Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Oktober 2024 in deutsches Recht umgesetzt. Was viele Unternehmer überrascht: NIS2 betrifft deutlich mehr Unternehmen als die ursprüngliche NIS-Richtlinie – und die Konsequenzen bei Verstößen sind erheblich. Dieser Leitfaden erklärt, was Sie jetzt konkret tun müssen.

Kurz zusammengefasst: NIS2 verpflichtet Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in kritischen Sektoren zu Mindeststandards in der IT-Sicherheit. Bei Verstößen drohen Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes.

Sind Sie von NIS2 betroffen?

NIS2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Betroffen sind Unternehmen in 18 Sektoren – von Energie und Transport über Gesundheit bis hin zu digitalen Diensten, Lebensmitteln und der verarbeitenden Industrie.

Als Faustregel gilt: Mittlere Unternehmen (50+ Mitarbeitende oder 10+ Mio. € Umsatz) in einem der relevanten Sektoren sind in der Regel betroffen. Kleinstunternehmen sind grundsätzlich ausgenommen – es sei denn, sie erbringen kritische Infrastrukturdienste.

  • Energie, Transport, Bankwesen & Finanzmarktinfrastruktur
  • Gesundheit, Trinkwasser & Abwasser
  • Digitale Infrastruktur & IT-Dienste (MSP, Cloud, Rechenzentren)
  • Öffentliche Verwaltung & Raumfahrt
  • Post- & Kurierdienste, Abfallwirtschaft
  • Produktion, Chemie, Lebensmittel & weitere

⚠️ Wichtig: Auch wenn Ihr Unternehmen selbst nicht direkt betroffen ist – als Zulieferer oder Dienstleister für betroffene Unternehmen können Sicherheitsanforderungen vertraglich auf Sie übertragen werden.

Was NIS2 konkret von Ihnen verlangt

NIS2 schreibt keine spezifischen technischen Lösungen vor, sondern risikobasierte Mindestmaßnahmen. Unternehmen müssen nachweisen, dass sie angemessene und verhältnismäßige technische und organisatorische Maßnahmen ergriffen haben.

Die 10 Mindestanforderungen nach NIS2

  1. Risikoanalyse & Informationssicherheitsrichtlinien – dokumentierte Bewertung und Steuerung von IT-Risiken
  2. Incident Management – Prozesse zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen
  3. Business Continuity & Krisenmanagement – Backup-Strategien, Notfallpläne, Wiederherstellungsprozesse
  4. Lieferkettensicherheit – Sicherheitsanforderungen an Dienstleister und Zulieferer
  5. Sicherheit bei Erwerb, Entwicklung & Wartung – Sicherheitsaspekte im gesamten Lebenszyklus
  6. Schwachstellenmanagement – regelmäßige Scans, Patches und Behebung von Sicherheitslücken
  7. Cyberhygiene & Awareness – grundlegende Sicherheitspraktiken und Schulungen
  8. Kryptografie & Verschlüsselung – angemessene Verschlüsselung sensibler Daten
  9. Zugangs- & Identitätsmanagement – MFA, Least Privilege, Zugriffskontrollen
  10. Meldepflichten – Vorfälle innerhalb von 24h an Behörden melden
NIS2 Maßnahmen in der Praxis

IT-Sicherheitsmaßnahmen müssen dokumentiert, überprüfbar und kontinuierlich verbessert werden.

In 90 Tagen zur NIS2-Compliance – so geht's

Das klingt nach viel – ist es auch. Aber mit dem richtigen Ansatz ist NIS2-Compliance in überschaubarer Zeit erreichbar. Bei ITSB Deutschland haben wir einen bewährten 90-Tage-Prozess entwickelt, der genau das ermöglicht.

„Die meisten KMU sind nicht so weit von NIS2-Compliance entfernt, wie sie denken. Was fehlt, ist meist keine Technik – sondern Struktur, Dokumentation und ein klarer Plan."

René Eck, Geschäftsführer ITSB Deutschland

Phase 1: Analyse (Woche 1–2)

Wir starten mit einer Gap-Analyse: Was haben Sie bereits? Was fehlt? Welche Risiken sind am kritischsten? Das Ergebnis ist eine priorisierte Liste von Maßnahmen – keine generische Checkliste, sondern individuell auf Ihr Unternehmen zugeschnitten.

Phase 2: Strategie & Planung (Woche 3–4)

Auf Basis der Analyse entwickeln wir eine konkrete Roadmap mit Quick Wins und mittelfristigen Maßnahmen. Sie wissen zu jedem Zeitpunkt, was als Nächstes passiert und wer wofür verantwortlich ist.

Phase 3: Umsetzung (Woche 5–10)

Technische und organisatorische Maßnahmen werden umgesetzt – von der Einführung von MFA über die Erstellung von Richtlinien bis zur Implementierung von Monitoring-Lösungen. Wir begleiten Sie dabei persönlich.

Phase 4: Audit & Abschluss (Woche 11–13)

Eine interne Überprüfung bestätigt die Umsetzung. Sie erhalten vollständige Dokumentation, die im Falle einer Behördenprüfung sofort vorgelegt werden kann.

Fazit: Jetzt handeln, nicht warten

NIS2 ist kein Thema für „irgendwann". Die Richtlinie ist bereits in Kraft, und Behörden beginnen mit Prüfungen. Wer jetzt handelt, hat einen deutlichen Vorteil gegenüber Mitbewerbern – und schützt gleichzeitig sein Unternehmen vor realen Cyberbedrohungen.

Der erste Schritt ist einfach: Vereinbaren Sie ein kostenloses 30-Minuten-Gespräch mit uns. Wir analysieren Ihre Situation und sagen Ihnen konkret, ob und wie Sie betroffen sind.