IT-Sicherheit

NIS-2-Richtlinie – was KMU jetzt wissen müssen

20.04.2026 · 6 Min. Lesezeit

Die NIS-2-Richtlinie der EU verschärft die Anforderungen an IT-Sicherheit in Unternehmen erheblich. Viele kleine und mittelständische Unternehmen sind erstmals direkt betroffen – oft ohne es zu wissen.

Was ist die NIS-2-Richtlinie?

NIS-2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Stärkung der Cybersicherheit. Sie erweitert den Kreis der betroffenen Unternehmen deutlich und verschärft die Pflichten bei IT-Sicherheit, Risikomanagement und Meldung von Sicherheitsvorfällen.

Welche Unternehmen sind betroffen?

NIS-2 betrifft Unternehmen in bestimmten Sektoren ab einer bestimmten Größe. Dazu gehören unter anderem:

  • Energie, Transport, Gesundheit, Wasserversorgung
  • Digitale Infrastruktur und IT-Dienstleister
  • Verarbeitendes Gewerbe und Lebensmittelproduktion
  • Post- und Kurierdienste
  • Abfallwirtschaft und chemische Industrie

Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in diesen Sektoren fallen in der Regel unter die Richtlinie. Aber auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer für kritische Infrastruktur arbeiten.

Welche Pflichten ergeben sich?

  • Risikomanagement: Systematische Analyse und Bewertung von IT-Risiken
  • Technische Maßnahmen: Verschlüsselung, Zugangskontrollen, Netzwerksegmentierung
  • Vorfallmeldung: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden
  • Geschäftskontinuität: Notfallpläne und Backup-Strategien
  • Lieferkettensicherheit: Auch die IT-Sicherheit von Zulieferern muss berücksichtigt werden
  • Schulung: Regelmäßige Sensibilisierung der Geschäftsleitung und Mitarbeiter

Was passiert bei Nichteinhaltung?

Die Richtlinie sieht empfindliche Bußgelder vor – bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Zudem haften Geschäftsführer persönlich für die Umsetzung der Sicherheitsmaßnahmen.

Was sollten KMU jetzt tun?

  • Prüfen, ob das eigene Unternehmen unter NIS-2 fällt
  • Den aktuellen Stand der IT-Sicherheit bewerten (IT-Sicherheitscheck)
  • Lücken identifizieren und einen Maßnahmenplan erstellen
  • Dokumentation und Prozesse aufbauen
  • Regelmäßige Überprüfung und Anpassung sicherstellen

NIS-2-Readiness prüfen?

Ich unterstütze Sie bei der Bestandsaufnahme und der Umsetzung der technischen Anforderungen.

Erstgespräch vereinbaren IT-Sicherheit im Überblick