Zum Inhalt springen
Deltatec Computer Logo
Zurück zu den News

IT-Security

NIS2: Was der Mittelstand jetzt tun muss

14.1.2025 · 6 Min.

NIS2 betrifft weit mehr Unternehmen als die alte NIS-Richtlinie — viele mittelständische Betriebe fallen erstmals unter verbindliche Cybersecurity-Pflichten, oft ohne es zu wissen. Wer betroffen ist, muss handeln: Die Geschäftsführung haftet persönlich.

Was ist NIS2?

NIS2 ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit (EU 2022/2555). Sie löst die erste NIS-Richtlinie ab und hebt das geforderte Cybersecurity-Niveau in der gesamten EU deutlich an. In Deutschland wird sie über das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Die Umsetzung hat sich verzögert — die Pflichten kommen aber, und Unternehmen sollten die Zeit zur Vorbereitung nutzen.

Bin ich betroffen?

Der Kreis der regulierten Unternehmen wächst massiv. Grob gilt: Schon ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz kann ein Unternehmen unter NIS2 fallen, wenn es in einem der rund 18 betroffenen Sektoren tätig ist — darunter Energie, Verkehr, Gesundheit, Maschinenbau und herstellendes Gewerbe, IT-Dienstleistungen, Lebensmittel, Abfall, Chemie und digitale Infrastruktur. Unterschieden wird in „besonders wichtige“ und „wichtige“ Einrichtungen. Wichtig: Jedes Unternehmen muss seine Betroffenheit selbst feststellen — eine behördliche Benachrichtigung gibt es nicht.

Welche Pflichten kommen?

NIS2 verlangt angemessene technische und organisatorische Risikomanagement-Maßnahmen. Dazu gehören u. a.:

  • Risikoanalyse und Informationssicherheits-Konzepte
  • Vorfalls-Behandlung (Incident Response) und Backup-/Notfall-Management
  • Sicherheit der Lieferkette sowie bei Beschaffung und Entwicklung
  • Zugriffskontrolle, Asset-Management und Multi-Faktor-Authentifizierung
  • Verschlüsselung sowie regelmäßige Schulungen und Cyber-Hygiene

Hinzu kommen Meldepflichten bei erheblichen Sicherheitsvorfällen: eine Frühwarnung innerhalb von 24 Stunden, eine Meldung nach 72 Stunden und ein Abschlussbericht. Und besonders folgenreich: Die Geschäftsführung haftet persönlich — sie muss die Maßnahmen billigen, überwachen und sich schulen lassen. Bußgelder können empfindlich ausfallen.

Der pragmatische 4-Schritte-Ansatz

Statt in Aktionismus zu verfallen, empfehlen wir ein strukturiertes Vorgehen:

  • Betroffenheit prüfen — Sektor, Größe und Rolle in der Lieferkette bewerten.
  • Gap-Analyse — den Ist-Zustand der IT-Sicherheit gegen die NIS2-Anforderungen abgleichen.
  • Maßnahmenplan — Lücken priorisieren, Aufwand und Verantwortlichkeiten festlegen.
  • Umsetzung — Maßnahmen einführen, idealerweise im Rahmen eines schlanken ISMS.

So unterstützt Deltatec

Als IT-Partner für den Mittelstand begleiten wir Sie von der Betroffenheitsprüfung bis zur Umsetzung — pragmatisch und auf Ihre Unternehmensgröße zugeschnitten. Wir verbinden NIS2 mit Ihrer bestehenden IT-Security-Beratung und prüfen, ob sich Teile der Umsetzung über Fördermittel finanzieren lassen. Sprechen Sie uns an — wir machen NIS2 für Sie greifbar.