NIS2-Richtlinie: Was KMU in Thüringen jetzt wissen und umsetzen müssen
Seit Oktober 2024 gilt in Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG) – und viele Unternehmen im Mittelstand sind davon betroffen, ohne es zu wissen. Die NIS2-Richtlinie der EU verschärft die Anforderungen an Cybersicherheit erheblich. Wer die Pflichten ignoriert, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Als IT-Systemhaus für KMU in Eichsfeld, Nordthüringen und Südniedersachsen erleben wir täglich, wie viele mittelständische Betriebe noch unvorbereitet sind. Dieser Leitfaden erklärt kompakt, was NIS2 fordert, wen es betrifft – und wie Sie die Umsetzung pragmatisch angehen.
Was ist die NIS2-Richtlinie?
NIS2 steht für „Network and Information Security Directive 2″ – die zweite EU-Richtlinie zur Netz- und Informationssicherheit. Sie löst die erste NIS-Richtlinie von 2016 ab und erweitert den Anwendungsbereich deutlich: Statt bisher einiger Hundert betroffener Unternehmen in Deutschland sind nun schätzungsweise 30.000 bis 40.000 Unternehmen verpflichtet.
Das Ziel: Ein EU-weit einheitlich hohes Cybersicherheitsniveau in kritischen und wichtigen Sektoren. Das BSI ist in Deutschland die zuständige Aufsichtsbehörde und kann Sicherheitsaudits, Nachweise und bei Verstößen Sanktionen anordnen.
Bin ich betroffen? Die Betroffenheitsprüfung
NIS2 unterscheidet zwei Kategorien von Einrichtungen. Entscheidend sind Branche und Unternehmensgröße.
Wesentliche Einrichtungen
Unternehmen ab 250 Mitarbeitern oder 50 Mio. € Jahresumsatz in diesen Sektoren:
- Energie (Strom, Gas, Wärme, Öl)
- Transport und Verkehr
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Rechenzentren, Cloud, DNS)
- IKT-Dienstleistungsmanagement
- Öffentliche Verwaltung
- Weltraum
Wichtige Einrichtungen
Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in diesen Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemische Industrie
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
- Verarbeitendes Gewerbe / Maschinenbau
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Wichtig für KMU: Unternehmen unter 50 Mitarbeitern und unter 10 Mio. € Umsatz sind grundsätzlich ausgenommen – es sei denn, sie gehören zur kritischen Infrastruktur oder sind Zulieferer betroffener Unternehmen. Im letzteren Fall können Sicherheitsanforderungen über Vertragsbedingungen weitergereicht werden (Supply-Chain-Pflicht).
Was fordert NIS2 konkret?
NIS2 schreibt einen risikobasierten Ansatz vor. Unternehmen müssen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um Cyberrisiken zu beherrschen.
Technische Maßnahmen
- Netzwerksegmentierung – sensible Systeme vom allgemeinen Netz trennen
- Multi-Faktor-Authentifizierung (MFA) – für alle privilegierten Zugänge zwingend
- Verschlüsselung – Daten in Ruhe und in Übertragung absichern
- Patch-Management – regelmäßige und zeitnahe Updates aller Systeme
- Backup und Wiederherstellung – regelmäßige Tests der Notfallwiederherstellung
- Sicherheitsüberwachung – Logging, Anomalieerkennung, SIEM
- Endpoint-Schutz – EDR/XDR auf allen Endgeräten
Organisatorische Maßnahmen
- Informationssicherheits-Management – dokumentierte Richtlinien und Prozesse
- Risikomanagement – regelmäßige Bewertung und Behandlung von IT-Risiken
- Lieferkettenmanagement – Sicherheitsanforderungen an IT-Dienstleister und Zulieferer
- Mitarbeiterschulungen – regelmäßige Security-Awareness-Trainings
- Business-Continuity-Plan – dokumentierter Notfallplan mit Wiederanlaufzeiten
- Zugriffsverwaltung – Prinzip der minimalen Rechte (Least Privilege)
Meldepflichten
Bei erheblichen Sicherheitsvorfällen gelten strenge Meldefristen an das BSI:
- 24 Stunden – Erstmeldung (Frühwarnung) nach Bekanntwerden
- 72 Stunden – Detailliertere Bewertungsmeldung
- 1 Monat – Abschlussbericht mit Ursache, Maßnahmen und Auswirkungen
Welche Strafen drohen bei Nichteinhaltung?
Die Bußgeldrahmen sind deutlich gestiegen:
| Kategorie | Max. Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
Darüber hinaus haften Geschäftsführer und Vorstände persönlich für die Umsetzung. Das BSI kann bei wesentlichen Einrichtungen sogar temporäre Tätigkeitsverbote für das Management aussprechen.
NIS2-Umsetzung in der Praxis: So gehen Sie vor
Die gute Nachricht: Wer bereits nach ISO 27001 oder BSI IT-Grundschutz arbeitet, hat einen erheblichen Vorsprung. Für alle anderen empfehlen wir diesen pragmatischen Vier-Schritte-Plan:
Schritt 1: Betroffenheit und Scope klären
Prüfen Sie anhand der Sektorenliste und Ihrer Unternehmenskennzahlen, ob Sie unter NIS2 fallen. Beziehen Sie auch Ihre Lieferkette ein: Sind Ihre Kunden oder Auftraggeber selbst NIS2-pflichtig, können Sicherheitsanforderungen auf Sie übertragen werden.
Schritt 2: Ist-Zustand erheben (Gap-Analyse)
Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den NIS2-Anforderungen. Typische Lücken in KMU: fehlende MFA, kein dokumentiertes Notfallkonzept, ungepatchte Systeme, kein regelmäßiges Backup-Testing.
Schritt 3: Maßnahmen priorisieren und umsetzen
Starten Sie mit den technisch einfachsten und wirkungsvollsten Maßnahmen: MFA einführen, Backup-Prozesse dokumentieren und testen, Patch-Management etablieren. Parallel dazu: Richtlinien schreiben, Risikobewertung dokumentieren.
Schritt 4: Nachweisführung und kontinuierliche Verbesserung
Das BSI kann jederzeit Nachweise anfordern. Dokumentieren Sie alle Maßnahmen, Schulungen und Sicherheitsprüfungen sorgfältig. Etablieren Sie einen jährlichen Review-Zyklus.
TTG GmbH unterstützt KMU im Eichsfeld bei der NIS2-Umsetzung
Als ISO 27001-zertifiziertes IT-Systemhaus kennen wir die Anforderungen aus erster Hand. Wir begleiten mittelständische Unternehmen in Nordthüringen, Eichsfeld und Südniedersachsen bei der praxisnahen NIS2-Umsetzung – ohne unnötigen Overhead, dafür mit messbaren Ergebnissen.
Unser NIS2-Starter-Paket für KMU umfasst:
- Betroffenheitscheck und Scope-Definition
- Gap-Analyse auf Basis der NIS2-Anforderungen
- Priorisierter Maßnahmenplan mit Aufwandsschätzung
- Technische Umsetzung: MFA, Patch-Management, Backup, Monitoring
- Dokumentationsvorlagen für Richtlinien und Risikobewertung
- Schulung Ihrer Mitarbeitenden (Security Awareness)
Jetzt kostenfreies Erstgespräch vereinbaren: Rufen Sie uns an unter 036075 / 1640 oder schreiben Sie uns über unser Kontaktformular. Wir melden uns innerhalb von 24 Stunden.
Fazit: NIS2 ist kein Bürokratiemonster – wenn man es richtig angeht
NIS2 klingt zunächst komplex, aber im Kern fordert die Richtlinie nur das, was gute IT-Sicherheitspraxis ohnehin vorsieht: strukturiertes Risikomanagement, technische Schutzmaßnahmen und dokumentierte Notfallprozesse. Wer jetzt handelt, schützt nicht nur sich vor Bußgeldern – er schützt sein Unternehmen vor den realen Bedrohungen durch Ransomware, Datenverlust und Betriebsausfälle.
TTG GmbH – Ihr IT-Systemhaus im Eichsfeld seit 1993. ISO 27001 zertifiziert. Persönlich, schnell, kompetent.
