungen an IT-Sicherheit drastisch. Seit Oktober 2024 gelten neue Pflichten für tausende deutsche Unternehmen — mit empfindlichen Strafen bei Verstößen. Dieser Ratgeber zeigt, ob Sie betroffen sind, was Sie umsetzen müssen und wo Sie heute anfangen können.
Was NIS-2 für Ihr Unternehmen bedeutet
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die Antwort der EU auf die wachsende Bedrohungslage im Cyberraum. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und weitet den Anwendungsbereich massiv aus: Statt weniger hundert sind nun laut Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzungsweise 30.000 Unternehmen allein in Deutschland betroffen.
Die Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen" (essential entities) und „wichtigen Einrichtungen" (important entities). Beide Kategorien müssen umfassende Cybersicherheitsmaßnahmen umsetzen und Sicherheitsvorfälle melden — der Unterschied liegt vor allem in der Aufsichtsintensität.
Die Konsequenzen bei Verstößen sind erheblich: Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (laut NIS-2-Richtlinie Art. 34) — je nachdem, welcher Betrag höher ist. Geschäftsführer haften zudem persönlich für die Umsetzung der Maßnahmen.
Sind Sie betroffen? Der Schnellcheck
NIS-2 gilt für Unternehmen, die in bestimmten Sektoren tätig sind UND bestimmte Schwellenwerte überschreiten. Prüfen Sie beide Kriterien:
Betroffene Sektoren
- Energie (Strom, Gas, Öl, Fernwärme)
- Transport & Verkehr
- Gesundheitswesen
- Digitale Infrastruktur (Rechenzentren, DNS, Cloud)
- ICT-Dienstleister (Managed Services, SaaS)
- Finanz- & Versicherungswesen
- Abwasser- & Abfallwirtschaft
- Produktion (Chemie, Lebensmittel, Maschinenbau, Fahrzeugbau)
- Post- & Kurierdienste
- Forschung
Schwellenwerte
Sie fallen unter NIS-2, wenn Sie in einem der genannten Sektoren tätig sind und mindestens eines dieser Kriterien erfüllen:
- Ab 50 Mitarbeiter — Sie gelten als „wichtige Einrichtung"
- Ab 10 Mio. Euro Jahresumsatz — ebenfalls Schwelle für „wichtige Einrichtung"
- Ab 250 Mitarbeiter oder 50 Mio. Euro Umsatz — Sie gelten als „besonders wichtige Einrichtung"
Achtung: Bestimmte Unternehmen fallen unabhängig von der Größe unter NIS-2 — etwa DNS-Anbieter, TLD-Registries, qualifizierte Vertrauensdiensteanbieter und Betreiber öffentlicher Telekommunikationsnetze.
Die 10 häufigsten IT-Sicherheitslücken im Mittelstand
Diese Schwachstellen sehen wir regelmäßig — und jede einzelne kann bei einem Audit oder einem Angriff zum Problem werden.
Veraltete Software & fehlende Patches
Ungepatchte Systeme sind Einfallstor Nummer eins. Viele Angriffe nutzen Schwachstellen, für die es längst Updates gibt.
Schwache Passwörter & keine MFA
Ohne Multi-Faktor-Authentifizierung reicht ein kompromittiertes Passwort, um komplette Systeme zu übernehmen.
Kein Backup-Konzept / ungetestete Backups
Backups existieren auf dem Papier — aber niemand hat getestet, ob ein Restore tatsächlich funktioniert.
Fehlende Netzwerksegmentierung
Flache Netzwerke ermöglichen es Angreifern, sich nach dem Eindringen ungehindert lateral zu bewegen.
Keine Incident-Response-Prozesse
Wenn der Ernstfall eintritt, fehlt ein Fahrplan. Wer ist zuständig? Wer wird informiert? Welche Systeme werden isoliert?
Ungeschulte Mitarbeiter (Phishing)
Der Mensch bleibt das schwächste Glied. Ohne regelmäßige Awareness-Schulungen öffnen Mitarbeiter täglich die Tür für Angreifer.
Unverschlüsselte Daten
Daten at rest und in transit ohne Verschlüsselung — bei einem Breach liegen sensible Informationen im Klartext vor.
Fehlende Zugriffsrechte-Verwaltung
Jeder hat Zugriff auf alles. Kein Least-Privilege-Prinzip, keine regelmäßige Überprüfung der Berechtigungen.
Kein Monitoring / keine Anomalie-Erkennung
Ohne Monitoring bemerken Sie einen Angriff erst, wenn der Schaden bereits entstanden ist. Im Durchschnitt dauert es laut IBM Cost of a Data Breach Report 200+ Tage.
Shadow IT — unkontrollierte Tools und Cloud-Dienste
Mitarbeiter nutzen eigene Tools und Cloud-Dienste ohne Wissen der IT. Daten fließen in unkontrollierte Kanäle, Compliance wird unmöglich.
NIS-2 Anforderungen: Was Sie umsetzen müssen
Risikomanagement
Sie müssen ein systematisches Risikomanagement für Ihre IT-Systeme etablieren — inklusive regelmäßiger Risikoanalysen und dokumentierter Maßnahmen.
- Regelmäßige Risikoanalysen durchführen
- Technische und organisatorische Maßnahmen dokumentieren
- Wirksamkeit der Maßnahmen überprüfen
Incident Reporting
Sicherheitsvorfälle müssen innerhalb strenger Fristen gemeldet werden. Das erfordert funktionierende Erkennungs- und Meldeprozesse.
- Frühwarnung innerhalb von 24 Stunden
- Detaillierte Meldung innerhalb von 72 Stunden
- Abschlussbericht innerhalb eines Monats
Supply Chain Security
Sie haften auch für die Sicherheit Ihrer Lieferkette. Dienstleister und Zulieferer müssen in Ihr Sicherheitskonzept einbezogen werden.
- Sicherheitsanforderungen an Lieferanten definieren
- Vertragliche Absicherung (SLAs, Audit-Rechte)
- Regelmäßige Überprüfung der Drittanbieter
Business Continuity
Sie brauchen belastbare Pläne für den Krisenfall — damit Ihr Unternehmen nach einem Angriff schnell wieder handlungsfähig ist.
- Notfall- und Wiederherstellungspläne erstellen
- Backup-Strategie mit regelmäßigen Restore-Tests
- Krisenmanagement-Team und -Kommunikation
Schulungspflicht
Die Geschäftsführung muss nachweislich an Cybersicherheitsschulungen teilnehmen. Alle Mitarbeiter müssen regelmäßig sensibilisiert werden.
- Pflichtschulungen für Geschäftsführung
- Regelmäßige Awareness-Trainings für alle Mitarbeiter
- Dokumentation und Nachweisführung
Persönliche Haftung
Neu bei NIS-2: Geschäftsführer haften persönlich für die Umsetzung der Cybersicherheitsmaßnahmen. Delegation entbindet nicht von der Verantwortung.
- Geschäftsführer müssen Maßnahmen genehmigen und überwachen
- Persönliche Haftung bei Pflichtverletzung
- Nachweis der eigenen Schulungsteilnahme erforderlich
Sofortmaßnahmen: Wo Sie heute anfangen können
Sie müssen nicht alles auf einmal lösen. Diese vier Maßnahmen bringen sofort mehr Sicherheit — und sind ein guter Einstieg in die NIS-2-Compliance.
MFA einführen
Multi-Faktor-Authentifizierung für alle kritischen Systeme aktivieren — E-Mail, VPN, Admin-Panels, Cloud-Dienste. Der effektivste Einzelschritt gegen Account-Übernahmen.
Backup-Tests durchführen
Planen Sie einen Restore-Test. Stellen Sie sicher, dass Ihre Backups tatsächlich funktionieren, vollständig sind und innerhalb eines akzeptablen Zeitrahmens wiederhergestellt werden können.
Patch-Management aufsetzen
Erstellen Sie ein Inventar aller Systeme und Software. Definieren Sie einen Prozess für regelmäßige Updates — kritische Patches innerhalb von 48 Stunden, alle anderen innerhalb von 30 Tagen.
Awareness-Schulung starten
Führen Sie eine erste Phishing-Simulation durch und schulen Sie Ihre Mitarbeiter im Erkennen von Social-Engineering-Angriffen. Planen Sie regelmäßige Wiederholungen ein.
Unser ehrliches Fazit
NIS-2 ist kein Papiertiger. Die Richtlinie bringt echte Pflichten mit echten Konsequenzen — bis hin zur persönlichen Haftung der Geschäftsführung. Wer jetzt noch nicht angefangen hat, sollte das zeitnah tun.
Die gute Nachricht: Die meisten Anforderungen sind kein Hexenwerk. Vieles davon sollte ohnehin zum Standard gehören — Patch-Management, Backups, Zugriffskontrollen, Schulungen. NIS-2 macht aus Best Practices verbindliche Pflichten.
Unser Rat: Fangen Sie mit den Sofortmaßnahmen an, machen Sie eine ehrliche Bestandsaufnahme Ihrer IT-Sicherheit und holen Sie sich bei Bedarf externe Unterstützung. Nicht weil es vorgeschrieben ist — sondern weil ein Sicherheitsvorfall Ihr Unternehmen deutlich mehr kosten kann als jede Präventionsmaßnahme.
Weiterlesen
Häufige Fragen
Wer ist von NIS-2 betroffen?
NIS-2 betrifft Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in 18 kritischen Sektoren — darunter Energie, Transport, Gesundheit, digitale Infrastruktur, IT-Dienstleistungen und verarbeitendes Gewerbe. Laut BSI sind in Deutschland rund 30.000 Unternehmen betroffen, viele davon erstmals.
Ab wann gilt NIS-2 in Deutschland?
Die EU-Richtlinie hätte bis Oktober 2024 in nationales Recht umgesetzt werden sollen. Deutschland hat das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet. Unternehmen sollten die Anforderungen bereits jetzt umsetzen, da bei Inkrafttreten sofortige Compliance erwartet wird.
Welche Strafen drohen bei Nichteinhaltung?
Die NIS-2-Richtlinie sieht Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Zudem haften Geschäftsführer persönlich für die Umsetzung angemessener Sicherheitsmaßnahmen.
Reicht ein ISO-27001-Zertifikat für NIS-2-Compliance?
ISO 27001 ist eine sehr gute Basis und deckt viele NIS-2-Anforderungen ab, reicht aber allein nicht aus. NIS-2 verlangt zusätzlich aktive Meldepflichten bei Sicherheitsvorfällen (innerhalb von 24 Stunden), Supply-Chain-Sicherheit und Geschäftsführer-Schulungen. ISO 27001 plus ergänzende Maßnahmen ergibt zusammen NIS-2-Compliance.
Was ist der Unterschied zwischen NIS-1 und NIS-2?
NIS-2 erweitert den Anwendungsbereich massiv: mehr Sektoren, niedrigere Schwellenwerte und strengere Anforderungen. Während NIS-1 nur wenige tausend Unternehmen betraf, gilt NIS-2 für geschätzt 30.000 Unternehmen allein in Deutschland. Zudem wurden Meldepflichten verschärft und persönliche Haftung der Geschäftsführung eingeführt.
NIS-2-Compliance unklar?
Wir helfen Ihnen bei der Bestandsaufnahme Ihrer IT-Sicherheit und zeigen, welche Maßnahmen für Ihr Unternehmen relevant sind — pragmatisch und ohne Panikmache.
Kostenlos beraten lassen