Wissen aus der Praxis · NIS2

NIS2: Was KMU jetzt wissen müssen

NIS2 betrifft in Deutschland rund 29.500 Unternehmen, viele wissen noch nicht, dass sie dazugehören. Dieser Leitfaden erklärt Betroffenheit, Pflichten und nächste Schritte verständlich.

Kostenloses Erstgespräch

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist Ende 2025 in Kraft getreten und verpflichtet rund 29.500 Unternehmen in 18 Sektoren zu deutlich höheren Anforderungen an die Cybersicherheit, eine pauschale Übergangsfrist gibt es nicht. Dieser Leitfaden erklärt verständlich, wer betroffen ist und was jetzt zu tun ist.

Wer ist betroffen?

Das Gesetz unterscheidet wesentliche und wichtige Einrichtungen. Maßgeblich sind Sektor und Größe: Betroffen sind in der Regel Unternehmen ab 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz in einem der erfassten Sektoren (z. B. Energie, Gesundheit, Transport, IT-Dienste, Abfallwirtschaft, Lebensmittel). Bestimmte Einrichtungen sind unabhängig von der Größe erfasst. Wichtig: Auch wer nicht direkt reguliert ist, wird über Lieferketten häufig zur Umsetzung verpflichtet.

Die wichtigsten Pflichten

  1. Betroffenheit prüfen und das Ergebnis nachvollziehbar dokumentieren.
  2. Beim BSI registrieren (für betroffene Einrichtungen verpflichtend).
  3. Risikomanagement nach § 30 umsetzen: u. a. Risikoanalyse, Vorfallbehandlung, Backups und Notfallmanagement, Lieferkettensicherheit, Zugriffskontrolle, Verschlüsselung, Mehr-Faktor-Authentifizierung und Schulungen.
  4. Meldepflichten einhalten: erhebliche Sicherheitsvorfälle als Frühwarnung innerhalb von 24 Stunden, Meldung nach 72 Stunden und Abschlussbericht nach einem Monat.
  5. Geschäftsleitung einbinden: Die Leitung muss die Maßnahmen billigen und überwachen, sie haftet persönlich (§ 38).

Was KMU jetzt tun sollten

  • Schnellcheck zur Betroffenheit durchführen, im Zweifel mit fachlicher Unterstützung.
  • Vorhandene Sicherheitsmaßnahmen gegen die Anforderungen aus § 30 abgleichen (Gap-Analyse).
  • Prozesse für Meldung und Vorfallbehandlung schriftlich festlegen.
  • Wer bereits ISO 27001 oder BSI-Grundschutz umsetzt, hat einen großen Teil der Anforderungen schon abgedeckt.

Häufige Fragen

Seit wann gilt NIS2 in Deutschland?

Das NIS2-Umsetzungsgesetz ist Ende 2025 in Kraft getreten. Betroffene Unternehmen müssen die Pflichten seither erfüllen, eine pauschale Übergangsfrist sieht das Gesetz nicht vor.

Welche Bußgelder drohen?

Je nach Einstufung und Verstoß sind Bußgelder bis zu 10 Millionen Euro möglich. Zusätzlich haftet die Geschäftsleitung für die Umsetzung und Überwachung der Maßnahmen.

Hilft eine ISO-27001-Zertifizierung bei NIS2?

Ja. Ein ISMS nach ISO 27001 oder BSI-Grundschutz deckt einen großen Teil der NIS2-Anforderungen ab und erleichtert den Nachweis erheblich.

Hinweis: Dieser Leitfaden ist eine allgemeine Orientierung und ersetzt keine individuelle Rechts- oder Fachberatung. Für Ihren konkreten Fall sprechen wir das am besten persönlich durch.