NIS2 — die EU-Richtlinie zur Netz- und Informationssicherheit (2022/2555) — ist seit Oktober 2024 EU-weit umzusetzen. Deutschland hat das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) über mehrere Anläufe vorbereitet; mit dem aktuellen Gesetzgebungsstand 2026 ist die Umsetzungsphase im vollen Gang. In Beratungen sehen wir bei DATAZONE: Die meisten Mittelständler unterschätzen weiterhin, ob sie überhaupt betroffen sind — und ebenso, wie konkret die Pflichten formuliert sind.
Dieser Artikel fasst zusammen, was nüchtern dasteht: betroffene Unternehmen, die elf Mindestmaßnahmen aus Artikel 21, Meldepflichten, Haftung. Wir verzichten bewusst auf erfundene Bußgeld-Zahlen — die finalen Sanktionssätze ergeben sich aus dem Bundestags-beschlossenen Gesetzestext, nicht aus Beratungsfolien.
Was ist NIS2 überhaupt?
NIS2 ist der Nachfolger der NIS-Richtlinie von 2016. Die wichtigsten strukturellen Änderungen:
- Erweiterter Anwendungsbereich: deutlich mehr Sektoren als die alte NIS, darunter Abfallwirtschaft, Lebensmittel, Forschung, Post/Kurier, Anbieter digitaler Dienste und Hersteller bestimmter Produkte (Elektronik, Medizinprodukte)
- Zweistufige Klassifikation: “wesentliche” (essential) und “wichtige” (important) Einrichtungen — beide mit Pflichten, mit etwas anderer Aufsichtsintensität
- Risikobasierter Ansatz: konkretere Mindestmaßnahmen aus Artikel 21
- Schärfere Meldefristen: 24/72-Stunden-Frühwarnung, ausführlicher Bericht nach einem Monat
- Persönliche Haftung der Geschäftsleitung für Cybersicherheits-Risikomanagement
Wichtig: NIS2 selbst ist eine Richtlinie, kein direkt anwendbares Gesetz. Maßgeblich für Unternehmen in Deutschland ist das nationale Umsetzungsgesetz (NIS2UmsuCG) — Stand und Wortlaut sollten immer aus der jeweils aktuellen Bundesrats-/Bundestags-Drucksache geprüft werden.
Wer ist betroffen?
Die wichtigste Frage zuerst — und sie ist komplizierter, als sie scheint. NIS2 kombiniert Sektoren-Zugehörigkeit mit Unternehmensgröße:
Schwellenwerte (vereinfacht)
| Kategorie | Mitarbeiter | Jahresumsatz oder Bilanzsumme |
|---|---|---|
| Wesentliche Einrichtungen | ≥ 250 | > 50 Mio. EUR Umsatz oder > 43 Mio. EUR Bilanzsumme |
| Wichtige Einrichtungen | ≥ 50 | > 10 Mio. EUR Umsatz oder > 10 Mio. EUR Bilanzsumme |
Kritische Regel: Mit der Bewertung “kleines Unternehmen” (unter 50 MA UND unter 10 Mio. EUR Umsatz) ist man in vielen Sektoren aus der Pflicht heraus — aber nicht in allen. Für bestimmte Sektoren (qualifizierte Vertrauensdienste, DNS-Anbieter, TLD-Registrare, kritische Stellen der öffentlichen Verwaltung etc.) gilt NIS2 unabhängig von der Größe.
Betroffene Sektoren — Auszug
Aus den Anhängen der Richtlinie (Anhang I “Sektoren mit hoher Kritikalität”, Anhang II “Sonstige kritische Sektoren”):
- Energie (Strom, Gas, Wärme, Wasserstoff, Öl)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastruktur
- Gesundheitswesen (auch Hersteller von Medizinprodukten)
- Trinkwasser, Abwasser
- Digitale Infrastruktur (Cloud, RZ, CDN, DNS, TLD)
- ICT-Dienstleister (Managed Service Provider, Managed Security Service Provider)
- Öffentliche Verwaltung
- Weltraum
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Stoffe (Herstellung, Produktion, Vertrieb)
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
- Herstellung (Medizinprodukte, Elektronik, Maschinen, Kraftfahrzeuge)
- Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung
Ein klassischer Mittelständler mit z.B. 80 MA und 15 Mio. EUR Umsatz im Bereich Maschinenbau fällt damit als “wichtige Einrichtung” unter NIS2. Ein Anbieter digitaler Dienste mit nur 30 MA, aber 12 Mio. EUR Umsatz ebenfalls. Ein ICT-Dienstleister mit 60 MA und 8 Mio. EUR Umsatz unterschreitet zwar die Umsatzschwelle der “wichtigen Einrichtung”, muss aber sektorbedingte Sonderprüfungen machen.
Praktischer Tipp: Eine pauschale Aussage “wir sind zu klein für NIS2” ist nicht belastbar. Die Prüfung muss sektor- und größenbasiert erfolgen und sollte schriftlich dokumentiert sein.
Die elf Mindestmaßnahmen aus Artikel 21
Artikel 21 der Richtlinie listet zehn Bereiche; die nationale Umsetzung in Deutschland fasst diese mit einem zusätzlichen Punkt zu elf Mindestmaßnahmen zusammen. Sie sind das Herzstück der NIS2-Pflichten:
| # | Bereich |
|---|---|
| 1 | Konzepte für Risikoanalyse und Sicherheit von Informationssystemen |
| 2 | Bewältigung von Sicherheitsvorfällen (Incident Response) |
| 3 | Business Continuity, Backup-Management, Krisenmanagement |
| 4 | Sicherheit der Lieferkette (auch Beziehung zu Dienstleistern) |
| 5 | Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen, Schwachstellenmanagement |
| 6 | Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen |
| 7 | Grundlegende Cyberhygiene und Schulungen |
| 8 | Kryptographie und Verschlüsselung |
| 9 | Personalsicherheit, Zugriffskontroll-Konzepte, Asset-Management |
| 10 | Multi-Faktor-Authentifizierung, Identitätsmanagement, gesicherte Kommunikation |
| 11 | Notfallkommunikation (im Krisenfall sicher kommunizieren) |
Das wichtigste an dieser Liste ist nicht der einzelne Punkt, sondern: alle elf Bereiche müssen tatsächlich nachweisbar umgesetzt sein. Eine schriftliche Policy reicht nicht — Wirksamkeit muss belegt sein (Audit-Logs, Übungs-Protokolle, Schulungsnachweise, technische Konfiguration).
Was das konkret für die IT bedeutet
Für die meisten unserer Mittelstands-Kunden lassen sich die elf Punkte auf folgende Bausteine herunterbrechen:
- Backup-Strategie nach 3-2-1-Regel, inklusive Immutable Backups
- Disaster-Recovery-Konzept mit dokumentierten RTO/RPO-Zielen und mindestens einer jährlichen Recovery-Übung
- Patch-Management mit Schwachstellen-Scans und definierten Reaktionsfristen
- Multi-Faktor-Authentifizierung für Admin-Zugänge, VPN, externe Dienste
- Netzwerksegmentierung — Trennung von Office, Server, OT/Produktion, Gäste-WLAN (VLAN-Setup)
- Verschlüsselung in Transit (TLS) und at Rest (Dataset-Encryption für TrueNAS)
- Zentralisiertes Logging und Monitoring mit Alarmen für sicherheitsrelevante Ereignisse
- Asset-Inventar: jeder Server, jedes Notebook, jedes Netzwerkgerät mit Verantwortlichkeit und Lifecycle-Status
- Lieferanten-Sicherheitsbewertung: vertraglich und technisch — Was darf der externe IT-Dienstleister, wie wird das überwacht?
- Mitarbeiter-Schulungen mit dokumentierter Teilnahme — Phishing, Passwort-Hygiene, Social Engineering
- Incident-Response-Plan: wer macht was wann, mit dokumentierten Eskalations-Pfaden
Vieles davon ist gute Praxis — neu ist nicht das Was, neu ist das verbindlich nachweisbare Wie.
Meldepflichten — die 24/72/30-Staffelung
Bei einem erheblichen Sicherheitsvorfall greift eine dreistufige Meldekaskade an die zuständige Behörde (in Deutschland: BSI):
| Frist | Inhalt |
|---|---|
| innerhalb 24 Stunden | Frühwarnung — was bekannt ist, ob grenzüberschreitend oder rechtswidrig, erste Einschätzung |
| innerhalb 72 Stunden | Vorfallmeldung — detailliertere Lage, Schweregrad, vermuteter Auslöser |
| innerhalb 1 Monat | Abschlussbericht — detaillierte Beschreibung, Auswirkungen, Bedrohungs-Indikatoren, ergriffene/geplante Maßnahmen |
“Erheblich” ist definiert als: Vorfall, der die operative Tätigkeit oder den finanziellen Verlust signifikant beeinträchtigt oder andere natürliche oder juristische Personen durch erheblichen materiellen oder immateriellen Schaden betreffen kann.
Praxis-Hinweis: Die 24-Stunden-Frist ist kurz. Wer kein vorbereitetes Meldeformular und keinen klaren Verantwortlichen hat, verpasst sie regelmäßig. Wir empfehlen, das Meldeformat und die interne Eskalationskette vorab schriftlich zu fixieren — nicht erst während eines Vorfalls.
Persönliche Haftung der Geschäftsleitung
Eine der spürbarsten Neuerungen: Geschäftsführung und Vorstand können für mangelhaftes Cybersicherheits-Risikomanagement persönlich haftbar gemacht werden. Konkret aus dem Richtlinientext (Art. 20 und 21):
- Geschäftsleitung muss die Cybersicherheits-Risikomanagement-Maßnahmen billigen und überwachen
- Geschäftsleitung muss regelmäßig Schulungen zur Cybersicherheit absolvieren
- Bei Pflichtverletzungen können nationale Gesetzgeber zivilrechtliche oder verwaltungsrechtliche Haftung vorsehen
- In schweren Fällen ist die vorübergehende Aussetzung der Geschäftsführungsfunktion vorgesehen
Was das im Mittelstand heißt: Cybersecurity ist nicht mehr “macht die IT”. Es muss dokumentiert auf Geschäftsleitungsebene beschlossen, mit Budget unterlegt und nachweisbar überwacht werden. Der Geschäftsführer-Beschluss zu Backup-Strategie und Patch-Management gehört protokolliert. Das ist eine inhaltliche Pflicht, nicht nur Compliance-Folklore.
Was Bußgelder angeht
Wir nennen hier bewusst keine konkreten Bußgeldgrenzen — der finale Wortlaut ergibt sich aus dem nationalen Umsetzungsgesetz. Stand des Gesetzgebungsprozesses sollten Unternehmen direkt aus der Bundestags-Drucksache zum NIS2UmsuCG entnehmen oder über den autorisierten Branchenverband klären. Bekannt ist nur die strukturelle Richtung:
- Wesentliche Einrichtungen: höhere Bußgeldobergrenzen als wichtige
- Berechnungsbasis: feste Höchstbeträge oder Anteil am weltweiten Jahresumsatz, je nachdem, was höher ist
- Haftungsverteilung zwischen Unternehmen und Geschäftsleitung wird im nationalen Recht konkretisiert
Wer mit zweifelhaften Zahlen aus Marketing-Material arbeitet, läuft Gefahr, einen falschen Eindruck zu bekommen — entweder zu sorglos oder unnötig alarmistisch.
Was wir Mittelständlern empfehlen
Bei DATAZONE arbeiten wir mit Mittelstands-Kunden in vier Schritten:
1. Betroffenheitsanalyse — schriftlich dokumentierte Prüfung: Sektor, Schwellenwerte, Klassifikation (wesentlich/wichtig/nicht betroffen). Dauer: 1–2 Tage Beratung plus interne Faktenklärung.
2. Gap-Analyse gegen Art. 21 — alle elf Bereiche durchgehen, vorhandene Maßnahmen sammeln, Lücken benennen, Priorisierung nach Risiko und Aufwand. Ergebnis: Maßnahmenplan mit Zeitschiene.
3. Technische Umsetzung — Backup, Patch-Management, MFA, Netzwerksegmentierung, Logging, Verschlüsselung. Das ist klassische IT-Sicherheitsarbeit — siehe unsere Sicherheits-Checkliste für KMU.
4. Doku, Prozesse, Übung — Incident-Response-Plan, Meldeformular vorgeneriert, Geschäftsleitungs-Beschlüsse protokolliert, Jahres-Übung des Recovery-Plans.
Realistischer Zeitrahmen für einen Mittelständler ohne bestehende ISMS-Struktur: 6–18 Monate für volle Umsetzung. Wer erst jetzt anfängt, kommt unter Zeitdruck — die Aufsichtsbehörden haben die Mehrzahl der Kontrollen erst angefangen.
Häufige Missverständnisse
“Wir haben DSGVO, also sind wir NIS2-konform.” Falsch. DSGVO regelt Datenschutz, NIS2 Netz- und Informationssicherheit. Es gibt Überschneidungen (Verschlüsselung, Meldepflichten), aber NIS2 hat eigene, eigenständige Pflichten.
“Wir sind ISO-27001-zertifiziert, das deckt NIS2 ab.” Teilweise richtig. ISO 27001 deckt ein großes Stück der Art.-21-Maßnahmen ab, aber NIS2 hat sektor- und größenspezifische Zusatzanforderungen sowie die Meldepflichten — diese sind nicht im ISO-Standard enthalten.
“Wir nutzen Cloud, also liegt die Verantwortung beim Anbieter.” Falsch. NIS2 sieht ausdrücklich die Verantwortung der Einrichtung für die Lieferkette vor. Der Cloud-Anbieter ist Teil der Lieferkette, dessen Sicherheits-Niveau muss vertraglich und technisch geprüft werden.
“Unser MSP macht das schon.” Teilweise — aber die Letztverantwortung bleibt beim Unternehmen. Was der MSP leistet, muss vertraglich klar sein, und seine Tätigkeit muss überwacht werden.
DATAZONE-Empfehlung
Beginnen Sie mit der Betroffenheitsanalyse, bevor Sie über Maßnahmen reden. Sobald die Klassifikation klar ist, lassen sich Pflichten und Aufwand realistisch einordnen. In den meisten Fällen ist das, was NIS2 technisch fordert, ohnehin gute Praxis — Backup-Strategie, MFA, Patch-Management, Segmentierung, Schulung. Der Aufwand liegt eher in der strukturierten Dokumentation und im Nachweis der Wirksamkeit.
Wir bieten herstellerneutrale NIS2-Beratung mit Fokus auf den Mittelstand — ohne 200-seitige Compliance-Pakete, dafür mit konkreten Maßnahmenplänen für die nächsten 12 Monate. Mehr unter Kontakt.
Quellen
- NIS2-Richtlinie (EU) 2022/2555: EUR-Lex Volltext
- BSI-Informationsseite zu NIS-2: bsi.bund.de — NIS-2
- Bundestag — Gesetzgebungsstand NIS2UmsuCG: jeweils aktuelle Drucksachen im Bundestag prüfen
- Unsere Sicherheits-Checkliste für KMU
- Unser Artikel zur 3-2-1-Backup-Regel
- Unser Artikel zu Immutable Backups gegen Ransomware
Weitere Artikel
OPNsense für die Arztpraxis: Was die KBV-Anforderungen verlangen
Die KBV-Anforderungen an Praxisnetze verlangen Netz-Trennung, Firewall mit Protokollierung und definierte TI-Verbindungen. OPNsense setzt das mit VLANs, Firewall-Regeln und Suricata um. Wichtig: TI-Konnektor-Zertifikate sind separat von OPNsense — OPNsense ergänzt die TI-Sicherheit, ersetzt sie nicht.
TrueNAS für Steuerberater: GoBD-konforme Datenhaltung
Die GoBD verlangen Unveränderbarkeit, Vollständigkeit, Nachvollziehbarkeit und 10 Jahre Aufbewahrungsdauer. TrueNAS bringt mit ZFS-Snapshots, Replikation und Integritäts-Checks technische Bausteine — ist aber allein nicht GoBD-konform. Wir zeigen die Architektur, die in Kanzleien funktioniert.
DATAZONE Control: Automatisiertes Patch-Management für Ihre IT-Infrastruktur
Automatisiertes Patch-Management mit DATAZONE Control: Patch-Policies, Wartungsfenster, Pre-Patch-Snapshots, Rollback und Compliance-Reporting für Linux und Windows.