xKMU
Zurueck zu IT-News
Ein besorgter Geschäftsmann blickt auf einen Bildschirm mit Cybersicherheitsgrafiken, der die Dringlichkeit der NIS-2-Richtlinie für KMU symbolisiert.
28. Mai 2026IT-Sicherheit

NIS-2: Warum die geringe Registrierungsquote KMU alarmieren sollte

Die Cybersicherheitslandschaft in Europa erfährt mit der NIS-2-Richtlinie eine Neuausrichtung. Eine aktuelle Umfrage zeigt: Nur 38 Prozent der Unternehmen haben die erforderliche Registrierung fristgerecht bis zum 1. Mai 2024 abgeschlossen.

Die Cybersicherheitslandschaft in Europa erfährt mit der NIS-2-Richtlinie eine grundlegende Neuausrichtung. Doch eine aktuelle Umfrage zeigt: Nur 38 Prozent der Unternehmen haben die erforderliche Registrierung fristgerecht bis zum 1. Mai 2024 abgeschlossen. Diese geringe Quote ist alarmierend, insbesondere für kleine und mittlere Unternehmen (KMU), die oft über begrenzte Ressourcen für Cybersicherheit verfügen und dennoch von den neuen Regelungen betroffen sind. Die Unsicherheit, die durch das noch ausstehende deutsche Umsetzungsgesetz (CSDG) entsteht, darf nicht dazu führen, dass notwendige Vorbereitungen aufgeschoben werden.

NIS-2: Eine verschärfte Richtlinie mit weitreichenden Folgen

Die NIS-2-Richtlinie (Network and Information Security 2) ist die Nachfolgerin der ersten NIS-Richtlinie und zielt darauf ab, die Cybersicherheit kritischer Infrastrukturen und wichtiger Dienste in der gesamten Europäischen Union zu stärken. Im Vergleich zu ihrem Vorgänger erweitert NIS-2 den Anwendungsbereich erheblich. Während die erste Richtlinie nur wenige Sektoren und Betreiber kritischer Infrastrukturen betraf, erfasst NIS-2 nun eine deutlich größere Anzahl von Unternehmen aus einer Vielzahl von Branchen – von Energie und Verkehr über Bankwesen und Gesundheitswesen bis hin zu digitalen Diensten und der Lebensmittelproduktion. Diese Ausweitung bedeutet, dass viele KMU, die bisher nicht unter solche Regularien fielen, nun direkt betroffen sind und umfassende Anforderungen erfüllen müssen.

Wer ist von NIS-2 betroffen?

NIS-2 differenziert zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“, basierend auf ihrer Größe und der Kritikalität ihrer Dienste. Grundsätzlich fallen Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von über 10 Millionen Euro unter die Richtlinie, sofern sie in einem der relevanten Sektoren tätig sind. Ausnahmen und spezifische Kriterien sind komplex, weshalb eine individuelle Prüfung unerlässlich ist. Für viele KMU bedeutet dies eine neue und oft überraschende Konfrontation mit umfassenden Cybersicherheitsauflagen.

Das Dilemma der ausstehenden Umsetzung in Deutschland

Ein wesentlicher Grund für die zögerliche Umsetzung und geringe Registrierungsquote in Deutschland ist das noch nicht verabschiedete Cybersicherheitsgesetz (CSDG), das die NIS-2-Richtlinie in nationales Recht überführen soll. Obwohl die EU-Frist für die Umsetzung bereits am 17. Oktober 2024 abläuft, befindet sich das CSDG noch im Gesetzgebungsverfahren. Diese Verzögerung schafft eine Grauzone für Unternehmen:

  • Rechtsunsicherheit: Unternehmen wissen nicht genau, welche nationalen Behörden zuständig sein werden, welche genauen Meldefristen gelten oder wie hoch potenzielle Bußgelder ausfallen. Dies erschwert eine zielgerichtete Planung und Investition.
  • Fehlende klare Anweisungen: Ohne ein verabschiedetes Gesetz fehlen verbindliche Leitlinien und konkrete Anweisungen für die Registrierung und die Umsetzung der Maßnahmen.
  • Verzögerungen bei der Vorbereitung: Viele Unternehmen warten ab, bis das Gesetz in Kraft tritt, bevor sie mit der Implementierung beginnen, was angesichts der Komplexität der Anforderungen riskant ist.

Diese Unsicherheit ist nachvollziehbar, darf aber nicht dazu führen, die Hände in den Schoß zu legen. Denn die EU-Richtlinie ist bereits in Kraft, und die nationalen Umsetzungsfristen sind eng. Unternehmen, die jetzt untätig bleiben, riskieren massive Probleme, sobald das CSDG verabschiedet ist.

Kernanforderungen von NIS-2 an Unternehmen

Unabhängig von den nationalen Spezifika gibt NIS-2 klare Richtlinien vor, welche Maßnahmen Unternehmen ergreifen müssen. Diese umfassen im Wesentlichen zwei Hauptbereiche:

1. Umfassendes Risikomanagement

Unternehmen müssen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme zu steuern. Dazu gehören:

  • Risikoanalysen und Sicherheitskonzepte: Regelmäßige Bewertung der Cybersicherheitsrisiken und Entwicklung entsprechender Strategien zur Risikominderung.
  • Incident-Response-Management: Etablierung von Prozessen zur Prävention, Erkennung, Analyse, Eindämmung und Reaktion auf Sicherheitsvorfälle.
  • Business Continuity und Krisenmanagement: Pläne zur Aufrechterhaltung des Betriebs bei schwerwiegenden Cybersicherheitsvorfällen, einschließlich Backup-Management und Wiederherstellung nach einem Desaster.
  • Lieferketten-Sicherheit: Berücksichtigung der Cybersicherheitsrisiken in der Lieferkette und bei Dienstleistern.
  • Sicherheit der Netz- und Informationssysteme: Implementierung von Maßnahmen wie Multi-Faktor-Authentifizierung, Verschlüsselung, Patch-Management und sichere Konfiguration.
  • Sicherheitsbewusstsein und Schulungen: Regelmäßige Schulung des Personals in Cybersicherheit und Sensibilisierung für aktuelle Bedrohungen.

2. Meldepflichten bei Sicherheitsvorfällen

Ein zentraler Pfeiler von NIS-2 sind die strengen Meldepflichten. Unternehmen müssen erhebliche Sicherheitsvorfälle an die zuständigen Behörden (in Deutschland voraussichtlich das BSI) melden. Die Fristen hierfür sind sehr kurz:

  • Frühwarnung (innerhalb von 24 Stunden): Eine erste Meldung über den Vorfall.
  • Zwischenbericht (innerhalb von 72 Stunden): Eine Aktualisierung des Vorfalls, einschließlich einer ersten Bewertung und des Schweregrads.
  • Abschlussbericht (innerhalb eines Monats): Eine detaillierte Analyse des Vorfalls, seiner Ursachen, der ergriffenen Maßnahmen und der Auswirkungen.

Diese Meldepflichten erfordern, dass Unternehmen über robuste Systeme zur Erkennung und Analyse von Sicherheitsvorfällen verfügen und ihre Prozesse entsprechend anpassen.

Handlungsempfehlungen für KMU: Jetzt handeln, Unsicherheit minimieren

Auch wenn das deutsche CSDG noch nicht verabschiedet ist, sollten KMU die verbleibende Zeit nutzen, um sich proaktiv auf NIS-2 vorzubereiten. Abwarten wäre ein strategischer Fehler, der bei Inkrafttreten des Gesetzes zu einem enormen Handlungsdruck und potenziellen Bußgeldern führen kann.

1. Prüfen Sie Ihre Betroffenheit

Ermitteln Sie zunächst, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt. Berücksichtigen Sie dabei die Mitarbeiterzahl, den Umsatz/die Bilanzsumme und die Branche, in der Sie tätig sind. Auch wenn Sie aktuell noch unsicher sind, ist eine vorsorgliche Prüfung ratsam.

2. Führen Sie eine Risikoanalyse durch

Identifizieren Sie Ihre kritischen Assets (Daten, Systeme, Prozesse) und bewerten Sie die potenziellen Cybersicherheitsrisiken. Wo sind Ihre Schwachstellen? Welche Auswirkungen hätte ein Ausfall oder ein Datenleck?

3. Beginnen Sie mit der Implementierung von Grundschutzmaßnahmen

Viele der NIS-2-Anforderungen entsprechen Best Practices der Cybersicherheit. Beginnen Sie mit der Umsetzung grundlegender Maßnahmen, die ohnehin sinnvoll sind:

  • Inventarisierung: Erstellen Sie eine Übersicht über alle IT-Systeme, Software und Datenströme.
  • Patch-Management: Sorgen Sie für regelmäßige Updates Ihrer Systeme und Anwendungen.
  • Backup-Strategie: Implementieren Sie eine robuste Backup- und Wiederherstellungsstrategie.
  • Zugriffsmanagement: Überprüfen Sie Berechtigungen und implementieren Sie Multi-Faktor-Authentifizierung.
  • Mitarbeiterschulungen: Sensibilisieren Sie Ihre Mitarbeiter für Phishing, Social Engineering und sicheres Verhalten.
  • Notfallplan: Entwickeln Sie erste Konzepte für den Umgang mit Sicherheitsvorfällen.

4. Lieferkette im Blick behalten

NIS-2 fordert auch die Betrachtung der Sicherheit in der Lieferkette. Sprechen Sie mit Ihren kritischen Lieferanten und Dienstleistern über deren Cybersicherheitsmaßnahmen und integrieren Sie entsprechende Anforderungen in Verträge.

5. Informieren Sie sich kontinuierlich

Verfolgen Sie die Entwicklungen rund um das deutsche CSDG und die Veröffentlichungen des BSI. Branchenverbände und Cybersicherheitsexperten bieten ebenfalls wertvolle Informationen und Unterstützung.

6. Externe Expertise nutzen

Gerade für KMU kann es sinnvoll sein, externe Cybersicherheitsexperten hinzuzuziehen. Diese können bei der Risikoanalyse, der Implementierung von Maßnahmen und der Vorbereitung auf Meldepflichten unterstützen. Eine frühzeitige Investition in externe Beratung kann spätere Kosten und Risiken deutlich reduzieren.

Fazit: Proaktives Handeln ist der Schlüssel

Die geringe Registrierungsquote für NIS-2 ist ein klares Zeichen für die Unsicherheit und den Nachholbedarf in vielen Unternehmen. Für KMU ist es jedoch entscheidend, diese Situation nicht als Entschuldigung für Untätigkeit zu nutzen. Die NIS-2-Richtlinie kommt, und die Anforderungen an die Cybersicherheit werden nicht verschwinden. Wer jetzt proaktiv handelt, Risiken identifiziert und erste Schutzmaßnahmen implementiert, schafft eine solide Basis für die Compliance und stärkt gleichzeitig die eigene Widerstandsfähigkeit gegenüber Cyberbedrohungen. Denken Sie daran: Cybersicherheit ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der Ihr Unternehmen langfristig schützt.

NIS-2CybersicherheitKMURegistrierungCSDGRichtlinieCyberrisikenIT-Sicherheit