NIS2-Richtlinie 2026: Cybersecurity für KMU
Die NIS2-Richtlinie der EU verschärft die Cybersecurity-Anforderungen ab 2026 massiv. Betroffen sind Unternehmen ab 50 Mitarbeitern und 10 Mio. EUR Umsatz in 18 Sektoren. CERTISCAN ist als B2B-SaaS-Plattform NIS2-ready.
Die NIS2-Richtlinie (EU 2022/2555) ist die umfassendste Cybersecurity-Regulierung, die die Europäische Union je beschlossen hat. Sie betrifft Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Jahresumsatz – und damit erstmals auch den breiten Mittelstand. Schätzungen zufolge sind in Deutschland rund 30.000 Unternehmen betroffen, von denen viele noch keine Maßnahmen ergriffen haben. CERTISCAN ist als B2B-SaaS-Plattform NIS2-ready und hilft Ihnen, die Dokumentationspflichten digital abzubilden.
Was ist NIS2?
NIS2 steht für „Network and Information Security Directive 2" und ersetzt die erste NIS-Richtlinie aus dem Jahr 2016. Die Richtlinie wurde am 14. Dezember 2022 im Amtsblatt der EU veröffentlicht und musste bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland geschieht dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Die wesentlichen Neuerungen gegenüber NIS1:
- Erweiterter Geltungsbereich: Von ca. 5.000 auf ca. 30.000 betroffene Unternehmen in Deutschland
- Strengere Meldepflichten: 24 Stunden für Erstmeldung (statt 72 Stunden)
- Persönliche Haftung: Geschäftsführer haften für die Umsetzung
- Höhere Bußgelder: Bis zu 10 Mio. EUR oder 2 % des Umsatzes
- Lieferkettensicherheit: Auch Zulieferer müssen Sicherheitsstandards erfüllen
- Schulungspflicht: Geschäftsleitung muss an Cybersecurity-Schulungen teilnehmen
Wer ist betroffen? Die 18 Sektoren
NIS2 unterscheidet zwischen wesentlichen Einrichtungen (Sektoren mit hoher Kritikalität) und wichtigen Einrichtungen (sonstige kritische Sektoren):
Sektoren mit hoher Kritikalität (Anhang I)
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Öl, Fernwärme, Wasserstoff |
| Verkehr | Luftfahrt, Schiene, Schifffahrt, Straßenverkehr |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastruktur | Börsen, Clearingstellen |
| Gesundheitswesen | Krankenhäuser, Labore, Pharma, Medizinprodukte |
| Trinkwasser | Wasserversorgung |
| Abwasser | Abwasserentsorgung |
| Digitale Infrastruktur | DNS, TLD, Cloud, Rechenzentren, CDN |
| ICT-Dienstleistungsmanagement | Managed Service Provider, Managed Security |
| Öffentliche Verwaltung | Behörden (zentral und regional) |
| Weltraum | Bodeninfrastruktur für Weltraumdienste |
Sonstige kritische Sektoren (Anhang II)
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienste, Briefpost |
| Abfallbewirtschaftung | Entsorgung, Recycling |
| Chemie | Herstellung, Handel, Lagerung |
| Lebensmittel | Produktion, Verarbeitung, Großhandel |
| Verarbeitendes Gewerbe | Maschinenbau, Fahrzeugbau, Elektro |
| Digitale Dienste | Marktplätze, Suchmaschinen, Social Media |
| Forschung | Forschungseinrichtungen (nicht Hochschulen) |
Größenschwellen
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Mitarbeiter | ≥ 250 | ≥ 50 |
| Umsatz | ≥ 50 Mio. EUR | ≥ 10 Mio. EUR |
| Bilanzsumme | ≥ 43 Mio. EUR | ≥ 10 Mio. EUR |
| Ausnahmen | Bestimmte Sektoren unabhängig von Größe | DNS, TLD, Cloud immer betroffen |
Für die Zuordnung genügt es, eines der Schwellenkriterien (Mitarbeiter ODER Umsatz) zu überschreiten. Ein Reinigungsunternehmen mit 55 Mitarbeitern und 8 Mio. EUR Umsatz ist also betroffen, wenn es unter „Verarbeitendes Gewerbe" fällt oder als Dienstleister für KRITIS-Unternehmen agiert.
Die 10 Pflichtmaßnahmen nach NIS2
Artikel 21 der NIS2-Richtlinie definiert zehn Mindestmaßnahmen, die alle betroffenen Unternehmen umsetzen müssen:
- Risikoanalyse und IT-Sicherheitskonzept: Systematische Erfassung und Bewertung von Cyber-Risiken, regelmäßige Aktualisierung
- Bewältigung von Sicherheitsvorfällen: Incident-Response-Plan, Eskalationsverfahren, forensische Sicherung
- Business Continuity: Backup-Management, Disaster Recovery, Krisenmanagement, Notfallhandbuch
- Lieferkettensicherheit: Sicherheitsanforderungen an Zulieferer und Dienstleister, vertragliche Klauseln
- Sicherheit bei Beschaffung, Entwicklung und Wartung: Secure by Design, Patch-Management, Schwachstellenmanagement
- Wirksamkeitsbewertung: Regelmäßige Audits, Penetrationstests, Schwachstellenscans
- Cyberhygiene und Schulung: Mitarbeiterschulungen, Awareness-Programme, Phishing-Simulationen
- Kryptografie und Verschlüsselung: Verschlüsselung sensibler Daten in Transit und at Rest
- Personalsicherheit und Zugangssteuerung: Identity Management, Least Privilege, Offboarding-Prozesse
- Multifaktor-Authentifizierung: MFA für alle kritischen Systeme und Remote-Zugänge
Meldepflichten: Das 24-72-Stunden-Schema
Bei einem erheblichen Sicherheitsvorfall gelten strenge Meldefristen an das BSI (Bundesamt für Sicherheit in der Informationstechnik):
| Frist | Meldung | Inhalt |
|---|---|---|
| 24 Stunden | Frühwarnung | Verdacht auf erheblichen Vorfall, mögliche grenzüberschreitende Auswirkung, erste Einschätzung |
| 72 Stunden | Vorfallmeldung | Bewertung des Vorfalls, Schweregrad, Indikatoren für Kompromittierung (IoCs), erste Gegenmaßnahmen |
| 1 Monat | Abschlussbericht | Detaillierte Beschreibung, Ursachenanalyse (Root Cause), Abhilfemaßnahmen, Lessons Learned |
Ein „erheblicher Sicherheitsvorfall" liegt vor, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann, oder wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat oder betreffen kann. Ransomware-Angriffe, Datendiebstahl und DDoS-Angriffe auf kritische Systeme fallen in der Regel in diese Kategorie.
Bußgelder und persönliche Haftung
Die Sanktionen bei NIS2-Verstößen sind drastisch und gehen über bisherige IT-Sicherheitsregulierungen hinaus:
| Kategorie | Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
| Max. Bußgeld (absolut) | 10 Mio. EUR | 7 Mio. EUR |
| Max. Bußgeld (relativ) | 2 % des weltweiten Jahresumsatzes | 1,4 % des Jahresumsatzes |
| Geschäftsführerhaftung | Ja, persönlich | Ja, persönlich |
| Schulungspflicht GL | Pflicht, nachweisbar | Pflicht, nachweisbar |
| Audit-Pflicht | Regelmäßig, durch BSI angeordnet | Auf Anordnung |
| Tätigkeitsverbot GL | Möglich bei schweren Verstößen | – |
Besonders brisant: Geschäftsführer können persönlich haftbar gemacht werden, wenn sie die Umsetzung der NIS2-Maßnahmen versäumen. Die Geschäftsleitung muss die Maßnahmen billigen, ihre Umsetzung überwachen und an Cybersecurity-Schulungen teilnehmen. Eine Delegation an den IT-Leiter allein reicht nicht aus – die Gesamtverantwortung bleibt bei der Geschäftsführung.
Lieferkettensicherheit: Auch Ihre Dienstleister sind betroffen
NIS2 verlangt explizit, dass Unternehmen die Cybersicherheit ihrer Lieferkette bewerten und sicherstellen. Das bedeutet in der Praxis:
- Due Diligence: Sicherheitsbewertung aller kritischen Dienstleister vor Vertragsschluss
- Vertragliche Anforderungen: Cybersecurity-Klauseln in Verträgen (Mindeststandards, Meldepflichten, Audit-Recht)
- Regelmäßige Überprüfung: Audits, Zertifizierungsnachweise, SOC-2-Reports
- Incident-Kommunikation: Meldeketten zwischen Unternehmen und Dienstleistern definieren
Wenn Sie CERTISCAN nutzen, profitieren Sie von einer NIS2-ready Plattform: Hosting in Deutschland (Hetzner Cloud), Verschlüsselung aller Daten in Transit (TLS 1.3) und at Rest (AES-256), WORM-Audit-Trail mit SHA-256 Hash-Chain, dokumentiertes Incident-Response-Verfahren und regelmäßige Sicherheitsupdates.
Was sollten KMU jetzt tun? 5-Schritte-Plan
- Betroffenheit prüfen: Fällt Ihr Unternehmen in einen der 18 Sektoren UND überschreitet es die Schwellenwerte (50 Mitarbeiter oder 10 Mio. EUR Umsatz)?
- Gap-Analyse durchführen: Welche der 10 Pflichtmaßnahmen sind bereits umgesetzt, wo bestehen Lücken?
- Risikomanagement aufbauen: IT-Sicherheitskonzept erstellen, Risiken bewerten und priorisieren, Verantwortlichkeiten festlegen
- Meldeprozess implementieren: Wer meldet was in welcher Frist an das BSI? Bereitschaftsdienst für Wochenenden und Feiertage?
- Lieferkette bewerten: Alle kritischen Dienstleister auf NIS2-Konformität prüfen, Verträge anpassen
CERTISCAN unterstützt Sie bei Schritt 3-5 mit dem LkSG-Modul (Lieferketten-Compliance), dem WORM-Audit-Trail und der vollständigen Datenschutz-Dokumentation.
CERTISCAN: NIS2-ready als Ihr SaaS-Partner
| NIS2-Anforderung | CERTISCAN-Umsetzung |
|---|---|
| Verschlüsselung | TLS 1.3 in Transit, AES-256 at Rest |
| Zugangssteuerung | JWT + RBAC + MFA-ready |
| Audit-Trail | WORM, SHA-256 Hash-Chain, append-only |
| Hosting | Hetzner Cloud, Standort Deutschland |
| Datenschutz | DSGVO, AVV, TOM dokumentiert |
| Incident Response | Dokumentiertes Verfahren, <24h Reaktionszeit |
| Backup | Tägliche Backups, verschlüsselt, georedundant |
| Lieferkettendokumentation | LkSG-Modul integriert |
| Zugangsprotokollierung | Login-Protokolle, Session-Management |
Mehr über CERTISCAN Sicherheit →
Häufige Fragen (FAQ)
Was ist die NIS2-Richtlinie?
NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit. Sie ersetzt die NIS1-Richtlinie von 2016 und erweitert den Geltungsbereich erheblich. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt.
Welche Unternehmen sind von NIS2 betroffen?
Betroffen sind Unternehmen in 18 Sektoren mit mindestens 50 Mitarbeitern und 10 Mio. EUR Jahresumsatz. In besonders kritischen Sektoren (Energie, Gesundheit, Transport, Wasser) können auch kleinere Unternehmen betroffen sein. Insgesamt sind in Deutschland ca. 30.000 Unternehmen betroffen.
Welche Bußgelder drohen bei NIS2-Verstößen?
Für wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des Umsatzes. Zusätzlich haften Geschäftsführer persönlich für die Umsetzung der Maßnahmen.
Was muss ein Unternehmen für NIS2 tun?
Kernpflichten sind: Risikomanagement für IT-Sicherheit, technische und organisatorische Maßnahmen (TOM), Meldepflicht bei Sicherheitsvorfällen (24h Erstmeldung, 72h Bewertung), Lieferkettensicherheit, Schulung der Geschäftsleitung, Business Continuity Management und regelmäßige Audits.
Ist CERTISCAN NIS2-konform?
CERTISCAN erfüllt als B2B-SaaS-Plattform die NIS2-Anforderungen: Hosting in Deutschland (Hetzner Cloud, Standort Deutschland), Verschlüsselung aller Daten, WORM-Audit-Trail, DSGVO-Konformität, regelmäßige Sicherheitsupdates und dokumentiertes Incident-Response-Verfahren.