· Rexoma IT Team · IT-Sicherheit  · 3 min read

NIS2 für KMU: Was jetzt konkret zu tun ist

Die NIS2-Richtlinie gilt — viele KMU wissen nicht, ob sie betroffen sind und was konkret umzusetzen ist. Wir erklären es ohne Behördendeutsch.

Die NIS2-Richtlinie gilt — viele KMU wissen nicht, ob sie betroffen sind und was konkret umzusetzen ist. Wir erklären es ohne Behördendeutsch.

Die NIS2-Richtlinie der EU ist seit Oktober 2024 in deutsches Recht überführt — zumindest teilweise. Viele KMU-Inhaber fragen sich: Betrifft mich das überhaupt? Die ehrliche Antwort: Wahrscheinlich mehr als gedacht.

Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und weitet den Anwendungsbereich erheblich aus.

Ziel ist es, ein einheitlich hohes Sicherheitsniveau für kritische und wichtige Einrichtungen in der EU zu schaffen — inklusive empfindlicher Bußgelder bei Verstößen.

Bin ich als KMU betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Entscheidend sind Branche, Mitarbeiterzahl und Jahresumsatz.

Direkt betroffen (Auswahl wichtiger Sektoren):

  • Energie, Trinkwasser, Abwasser
  • Digitale Infrastruktur und IT-Dienstleister
  • Gesundheitswesen
  • Lebensmittelproduktion und -vertrieb
  • Post und Kurierdienste
  • Maschinenbau, Fahrzeugbau, Elektronikhersteller

Schwellenwerte:

  • Wesentliche Einrichtungen: ≥ 250 Mitarbeiter oder ≥ 50 Mio. € Umsatz
  • Wichtige Einrichtungen: ≥ 50 Mitarbeiter oder ≥ 10 Mio. € Umsatz

Viele Handwerks- und Produktionsbetriebe in Sachsen fallen damit bereits in den Anwendungsbereich — selbst wenn sie sich nicht als “digital” verstehen.

Achtung: Unabhängig von der Größe können auch Zulieferer durch Vertragspflichten ihrer Kunden in die Pflicht genommen werden (Lieferkettenpflichten).

Was muss konkret umgesetzt werden?

Die NIS2-Richtlinie verlangt technische und organisatorische Maßnahmen in mehreren Bereichen:

1. Risikoanalyse und Sicherheitskonzept

  • Dokumentierte Risikoanalyse der IT-Systeme
  • Schriftliches Informationssicherheitskonzept
  • Regelmäßige Überprüfung (mindestens jährlich)

2. Technische Schutzmaßnahmen

  • Firewall und Netzwerksegmentierung (z. B. OPNsense)
  • Verschlüsselte Verbindungen (VPN, TLS)
  • Multi-Faktor-Authentifizierung für alle kritischen Systeme
  • Patch-Management: regelmäßige Updates aller Systeme
  • Endpoint-Protection auf allen Endgeräten

3. Backup und Notfallmanagement

  • Regelmäßige, geprüfte Backups (3-2-1-Regel)
  • Getesteter Wiederherstellungsprozess
  • Dokumentierter Business-Continuity-Plan

4. Schulung und Awareness

  • Regelmäßige Schulungen aller Mitarbeiter
  • Klare Meldewege bei Sicherheitsvorfällen
  • Phishing-Simulationen empfohlen

5. Meldepflichten

Wesentliche Sicherheitsvorfälle müssen dem BSI (Bundesamt für Sicherheit in der Informationstechnik) gemeldet werden:

  • 24 Stunden: Erstmeldung bei erheblichem Vorfall
  • 72 Stunden: Detaillierte Folgemeldung
  • 1 Monat: Abschlussbericht

Was droht bei Verstößen?

Die Bußgelder sind deutlich höher als nach der alten NIS-Richtlinie:

EinrichtungstypMaximales Bußgeld
Wesentliche Einrichtung10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtung7 Mio. € oder 1,4 % des Jahresumsatzes

Hinzu kommt: Geschäftsführer und Vorstände können persönlich haftbar gemacht werden.

Unser Tipp: Jetzt handeln, nicht warten

Der häufigste Fehler ist Abwarten. Die Umsetzung benötigt Zeit — insbesondere die Dokumentation, Schulungen und technischen Anpassungen können Monate dauern.

Sinnvoller Einstieg:

  1. Prüfen, ob und als welche Einrichtung Sie betroffen sind
  2. Bestandsaufnahme der aktuellen IT-Sicherheit
  3. Lücken identifizieren und priorisieren
  4. Maßnahmen schrittweise umsetzen
  5. Dokumentation laufend pflegen

Wie Rexoma IT helfen kann

Wir begleiten KMU in Dresden, Leipzig und Chemnitz bei der NIS2-Umsetzung — von der ersten Bestandsaufnahme bis zur vollständigen Compliance:

  • NIS2-Readiness-Check: Wir prüfen Ihren aktuellen Stand
  • Technische Umsetzung: Firewall (OPNsense), VPN (WireGuard), MFA, Backup
  • Dokumentation: Sicherheitskonzept, Risikoanalyse, Notfallplan
  • Schulungen: Mitarbeitersensibilisierung und Phishing-Tests
  • Laufende Betreuung: Monitoring, Patch-Management, Vorfallmanagement

FAQ: NIS2 für KMU

Gilt NIS2 auch für Einzelunternehmer und Kleinstbetriebe? In der Regel nein — es sei denn, Sie erbringen kritische Dienstleistungen (z. B. als IT-Dienstleister für wesentliche Einrichtungen) oder sind vertraglich durch Auftraggeber dazu verpflichtet.

Was ist der Unterschied zwischen NIS2 und ISO 27001? ISO 27001 ist ein internationaler Standard, den Unternehmen freiwillig anstreben können. NIS2 ist gesetzlich verpflichtend für betroffene Einrichtungen. Eine ISO-27001-Zertifizierung erleichtert die NIS2-Umsetzung erheblich.

Müssen wir uns irgendwo registrieren? Ja. Betroffene Einrichtungen müssen sich beim BSI registrieren. Das entsprechende Meldeportal wird vom BSI bereitgestellt.

Wir haben keinen eigenen IT-Mitarbeiter — was nun? Genau dafür gibt es externe IT-Dienstleister wie Rexoma IT. Wir übernehmen die Verantwortung für die technische Umsetzung und unterstützen bei der Dokumentation.

Quellen: BSI Lagebericht IT-Sicherheit 2024, EU-Richtlinie 2022/2555 (NIS2), KRITIS-Dachgesetz Bundesregierung

Share:
Back to Blog

Related Posts

View All Posts »