NIS2 ist eines der Themen, die in den letzten Monaten immer wieder auftauchen — meist begleitet von Schlagworten wie „Bußgeld", „Geschäftsführerhaftung" oder „bis zu 10 Millionen Euro". Was davon ist Substanz, was ist Verkaufsargument, und was bedeutet die Richtlinie konkret für ein mittelständisches Unternehmen in NRW?
Was NIS2 eigentlich ist
NIS2 ist eine EU-weite Richtlinie zur Cybersicherheit. Sie ersetzt die ältere NIS-Richtlinie und gilt seit Oktober 2024. Der wichtigste Unterschied zur Vorgängerregelung: Sie betrifft deutlich mehr Unternehmen — auch viele KMU in Sektoren, die bislang außen vor waren.
Konkret geforderte Inhalte sind:
- ein strukturiertes Risikomanagement
- definierte technische und organisatorische Sicherheitsmaßnahmen
- Meldepflichten bei Sicherheitsvorfällen
- Anforderungen an die Sicherheit der eigenen Lieferkette
Nichts davon ist neu im Sinne von „technisch revolutionär". Vieles ist gute IT-Praxis, die in einem professionell betreuten Unternehmen ohnehin laufen sollte.
Wer ist betroffen?
Die kurze ehrliche Antwort: deutlich mehr als bei NIS1, aber nicht alle. Die Einstufung hängt ab von:
- Branche — z.B. Energie, Transport, Gesundheit, digitale Infrastruktur, Lebensmittel, Verwaltung von IKT-Diensten
- Größe — typischerweise ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz, je nach Sektor
- Lieferkettenposition — auch wer formal nicht direkt betroffen ist, kann über Verträge mit größeren Kunden NIS2-Anforderungen indirekt erfüllen müssen
Eine konkrete Einordnung erfordert die Prüfung der eigenen Konstellation — und die ist sinnvoll, bevor ein Auditor oder Versicherer danach fragt.
Was tatsächlich gemacht werden muss
Statt Panikmache hilft eine strukturierte Sichtweise. NIS2 fordert im Kern vier Dinge:
- Risikomanagement — eine systematische Analyse der eigenen Schwachstellen, Bedrohungen und Prioritäten. Nicht einmalig, sondern als laufender Prozess.
- Technische Schutzmaßnahmen — Backup, Patch-Management, Zugriffskontrolle, Endpoint-Schutz, sichere Authentifizierung. Wenig Überraschendes.
- Organisatorische Strukturen — Verantwortlichkeiten, Eskalationswege, Awareness-Schulungen, Notfallpläne.
- Dokumentation und Nachweisführung — was getan wurde, mit welchem Ergebnis, durch wen, wann überprüft.
Der Umfang skaliert mit der Unternehmensgröße. Ein 30-Personen-Betrieb braucht keine 200-seitige ISMS-Dokumentation — aber er braucht klare Antworten auf die obigen vier Punkte.
Was NIS2 nicht ist
NIS2 ist kein Zertifikat, das man einmal erwirbt. Es ist auch kein „Kaufen Sie unser Produkt und sind compliant"-Sticker. Wer Ihnen das verspricht, verkauft eher Marketing als Substanz.
Realistisch ist:
- ein strukturierter Einstieg über eine Gap-Analyse
- eine priorisierte Umsetzung der Maßnahmen, die wirklich Sinn machen
- ein laufender Betrieb, der den Stand dokumentiert und aktuell hält
Sinnvolle nächste Schritte
Unabhängig von der konkreten NIS2-Betroffenheit lohnt sich für die meisten KMU eine Basis-Sicherheitsanalyse. Sie schafft Klarheit über die tatsächliche Risikosituation — und liefert die Grundlage für eine fundierte Entscheidung, was im eigenen Betrieb wirklich Priorität hat.
Wer sich strukturiert vorbereitet, gewinnt zwei Dinge: regulatorische Sicherheit und ein deutlich robusteres IT-Setup. Das eine ist Pflicht. Das andere ist gute Praxis.
Wichtiger Hinweis: Diese Inhalte sind eine allgemeine Einordnung und ersetzen keine Rechtsberatung. Für eine rechtsverbindliche Einschätzung Ihrer NIS2-Betroffenheit sollte Ihr Datenschutz- oder Rechtsberater einbezogen werden.