IT-Sicherheit

NIS2-Richtlinie — Was KMU jetzt für IT-Sicherheit tun müssen

Von Christopher Schütz · Aktualisiert: April 2026 · 6 Min. Lesezeit
Die EU-weite NIS2-Richtlinie verschärft die Anforderungen an IT-Sicherheit drastisch — und betrifft weit mehr Unternehmen als die meisten denken. Auch kleine und mittlere Unternehmen können in der Pflicht sein, besonders als Zulieferer. Wer jetzt nicht handelt, riskiert empfindliche Strafen.

1. Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie für Cybersicherheit, die seit Oktober 2024 in nationales Recht umgesetzt wird. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich massiv: Statt rund 2.000 betroffener Unternehmen in Deutschland sind es nun geschätzt 30.000 bis 40.000.

Das Ziel: Ein einheitliches, hohes Niveau an IT-Sicherheit in der gesamten EU. Cyberangriffe nehmen jährlich zu, Ransomware-Attacken legen Krankenhäuser, Stadtwerke und Mittelständler lahm. Die EU reagiert mit verbindlichen Mindeststandards und empfindlichen Strafen bei Nichteinhaltung.

In Deutschland wird NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Die Umsetzungsfrist war Oktober 2024, das deutsche Gesetz befindet sich im Gesetzgebungsprozess und wird voraussichtlich 2026 final in Kraft treten — aber die EU-Richtlinie gilt bereits.

Wichtig: „Das betrifft uns nicht" ist die gefährlichste Annahme. Prüfen Sie Ihre Betroffenheit jetzt — nicht erst, wenn das BSI anklopft.

2. Wen betrifft NIS2?

Die Schwellenwerte sind niedriger als viele denken: Betroffen sind Unternehmen mit 50 oder mehr Mitarbeitern ODER 10 Millionen Euro Jahresumsatz in 18 kritischen Sektoren. Dazu gehören offensichtliche Bereiche wie Energie, Gesundheit und Transport — aber auch digitale Infrastruktur, Lebensmittel, Abfallwirtschaft und verarbeitendes Gewerbe.

Der Clou: Auch Zulieferer sind betroffen. Wenn Sie als IT-Dienstleister, Softwareentwickler oder Hosting-Anbieter für ein NIS2-pflichtiges Unternehmen arbeiten, müssen Sie ebenfalls Sicherheitsstandards nachweisen können. Die Lieferkettensicherheit ist ein zentraler Punkt der Richtlinie.

Selbst Unternehmen unter den Schwellenwerten können betroffen sein, wenn sie als „kritisch" eingestuft werden — etwa DNS-Anbieter, Vertrauensdienste oder Anbieter öffentlicher Kommunikationsnetze, unabhängig von ihrer Größe.

Praxistipp: Nutzen Sie den NIS2-Betroffenheitscheck des BSI (bsi.bund.de) um festzustellen, ob Ihr Unternehmen unter die Richtlinie fällt. Prüfen Sie auch Ihre Position in der Lieferkette.

3. Die 10 Pflichtmaßnahmen

NIS2 definiert zehn konkrete Bereiche, in denen betroffene Unternehmen Maßnahmen umsetzen müssen:

  1. Risikomanagement: Regelmäßige Risikoanalysen und dokumentierte Sicherheitskonzepte
  2. Incident Response: Prozesse zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen
  3. Business Continuity: Backup-Strategien und Notfallpläne für den Betriebsausfall
  4. Supply Chain Security: Sicherheitsanforderungen an Lieferanten und Dienstleister
  5. Sicherheit bei Beschaffung: Security-by-Design bei neuen Systemen und Software
  6. Wirksamkeitsprüfung: Regelmäßige Tests und Audits der Sicherheitsmaßnahmen
  7. Cyber-Hygiene & Schulungen: Regelmäßige Mitarbeiterschulungen zu IT-Sicherheit
  8. Kryptographie: Verschlüsselung für Daten in Transit und at Rest
  9. Zugangskontrolle: Multi-Faktor-Authentifizierung (MFA) und Least-Privilege-Prinzip
  10. Meldepflicht: Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde melden

Praxistipp: Beginnen Sie mit einer GAP-Analyse: Welche dieser 10 Punkte erfüllen Sie bereits? Wo sind die größten Lücken? Priorisieren Sie dann nach Risiko.

4. Strafen bei Nichteinhaltung

NIS2 meint es ernst. Die Bußgelder orientieren sich am DSGVO-Modell und können existenzbedrohend sein:

  • Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes

Neu und besonders brisant: Die Geschäftsführung haftet persönlich. Geschäftsführer und Vorstände können für Versäumnisse bei der IT-Sicherheit persönlich zur Verantwortung gezogen werden. Das ist ein Paradigmenwechsel — IT-Sicherheit ist nicht mehr delegierbar, sondern Chefsache.

Zusätzlich zu den finanziellen Strafen drohen öffentliche Bekanntmachungen der Verstöße (Naming and Shaming) sowie vorübergehende Tätigkeitsverbote für Führungskräfte. Der Reputationsschaden kann dabei den finanziellen Schaden übersteigen.

5. Was KMU JETZT tun sollten — 5 sofortige Schritte

Sie müssen nicht von heute auf morgen ein SIEM-System und ein Security Operations Center aufbauen. Aber diese fünf Schritte sollten Sie sofort angehen:

Schritt 1: Betroffenheit prüfen

Klären Sie, ob Ihr Unternehmen direkt oder als Zulieferer unter NIS2 fällt. Das BSI bietet einen Online-Selbstcheck an. Im Zweifel: Lassen Sie sich beraten — die Kosten für eine falsche Einschätzung sind deutlich höher.

Schritt 2: Backup & Recovery testen

Haben Sie automatische Backups? Sind sie verschlüsselt und an einem separaten Ort gespeichert? Und die wichtigste Frage: Haben Sie jemals einen Restore getestet? Ein Backup, das nicht wiederhergestellt werden kann, ist kein Backup.

Schritt 3: MFA überall aktivieren

Multi-Faktor-Authentifizierung für alle geschäftskritischen Systeme: E-Mail, Cloud-Dienste, VPN, Admin-Zugänge. Das allein verhindert über 99% der Account-Übernahmen. Microsoft Authenticator, Google Authenticator oder Hardware-Keys wie YubiKey — die Lösung ist weniger wichtig als die Umsetzung.

Schritt 4: Incident-Response-Plan erstellen

Was passiert, wenn morgen ein Ransomware-Angriff zuschlägt? Wer wird informiert? Wer entscheidet über das weitere Vorgehen? Wo sind die Backup-Schlüssel? Erstellen Sie einen einfachen Notfallplan mit Kontaktlisten, Zuständigkeiten und den ersten 10 Schritten. Drucken Sie ihn aus — bei einem IT-Ausfall haben Sie keinen Zugriff auf digitale Dokumente.

Schritt 5: Mitarbeiter schulen

90% aller erfolgreichen Cyberangriffe beginnen mit Phishing. Eine einstündige Schulung pro Quartal reduziert das Risiko dramatisch. Zeigen Sie echte Phishing-E-Mails, erklären Sie die Warnsignale und etablieren Sie eine Kultur, in der Mitarbeiter verdächtige E-Mails melden, statt sie zu ignorieren.

6. Wie TwoPixels bei der NIS2-Umsetzung hilft

Als IT-Dienstleister mit eigener Sicherheitsinfrastruktur unterstützen wir KMU bei der praktischen Umsetzung der NIS2-Anforderungen:

  • SIEM & Monitoring: Wazuh-basierte Sicherheitsüberwachung für Ihre Systeme — Echtzeit-Erkennung von Anomalien und Angriffen
  • Automatische Backups: Mehrstufige Backup-Strategien mit stündlichen, täglichen und wöchentlichen Sicherungen — inklusive regelmäßiger Restore-Tests
  • Firewall & Netzwerksicherheit: Konfiguration und Überwachung Ihrer Netzwerkinfrastruktur mit regelmäßigen Sicherheits-Scans
  • Fernwartung & Incident Response: Im Ernstfall sind wir per RustDesk-Fernwartung innerhalb von Minuten auf Ihrem System — nicht erst in Stunden
  • Dokumentation & Compliance: Wir helfen bei der Erstellung der geforderten Dokumentation, Risikobewertungen und Sicherheitskonzepte

Mehr zum Thema finden Sie in unserem umfassenden Guide IT-Sicherheit für KMU.

NIS2-Ready? Kostenloses Security Assessment

Wir prüfen Ihre aktuelle IT-Sicherheitslage, identifizieren Handlungsbedarf und erstellen einen konkreten Umsetzungsplan — kostenlos und unverbindlich.

Security Assessment anfordern
Kostenlos beraten lassen