Zum Hauptinhalt springen
BarmeniaGothaer
Markus Focht
Startseite/Ratgeber/NIS2 für KMU: Bin ich betroffen – und was muss ich jetzt tun?
Gewerbe & Business
9 Min. Lesezeit

NIS2 für KMU: Bin ich betroffen – und was muss ich jetzt tun?

NIS2 für KMU: Bin ich betroffen – und was muss ich jetzt tun?

Kurzantwort

  • Betroffenheit prüfen: Die NIS2-Richtlinie gilt für Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in 18 „wichtigen" oder „wesentlichen" Sektoren (Gesundheit, Energie, Transport, digitale Infrastruktur, Lebensmittel, Produktion u. a.). Kleinere Betriebe fallen heraus, es sei denn sie sind kritische Zulieferer.
  • Pflichten ab dem Tag der Betroffenheit: Risikomanagement, Melde- und Dokumentationspflichten, Supply-Chain-Sicherheit, Geschäftsführerhaftung. Die Umsetzung in deutsches Recht erfolgt über das NIS-2-Umsetzungsgesetz (NIS2UmsuCG).
  • Cyber-Versicherung ersetzt NIS2 nicht, federt aber die Folgen eines Vorfalls ab: IT-Forensik, Benachrichtigungskosten, Betriebsunterbrechung, Drittschadenshaftung. Die Pflicht zur Umsetzung technischer und organisatorischer Maßnahmen bleibt aber beim Unternehmen.

Für wen dieser Artikel wichtig ist

  • KMU in Gesundheit, Energie, Transport, Abwasser, Finanzen, digitaler Infrastruktur, Produktion, Lebensmittel, Post/Kurier, Chemie, Forschung, Raumfahrt, öffentlicher Verwaltung
  • Zulieferer kritischer Infrastrukturen (auch kleine Handwerksbetriebe können betroffen sein)
  • Geschäftsführer und Vorstände, die persönlich für die Umsetzung haften
  • IT-Leiter, die den Umsetzungsplan verantworten

Bin ich NIS2-betroffen? Drei-Fragen-Check

Nicht jedes KMU fällt automatisch unter NIS2. Prüfen Sie in dieser Reihenfolge:

1. Bin ich in einem der 18 Sektoren tätig?

Die Richtlinie unterscheidet zwischen „wesentlichen" (Sektor-Anhang I) und „wichtigen" (Sektor-Anhang II) Einrichtungen. Anhang I umfasst u. a. Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstmanagement, öffentliche Verwaltung und Raumfahrt. Anhang II ergänzt u. a. Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittelverarbeitung, produzierendes Gewerbe, digitale Dienste und Forschung.

2. Überschreite ich die Schwellenwerte?

Grundregel: mindestens 50 Mitarbeiter oder 10 Mio. Euro Jahresumsatz. Ausnahmen gelten bei qualifizierten Vertrauensdienste-Anbietern, DNS-Dienstanbietern, Top-Level-Domain-Registern, sowie bei kritischen Zulieferern unabhängig von der Größe.

3. Wirke ich als kritischer Zulieferer?

Selbst kleine Betriebe können über die Supply-Chain-Klausel erfasst werden, wenn sie wesentliche Dienste für NIS2-pflichtige Unternehmen erbringen. Das betrifft IT-Dienstleister, Wartungsfirmen und spezialisierte Handwerker im Anlagenbau genauso wie Softwarehäuser.

Wer alle drei Fragen mit „Ja" beantwortet, ist mit hoher Wahrscheinlichkeit NIS2-betroffen und sollte den Umsetzungsfahrplan umgehend starten.

Die neuen Pflichten in vier Blöcken

Block A — Technisch-organisatorische Maßnahmen

Risikomanagement-Ansatz mit nachweisbaren Mindestmaßnahmen: Firewall, Intrusion Detection, Backup, Patch-Management, Mehrfaktor-Authentifizierung, verschlüsselte Kommunikation, Zugriffskontrolle, Business Continuity Planning. Die Maßnahmen müssen dokumentiert und regelmäßig überprüft werden.

Block B — Meldepflichten bei Sicherheitsvorfällen

Frühmeldung an das BSI innerhalb von 24 Stunden nach Kenntnis, ausführliche Bewertung innerhalb von 72 Stunden, Abschlussmeldung innerhalb von einem Monat. Die Fristen sind scharf — Versäumnisse werden bußgeldbewehrt.

Block C — Supply-Chain-Sicherheit

Betroffene Unternehmen müssen die Cybersicherheit ihrer Zulieferer mit bewerten und vertraglich absichern. Kleine Handwerksbetriebe, die bei Krankenhäusern oder Energieversorgern tätig werden, können damit indirekt unter Druck geraten.

Block D — Geschäftsführerhaftung

Die Geschäftsleitung ist persönlich für die Umsetzung verantwortlich. Das NIS2UmsuCG sieht ausdrücklich vor, dass die Leitung „approbieren" muss — also aktiv zustimmen. Bei Pflichtverletzungen drohen Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes.

Was eine Cyber-Versicherung abdecken kann

Eine Cyber-Versicherung ersetzt die NIS2-Pflichten nicht — sie kann aber die finanziellen Folgen eines Sicherheitsvorfalls auffangen, der trotz aller Maßnahmen eintritt:

  • IT-Forensik und Schadensermittlung durch qualifizierte Dienstleister
  • Betriebsunterbrechungsleistungen bei IT-Ausfall
  • Kosten der Benachrichtigungspflichten (an Aufsichtsbehörde und Betroffene)
  • Krisenmanager, Rechtsberatung, PR-Maßnahmen
  • Drittschadenshaftpflicht gegenüber Geschäftspartnern und Kunden
  • Optional: DSGVO-Bußgelder (sofern gesetzlich versicherbar)

Was die Versicherung nicht leistet: die NIS2-Bußgelder selbst sowie die gesetzlich vorgeschriebenen Maßnahmen zur Schadensminderung.

Cyber-Versicherung anfragen – ich prüfe mit Ihnen gemeinsam, welche Bausteine bei Ihrem Sektor und Ihrer Größe sinnvoll sind.

Drei typische Fehler in der NIS2-Umsetzung

Fehler 1: „Wir sind zu klein, uns betrifft das nicht."

Supply-Chain-Klausel übersehen. Wer als Zulieferer eines Krankenhauses, eines Energieversorgers oder eines größeren IT-Dienstleisters tätig wird, kann faktisch betroffen sein — unabhängig von der eigenen Größe.

Fehler 2: Dokumentation auf die lange Bank schieben.

NIS2 verlangt Nachweisbarkeit. Risikomanagement, Maßnahmenkatalog, Meldeverfahren — alles muss dokumentiert sein. Ohne Dokumentation sind im Vorfall Bußgelder wahrscheinlicher.

Fehler 3: Geschäftsführung aus der Verantwortung nehmen.

Die persönliche Haftung der Leitung ist neu und scharf. Wer die Maßnahmen nicht selbst freigibt und dokumentiert, geht ein persönliches Risiko ein.

Häufige Fragen

Ab wann gilt NIS2 in Deutschland?

Die EU-Richtlinie trat am 16. Januar 2023 in Kraft. Die deutsche Umsetzung über das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) befindet sich im Gesetzgebungsprozess. Die Pflichten gelten ab dem Inkrafttreten des Gesetzes, spätere Nachweise sind bereits jetzt sinnvoll.

Welche Bußgelder drohen bei Verstößen?

Für wesentliche Einrichtungen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 %. Die Geschäftsleitung haftet persönlich.

Muss ich einen Chief Information Security Officer (CISO) benennen?

NIS2 verlangt eine verantwortliche Person für das Risikomanagement, nennt aber keinen CISO-Titel zwingend. Viele KMU lösen das über eine benannte IT-Leitung mit klar dokumentiertem Verantwortungsbereich.

Zahlt die Cyber-Versicherung NIS2-Bußgelder?

In der Regel nicht. Bußgelder staatlicher Aufsichtsbehörden sind nach deutschem Recht schwer versicherbar. Anders als DSGVO-Bußgelder (die in manchen Tarifen optional gedeckt sind) sind NIS2-Bußgelder ausdrücklich ausgeschlossen.

Was ist mit Zulieferern — wie weise ich Sicherheit nach?

Betroffene Unternehmen fragen Lieferketten-Cybersicherheit in der Regel durch Fragebögen, Zertifikate (ISO 27001, BSI-Grundschutz) oder vertragliche Zusicherungen ab. Als Zulieferer sollten Sie frühzeitig eine eigene Dokumentation aufbauen.

Nächster Schritt

Prüfen Sie mit einem spezialisierten Berater, ob Sie NIS2-betroffen sind und welche Umsetzungsschritte Priorität haben. Eine Cyber-Versicherung ist Teil der Strategie — aber nicht der erste Schritt.

Cyber-Versicherung anfragen

Oder: Beratung vereinbaren

MF
Markus Focht
BarmeniaGothaer Versicherungsvermittler, Karlsruhe

Als gebundener Versicherungsvertreter der Barmenia Krankenversicherung AG in Karlsruhe berate ich Privat- und Gewerbekunden zu allen Versicherungsfragen. Persönlich, kompetent und kostenlos.

Zurück zum Blog

Persönlich beraten lassen

Haben Sie Fragen zum Thema Gewerbe & Business? Ich berate Sie kostenlos!

0721 35480518Online anfragen

Weitere Artikel

Berufsunfähigkeit: Was zahlt die BU-Versicherung wirklich – und was nicht?
5 Min.
Versicherungskennzeichen 2027: Farbe, Gültigkeit und was E-Scooter-Fahrer jetzt wissen müssen
3 Min.
bAV Arbeitgeberzuschuss 15 Prozent: was gilt und welche Fehler KMU machen
4 Min.