Allgemein

NIS2-Richtlinie 2026: Cybersecurity für KMU

Q: Was ist die NIS2-Richtlinie?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit. Sie ersetzt die NIS1-Richtlinie von 2016 und erweitert den Geltungsbereich erheblich. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Q: Welche Unternehmen sind von NIS2 betroffen?

Betroffen sind Unternehmen in 18 Sektoren mit mindestens 50 Mitarbeitern und 10 Mio. EUR Jahresumsatz. In besonders kritischen Sektoren (Energie, Gesundheit, Transport, Wasser) können auch kleinere Unternehmen betroffen sein. Insgesamt sind in Deutschland ca. 30.000 Unternehmen betroffen.

Q: Welche Bußgelder drohen bei NIS2-Verstößen?

Für wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des Umsatzes. Zusätzlich haften Geschäftsführer persönlich für die Umsetzung der Maßnahmen.

Q: Was muss ein Unternehmen für NIS2 tun?

Kernpflichten sind: Risikomanagement für IT-Sicherheit, technische und organisatorische Maßnahmen (TOM), Meldepflicht bei Sicherheitsvorfällen (24h Erstmeldung, 72h Bewertung), Lieferkettensicherheit, Schulung der Geschäftsleitung, Business Continuity Management und regelmäßige Audits.

Q: Ist CERTISCAN NIS2-konform?

CERTISCAN erfüllt als B2B-SaaS-Plattform die NIS2-Anforderungen: Hosting in Deutschland (Hetzner Cloud, Standort Deutschland), Verschlüsselung aller Daten, WORM-Audit-Trail, DSGVO-Konformität, regelmäßige Sicherheitsupdates und dokumentiertes Incident-Response-Verfahren.

Christoph Schulz12. Oktober 20266 Min. Lesezeit

NIS2CybersecurityIT-SicherheitEU-RichtlinieKRITISMeldepflicht

NIS2-Richtlinie 2026: Cybersecurity für KMU

Die NIS2-Richtlinie (EU 2022/2555) ist die umfassendste Cybersecurity-Regulierung, die die Europäische Union je beschlossen hat. Sie betrifft Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Jahresumsatz – und damit erstmals auch den breiten Mittelstand. Schätzungen zufolge sind in Deutschland rund 30.000 Unternehmen betroffen, von denen viele noch keine Maßnahmen ergriffen haben. CERTISCAN ist als B2B-SaaS-Plattform NIS2-ready und hilft Ihnen, die Dokumentationspflichten digital abzubilden.

Was ist NIS2?

NIS2 steht für „Network and Information Security Directive 2" und ersetzt die erste NIS-Richtlinie aus dem Jahr 2016. Die Richtlinie wurde am 14. Dezember 2022 im Amtsblatt der EU veröffentlicht und musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland geschieht dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Die wesentlichen Neuerungen gegenüber NIS1:

Erweiterter Geltungsbereich: Von ca. 5.000 auf ca. 30.000 betroffene Unternehmen in Deutschland
Strengere Meldepflichten: 24 Stunden für Erstmeldung (statt 72 Stunden)
Persönliche Haftung: Geschäftsführer haften für die Umsetzung
Höhere Bußgelder: Bis zu 10 Mio. EUR oder 2 % des Umsatzes
Lieferkettensicherheit: Auch Zulieferer müssen Sicherheitsstandards erfüllen
Schulungspflicht: Geschäftsleitung muss an Cybersecurity-Schulungen teilnehmen

Wer ist betroffen? Die 18 Sektoren

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (Sektoren mit hoher Kritikalität) und wichtigen Einrichtungen (sonstige kritische Sektoren):

Sektoren mit hoher Kritikalität (Anhang I)

Sektor	Beispiele
Energie	Strom, Gas, Öl, Fernwärme, Wasserstoff
Verkehr	Luftfahrt, Schiene, Schifffahrt, Straßenverkehr
Bankwesen	Kreditinstitute
Finanzmarktinfrastruktur	Börsen, Clearingstellen
Gesundheitswesen	Krankenhäuser, Labore, Pharma, Medizinprodukte
Trinkwasser	Wasserversorgung
Abwasser	Abwasserentsorgung
Digitale Infrastruktur	DNS, TLD, Cloud, Rechenzentren, CDN
ICT-Dienstleistungsmanagement	Managed Service Provider, Managed Security
Öffentliche Verwaltung	Behörden (zentral und regional)
Weltraum	Bodeninfrastruktur für Weltraumdienste

Sonstige kritische Sektoren (Anhang II)

Sektor	Beispiele
Post- und Kurierdienste	Paketdienste, Briefpost
Abfallbewirtschaftung	Entsorgung, Recycling
Chemie	Herstellung, Handel, Lagerung
Lebensmittel	Produktion, Verarbeitung, Großhandel
Verarbeitendes Gewerbe	Maschinenbau, Fahrzeugbau, Elektro
Digitale Dienste	Marktplätze, Suchmaschinen, Social Media
Forschung	Forschungseinrichtungen (nicht Hochschulen)

Größenschwellen

Kriterium	Wesentliche Einrichtung	Wichtige Einrichtung
Mitarbeiter	≥ 250	≥ 50
Umsatz	≥ 50 Mio. EUR	≥ 10 Mio. EUR
Bilanzsumme	≥ 43 Mio. EUR	≥ 10 Mio. EUR
Ausnahmen	Bestimmte Sektoren unabhängig von Größe	DNS, TLD, Cloud immer betroffen

Für die Zuordnung genügt es, eines der Schwellenkriterien (Mitarbeiter ODER Umsatz) zu überschreiten. Ein Reinigungsunternehmen mit 55 Mitarbeitern und 8 Mio. EUR Umsatz ist also betroffen, wenn es unter „Verarbeitendes Gewerbe" fällt oder als Dienstleister für KRITIS-Unternehmen agiert.

Die 10 Pflichtmaßnahmen nach NIS2

Artikel 21 der NIS2-Richtlinie definiert zehn Mindestmaßnahmen, die alle betroffenen Unternehmen umsetzen müssen:

Risikoanalyse und IT-Sicherheitskonzept: Systematische Erfassung und Bewertung von Cyber-Risiken, regelmäßige Aktualisierung
Bewältigung von Sicherheitsvorfällen: Incident-Response-Plan, Eskalationsverfahren, forensische Sicherung
Business Continuity: Backup-Management, Disaster Recovery, Krisenmanagement, Notfallhandbuch
Lieferkettensicherheit: Sicherheitsanforderungen an Zulieferer und Dienstleister, vertragliche Klauseln
Sicherheit bei Beschaffung, Entwicklung und Wartung: Secure by Design, Patch-Management, Schwachstellenmanagement
Wirksamkeitsbewertung: Regelmäßige Audits, Penetrationstests, Schwachstellenscans
Cyberhygiene und Schulung: Mitarbeiterschulungen, Awareness-Programme, Phishing-Simulationen
Kryptografie und Verschlüsselung: Verschlüsselung sensibler Daten in Transit und at Rest
Personalsicherheit und Zugangssteuerung: Identity Management, Least Privilege, Offboarding-Prozesse
Multifaktor-Authentifizierung: MFA für alle kritischen Systeme und Remote-Zugänge

Meldepflichten: Das 24-72-Stunden-Schema

Bei einem erheblichen Sicherheitsvorfall gelten strenge Meldefristen an das BSI (Bundesamt für Sicherheit in der Informationstechnik):

Frist	Meldung	Inhalt
24 Stunden	Frühwarnung	Verdacht auf erheblichen Vorfall, mögliche grenzüberschreitende Auswirkung, erste Einschätzung
72 Stunden	Vorfallmeldung	Bewertung des Vorfalls, Schweregrad, Indikatoren für Kompromittierung (IoCs), erste Gegenmaßnahmen
1 Monat	Abschlussbericht	Detaillierte Beschreibung, Ursachenanalyse (Root Cause), Abhilfemaßnahmen, Lessons Learned

Ein „erheblicher Sicherheitsvorfall" liegt vor, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann, oder wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat oder betreffen kann. Ransomware-Angriffe, Datendiebstahl und DDoS-Angriffe auf kritische Systeme fallen in der Regel in diese Kategorie.

Bußgelder und persönliche Haftung

Die Sanktionen bei NIS2-Verstößen sind drastisch und gehen über bisherige IT-Sicherheitsregulierungen hinaus:

Kategorie	Wesentliche Einrichtungen	Wichtige Einrichtungen
Max. Bußgeld (absolut)	10 Mio. EUR	7 Mio. EUR
Max. Bußgeld (relativ)	2 % des weltweiten Jahresumsatzes	1,4 % des Jahresumsatzes
Geschäftsführerhaftung	Ja, persönlich	Ja, persönlich
Schulungspflicht GL	Pflicht, nachweisbar	Pflicht, nachweisbar
Audit-Pflicht	Regelmäßig, durch BSI angeordnet	Auf Anordnung
Tätigkeitsverbot GL	Möglich bei schweren Verstößen	–

Besonders brisant: Geschäftsführer können persönlich haftbar gemacht werden, wenn sie die Umsetzung der NIS2-Maßnahmen versäumen. Die Geschäftsleitung muss die Maßnahmen billigen, ihre Umsetzung überwachen und an Cybersecurity-Schulungen teilnehmen. Eine Delegation an den IT-Leiter allein reicht nicht aus – die Gesamtverantwortung bleibt bei der Geschäftsführung.

Lieferkettensicherheit: Auch Ihre Dienstleister sind betroffen

NIS2 verlangt explizit, dass Unternehmen die Cybersicherheit ihrer Lieferkette bewerten und sicherstellen. Das bedeutet in der Praxis:

Due Diligence: Sicherheitsbewertung aller kritischen Dienstleister vor Vertragsschluss
Vertragliche Anforderungen: Cybersecurity-Klauseln in Verträgen (Mindeststandards, Meldepflichten, Audit-Recht)
Regelmäßige Überprüfung: Audits, Zertifizierungsnachweise, SOC-2-Reports
Incident-Kommunikation: Meldeketten zwischen Unternehmen und Dienstleistern definieren

Wenn Sie CERTISCAN nutzen, profitieren Sie von einer NIS2-ready Plattform: Hosting in Deutschland (Hetzner Cloud), Verschlüsselung aller Daten in Transit (TLS 1.3) und at Rest (AES-256), WORM-Audit-Trail mit SHA-256 Hash-Chain, dokumentiertes Incident-Response-Verfahren und regelmäßige Sicherheitsupdates.

Was sollten KMU jetzt tun? 5-Schritte-Plan

Betroffenheit prüfen: Fällt Ihr Unternehmen in einen der 18 Sektoren UND überschreitet es die Schwellenwerte (50 Mitarbeiter oder 10 Mio. EUR Umsatz)?
Gap-Analyse durchführen: Welche der 10 Pflichtmaßnahmen sind bereits umgesetzt, wo bestehen Lücken?
Risikomanagement aufbauen: IT-Sicherheitskonzept erstellen, Risiken bewerten und priorisieren, Verantwortlichkeiten festlegen
Meldeprozess implementieren: Wer meldet was in welcher Frist an das BSI? Bereitschaftsdienst für Wochenenden und Feiertage?
Lieferkette bewerten: Alle kritischen Dienstleister auf NIS2-Konformität prüfen, Verträge anpassen

CERTISCAN unterstützt Sie bei Schritt 3-5 mit dem LkSG-Modul (Lieferketten-Compliance), dem WORM-Audit-Trail und der vollständigen Datenschutz-Dokumentation.

CERTISCAN: NIS2-ready als Ihr SaaS-Partner

NIS2-Anforderung	CERTISCAN-Umsetzung
Verschlüsselung	TLS 1.3 in Transit, AES-256 at Rest
Zugangssteuerung	JWT + RBAC + MFA-ready
Audit-Trail	WORM, SHA-256 Hash-Chain, append-only
Hosting	Hetzner Cloud, Standort Deutschland
Datenschutz	DSGVO, AVV, TOM dokumentiert
Incident Response	Dokumentiertes Verfahren, <24h Reaktionszeit
Backup	Tägliche Backups, verschlüsselt, georedundant
Lieferkettendokumentation	LkSG-Modul integriert
Zugangsprotokollierung	Login-Protokolle, Session-Management

Mehr über CERTISCAN Sicherheit →

14 Tage kostenlos testen →

Häufig gestellte Fragen

Was ist die NIS2-Richtlinie?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit. Sie ersetzt die NIS1-Richtlinie von 2016 und erweitert den Geltungsbereich erheblich. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Welche Unternehmen sind von NIS2 betroffen?

Betroffen sind Unternehmen in 18 Sektoren mit mindestens 50 Mitarbeitern und 10 Mio. EUR Jahresumsatz. In besonders kritischen Sektoren (Energie, Gesundheit, Transport, Wasser) können auch kleinere Unternehmen betroffen sein. Insgesamt sind in Deutschland ca. 30.000 Unternehmen betroffen.

Welche Bußgelder drohen bei NIS2-Verstößen?

Für wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des Umsatzes. Zusätzlich haften Geschäftsführer persönlich für die Umsetzung der Maßnahmen.

Was muss ein Unternehmen für NIS2 tun?

Kernpflichten sind: Risikomanagement für IT-Sicherheit, technische und organisatorische Maßnahmen (TOM), Meldepflicht bei Sicherheitsvorfällen (24h Erstmeldung, 72h Bewertung), Lieferkettensicherheit, Schulung der Geschäftsleitung, Business Continuity Management und regelmäßige Audits.

Ist CERTISCAN NIS2-konform?

CERTISCAN erfüllt als B2B-SaaS-Plattform die NIS2-Anforderungen: Hosting in Deutschland (Hetzner Cloud, Standort Deutschland), Verschlüsselung aller Daten, WORM-Audit-Trail, DSGVO-Konformität, regelmäßige Sicherheitsupdates und dokumentiertes Incident-Response-Verfahren.

Ist Ihr Unternehmen konform?

Testen Sie CERTISCAN 14 Tage kostenlos und bringen Sie Ihre Compliance auf den neuesten Stand.

CERTISCAN kostenlos testen →Demo anfragen

Christoph Schulz

Gründer & CEO, CERTISCAN