osterheider.ioKontakt
← Alle Artikel

NIS2 für KMU: Sind Sie betroffen – und was jetzt zu tun ist

NIS2 weitet die EU-Cybersicherheitspflichten auf zehntausende Unternehmen aus. So prüfen Sie als KMU in NRW, ob Sie betroffen sind, und welche technischen Mindestmaßnahmen jetzt zählen.

Mit NIS2 zieht die EU die Cybersicherheits-Anforderungen deutlich breiter – und zum ersten Mal sind nicht nur Großkonzerne und Betreiber kritischer Infrastruktur gemeint, sondern zehntausende mittelständische Unternehmen. Viele Geschäftsführer in NRW fragen sich gerade: Betrifft mich das überhaupt – und wenn ja, was muss ich konkret tun? Dieser Artikel gibt eine ehrliche, praxisnahe Einordnung.

Was NIS2 überhaupt ist

NIS2 ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie verpflichtet betroffene Unternehmen zu einem Mindestmaß an Cybersicherheit, zu Meldepflichten bei Sicherheitsvorfällen und zu einer aktiven Rolle der Geschäftsleitung. Im Vergleich zur Vorgängerregelung sind vor allem zwei Dinge neu: der deutlich größere Kreis betroffener Unternehmen und die persönliche Verantwortung der Leitungsebene.

Bin ich als KMU betroffen?

Die Betroffenheit hängt an zwei Fragen:

  1. Sektor: Gehört Ihr Unternehmen zu einem der erfassten Bereiche? Dazu zählen unter anderem Energie, Logistik und Transport, Gesundheit, Maschinenbau und verarbeitendes Gewerbe, Chemie, IT-Dienstleister, Lebensmittel und die Abfallwirtschaft – also genau die Branchen, die das Ruhrgebiet und NRW prägen.
  2. Größe: In der Regel ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz.

Wichtig: Selbst wenn Sie diese Schwellen nicht erreichen, erreicht NIS2 Sie oft über die Lieferkette. Große, direkt betroffene Kunden geben ihre Anforderungen vertraglich an Zulieferer weiter. Wer für einen Konzern produziert oder Software liefert, sollte sich also nicht zu früh in Sicherheit wiegen.

Die technischen Maßnahmen, die wirklich zählen

NIS2 schreibt keine konkreten Produkte vor, sondern fordert „geeignete und verhältnismäßige" Maßnahmen. In der Praxis laufen sie für KMU auf einen überschaubaren Kern hinaus:

  • Risikomanagement: Wissen, welche Systeme und Daten geschäftskritisch sind – und wo die größten Risiken liegen.
  • Zugriffs- und Rechtekonzept: Mehr-Faktor-Authentifizierung, keine geteilten Admin-Accounts, Rechte nach dem Need-to-know-Prinzip.
  • Patch- und Schwachstellenmanagement: Updates zeitnah einspielen, bekannte Lücken systematisch schließen.
  • Backups und Wiederanlauf: Getestete, vom Netz getrennte Backups – die wirksamste Versicherung gegen Ransomware.
  • Vorfallserkennung und -meldung: Angriffe überhaupt bemerken und im Ernstfall fristgerecht melden können.
  • Notfallplan: Eine knappe, geübte Anleitung, wer im Fall der Fälle was tut.

Das sind keine exotischen Anforderungen – es sind die Maßnahmen, die ohnehin jedes Unternehmen schützen sollten. NIS2 macht sie nur verbindlich. Einen erprobten Katalog, wie diese Maßnahmen konkret aussehen, liefert der BSI IT-Grundschutz – ein guter Weg, NIS2 systematisch umzusetzen. Wie die DSGVO-Seite davon technisch umzusetzen ist, habe ich in DSGVO technisch umsetzen ausführlicher beschrieben.

Ein pragmatischer Fahrplan

Für die meisten Mittelständler reicht ein schlankes Vorgehen in vier Schritten:

  1. Betroffenheit klären – Sektor und Größe prüfen, Lieferkettenklauseln Ihrer Großkunden checken.
  2. Bestandsaufnahme – kritische Systeme, Daten und Risiken erfassen.
  3. Lücken schließen – die Mindestmaßnahmen priorisiert umsetzen, beginnend beim größten Risiko.
  4. Dranbleiben – Backups testen, Rechte regelmäßig prüfen, Notfallplan aktuell halten.

Sie müssen das nicht allein stemmen. Genau dafür gibt es meine IT-Sicherheitsberatung für KMU: ein kompakter Security-Audit zeigt, wo Sie stehen, und liefert einen priorisierten Maßnahmenplan – verständlich, nicht als Tool-Ausgabe.

Sie sind in der Region unterwegs? Mehr zur IT-Sicherheit in NRW und im Ruhrgebiet finden Sie auf den jeweiligen Seiten.

Sie planen eine eigene App, eine Webseite oder mehr Sichtbarkeit bei Google? Erzählen Sie mir von Ihrem Vorhaben – Sie bekommen innerhalb eines Werktags eine ehrliche Einschätzung.

Projekt besprechen

Häufige Fragen

Ab welcher Größe ist mein Unternehmen von NIS2 betroffen?+
Grundregel: Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in einem der von NIS2 erfassten Sektoren. Es gibt aber Ausnahmen nach unten – bestimmte Dienste gelten unabhängig von der Größe als kritisch. Und auch wer selbst nicht direkt betroffen ist, bekommt die Anforderungen oft über Lieferkettenklauseln großer Kunden weitergereicht.
Was passiert, wenn ich NIS2 ignoriere?+
NIS2 sieht spürbare Bußgelder und – das ist neu – eine persönliche Verantwortung der Geschäftsleitung vor. Wichtiger als die Strafe ist aber das Risiko: Die Pflichten sind im Kern genau die Maßnahmen, die einen erfolgreichen Angriff verhindern. Wer sie umsetzt, schützt zuerst das eigene Geschäft.
Brauche ich für NIS2 ein teures ISMS-Projekt?+
Nein. Für die meisten mittelständischen Unternehmen reicht ein pragmatisches, risikoorientiertes Vorgehen: die wichtigsten Assets und Risiken erfassen, die technischen Mindestmaßnahmen umsetzen und einen einfachen Notfallplan etablieren. Ein schlankes, gelebtes Konzept ist mehr wert als ein 200-seitiges Handbuch im Schrank.