IT-Sicherheit

NIS2-Checkliste für den Mittelstand: Umsetzung, Maßnahmen und Auswirkungen

Zusammenfassung: Die NIS2-Richtlinie verpflichtet ab 2025 viele mittelständische Unternehmen in der EU, deutlich strengere Cybersicherheitsmaßnahmen umzusetzen. Sie betrifft alle Firmen mit mehr als 50 Mitarbeitenden oder über 10 Mio. € Umsatz – insbesondere aus kritischen Sektoren wie Energie, Gesundheit, Verkehr oder IT. Neben technischen Maßnahmen verlangt NIS2 klare Verantwortlichkeiten, regelmäßige Schulungen, Risikoanalysen, Meldepflichten bei Vorfällen und eine umfassende Dokumentation. Unternehmen, die NIS2 ignorieren, riskieren Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes. Für den Finanzsektor gilt ergänzend die DORA-Verordnung, die spezifische Anforderungen für Banken, Versicherungen und andere Finanzakteure regelt – mit Vorrang gegenüber NIS2.

Die zunehmenden Cyberbedrohungen stellen eine große Herausforderung für Unternehmen in Deutschland dar. Immer häufiger liest man, dass Unternehmen durch Hackerangriffe lahmgelegt oder geschädigt werden. Auf der Internetseite KonBriefing findet man tagesaktuell die Liste der Cyberangriffe und Hackerangriffe 2025. Allein im Juni 2025 wurden weltweit 80 größere Cyberattacken auf Unternehmen registriert.

Wie die Stuttgarter Nachrichten am 16.06.2025 berichteten, ist auch die Cyberbedrohung für Verbraucher weiter auf einem Rekordhoch. „Nach einer Studie der Initiative „Deutschland sicher im Netz“ (DsiN) hat allein gut ein Drittel der Verbraucher (33,5 Prozent) in den vergangenen zwölf Monaten einen Phishing-Vorfall erlebt – 27,8 Prozent haben infizierte E-Mails erhalten.“

Die hohe Zahl der Bedrohungen im digitalen Raumen machen eine zentrale Regulierung der Netz- und Informationssicherheit unumgänglich. Die EU-Richtlinie NIS2 bietet hierfür einen neuen Standard. Der einheitliche Rechtsrahmen zum Schutz von Netzwerk- und Informationssystemen (NIS) zielt darauf ab, die Cybersicherheitsmaßnahmen in der gesamten EU zu vereinheitlichen und zu stärken. Was bedeutet NIS2 konkret für den deutschen Mittelstand? Welche Anforderungen müssen von Unternehmensseite erfüllt werden und wie können Unternehmen diese umsetzen?

Dieser Artikel liefert eine praxisnahe Schritt-für-Schritt-Checkliste, Hintergrundinformationen zu Richtlinie NIS2 und Tipps und Hilfestellungen. Die Informationen und Anregungen helfen Mittelständlern, die Inhalte der NIS2-Richtlinie proaktiv und effizient umzusetzen und ihre betriebsinterne Cyberabwehr zu stärken.

Was ist die NIS2-Richtlinie und für wen ist sie relevant?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ersetzt die bisher gültige NIS1-Richtlinie, die am 06.Juli 2016 vom Europäischen Parlament und Rat beschlossen wurde. NIS2 erweitert den regulatorischen Rahmen für Cybersicherheit in der Europäischen Union. Da seit 2016 die Gefahren durch Cyberangriffe deutlich zugenommen haben, wurde eine Novellierung der Richtlinie für Netzwerke und Informationssysteme notwendig. NIS2 erweitert den Geltungsbereich auf deutlich mehr Sektoren und Unternehmen, darunter auch digitale Infrastrukturen, öffentliche Verwaltung, Raumfahrt und Lebensmittelproduktion.

Zudem verlangt die Richtlinie NIS2 strengere und detailliertere Sicherheitsanforderungen, verschärfte Meldepflichten bei Sicherheitsvorfällen sowie eine direkte Verantwortung und Haftung des Managements. Dies war unter NIS1 nicht vorgesehen.

Betroffen sind alle Unternehmen in Europa mit mindestens 50 Beschäftigten oder einem Jahresumsatz von über 10 Millionen Euro. Das Ziel von NIS 2 liegt darin, europaweit einheitliche Cybersicherheitsstandards zu schaffen. Sowohl Organisationen als auch deren Netzwerke sollen durch NIS2 resilient gegenüber Cyberangriffen gemacht werden.

Die Umsetzung der NIS2-Richtlinie in nationales Recht war in Deutschland bis März 2025 geplant. Durch den Regierungswechsel in Deutschland wurde NIS2 bis Ende Juni 2025 nicht in nationales Recht umgesetzt. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) bleibt die Umsetzung der NIS2-Richtlinie weiterhin vordringlich. Damit kommen auf Mittelständler in Deutschland ebenfalls erweiterte Anforderungen zu, die nicht nur technischen, sondern auch organisatorischen Charakter haben.

Welche Unternehmen sind von der Richtlinie NIS2 betroffen?

Die folgenden Sektoren und Einrichtungen sind in Deutschland von der NIS2-Richtlinie betroffen. Die Einteilung erfolgt in den Kategorien „Wesentlich“ (essential) und „Wichtig“ (important). Betroffen sind grundsätzlich Unternehmen ab 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz.

In Sonderfällen können auch kleinere Unternehmen betroffen sein. Dies kann beispielsweise der Fall sein, wenn ein einziger Anbieter einer kritischen Dienstleistung in Deutschland existiert. Ein typisches Beispiel wäre ein Pharmahersteller, der ein lebenswichtiges Medikament in Deutschland für den weltweiten Bedarf produziert.

Branche	Kategorie	Beispiele/Unternehmenstypen
Einrichtungen Energie	Wesentlich	Stromnetzbetreiber, Erdgas-/Ölversorger, Wasserstoffnetzwerke, Raffinerien
Sektor Transport und Verkehr	Wesentlich	Flughäfen, Seehäfen, Bahnunternehmen, ÖPNV, Schieneninfrastruktur
Sektor Bankwesen	Wesentlich	Banken, Kreditinstitute
Einrichtungen Finanzmarkt	Wesentlich	Zahlungsdienstleister, Handelsplätze, zentrale Gegenparteien
Sektor Gesundheitswesen	Wesentlich	Krankenhäuser, Hersteller kritischer Medizinprodukte, Pharmaunternehmen
Trinkwasserversorgung/Abwasserwirtschaft	Wesentlich	Wasserversorger, Kläranlagenbetreiber
Einrichtungen Digitale Infrastruktur/IKT	Wesentlich	Cloud-Anbieter, Rechenzentren, Internetknoten, DNS-Dienstleister
Öffentliche Verwaltung	Wesentlich	Ministerien, Regierungsbehörden, kritische Verwaltungsinstitutionen
Sektor Raumfahrt	Wesentlich	Betreiber von Satelliteninfrastruktur, Hersteller Raumfahrttechnik
Lebensmittelproduktion	Wesentlich	Großproduzenten, Verarbeiter, Händler
Einrichtungen Abfallwirtschaft	Wesentlich	Betreiber von Entsorgungsanlagen, Recyclingunternehmen
Post- und Kurierdienste	Wichtig	Postdienstleister, Paketdienste, Kurierdienste
Chemische Industrie	Wichtig	Chemiehersteller, Chemikalienvertrieb, Pharmahersteller
Einrichtungen Digitale Dienste	Wichtig	Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke
Industrie	Wichtig	Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräte
Einrichtungen Forschung & Entwicklung	Wichtig	Forschungseinrichtungen, Labore
Lebensmittelhandel	Wichtig	Groß- und Einzelhändler, Logistikunternehmen
Einrichtungen Abfallmanagement	Wichtig	Müllentsorger, Wertstoffhöfe

Wichtig: Die Liste der Einrichtungen und Sektoren basiert auf den Vorgaben der EU. Sie kann im Detail durch nationale Gesetze spezifiziert werden. Unternehmen, die in mehreren Sektoren oder Einrichtungen tätig sind, müssen für jede relevante Tätigkeit prüfen, ob sie unter die Umsetzung von NIS fallen.

7 Schritte zur Umsetzung: So muss NIS2 in Ihrem Unternehmen implementiert werden

Die Anforderungen der EU-NIS2-Richtlinie sind vielfältig. Um NIS2 professionell und zielgenau im Unternehmen umzusetzen, sind Unternehmen angehalten, durchdachte Maßnahmen zur Sicherheit in unterschiedlichen Bereichen zu implementieren. Eine klare und gut strukturierte Herangehensweise ist notwendig. Die folgenden 7 Schritte sind für Mittelständler, die unter NIS2 fallen, zur Umsetzung essenziell:

1. Risikoanalyse und Dokumentation

Führen Sie eine umfassende Risikoanalyse im Unternehmen durch. Diese umfasst eine Überprüfung aller kritischen IT-Systeme und Prozesse. Ziel der Risikoanalyse ist es, mögliche Schwachstellen zu identifizieren und Ihr Risiko zu bewerten.

Analysieren Sie potenzielle Bedrohungen und deren Auswirkungen auf die Sicherheit und Betriebsfähigkeit Ihrer IT-Infrastruktur. Die anschließende Dokumentation sollte klare Prioritäten für die Behebung von Sicherheitsrisiken beinhalten und Maßnahmenpläne zur Umsetzung enthalten, um Schwachstellen effektiv zu beseitigen. Nutzen Sie die vom BSI herausgegebenen Standards und Empfehlungen als Orientierung. Eine dokumentierte Risikoanalyse bietet die Grundlage für alle weiteren Sicherheitsmaßnahmen. Im Schadenfall zeigt sie Behörden zudem die Ernsthaftigkeit Ihrer Compliance-Bemühungen.

Praxisbeispiel: Ein mittelständisches Logistikunternehmen identifiziert durch die Risikoanalyse, dass ihre mehrere Jahre alten Netzwerksysteme anfällig für Cyberangriffe sind. Nach der Bewertung des Risikos wird der Austausch der Systeme, der erst in 4 Jahren geplant war, priorisiert. Die Priorisierung erhöht die Sicherheitsstandards im Unternehmen.

2. Implementierung von technischen und organisatorischen Infrastruktur-Maßnahmen

Setzen Sie moderne Cybersicherheitslösungen ein, wie etwa Firewalls, Intrusion-Detection-Systeme und moderne Datenverschlüsselung. Ergänzen Sie diese technischen Maßnahmen durch interne organisatorische Richtlinien, die klare Vorgaben für Mitarbeiter zum sicheren Umgang mit Daten und IT-Systemen machen.

Was sind Intrusion-Detection-Systeme?

Bei Intrusion-Detection-Systeme (IDS) handelt es sich um komplexe Sicherheitssysteme, die den Datenverkehr oder die Aktivitäten auf Computersystemen und Netzwerken überwachen. IDS können Cyberangriffe, unbefugte Zugriffe oder verdächtige Aktivitäten frühzeitig erkennen und Administratoren informieren.

Ein Großteil der Sicherheitsvorfälle entsteht durch menschliches Versagen oder veraltete Technik. Der IT-Experte und CEO der HanseSecure Florian Hansemann sagte im IT-Finanzmagazin: „Über die Jahre sind mir zahlreiche sicherheitsrelevante Fehlentscheidungen von Mitarbeitenden begegnet – manche erschütternd naiv, andere fahrlässig oder gar kriminell.“ Typische menschliche Fehler sind beispielsweise handschriftlich notierte Passwörter, Mitnahme von kritischen Dokumenten auf USB-Sticks oder der Download von Software, die potenziell gefährlich ist.

3. Vorbereitung auf Sicherheitsvorfälle

Erstellen Sie einen detaillierten Notfallplan, der alle Rollen und Verantwortlichkeiten bei Sicherheitsvorfällen regelt. Dieser sollte regelmäßig getestet werden. Dies kann beispielsweise durch die Simulation von Cyberangriffen geschehen. Im Notfall sind Sie im Stande, alle Notfallprotokolle abzuspielen. Dazu gehört nach NIS2 unter anderem auch, Sicherheitsvorfälle innerhalb von 24 Stunden an alle relevanten Behörden (z. B. das BSI) zu melden.

4. Lieferketten stärken

Überprüfen Sie proaktiv die Cybersicherheitsmaßnahmen Ihrer Lieferanten und Dienstleister. Sorgen Sie dafür, dass vertragliche Anforderungen zu Sicherheitsstandards formuliert und regelmäßige Sicherheitsaudits durchgeführt werden. Unsichere Lieferketten sind ein wesentliches Einfallstor für Cyberangriffe.

Praxisbeispiel: Ein Hersteller von Rüstungsgütern legt großen Wert auf die Sicherheit seiner Kommunikation. Aus diesem Grund verpflichtet er seine Lieferanten, ausschließlich verschlüsselte Kommunikationswege zu verwenden. Das gilt unter anderem für sensible Daten wie Produktionspläne, technische Zeichnungen oder Bestellinformationen. Die verschlüsselte Kommunikation gewährleistet zum einen, dass vertrauliche Informationen geschützt bleiben. Darüber hinaus stärkt es auch die Zusammenarbeit und das Vertrauen innerhalb der Lieferkette.

5. Benennen Sie einen verantwortlichen Cyber-Sicherheitsbeauftragten

Bestimmen Sie eine verantwortliche Person oder ein Team, das die Einhaltung der NIS2-Richtlinie überwacht. Diese Stelle sollte direkt an die Geschäftsleitung berichten und über ausreichende materielle und fachliche Ressourcen verfügen. Ein Cyber-Sicherheitsbeauftragter gewährleistet die kontinuierliche Anpassung der Maßnahmen an neue Bedrohungslagen. Hierfür:

analysiert er regelmäßig alle Risiken im Unternehmen,
aktualisiert und Umsetzung von Sicherheitsstrategien und
sorgt für die Einhaltung und Umsetzung moderner Sicherheitsstandards.

Der Cyber-Sicherheitsbeauftragte arbeitet eng mit IT-Teams und cross-funktional mit anderen Abteilungen zusammen, um Schwachstellen zu identifizieren und geeignete Gegenmaßnahmen zu implementieren.

6. Regelmäßige Schulungen und Mitarbeiteraufklärung

Schulen Sie Ihre Mitarbeiter regelmäßig zu den neuesten Cyberbedrohungen und Best Practices, wie der Erkennung von Phishing-Mails. Nutzen Sie Simulationen, um die Umsetzung im Alltag zu überprüfen. Nicht ausreichend geschulte Mitarbeiter sind ein großes Risiko. Sehr gut aufgeklärte Beschäftigte hingegen stellen eine der wichtigsten Abwehrlinien gegen Cyberangriffe dar.

7. Dokumentation und Audits

Führen Sie regelmäßig unabhängige externe Audits durch, um die Wirksamkeit der getroffenen Maßnahmen zu überprüfen. Halten Sie alle Cybersicherheitsmaßnahmen und -vorfälle schriftlich fest. So sind Sie nicht nur bestmöglich gegen Angriffe geschützt. Nachweise sind entscheidend, um im Ernstfall Behörden von der Einhaltung der NIS2-Anforderungen zu überzeugen.

Welche Meldepflichten gibt es?

Unternehmen müssen erhebliche Sicherheitsvorfälle wie Datenschutzverletzungen, Ransomware-Attacken, DDoS-Angriffe oder Phishing unverzüglich melden. Die Meldepflicht gilt, wenn ein Cyberangriff zu schwerwiegenden Betriebsstörungen, finanziellen Verlusten oder erheblichen materiellen/immateriellen Schäden führen können.

Eine Erstmeldung muss innerhalb von 24 Stunden erfolgen
Ein Folgebericht mit vollständiger Bewertung ist nach 72 Stunden vorgeschrieben.
Ein Abschlussbericht muss den Behörden spätestens 1 Monat nach der Erstmeldung vorliegen. Er sollte detaillierte Informationen zum Vorfall, den getroffenen Maßnahmen und den Auswirkungen enthalten.
Betroffene Unternehmen („wesentliche“ und „wichtige Einrichtungen“) müssen sich beim BSI registrieren lassen. Diese Pflicht gilt ab dem 18. Oktober 2024.

Was droht bei Verstößen?

Die Sanktionen bei Nichteinhaltung der NIS2 sind erheblich. Für Unternehmen können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden. Zudem können Mitglieder der Geschäftsleitung persönlich haftbar gemacht werden.

Was ist der Unterschied zur DORA-Richtlinie?

Bei DORA (Digital Operational Resilience Act) handelt es sich um eine EU-Verordnung, die ab dem 17. Januar 2025 für nahezu alle Finanzunternehmen in der EU verbindlich ist. Sie schützt und stärkt die digitale Betriebsstabilität sowie Cyber-Resilienz im Finanzsektor durch klare Vorgaben wie IKT-Risikomanagement, Meldepflichten und Penetrationstests.

Im Gegensatz dazu ist NIS2 eine EU-Richtlinie, die branchenübergreifend für viele kritische und wichtige Unternehmen in unterschiedlichen Branchen gilt. Für Finanzunternehmen hat DORA Vorrang vor NIS2, da sie als sektorspezifischer Rechtsakt die Anforderungen an Cybersicherheitsrisikomanagement und Meldepflichten ersetzt.