NIS2: Wer muss handeln – und wer nicht?

Was KMU trotzdem zur IT-Sicherheit wissen sollten 🛡️

Die neue EU-Richtlinie NIS2 sorgt seit Monaten für Verunsicherung in kleinen und mittleren Unternehmen (KMU). Muss ich als Betrieb handeln? Ab wann gilt das? Was droht, wenn ich nichts tue?

In diesem Beitrag zeige ich Dir als Datenschäfer klar und praxisnah:

  • Wer unter die NIS2-Pflicht fällt
  • Wer sich (vorerst) nicht darum kümmern muss
  • Und warum IT-Sicherheit trotzdem für alle KMU Pflicht ist – nicht nur für große oder kritische Unternehmen.

🔍 Was ist NIS2 überhaupt?

Die NIS2-Richtlinie („Network and Information Security 2“) ist eine EU-Vorgabe, die die Cybersicherheit in Europa vereinheitlichen und verbessern soll. Sie wurde Ende 2022 verabschiedet und hätte bis 17. Oktober 2024 in nationales Recht umgesetzt werden müssen.

Ziel: Unternehmen in wichtigen oder kritischen Sektoren sollen verpflichtet werden, ihre IT-Systeme gegen Angriffe abzusichern und Vorfälle zu melden.

Deutschland hinkt bei der Umsetzung noch hinterher, aber die Anforderungen kommen – und zwar für deutlich mehr Unternehmen als bisher.

✅ Wer ist von NIS2 betroffen?

Die zwei entscheidenden Kriterien:

  1. Branche: Kritischer oder wichtiger Sektor?
  2. Größe: Mehr als 50 Mitarbeitende oder über 10 Mio. € Umsatz/Jahresbilanz?

Betroffene Branchen laut NIS2:

Kritische Einrichtungen (besonders streng geregelt):

  • Energie (z. B. Strom, Gas, Öl)
  • Wasser & Abwasser
  • Verkehr & Logistik
  • Finanzwesen (Banken, Börsen)
  • Gesundheitswesen (z. B. Krankenhäuser, Labore)
  • Öffentliche Verwaltung
  • Weltrauminfrastruktur

Wichtige Einrichtungen:

  • IT-Dienstleister, Hosting & Cloud
  • Telekommunikation
  • Chemie & Lebensmittelproduktion
  • Post- & Paketdienste
  • Digitale Dienste (Suchmaschinen, Online-Marktplätze)
  • Maschinenbau, Forschung, Zulieferbetriebe großer Konzerne

Größenkriterien:

  • Mehr als 50 Mitarbeitende
  • Oder mehr als 10 Mio. € Umsatz oder Bilanzsumme

💡 Auch kleinere Unternehmen können betroffen sein – z. B. wenn sie eine zentrale Rolle in einer kritischen Lieferkette spielen oder eine besondere Relevanz aufweisen.

❌ Wer muss sich nicht an NIS2 halten?

Viele KMU fallen nicht unter die NIS2-Pflicht – zum Beispiel:

  • Handwerksbetriebe mit unter 50 Mitarbeitenden
  • Einzelhändler ohne kritische IT-Infrastruktur
  • Lokale Dienstleister (Friseure, Reinigungsdienste, etc.)
  • Kleine Agenturen, Coaches, Gastronomie
  • Betriebe außerhalb der oben genannten Branchen

Wichtig: Die Schwelle von 50 Mitarbeitenden oder 10 Mio. € Umsatz ist entscheidend – aber nur in Kombination mit der Branche!

⚠️ Aber: Keine NIS2-Pflicht heißt nicht „Sicher“!

Auch wenn Du als KMU nicht unter die NIS2-Regelung fällst: Cyberangriffe, Datenpannen und Haftung betreffen trotzdem jedes Unternehmen.

Darum gilt:

🧯 Diese IT-Sicherheitsmaßnahmen solltest Du trotzdem umsetzen

1. Technische Basis absichern

  • Starke Passwörter & 2-Faktor-Authentifizierung
  • Virenschutz & Firewalls
  • Regelmäßige Backups (lokal + extern)
  • Sichere WLAN-Netze und verschlüsselte Kommunikation

2. Notfall- & Wiederherstellungspläne

  • Was tun, wenn ein System ausfällt?
  • Wer ist verantwortlich?
  • Gibt es einen klaren IT-Notfallplan?

3. Sensibilisierung & Schulung

  • Mitarbeitende sind oft das schwächste Glied
  • Phishing-Tests und Schulungen reduzieren Risiken drastisch

4. Sicherer Umgang mit Daten (DSGVO!)

  • Personenbezogene Daten schützen
  • Zugriffskontrollen einrichten
  • Datenschutzverletzungen vermeiden

5. Lieferanten & Partner prüfen

  • Wie sicher ist Dein Hosting, Dein Cloud-Anbieter oder Deine Software-Dienstleister?
  • Gibt es Verträge zur Auftragsverarbeitung?

🧠 Fazit: IT-Sicherheit ist Verantwortung – auch ohne NIS2

Die NIS2-Richtlinie betrifft viele, aber nicht alle Unternehmen. Doch auch wenn Dein Betrieb (noch) nicht unter die gesetzlichen Pflichten fällt, solltest Du Dich nicht zurücklehnen.

Ein erfolgreicher Cyberangriff kann auch kleine Betriebe lahmlegen, Kundendaten offenlegen und existenzgefährdend sein.

🐑 Mein Angebot als Datenschäfer:

Ich unterstütze Dich dabei:

  • Zu prüfen, ob Dein Betrieb NIS2-pflichtig ist
  • Die wichtigsten Sicherheitsmaßnahmen schlank und effizient umzusetzen
  • Mitarbeiter zu sensibilisieren
  • Deine IT-Landschaft auf den Prüfstand zu stellen – ohne Panik, aber mit Plan

👉 Möchtest Du wissen, wie gut Deine IT-Sicherheit wirklich ist?
Dann lass uns sprechen. Ich biete eine unverbindliche Erstberatung für KMU in Norddeutschland an.

Kategorien:

IT Sicherheit

Schlagwörter:

KMUNIS2Richtlinie

Keine Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert