NIS2 Betroffenheitscheck
Ist Ihr Unternehmen von der NIS2-Richtlinie betroffen? Machen Sie den Betroffenheitscheck
Zum Check
Bg Shape
Alle Beiträge
NIS-2

NIS-2 Compliance-Checkliste 2025 – Alle Anforderungen für mittelständische Unternehmen

Veröffentlicht am 09.05.2025
.
8 min. Lesedauer
Termin Vereinbaren
Inhaltsverzeichnis

Die NIS-2 Richtlinie 2025 im Überblick

Die NIS 2-Richtlinie der EU revolutioniert die Cybersicherheit: Bis zu 30.000 deutsche Unternehmen müssen mit Verabschiedung des deutschen NIS-2 Gesetzes umfassende Sicherheitsmaßnahmen implementieren oder riskieren Strafen bis zu 10 Millionen Euro.

Die EU-Cybersecurity-Direktive, im Folgenden NIS-2 Richtlinie, (Richtlinie (EU) 2022/2555) erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie erheblich (Europäisches Parlament und Rat, 2022). Während die erste IT-Sicherheitsrichtlinie (EU) nur etwa 20.000 Unternehmen europaweit betraf, fallen unter die NIS-2 Richtlinie geschätzte 160.000 Einrichtungen – allein in Deutschland sind es voraussichtlich 29.000 bis 30.000 Unternehmen (Bundesamt für Sicherheit in der Informationstechnik, 2025a). Da es sich um eine EU-Richtlinie handelt, muss diese von den Mitgliedstaaten in nationales Rechtüberführt werden.

Wie ist der Umsetzungsstand in Deutschland?

Die Umsetzung von NIS-2 in Deutschland verzögert sich erheblich. Das NIS-2 Gesetz in Deutschland, offiziell als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bezeichnet, befindet sich noch im Gesetzgebungsverfahren. Nachaktuellen Informationen ist mit folgendem Zeitplan zu rechnen:

2025:

  • Juli-September: Überarbeitung des Gesetzentwurfs
  • Oktober-November: Parlamentarische Beratungen im Bundestag
  • Dezember 2025: Frühestmögliche Verabschiedung des NIS-2 Gesetz 2025

Nach Inkrafttreten:

  • 3 Monate: Frist zur Registrierung bei BSI/BBK
  • Sofort: Umsetzung aller Sicherheitsmaßnahmen erforderlich
  • Keine Übergangsfrist: Compliance ab Tag 1 verpflichtend

Die Europäische Kommission hat Deutschland bereits ein Mahnschreiben (Reasoned Opinion) am 7. Mai 2025 zugestellt, da die ursprüngliche Umsetzungsfrist vom 17. Oktober 2024verpasst wurde (Europäische Kommission, 2025).

Ist mein Unternehmen von NIS-2 betroffen?

Die NIS-2-Richtlinie betrifft viele Mittelständler – auch außerhalb klassischer KRITIS-Branchen, abhängig von Unternehmensgröße und Branche. Mittelständische Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro in einem der 18 kritischen Sektoren sind betroffen (Europäisches Parlament und Rat, 2022, Art. 2).

Ob Ihr Unternehmen betroffen ist, erfahren Sie ausführlich in unserem separaten Artikel zur NIS-2 Betroffenheit. Außerdem stellt das BSI ein NIS-2 Impact Assessment Tool zur Verfügung, mit dem Unternehmen ihre Betroffenheit grobprüfen können.

NIS-2 Compliance-Checkliste für den Mittelstand

Diese NIS-2 Compliance Checkliste zeigt konkret, welche Schritte KMUs jetzt einleiten müssen, um die NIS-2 Anforderungen rechtzeitig zu erfüllen. Die erhebliche Verzögerung der deutschen Umsetzung verschafft mittelständischen Unternehmen zwar mehr Vorbereitungszeit, jedoch keine Übergangsfrist bei Inkrafttreten.

1. Governance und Risikomanagement etablieren

Die NIS-2 Anforderungen beginnen auf Führungsebene. Geschäftsführung und Vorstand tragen persönliche Verantwortung für die Cybersicherheit und müssen entsprechende Schulungen absolvieren (Europäisches Parlament und Rat, 2022,Art. 20).

Maßnahmen:

✓     CISO, Informationssicherheitsbeauftragten und/oder Informationssicherheitskoordinatoren benennen

✓     Cybersecurity-Komitee auf Führungsebene etablieren

✓     Risikomanagement-Framework implementieren (z.B. ISO 27001)

✓     Cybersecurity-Schulungen für Management durchführen

✓     Dokumentierte Risikoanalyse erstellen

2. Technische und organisatorische Maßnahmen umsetzen

Artikel 21 der NIS-2 Richtlinie definiert zehn Mindestanforderungen für die NIS-2 Compliance, die alle betroffenen Unternehmen erfüllen müssen:

Maßnahmen:

✓     Risikoanalyse: Richtlinien zur Risikoanalyse und Informationssystemsicherheit sowie Aufbau eines Risikomanagements

✓     Incident Handling: Verfahren zur Erkennung, Reaktion und Bewältigung von Sicherheitsvorfällen

✓     Business Continuity: Backup-Management, Disaster Recovery und Krisenmanagement

✓     Lieferkettensicherheit: Sicherheitsaspekte der Beziehungen zu Lieferanten bewerten

✓     Systemsicherheit: Beschaffung, Entwicklung, Wartung und Schwachstellenmanagement

✓     Wirksamkeitsbewertung: Regelmäßige Überprüfung der Cybersicherheitsmaßnahmen

✓     Cyberhygiene: Grundlegende Praktiken und Schulungen implementieren

✓     Kryptografie: Richtlinien für Verschlüsselung und Kryptografie

✓     Personalsicherheit: Zugangskontrolle und Asset-Management

✓     Multi-Faktor-Authentifizierung: MFA und gesicherte Kommunikation

3. Meldepflichten vorbereiten

Die NIS-2Richtlinie verlangt ein dreistufiges Meldeverfahren bei erheblichen Sicherheitsvorfällen:

Meldefristen:

✓ 24 Stunden: Erstmeldung an BSI/BBK

✓ 72 Stunden: Detaillierter Zwischenbericht

✓ 1 Monat: Abschlussbericht mit Ursachenanalyse

Unternehmen müssen entsprechende Prozesse und Kommunikationskanäle etablieren, um diese engen Fristen einhalten zu können (Bundesamt für Sicherheit in der Informationstechnik, 2025).

4. Lieferkettensicherheit gewährleisten

Ein zentraler Aspekt der NIS-2 Anforderungen ist die Bewertung und Überwachung der Cybersicherheit bei direkten Lieferanten und Dienstleistern.

Praktische Umsetzung:

✓ Kritische Lieferanten und Dienstleister identifizieren

✓ (Informations-)Sicherheitsanforderungen in Verträge aufnehmen

✓ Regelmäßige Sicherheitsbewertungen durchführen

✓ Incident-Response-Koordination mit Lieferanten etablieren

✓ Kontinuierliche Überwachung der Lieferantensicherheit

Was droht bei Verstößen?

Die NIS-2Richtlinie sieht empfindliche Strafen bei Verstößen vor:

Bußgelder für besonders wichtige Einrichtungen:

  • Bis zu 10 Millionen Euro ODER
  • 2% des weltweiten Jahresumsatzes (je nachdem, was höher ist)

Bußgelder für wichtige Einrichtungen:

  • Bis zu 7 Millionen Euro ODER
  • 1,4% des weltweiten Jahresumsatzes

Zusätzlich drohen der Geschäftsführung persönliche Haftung und mögliche Tätigkeitsverbote bei grober Fahrlässigkeit (Europäisches Parlament und Rat, 2022, Art. 34).

Praktische Umsetzungsschritte für KMUs

Sofortmaßnahmen (Juli-September2025)

  1. Betroffenheit prüfen: Kontaktieren Sie unsere Experten bei TrustSpace für eine kostenfreie Einschätzung oder nutzen Sie das BSI NIS-2 Impact Assessment Tool zur Selbsteinschätzung. 
  2. Gap-Analyse durchführen: Identifizieren Sie Lücken zu den NIS-2 Anforderungen. Auch Gap-Analysen können wir bei TrustSpace für Sie durchführen.
  3. Budget planen: Kalkulieren Sie Mehrausgaben für Cybersicherheit ein.
  4. Verantwortlichkeiten klären: Benennung eines CISO, Informationssicherheitsbeauftragten und/oder Informationssicherheitskoordinator.

Mittelfristige Maßnahmen (bis Ende2025)

  1. Incident Response Team aufbauen: 24-Stunden-Meldefähigkeit sicherstellen
  2. Lieferanten bewerten: Cybersicherheit in der Lieferkette dokumentieren
  3. Technische Maßnahmen umsetzen: MFA, Verschlüsselung, Monitoring implementieren
  4. Dokumentation vorbereiten: Compliance-Nachweise für (mögliche/potentielle) BSI-Prüfungen sammeln ist der einfachste Weg, Compliance gegenüber Partnern nachzuweisen.
  5. ISO 27001 Zertifizierung: Optional kann eine ISO 27001 Zertifizierung angestrebt werden. Diese erfüllt zentrale NIS-2 Anforderungen und dient als klarer Nachweis gegenüber Partnern.

Wie lässt sich die NIS‑2 effizient und kostensparend umsetzen?

Steigende Compliance-Kosten stellen besonders für KMUs eine Herausforderung dar. Folgende Strategien helfen bei der effizienten Umsetzung:

  • Managed Security Services nutzen statt eigene SOCs aufbauenBestehende Zertifizierungen (ISO 27001, TISAX) als Basis verwenden
  • Cloud-basierte Sicherheitslösungen zur Kostensenkung einsetzen
  • Branchenkooperationen für gemeinsame Lösungen bilden

Fazit – jetzt handeln und Strafen vermeiden

Trotz der Verzögerung bei der Umsetzung NIS-2 in Deutschland sollten mittelständische Unternehmen die Zeit zur Vorbereitung nutzen. Das BSI empfiehlt ausdrücklich, bereits jetzt mit der Implementierung zu beginnen, dabei Inkrafttreten des NIS-2 Gesetzes keine Übergangsfristen gewährt werden (Bundesamt für Sicherheit in der Informationstechnik, 2025).

Die persönliche Haftung der Geschäftsführung, die hohen Bußgelder und die umfassenden technischen Anforderungen machen NIS-2 Compliance zur Chefsache. Unternehmen, die jetzt handeln, vermeiden nicht nur empfindliche Strafen, sondern stärken auch ihre Widerstandsfähigkeit gegen die wachsende Bedrohung durch Cyberangriffe. Die NIS-2 Richtlinie ist keine bürokratische Hürde, sondern eine notwendige Antwort auf die digitalen Bedrohungen unserer Zeit.

Autor
Felix Mosler
Head of Information Security
Termin Vereinbaren

Über TrustSpace

TrustSpace unterstützt mittelständische Unternehmen umfassend bei allen Herausforderungen rund um die NIS-2-Richtlinie: Von der schnellen Prüfung der Betroffenheit über praxisnahe GAP-Analysen bis hin zur effizienten Umsetzung aller gesetzlichen Vorgaben.

Unternehmen profitieren dabei von einer kosteneffizienten Software-Lösung und optionaler Beratung von Informationssicherheit ­Juristen und erfahrenen Cybersecurity‑Consultants; über 100 Unternehmen vertrauen bereits auf diesen Mix aus technischer und rechtlicher Expertise. So erfüllen Sie sämtliche NIS‑2‑Anforderungen strukturiert, transparent und ressourcen­schonend. Kostenlose NIS-2-Erstberatung buchen!

Autor
Felix Mosler
Head of Information Security
Termin Vereinbaren

Die NIS-2 Richtlinie 2025 im Überblick

Die NIS 2-Richtlinie der EU revolutioniert die Cybersicherheit: Bis zu 30.000 deutsche Unternehmen müssen mit Verabschiedung des deutschen NIS-2 Gesetzes umfassende Sicherheitsmaßnahmen implementieren oder riskieren Strafen bis zu 10 Millionen Euro.

Die EU-Cybersecurity-Direktive, im Folgenden NIS-2 Richtlinie, (Richtlinie (EU) 2022/2555) erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie erheblich (Europäisches Parlament und Rat, 2022). Während die erste IT-Sicherheitsrichtlinie (EU) nur etwa 20.000 Unternehmen europaweit betraf, fallen unter die NIS-2 Richtlinie geschätzte 160.000 Einrichtungen – allein in Deutschland sind es voraussichtlich 29.000 bis 30.000 Unternehmen (Bundesamt für Sicherheit in der Informationstechnik, 2025a). Da es sich um eine EU-Richtlinie handelt, muss diese von den Mitgliedstaaten in nationales Rechtüberführt werden.

Wie ist der Umsetzungsstand in Deutschland?

Die Umsetzung von NIS-2 in Deutschland verzögert sich erheblich. Das NIS-2 Gesetz in Deutschland, offiziell als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bezeichnet, befindet sich noch im Gesetzgebungsverfahren. Nachaktuellen Informationen ist mit folgendem Zeitplan zu rechnen:

2025:

  • Juli-September: Überarbeitung des Gesetzentwurfs
  • Oktober-November: Parlamentarische Beratungen im Bundestag
  • Dezember 2025: Frühestmögliche Verabschiedung des NIS-2 Gesetz 2025

Nach Inkrafttreten:

  • 3 Monate: Frist zur Registrierung bei BSI/BBK
  • Sofort: Umsetzung aller Sicherheitsmaßnahmen erforderlich
  • Keine Übergangsfrist: Compliance ab Tag 1 verpflichtend

Die Europäische Kommission hat Deutschland bereits ein Mahnschreiben (Reasoned Opinion) am 7. Mai 2025 zugestellt, da die ursprüngliche Umsetzungsfrist vom 17. Oktober 2024verpasst wurde (Europäische Kommission, 2025).

Ist mein Unternehmen von NIS-2 betroffen?

Die NIS-2-Richtlinie betrifft viele Mittelständler – auch außerhalb klassischer KRITIS-Branchen, abhängig von Unternehmensgröße und Branche. Mittelständische Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro in einem der 18 kritischen Sektoren sind betroffen (Europäisches Parlament und Rat, 2022, Art. 2).

Ob Ihr Unternehmen betroffen ist, erfahren Sie ausführlich in unserem separaten Artikel zur NIS-2 Betroffenheit. Außerdem stellt das BSI ein NIS-2 Impact Assessment Tool zur Verfügung, mit dem Unternehmen ihre Betroffenheit grobprüfen können.

NIS-2 Compliance-Checkliste für den Mittelstand

Diese NIS-2 Compliance Checkliste zeigt konkret, welche Schritte KMUs jetzt einleiten müssen, um die NIS-2 Anforderungen rechtzeitig zu erfüllen. Die erhebliche Verzögerung der deutschen Umsetzung verschafft mittelständischen Unternehmen zwar mehr Vorbereitungszeit, jedoch keine Übergangsfrist bei Inkrafttreten.

1. Governance und Risikomanagement etablieren

Die NIS-2 Anforderungen beginnen auf Führungsebene. Geschäftsführung und Vorstand tragen persönliche Verantwortung für die Cybersicherheit und müssen entsprechende Schulungen absolvieren (Europäisches Parlament und Rat, 2022,Art. 20).

Maßnahmen:

✓     CISO, Informationssicherheitsbeauftragten und/oder Informationssicherheitskoordinatoren benennen

✓     Cybersecurity-Komitee auf Führungsebene etablieren

✓     Risikomanagement-Framework implementieren (z.B. ISO 27001)

✓     Cybersecurity-Schulungen für Management durchführen

✓     Dokumentierte Risikoanalyse erstellen

2. Technische und organisatorische Maßnahmen umsetzen

Artikel 21 der NIS-2 Richtlinie definiert zehn Mindestanforderungen für die NIS-2 Compliance, die alle betroffenen Unternehmen erfüllen müssen:

Maßnahmen:

✓     Risikoanalyse: Richtlinien zur Risikoanalyse und Informationssystemsicherheit sowie Aufbau eines Risikomanagements

✓     Incident Handling: Verfahren zur Erkennung, Reaktion und Bewältigung von Sicherheitsvorfällen

✓     Business Continuity: Backup-Management, Disaster Recovery und Krisenmanagement

✓     Lieferkettensicherheit: Sicherheitsaspekte der Beziehungen zu Lieferanten bewerten

✓     Systemsicherheit: Beschaffung, Entwicklung, Wartung und Schwachstellenmanagement

✓     Wirksamkeitsbewertung: Regelmäßige Überprüfung der Cybersicherheitsmaßnahmen

✓     Cyberhygiene: Grundlegende Praktiken und Schulungen implementieren

✓     Kryptografie: Richtlinien für Verschlüsselung und Kryptografie

✓     Personalsicherheit: Zugangskontrolle und Asset-Management

✓     Multi-Faktor-Authentifizierung: MFA und gesicherte Kommunikation

3. Meldepflichten vorbereiten

Die NIS-2Richtlinie verlangt ein dreistufiges Meldeverfahren bei erheblichen Sicherheitsvorfällen:

Meldefristen:

✓ 24 Stunden: Erstmeldung an BSI/BBK

✓ 72 Stunden: Detaillierter Zwischenbericht

✓ 1 Monat: Abschlussbericht mit Ursachenanalyse

Unternehmen müssen entsprechende Prozesse und Kommunikationskanäle etablieren, um diese engen Fristen einhalten zu können (Bundesamt für Sicherheit in der Informationstechnik, 2025).

4. Lieferkettensicherheit gewährleisten

Ein zentraler Aspekt der NIS-2 Anforderungen ist die Bewertung und Überwachung der Cybersicherheit bei direkten Lieferanten und Dienstleistern.

Praktische Umsetzung:

✓ Kritische Lieferanten und Dienstleister identifizieren

✓ (Informations-)Sicherheitsanforderungen in Verträge aufnehmen

✓ Regelmäßige Sicherheitsbewertungen durchführen

✓ Incident-Response-Koordination mit Lieferanten etablieren

✓ Kontinuierliche Überwachung der Lieferantensicherheit

Was droht bei Verstößen?

Die NIS-2Richtlinie sieht empfindliche Strafen bei Verstößen vor:

Bußgelder für besonders wichtige Einrichtungen:

  • Bis zu 10 Millionen Euro ODER
  • 2% des weltweiten Jahresumsatzes (je nachdem, was höher ist)

Bußgelder für wichtige Einrichtungen:

  • Bis zu 7 Millionen Euro ODER
  • 1,4% des weltweiten Jahresumsatzes

Zusätzlich drohen der Geschäftsführung persönliche Haftung und mögliche Tätigkeitsverbote bei grober Fahrlässigkeit (Europäisches Parlament und Rat, 2022, Art. 34).

Praktische Umsetzungsschritte für KMUs

Sofortmaßnahmen (Juli-September2025)

  1. Betroffenheit prüfen: Kontaktieren Sie unsere Experten bei TrustSpace für eine kostenfreie Einschätzung oder nutzen Sie das BSI NIS-2 Impact Assessment Tool zur Selbsteinschätzung. 
  2. Gap-Analyse durchführen: Identifizieren Sie Lücken zu den NIS-2 Anforderungen. Auch Gap-Analysen können wir bei TrustSpace für Sie durchführen.
  3. Budget planen: Kalkulieren Sie Mehrausgaben für Cybersicherheit ein.
  4. Verantwortlichkeiten klären: Benennung eines CISO, Informationssicherheitsbeauftragten und/oder Informationssicherheitskoordinator.

Mittelfristige Maßnahmen (bis Ende2025)

  1. Incident Response Team aufbauen: 24-Stunden-Meldefähigkeit sicherstellen
  2. Lieferanten bewerten: Cybersicherheit in der Lieferkette dokumentieren
  3. Technische Maßnahmen umsetzen: MFA, Verschlüsselung, Monitoring implementieren
  4. Dokumentation vorbereiten: Compliance-Nachweise für (mögliche/potentielle) BSI-Prüfungen sammeln ist der einfachste Weg, Compliance gegenüber Partnern nachzuweisen.
  5. ISO 27001 Zertifizierung: Optional kann eine ISO 27001 Zertifizierung angestrebt werden. Diese erfüllt zentrale NIS-2 Anforderungen und dient als klarer Nachweis gegenüber Partnern.

Wie lässt sich die NIS‑2 effizient und kostensparend umsetzen?

Steigende Compliance-Kosten stellen besonders für KMUs eine Herausforderung dar. Folgende Strategien helfen bei der effizienten Umsetzung:

  • Managed Security Services nutzen statt eigene SOCs aufbauenBestehende Zertifizierungen (ISO 27001, TISAX) als Basis verwenden
  • Cloud-basierte Sicherheitslösungen zur Kostensenkung einsetzen
  • Branchenkooperationen für gemeinsame Lösungen bilden

Fazit – jetzt handeln und Strafen vermeiden

Trotz der Verzögerung bei der Umsetzung NIS-2 in Deutschland sollten mittelständische Unternehmen die Zeit zur Vorbereitung nutzen. Das BSI empfiehlt ausdrücklich, bereits jetzt mit der Implementierung zu beginnen, dabei Inkrafttreten des NIS-2 Gesetzes keine Übergangsfristen gewährt werden (Bundesamt für Sicherheit in der Informationstechnik, 2025).

Die persönliche Haftung der Geschäftsführung, die hohen Bußgelder und die umfassenden technischen Anforderungen machen NIS-2 Compliance zur Chefsache. Unternehmen, die jetzt handeln, vermeiden nicht nur empfindliche Strafen, sondern stärken auch ihre Widerstandsfähigkeit gegen die wachsende Bedrohung durch Cyberangriffe. Die NIS-2 Richtlinie ist keine bürokratische Hürde, sondern eine notwendige Antwort auf die digitalen Bedrohungen unserer Zeit.

Alle Beiträge
NIS-2
8 min. Lesedauer

NIS-2 Compliance-Checkliste 2025 – Alle Anforderungen für mittelständische Unternehmen

Veröffentlicht am
25.07.2025
Termin Vereinbaren
NIS-2 Compliance-Checkliste 2025 – Alle Anforderungen für mittelständische Unternehmen
Autor
Felix Mosler
Felix Mosler
Head of Information Security
Termin Vereinbaren
Inhaltsverzeichnis

Die NIS-2 Richtlinie 2025 im Überblick

Die NIS 2-Richtlinie der EU revolutioniert die Cybersicherheit: Bis zu 30.000 deutsche Unternehmen müssen mit Verabschiedung des deutschen NIS-2 Gesetzes umfassende Sicherheitsmaßnahmen implementieren oder riskieren Strafen bis zu 10 Millionen Euro.

Die EU-Cybersecurity-Direktive, im Folgenden NIS-2 Richtlinie, (Richtlinie (EU) 2022/2555) erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie erheblich (Europäisches Parlament und Rat, 2022). Während die erste IT-Sicherheitsrichtlinie (EU) nur etwa 20.000 Unternehmen europaweit betraf, fallen unter die NIS-2 Richtlinie geschätzte 160.000 Einrichtungen – allein in Deutschland sind es voraussichtlich 29.000 bis 30.000 Unternehmen (Bundesamt für Sicherheit in der Informationstechnik, 2025a). Da es sich um eine EU-Richtlinie handelt, muss diese von den Mitgliedstaaten in nationales Rechtüberführt werden.

Wie ist der Umsetzungsstand in Deutschland?

Die Umsetzung von NIS-2 in Deutschland verzögert sich erheblich. Das NIS-2 Gesetz in Deutschland, offiziell als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bezeichnet, befindet sich noch im Gesetzgebungsverfahren. Nachaktuellen Informationen ist mit folgendem Zeitplan zu rechnen:

2025:

  • Juli-September: Überarbeitung des Gesetzentwurfs
  • Oktober-November: Parlamentarische Beratungen im Bundestag
  • Dezember 2025: Frühestmögliche Verabschiedung des NIS-2 Gesetz 2025

Nach Inkrafttreten:

  • 3 Monate: Frist zur Registrierung bei BSI/BBK
  • Sofort: Umsetzung aller Sicherheitsmaßnahmen erforderlich
  • Keine Übergangsfrist: Compliance ab Tag 1 verpflichtend

Die Europäische Kommission hat Deutschland bereits ein Mahnschreiben (Reasoned Opinion) am 7. Mai 2025 zugestellt, da die ursprüngliche Umsetzungsfrist vom 17. Oktober 2024verpasst wurde (Europäische Kommission, 2025).

Ist mein Unternehmen von NIS-2 betroffen?

Die NIS-2-Richtlinie betrifft viele Mittelständler – auch außerhalb klassischer KRITIS-Branchen, abhängig von Unternehmensgröße und Branche. Mittelständische Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro in einem der 18 kritischen Sektoren sind betroffen (Europäisches Parlament und Rat, 2022, Art. 2).

Ob Ihr Unternehmen betroffen ist, erfahren Sie ausführlich in unserem separaten Artikel zur NIS-2 Betroffenheit. Außerdem stellt das BSI ein NIS-2 Impact Assessment Tool zur Verfügung, mit dem Unternehmen ihre Betroffenheit grobprüfen können.

NIS-2 Compliance-Checkliste für den Mittelstand

Diese NIS-2 Compliance Checkliste zeigt konkret, welche Schritte KMUs jetzt einleiten müssen, um die NIS-2 Anforderungen rechtzeitig zu erfüllen. Die erhebliche Verzögerung der deutschen Umsetzung verschafft mittelständischen Unternehmen zwar mehr Vorbereitungszeit, jedoch keine Übergangsfrist bei Inkrafttreten.

1. Governance und Risikomanagement etablieren

Die NIS-2 Anforderungen beginnen auf Führungsebene. Geschäftsführung und Vorstand tragen persönliche Verantwortung für die Cybersicherheit und müssen entsprechende Schulungen absolvieren (Europäisches Parlament und Rat, 2022,Art. 20).

Maßnahmen:

✓     CISO, Informationssicherheitsbeauftragten und/oder Informationssicherheitskoordinatoren benennen

✓     Cybersecurity-Komitee auf Führungsebene etablieren

✓     Risikomanagement-Framework implementieren (z.B. ISO 27001)

✓     Cybersecurity-Schulungen für Management durchführen

✓     Dokumentierte Risikoanalyse erstellen

2. Technische und organisatorische Maßnahmen umsetzen

Artikel 21 der NIS-2 Richtlinie definiert zehn Mindestanforderungen für die NIS-2 Compliance, die alle betroffenen Unternehmen erfüllen müssen:

Maßnahmen:

✓     Risikoanalyse: Richtlinien zur Risikoanalyse und Informationssystemsicherheit sowie Aufbau eines Risikomanagements

✓     Incident Handling: Verfahren zur Erkennung, Reaktion und Bewältigung von Sicherheitsvorfällen

✓     Business Continuity: Backup-Management, Disaster Recovery und Krisenmanagement

✓     Lieferkettensicherheit: Sicherheitsaspekte der Beziehungen zu Lieferanten bewerten

✓     Systemsicherheit: Beschaffung, Entwicklung, Wartung und Schwachstellenmanagement

✓     Wirksamkeitsbewertung: Regelmäßige Überprüfung der Cybersicherheitsmaßnahmen

✓     Cyberhygiene: Grundlegende Praktiken und Schulungen implementieren

✓     Kryptografie: Richtlinien für Verschlüsselung und Kryptografie

✓     Personalsicherheit: Zugangskontrolle und Asset-Management

✓     Multi-Faktor-Authentifizierung: MFA und gesicherte Kommunikation

3. Meldepflichten vorbereiten

Die NIS-2Richtlinie verlangt ein dreistufiges Meldeverfahren bei erheblichen Sicherheitsvorfällen:

Meldefristen:

✓ 24 Stunden: Erstmeldung an BSI/BBK

✓ 72 Stunden: Detaillierter Zwischenbericht

✓ 1 Monat: Abschlussbericht mit Ursachenanalyse

Unternehmen müssen entsprechende Prozesse und Kommunikationskanäle etablieren, um diese engen Fristen einhalten zu können (Bundesamt für Sicherheit in der Informationstechnik, 2025).

4. Lieferkettensicherheit gewährleisten

Ein zentraler Aspekt der NIS-2 Anforderungen ist die Bewertung und Überwachung der Cybersicherheit bei direkten Lieferanten und Dienstleistern.

Praktische Umsetzung:

✓ Kritische Lieferanten und Dienstleister identifizieren

✓ (Informations-)Sicherheitsanforderungen in Verträge aufnehmen

✓ Regelmäßige Sicherheitsbewertungen durchführen

✓ Incident-Response-Koordination mit Lieferanten etablieren

✓ Kontinuierliche Überwachung der Lieferantensicherheit

Was droht bei Verstößen?

Die NIS-2Richtlinie sieht empfindliche Strafen bei Verstößen vor:

Bußgelder für besonders wichtige Einrichtungen:

  • Bis zu 10 Millionen Euro ODER
  • 2% des weltweiten Jahresumsatzes (je nachdem, was höher ist)

Bußgelder für wichtige Einrichtungen:

  • Bis zu 7 Millionen Euro ODER
  • 1,4% des weltweiten Jahresumsatzes

Zusätzlich drohen der Geschäftsführung persönliche Haftung und mögliche Tätigkeitsverbote bei grober Fahrlässigkeit (Europäisches Parlament und Rat, 2022, Art. 34).

Praktische Umsetzungsschritte für KMUs

Sofortmaßnahmen (Juli-September2025)

  1. Betroffenheit prüfen: Kontaktieren Sie unsere Experten bei TrustSpace für eine kostenfreie Einschätzung oder nutzen Sie das BSI NIS-2 Impact Assessment Tool zur Selbsteinschätzung. 
  2. Gap-Analyse durchführen: Identifizieren Sie Lücken zu den NIS-2 Anforderungen. Auch Gap-Analysen können wir bei TrustSpace für Sie durchführen.
  3. Budget planen: Kalkulieren Sie Mehrausgaben für Cybersicherheit ein.
  4. Verantwortlichkeiten klären: Benennung eines CISO, Informationssicherheitsbeauftragten und/oder Informationssicherheitskoordinator.

Mittelfristige Maßnahmen (bis Ende2025)

  1. Incident Response Team aufbauen: 24-Stunden-Meldefähigkeit sicherstellen
  2. Lieferanten bewerten: Cybersicherheit in der Lieferkette dokumentieren
  3. Technische Maßnahmen umsetzen: MFA, Verschlüsselung, Monitoring implementieren
  4. Dokumentation vorbereiten: Compliance-Nachweise für (mögliche/potentielle) BSI-Prüfungen sammeln ist der einfachste Weg, Compliance gegenüber Partnern nachzuweisen.
  5. ISO 27001 Zertifizierung: Optional kann eine ISO 27001 Zertifizierung angestrebt werden. Diese erfüllt zentrale NIS-2 Anforderungen und dient als klarer Nachweis gegenüber Partnern.

Wie lässt sich die NIS‑2 effizient und kostensparend umsetzen?

Steigende Compliance-Kosten stellen besonders für KMUs eine Herausforderung dar. Folgende Strategien helfen bei der effizienten Umsetzung:

  • Managed Security Services nutzen statt eigene SOCs aufbauenBestehende Zertifizierungen (ISO 27001, TISAX) als Basis verwenden
  • Cloud-basierte Sicherheitslösungen zur Kostensenkung einsetzen
  • Branchenkooperationen für gemeinsame Lösungen bilden

Fazit – jetzt handeln und Strafen vermeiden

Trotz der Verzögerung bei der Umsetzung NIS-2 in Deutschland sollten mittelständische Unternehmen die Zeit zur Vorbereitung nutzen. Das BSI empfiehlt ausdrücklich, bereits jetzt mit der Implementierung zu beginnen, dabei Inkrafttreten des NIS-2 Gesetzes keine Übergangsfristen gewährt werden (Bundesamt für Sicherheit in der Informationstechnik, 2025).

Die persönliche Haftung der Geschäftsführung, die hohen Bußgelder und die umfassenden technischen Anforderungen machen NIS-2 Compliance zur Chefsache. Unternehmen, die jetzt handeln, vermeiden nicht nur empfindliche Strafen, sondern stärken auch ihre Widerstandsfähigkeit gegen die wachsende Bedrohung durch Cyberangriffe. Die NIS-2 Richtlinie ist keine bürokratische Hürde, sondern eine notwendige Antwort auf die digitalen Bedrohungen unserer Zeit.

Das könnte Sie auch interessieren...

Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit. Ihre All-in-One Lösung für IT Compliance.

Secure Operations Centers (SOC): Ein Überblick

IT-Sicherheit

Secure Operations Centers (SOC): Ein Überblick

SOC einfach erklärt: Lernen Sie, wie ein Security Operations Center funktioniert – inklusive Technik, Betrieb und Personal.

Client Image

Felix Mosler

10.01.2025

Arrow Icon
Was ist eine TISAX® Prüfung? Der Schlüssel zur Automobilbranche

TISAX

Was ist eine TISAX® Prüfung? Der Schlüssel zur Automobilbranche

Die TISAX® Prüfung ist der Schlüssel für Zulieferer in der Automobilindustrie, um ihre Informationssicherheit nachzuweisen. Dieser Beitrag erklärt den gesamten Prozess von der Registrierung bis zum Label und zeigt, wie Sie Ihr Unternehmen optimal vorbereiten können.

Client Image

Felix Mosler

28.04.2025

Arrow Icon
Die Schutzziele der Informationssicherheit erklärt: Was Sie wissen sollten.

Informationssicherheit

Die Schutzziele der Informationssicherheit erklärt: Was Sie wissen sollten.

Die Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – sind essenziell für den Schutz Ihrer Unternehmensdaten. Erfahren Sie in unserem Leitfaden, wie Sie diese Ziele strategisch umsetzen und rechtliche Anforderungen erfüllen können.

Client Image

Stefania Vetere

25.04.2025

Arrow Icon

Ihre Sicherheit beginnt hier

Automatisieren Sie Ihre IT-Compliance

Jetzt Termin buchen

Wir denken IT-Sicherheit neu.

Habersaathstraße 58
10115 Berlin
Deutschland

info@trustspace.io
+49 158 88279145

Über Trustspace
Über Uns
Produkt
Blog
ISMS Portal
Hilfe & Service
FAQ
Kontakt
Rechtliche Hinweise
AGB
Datenschutz
Impressum

© 2024 TrustSpace. All Rights Reserved.

Icon
×

Haben Sie eine Frage?

Lassen Sie sich unter +49 157 8277 8728 direkt von einem unserer Experten beraten.

Oder

Wir melden uns per Email bei Ihnen