Inhabergeführt aus Fahrdorf bei Schleswig
info@dekom.it04635 – 40 30003

NIS2 für KMU:
Wer ist betroffen – und was ist jetzt zu tun?

Die NIS2-Richtlinie hat den Kreis der betroffenen Unternehmen deutlich erweitert. Was steckt hinter dem Gesetz, welche Pflichten entstehen – und was sollten Unternehmen im Mittelstand konkret angehen? Dieser Ratgeber erklärt es verständlich.

NIS2-Beratung anfragen 04635 – 40 30003
18
betroffene Sektoren
10 Mio.
max. Bußgeld (€)
24h
Meldepflicht bei Vorfällen
100%
regional aus SH
Sachlicher Überblick
Kein Fachchinesisch
Praxistipps für KMU
15+ Jahre IT-Erfahrung
Hintergrund

Was ist NIS2 – und warum betrifft es plötzlich so viele Unternehmen?

NIS2 steht für „Network and Information Security Directive 2" – die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie wurde im Januar 2023 in Kraft gesetzt und in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ins nationale Recht überführt.

Der entscheidende Unterschied zur Vorgängerrichtlinie NIS1: Der Anwendungsbereich wurde massiv ausgeweitet. Während NIS1 im Wesentlichen auf Betreiber kritischer Infrastrukturen wie Strom- oder Wasserversorger beschränkt war, erfasst NIS2 nun auch mittelständische Unternehmen in insgesamt 18 Sektoren. Schätzungen zufolge sind in Deutschland mehrere Zehntausend Unternehmen erstmals von verbindlichen Cybersicherheitspflichten betroffen.

Für viele Geschäftsführer und IT-Verantwortliche kam diese Ausweitung überraschend. Die Botschaft ist klar: IT-Sicherheit ist keine rein technische Frage mehr, sondern Compliance-Thema mit persönlicher Haftung der Unternehmensleitung.

Hinweis: Dieser Ratgeber bietet einen allgemeinen Überblick zu NIS2. Er stellt keine Rechtsberatung dar. Für eine verbindliche Einschätzung Ihrer konkreten Betroffenheit wenden Sie sich bitte an einen qualifizierten Rechtsanwalt oder Ihre Unternehmensberatung.

Wer ist von NIS2 betroffen?

NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen: wesentliche Einrichtungen und wichtige Einrichtungen. Beide unterliegen ähnlichen Pflichten, unterscheiden sich jedoch im Umfang der Aufsicht und der Bußgeldhöhe.

Als Faustregel gilt: Ein Unternehmen ist potenziell betroffen, wenn es in einem der 18 definierten Sektoren tätig ist und dabei die Schwellenwerte für mittlere Unternehmen erreicht – also mindestens 50 Mitarbeiter oder einen Jahresumsatz von mehr als 10 Millionen Euro.

Die 18 NIS2-Sektoren im Überblick

Wesentliche Sektoren (höheres Bußgeld, stärkere Aufsicht):

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luftfahrt, Bahn, Schifffahrt, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD-Register, Rechenzentren, Cloud-Dienste)
  • IKT-Dienstemanagement (Managed Services, Managed Security)
  • Öffentliche Verwaltung und Raumfahrt

Wichtige Sektoren (ebenfalls NIS2-pflichtig):

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Herstellung, Produktion und Handel mit chemischen Stoffen
  • Herstellung, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe / Maschinenbau (bestimmte Branchen)
  • Anbieter digitaler Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Wichtig: Auch Unternehmen, die unterhalb der Schwellenwerte liegen, können betroffen sein – etwa wenn sie als einziger Anbieter in einem kritischen Bereich agieren oder wenn der Staat eine besondere kritische Bedeutung feststellt.

Welche Pflichten entstehen konkret?

NIS2 schreibt betroffenen Unternehmen einen Mindestrahmen an Maßnahmen zur IT-Sicherheit vor. Diese lassen sich in vier Kernbereiche gliedern:

1. Risikomanagement und technische Maßnahmen

Betroffene Unternehmen müssen ein dokumentiertes Risikomanagementsystem für ihre IT-Infrastruktur aufbauen. Das bedeutet: systematische Erfassung und Bewertung von Risiken, regelmäßige Schwachstellenanalysen und die Umsetzung verhältnismäßiger technischer Schutzmaßnahmen. Dazu gehören unter anderem Firewalls, Endpoint-Schutz, Netzwerksegmentierung, Verschlüsselung und eine funktionierende Backup-Strategie.

Wer in diesem Bereich noch auf dem Stand von vor fünf Jahren ist – veraltete Firewall, kein getestetes Backup, keine Mehr-Faktor-Authentifizierung – hat hier den größten Nachholbedarf. Mehr dazu erfahren Sie auf unserer Seite zu IT-Sicherheit für Unternehmen.

2. Lieferkettensicherheit

NIS2 verlangt, dass betroffene Unternehmen auch die Sicherheit ihrer Lieferkette im Blick behalten. Das heißt konkret: Dienstleister, Softwareanbieter und andere externe Partner müssen auf Sicherheitsrisiken hin bewertet werden. Verträge mit IT-Dienstleistern sollten entsprechende Sicherheitsanforderungen enthalten.

Für Unternehmen in Schleswig-Holstein bedeutet das: Wer einen Managed-Service-Anbieter nutzt, sollte prüfen, ob dieser nachweisbare Sicherheitsstandards erfüllt und transparent über seine Maßnahmen informiert.

3. Meldepflichten bei Sicherheitsvorfällen

Treten erhebliche Sicherheitsvorfälle auf, gelten strenge Fristen: Innerhalb von 24 Stunden muss eine erste Meldung an die zuständige Behörde (in Deutschland das BSI) erfolgen. Innerhalb von 72 Stunden ist ein detaillierterer Bericht fällig, und spätestens nach einem Monat muss ein Abschlussbericht vorliegen. Das setzt voraus, dass Unternehmen Vorfälle überhaupt erkennen – also ein funktionierendes Monitoring betreiben.

4. Governance und Managementverantwortung

Einer der wichtigsten Punkte: Die Unternehmensleitung trägt persönliche Verantwortung für die Umsetzung der NIS2-Anforderungen. Geschäftsführer und Vorstände können bei Verstößen persönlich haftbar gemacht werden – auch wenn sie selbst keine technischen Entscheidungen treffen. Das macht NIS2 zu einem echten Chefsache-Thema.

Was KMU im Mittelstand jetzt tun sollten

Auch wenn nicht jedes kleine Unternehmen direkt unter NIS2 fällt: Die Anforderungen der Richtlinie beschreiben im Grunde gute IT-Sicherheitspraxis, die für jeden Betrieb sinnvoll ist. Wer die folgenden Punkte angeht, ist nicht nur NIS2-näher – er schützt sein Unternehmen auch wirksam vor Cyberangriffen.

Schritt 1: Betroffenheit klären

Der erste Schritt ist eine ehrliche Einschätzung: Bin ich betroffen? Dafür sollten Sektor, Mitarbeiterzahl und Umsatz geprüft werden. Da die genaue Abgrenzung juristisch komplex sein kann, empfiehlt sich die Abstimmung mit einem Rechtsberater – besonders wenn Sie in einem der 18 Sektoren tätig sind.

Schritt 2: Status quo der IT-Sicherheit erheben

Wie gut ist Ihre IT aktuell geschützt? Gibt es ein dokumentiertes Backup-Konzept? Wird die Firewall regelmäßig aktualisiert? Haben alle Mitarbeiter sichere Passwörter und Mehr-Faktor-Authentifizierung? Ein IT-Sicherheitsaudit schafft Klarheit – und zeigt, wo der dringendste Handlungsbedarf liegt.

Schritt 3: Priorisiert in Maßnahmen investieren

Nicht alles muss sofort umgesetzt werden. Sinnvoll ist eine priorisierte Roadmap: zuerst die kritischsten Lücken schließen (fehlende Backups, veraltete Firewall, keine MFA), dann schrittweise weitere Maßnahmen angehen. Für den Mittelstand in Schleswig-Holstein bedeutet das oft: ein verlässlicher IT-Partner, der laufend betreut und im Notfall schnell handeln kann.

Schritt 4: Dokumentation aufbauen

NIS2 verlangt Nachweispflichten. Wer seine IT-Maßnahmen nicht dokumentiert, kann im Zweifelsfall nicht belegen, dass er seinen Pflichten nachgekommen ist. Gute Dokumentation beginnt einfach: IT-Inventar, Backup-Protokolle, Sicherheitsrichtlinien für Mitarbeiter.

Schritt 5: Team sensibilisieren

Technische Maßnahmen allein reichen nicht. Mitarbeiter sind nach wie vor das häufigste Einfallstor für Angreifer – durch Phishing-Mails, schwache Passwörter oder unachtsamen Umgang mit Unternehmensdaten. Regelmäßige Schulungen und klare Verhaltensregeln sind ein einfacher, aber wirkungsvoller Baustein.

NIS2 und der Mittelstand in Schleswig-Holstein

Im Norden Deutschlands sind viele mittelständische Betriebe in Branchen tätig, die potenziell unter NIS2 fallen: Logistik und Transport, Gesundheitsversorgung, Lebensmittelverarbeitung, produzierende Betriebe. Dazu kommen Unternehmen, die zwar selbst nicht NIS2-pflichtig sind, aber für entsprechende Unternehmen tätig sind – als Dienstleister, Lieferant oder Subunternehmer.

DEKOM.IT unterstützt Unternehmen im Raum Schleswig, Flensburg, Eckernförde und darüber hinaus dabei, ihre IT-Sicherheit auf ein solides Fundament zu stellen. Nicht mit Panikmache, sondern pragmatisch: Was ist wirklich nötig? Was macht für Ihr Unternehmen Sinn? Das klären wir gemeinsam – in einem kostenlosen Erstgespräch.

Checkliste: NIS2-Readiness für KMU

  • Betroffenheit geprüft (Sektor, Mitarbeiterzahl, Umsatz)?
  • Firewall aktuell konfiguriert und regelmäßig gewartet?
  • Backup-Konzept nach 3-2-1-Regel vorhanden und regelmäßig getestet?
  • Mehr-Faktor-Authentifizierung für alle Systeme eingerichtet?
  • Patch-Management und Update-Prozesse dokumentiert?
  • Mitarbeiter zu Phishing und Social Engineering geschult?
  • Notfallplan für Sicherheitsvorfälle (inkl. Meldewege) definiert?
  • IT-Dienstleister auf Sicherheitsstandards hin bewertet?
  • IT-Sicherheitsmaßnahmen dokumentiert und nachweisbar?

Häufige Fragen zu NIS2

In der Regel nein – NIS2 richtet sich primär an mittlere und große Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in bestimmten Sektoren. Allerdings können auch kleinere Betriebe betroffen sein, wenn sie als kritische Infrastruktur eingestuft werden oder als Zulieferer für betroffene Unternehmen agieren. Im Zweifel lohnt sich eine genaue Prüfung.
Das NIS2UmsuCG sieht empfindliche Bußgelder vor: Für wesentliche Einrichtungen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 %. Darüber hinaus können Geschäftsführer persönlich haftbar gemacht werden.
Indirekt ja: Wer als Zulieferer für NIS2-pflichtige Unternehmen tätig ist, wird zunehmend mit Anforderungen an die eigene IT-Sicherheit konfrontiert. Viele große Unternehmen fordern bereits heute Nachweise über Sicherheitsmaßnahmen von ihren Lieferanten.

Weiterführende Ratgeber zum Thema IT-Sicherheit

Mehr zu unseren Leistungen: IT-Sicherheit · Managed Services

Jetzt handeln

NIS2-Beratung & IT-Sicherheits-Check

Wir helfen Ihnen einzuschätzen, ob und wie NIS2 Ihr Unternehmen betrifft – und welche Maßnahmen sinnvoll sind. Pragmatisch, ohne Buzzwords.

So erreichen Sie uns

  • 15+ Jahre IT-Erfahrung in SH
  • Fester Ansprechpartner, kein Callcenter
  • Kostenlos & unverbindlich
Kostenlos & unverbindlich. Antwort innerhalb von 24 Stunden.
Passend dazu

Weiterführende Seiten

LeistungIT-SicherheitMehrschichtiger Schutz für Ihr Unternehmen. LeistungManaged ServicesLaufende Betreuung mit planbaren Kosten. RatgeberCyberangriffe auf KMUWarum kleine Unternehmen im Visier sind. Ratgeber3-2-1-Backup-StrategieDie wichtigste Schutzmaßnahme erklärt. RatgeberRansomware-SchutzWas KMU präventiv tun können. LeistungFirewall-LösungenNext-Generation-Firewalls für KMU.
NIS2 betrifft Ihr Unternehmen? Wir beraten Sie kostenlos.
Anrufen Beratung anfragen