Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Oktober 2024 in deutsches Recht umgesetzt und erweitert den Kreis der verpflichteten Unternehmen erheblich. Viele KMU in Düsseldorf und NRW sind direkt oder als Zulieferer betroffen — und wissen es noch nicht. Wer die Anforderungen ignoriert, riskiert Bußgelder von bis zu 10 Millionen Euro und persönliche Haftung der Geschäftsführung.
NIS2-Richtlinie KMU: Wer ist betroffen?
NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Entscheidend sind Branche, Mitarbeiterzahl und Jahresumsatz:
- Wesentliche Einrichtungen: Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung — ab 250 Mitarbeitern oder 50 Mio. € Umsatz
- Wichtige Einrichtungen: Post, Abfallentsorgung, Chemie, Lebensmittel, verarbeitendes Gewerbe, IT-Dienstleister, digitale Anbieter — ab 50 Mitarbeitern oder 10 Mio. € Umsatz
Besonders relevant für KMU: die Lieferketten-Pflicht. Unternehmen, die als Zulieferer oder Dienstleister für NIS2-pflichtige Unternehmen tätig sind, müssen ebenfalls nachweisen, dass sie angemessene Sicherheitsmaßnahmen umsetzen. Das betrifft viele Steuerberater, IT-Dienstleister, Ingenieurbüros und Handwerksbetriebe in NRW.
NIS2-Pflichten: Was konkret umgesetzt werden muss
NIS2 schreibt technische und organisatorische Maßnahmen vor, die an den BSI-Anforderungen orientiert sind:
- Risikoanalyse und Sicherheitskonzept: Dokumentierte Bewertung von IT-Risiken und Maßnahmen zur Risikominimierung
- Business Continuity Management: Backup-Konzept, Wiederherstellungsplan, Notfallprozesse bei IT-Ausfällen
- Incident Response: Meldepflicht bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Folgemeldung) ans BSI
- Supply Chain Security: Sicherheitsanforderungen an Lieferanten und Dienstleister vertraglich regeln
- Sicherheit bei Erwerb, Entwicklung und Wartung: Patch Management, sichere Konfiguration, Schwachstellenmanagement
- Cyberhygiene und Schulungen: Regelmäßige Mitarbeiterschulungen zu IT-Sicherheit und Phishing-Erkennung
- Kryptografie und Verschlüsselung: Verschlüsselung sensibler Daten in Übertragung und Speicherung
- Zugangskontrollen: Multi-Faktor-Authentifizierung, Prinzip der minimalen Rechte
- Physische Sicherheit: Schutz der IT-Infrastruktur vor physischem Zugriff
Persönliche Haftung der Geschäftsführung — das ist neu
NIS2 bringt eine Neuerung, die viele Unternehmen unterschätzen: Die Geschäftsführung haftet persönlich für die Umsetzung der Sicherheitsmaßnahmen. Das bedeutet konkret:
- Geschäftsführer müssen Cybersecurity-Maßnahmen genehmigen und überwachen
- Regelmäßige Schulungen für das Management sind verpflichtend
- Bei Verletzung der Pflichten drohen persönliche Bußgelder
- Im Schadensfall kann die Haftung nicht vollständig auf IT-Dienstleister abgewälzt werden
NIS2 und IT-Grundschutz — was der Zusammenhang ist
Wer die Basismaßnahmen des BSI IT-Grundschutzes für KMU umsetzt, erfüllt gleichzeitig einen Großteil der NIS2-Anforderungen. Der IT-Grundschutz ist kein Selbstzweck — er ist der strukturierte Weg zur NIS2-Compliance. Der entscheidende Unterschied: NIS2 fordert zusätzlich die Dokumentation und den Nachweis der Maßnahmen sowie eine klare Meldepflicht bei Vorfällen.
NIS2 für DATEV-Kanzleien und IT-Dienstleister
Steuerberatungskanzleien, Wirtschaftsprüfer und IT-Dienstleister stehen unter NIS2 besonderer Beobachtung: Als Dienstleister für andere Unternehmen tragen sie erhebliche Verantwortung in der Lieferkette. DATEV-Kanzleien verarbeiten hochsensible Mandantendaten — ein Sicherheitsvorfall kann nicht nur die eigene Kanzlei, sondern auch alle Mandanten betreffen.
Stüber Computer unterstützt Kanzleien und IT-Dienstleister in Düsseldorf und NRW bei der NIS2-konformen Absicherung ihrer DATEV-Umgebungen. Mehr dazu: DATEV Systembetreuung Düsseldorf
NIS2-Umsetzung Schritt für Schritt — mit einem IT-Systemhaus
- Betroffenheitsanalyse: Fällt Ihr Unternehmen direkt oder als Zulieferer unter NIS2?
- Gap-Analyse: Welche Anforderungen sind bereits erfüllt, welche fehlen noch?
- Maßnahmenplan: Priorisierte Umsetzung nach Risiko — mit klaren Verantwortlichkeiten
- Technische Umsetzung: Firewall, Backup, MFA, Patch Management, Verschlüsselung
- Dokumentation: Nachweis der Maßnahmen für Aufsichtsbehörden und Kunden
- Meldeprozess: Interne Prozesse für die 24/72-Stunden-Meldepflicht etablieren
- Schulungen: Management und Mitarbeiter auf NIS2-Anforderungen vorbereiten
Häufige Fragen zur NIS2-Richtlinie für KMU
Ab wann gilt NIS2 in Deutschland?
NIS2 ist seit Oktober 2024 durch das NIS2UmsuCG in deutsches Recht umgesetzt. Die Anforderungen gelten ab sofort — es gibt keine weiteren Übergangsfristen für die Umsetzungspflichten.
Was droht bei Verstößen gegen NIS2?
Für wesentliche Einrichtungen drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 % des Umsatzes. Zusätzlich haftet die Geschäftsführung persönlich.
Müssen auch kleine Unternehmen mit weniger als 50 Mitarbeitern NIS2 umsetzen?
Direkt nicht — aber indirekt als Lieferant oder Dienstleister für betroffene Unternehmen. Viele Auftraggeber werden NIS2-Anforderungen vertraglich an ihre Zulieferer weitergeben.
Wie schnell muss ein Sicherheitsvorfall gemeldet werden?
Innerhalb von 24 Stunden eine Erstmeldung ans BSI, innerhalb von 72 Stunden eine ausführlichere Folgemeldung und spätestens nach einem Monat ein abschließender Bericht.
Als IT-Sicherheitspartner in Düsseldorf unterstützen wir KMU und Kanzleien in NRW bei der strukturierten NIS2-Umsetzung — von der ersten Bestandsaufnahme bis zur laufenden Compliance. Sprechen Sie uns an: 0211 9779 958 oder Kontaktformular.
