Matoni IT – Logo
Matoni IT - Logo

NIS2: Betrifft das neue Cybersecurity-Gesetz auch dein Unternehmen?

NIS2-Richtlinie Cybersicherheit für Unternehmen – digitales Schutzschild in einer IT-Netzwerkumgebung

Mit dem NIS2-Umsetzungsgesetz gelten in Deutschland seit Ende 2025 deutlich strengere Regeln
für Cybersicherheit. Viele Unternehmen müssen ihre IT-Sicherheit künftig nach festen Vorgaben
organisieren und Cyberangriffe melden.

Die entscheidende Frage für viele Unternehmen lautet deshalb:
Bin ich als KMU überhaupt betroffen?

Die Antwort lautet: Sehr häufig ja – zumindest indirekt.

Welche Unternehmen unter NIS2 fallen

Die Richtlinie unterscheidet grundsätzlich zwischen zwei Kategorien:

  • besonders wichtige Einrichtungen
  • wichtige Einrichtungen

Diese Einordnung erfolgt hauptsächlich anhand von Branche, Unternehmensgröße und wirtschaftlicher Bedeutung.

Typischerweise betroffen sind Unternehmen mit:

  • mehr als 50 Mitarbeiter
  • mehr als 10 Mio. € Jahresumsatz oder Bilanzsumme
  • einer Tätigkeit in einer relevanten Branche

Dazu gehören beispielsweise:

Besonders wichtige Einrichtungen (Beispiele)

  • Energieversorgung
  • Verkehr und Logistik
  • Gesundheitswesen
  • Trinkwasser / Abwasser
  • digitale Infrastruktur
  • öffentliche Verwaltung

Wichtige Einrichtungen (Beispiele)

  • IT-Dienstleister
  • Cloud-Anbieter
  • Rechenzentren
  • Hersteller wichtiger Produkte
  • Post- und Kurierdienste
  • Lebensmittelproduktion
  • Entsorgungsunternehmen

Gerade IT-Dienstleister, Hostinganbieter oder Managed-Service-Provider können hier schnell unter die Regulierung fallen.

Und was ist mit kleinen und mittelständischen Unternehmen?

Viele KMU denken zuerst: „Das betrifft doch nur große Konzerne.“

In der Praxis sieht es aber anders aus.

KMU können direkt betroffen sein

Wenn dein Unternehmen:

  • über 50 Mitarbeiter hat
  • über 10 Mio. € Umsatz erzielt
  • und in einer relevanten Branche tätig ist

dann kannst du bereits unter NIS2 fallen.

Gerade in Bereichen wie

  • IT-Services
  • Softwareentwicklung
  • Industrieproduktion
  • Logistik
  • Gesundheitsdienstleistungen

trifft das häufig auch auf mittelständische Unternehmen zu.

KMU können indirekt betroffen sein

Selbst wenn dein Unternehmen nicht direkt unter das Gesetz fällt, kann NIS2 trotzdem Auswirkungen haben.

Große Unternehmen müssen künftig auch die IT-Sicherheit ihrer Lieferanten und Dienstleister prüfen.

Das bedeutet:

Ein Unternehmen, das selbst NIS2-pflichtig ist, wird von seinen Partnern verlangen:

  • sichere IT-Strukturen
  • definierte Sicherheitsprozesse
  • Nachweise zu Schutzmaßnahmen

Wer diese Anforderungen nicht erfüllt, kann aus Lieferketten ausgeschlossen werden.

Was NIS2 konkret von Unternehmen verlangt

Die Richtlinie schreibt nicht nur technische Maßnahmen vor. Sie verlangt vor allem ein systematisches Sicherheitsmanagement.

1. Informationssicherheitsmanagement

Unternehmen müssen ein strukturiertes System zur IT-Sicherheit aufbauen, zum Beispiel mit:

  • Risikoanalysen
  • Sicherheitsrichtlinien
  • klaren Verantwortlichkeiten
  • regelmäßiger Überprüfung der Maßnahmen

Viele Anforderungen orientieren sich an Standards wie ISO 27001.

2. Technische Schutzmaßnahmen

Die IT-Systeme müssen aktiv abgesichert werden.

Dazu gehören beispielsweise:

  • Zugriffskontrollen
  • Verschlüsselung
  • Backup-Strategien
  • Angriffserkennung
  • Monitoring der IT-Systeme

Ziel ist es, Cyberangriffe frühzeitig zu erkennen und schnell reagieren zu können.

3. Notfall- und Wiederherstellungspläne

Ein Unternehmen muss in der Lage sein, den Betrieb nach einem Angriff schnell wiederherzustellen.

Dazu gehören:

  • Notfallpläne
  • Wiederanlaufkonzepte
  • getestete Backup-Strategien

Viele Schäden entstehen nicht durch den Angriff selbst, sondern durch chaotische Reaktionen danach.

4. Meldepflicht bei Sicherheitsvorfällen

Unternehmen müssen Cyberangriffe künftig melden.

Die Fristen sind sehr kurz:

  • 24 Stunden: erste Meldung
  • 72 Stunden: Zwischenbericht
  • 1 Monat: Abschlussbericht

Das funktioniert nur mit klar definierten Prozessen im Unternehmen.

Die Geschäftsführung steht stärker in der Verantwortung

Ein wichtiger Punkt bei NIS2: Die Verantwortung liegt nicht nur bei der IT.

Die Geschäftsführung muss künftig:

  • Sicherheitsmaßnahmen überwachen
  • Ressourcen bereitstellen
  • sich regelmäßig mit Cyberrisiken beschäftigen

Cybersicherheit wird damit zur Managementaufgabe im Unternehmen.

Welche Strafen drohen

Bei Verstößen können hohe Bußgelder verhängt werden.

Für besonders wichtige Einrichtungen sind möglich:

  • bis zu 10 Millionen Euro
  • oder 2 % des weltweiten Jahresumsatzes

Auch für andere Unternehmen sind Strafen von mehreren Millionen Euro möglich.

Warum sich auch KMU frühzeitig vorbereiten sollten

Selbst wenn dein Unternehmen heute noch nicht unter NIS2 fällt, lohnt sich eine frühzeitige Vorbereitung.

Denn:

  • Kunden werden Sicherheitsstandards verlangen
  • Versicherungen achten stärker auf IT-Sicherheit
  • Cyberangriffe nehmen weiter zu

Unternehmen, die ihre IT-Sicherheit frühzeitig strukturieren, haben hier einen klaren Vorteil.

Wichtige Fristen zur NIS2-Richtlinie

Mit dem deutschen NIS2-Umsetzungsgesetz sind viele Anforderungen bereits verbindlich geworden. Für Unternehmen gibt es dabei einige wichtige Termine, die unbedingt eingehalten werden müssen.

Inkrafttreten des Gesetzes

  • 6. Dezember 2025: Das deutsche NIS2-Umsetzungsgesetz tritt in Kraft.
  • Ab diesem Zeitpunkt gelten die neuen Cybersecurity-Pflichten grundsätzlich bereits.

Registrierung beim BSI

  • 6. Januar 2026: Start des offiziellen Registrierungsportals beim BSI.
  • 6. März 2026: Deadline für die Registrierung betroffener Unternehmen.

Unternehmen, die als „wichtige“ oder „besonders wichtige Einrichtungen“ eingestuft werden, müssen sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. In Deutschland endete diese Frist am 6. März 2026.

Umsetzung der Sicherheitsmaßnahmen

Das Gesetz selbst enthält keine lange Übergangsphase: Die grundlegenden Sicherheitsanforderungen gelten grundsätzlich bereits seit Inkrafttreten des Gesetzes und müssen umgesetzt werden.

Dazu gehören insbesondere:

  • Einführung eines Informationssicherheitsmanagements
  • Risikomanagement für IT-Systeme
  • Notfall- und Wiederherstellungspläne
  • Absicherung von Lieferketten
  • Angriffserkennung und Monitoring

Meldepflicht bei Cyberangriffen

Bei einem erheblichen Sicherheitsvorfall gelten feste Meldefristen:

  • 24 Stunden: erste Meldung an die zuständige Behörde
  • 72 Stunden: detaillierter Zwischenbericht
  • 1 Monat: Abschlussbericht zum Vorfall

Offizielle Informationsquellen zur NIS2-Richtlinie

Wenn du prüfen möchtest, ob dein Unternehmen betroffen ist oder welche konkreten Anforderungen gelten, findest du hier einige offizielle Quellen
und Informationsseiten zur NIS2-Richtlinie:

EU-Kommission – NIS2 Directive
BSI – NIS2 regulierte Unternehmen
BSI – Pflichten nach NIS2
BSI – Betroffenheitsprüfung für Unternehmen

Fazit: NIS2 macht Cybersicherheit zum Pflichtprogramm

Mit NIS2 wird IT-Sicherheit für viele Unternehmen verbindlich.

Das betrifft:

  • zahlreiche mittelständische Unternehmen direkt
  • viele weitere Unternehmen indirekt über Lieferketten

Cybersicherheit ist damit kein optionales IT-Projekt mehr, sondern ein fester Bestandteil der Unternehmensorganisation.

Wenn du unsicher bist, ob dein Unternehmen von NIS2 betroffen ist oder Unterstützung bei der Umsetzung der Anforderungen benötigst, helfen wir dir gerne dabei, deine IT-Sicherheit strukturiert aufzustellen und die notwendigen Maßnahmen umzusetzen.