NIS2 verabschiedet: Was das neue Gesetz konkret für KMU bedeutet

Mit der Verabschiedung des NIS2-Umsetzungsgesetzes im November hat der Deutsche Bundestag die europäische Richtlinie (EU) 2022/2555 verbindlich in deutsches Recht überführt. Damit wird das bisherige NIS-Regime deutlich ausgeweitet und verschärft. Erstmals geraten zahlreiche kleine und mittlere Unternehmen (KMU) in den unmittelbaren Anwendungsbereich gesetzlicher Cybersicherheitsanforderungen.

NIS2 verfolgt dabei einen klaren Paradigmenwechsel: Informationssicherheit ist nicht länger ein reines IT-Thema, sondern eine organisatorische und unternehmerische Pflichtaufgabe. Geschäftsleitungen werden explizit in die Verantwortung genommen, Risiken zu steuern, Maßnahmen zu beschließen und deren Wirksamkeit zu überwachen.

1. Verabschiedung durch den Bundestag – Bedeutung für KMU

Mit dem Beschluss des Bundestages wird NIS2 für Unternehmen verbindlich, die:

• mindestens 50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz aufweisen und
• in einem der in der Richtlinie definierten Sektoren tätig sind (u. a. IT-Dienstleistungen, digitale Dienste, produzierendes Gewerbe mit kritischer Lieferkettenfunktion, Transport, Energie-nahe Dienstleistungen, Gesundheitswirtschaft).

Für KMU besonders relevant ist, dass die Betroffenheit nicht nur aus der eigenen Kritikalität, sondern zunehmend aus der Rolle als Dienstleister oder Zulieferer resultiert. Viele KMU werden künftig indirekt durch Kundenanforderungen, Vertragsklauseln und Audits zur Umsetzung der NIS2-Vorgaben verpflichtet.

2. Was ist konkret neu gegenüber dem bisherigen Gesetzentwurf?

Im parlamentarischen Verfahren wurden mehrere inhaltlich relevante Präzisierungen vorgenommen, die insbesondere für KMU erhebliche Auswirkungen haben.

Klarere Einordnung „wichtige“ vs. „wesentliche“ Einrichtungen

Der Gesetzgeber hat die Abgrenzung geschärft, wann Unternehmen als „wichtige Einrichtungen“ gelten. Viele KMU fallen in diese Kategorie. Entscheidend ist: Auch für „wichtige Einrichtungen“ gelten umfangreiche Sicherheits- und Meldepflichten, die sich inhaltlich nur geringfügig von denen „wesentlicher Einrichtungen“ unterscheiden.

Explizite Verantwortung der Geschäftsleitung

Neu und besonders relevant für KMU ist die klare Festschreibung der Managementverantwortung. Die Geschäftsleitung muss Sicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und sich regelmäßig berichten lassen. Cybersicherheit wird damit zur organisatorischen Führungsaufgabe und kann nicht mehr informell an die IT delegiert werden.

Höhere Anforderungen an Nachweisfähigkeit

Der Bundestag hat klargestellt, dass Maßnahmen nicht nur umgesetzt, sondern nachvollziehbar dokumentiert sein müssen. Im Falle von Sicherheitsvorfällen oder Prüfungen durch das BSI zählt nicht die faktische Existenz einzelner Maßnahmen, sondern deren strukturierte Verankerung, Zuständigkeit und Dokumentation.

Konkretisierung der Lieferkettenanforderungen

Neu ist die klare Erwartung, dass auch KMU Risiken aus IT-Dienstleistern, Cloud-Services und externen Betreibern systematisch bewerten und steuern müssen. Eine rein vertragliche Weitergabe der Verantwortung ist nicht ausreichend.

3. NIS2-Schwerpunkte

Die fachlichen Kernanforderungen von NIS2 ergeben sich insbesondere aus Artikel 20 (Governance) und Artikel 21 (Cybersicherheitsmaßnahmen) der Richtlinie.

Risikomanagement für Informationssicherheit (Art. 21 Abs. 1)

Unternehmen müssen ein systematisches Risikomanagement für ihre Netz- und Informationssysteme etablieren. Gefordert ist die Identifikation relevanter IT-Assets, die Bewertung von Risiken für Verfügbarkeit, Integrität und Vertraulichkeit sowie die Ableitung angemessener Maßnahmen.

Business Impact Analyse und Resilienz (Art. 21 Abs. 1 lit. b und c)

NIS2 verlangt, die Auswirkungen von Sicherheitsvorfällen auf den Geschäftsbetrieb zu bewerten, kritische Prozesse zu identifizieren und Wiederanlaufziele festzulegen.

Technische und organisatorische Schutzmaßnahmen (Art. 21 Abs. 2)

Gefordert sind u. a. Zugriffskontrollen, Malware-Schutz, Patch-Management, Backup- und Wiederherstellungsverfahren sowie Netzwerksicherheit – stets risikobasiert und verhältnismäßig.

Lieferketten- und Dienstleistermanagement (Art. 21 Abs. 2 lit. e)

Cyberrisiken aus IT-Dienstleistern und Cloud-Services sind systematisch zu bewerten und vertraglich zu adressieren.

Governance und Managementverantwortung (Art. 20)

Die Geschäftsleitung ist für Genehmigung, Überwachung und Schulung im Bereich Cybersicherheit verantwortlich.

Incident Handling und Meldepflichten inklusive Fristen (Art. 21 Abs. 1 lit. d und Art. 23 NIS2)

Eine der zentralen Neuerungen von NIS2 sind klar definierte, gestufte Meldepflichten mit festen Fristen. Unternehmen müssen in der Lage sein, Sicherheitsvorfälle nicht nur zu erkennen und zu behandeln, sondern auch zeitlich korrekt zu melden.

Meldepflichtig sind Sicherheitsvorfälle, die:

• erhebliche Betriebsunterbrechungen verursachen oder verursachen können,
• zu finanziellen Verlusten führen,
• die Verfügbarkeit, Integrität oder Vertraulichkeit von Netz- und Informationssystemen erheblich beeinträchtigen.

NIS2 sieht folgende verbindliche Meldefristen vor:

• Frühwarnmeldung innerhalb von 24 Stunden
  Erste Einschätzung, ob ein erheblicher Sicherheitsvorfall vorliegt oder droht.
• Zwischenmeldung innerhalb von 72 Stunden
  Detailliertere Informationen zur Art des Vorfalls, zu ersten Auswirkungen und ggf. zu ergriffenen Maßnahmen.
• Abschlussmeldung spätestens einen Monat nach dem Vorfall
  Vollständige Analyse inkl. Ursachen, Auswirkungen, getroffener Gegenmaßnahmen und Lessons Learned.

4. Was sollten KMU jetzt konkret tun?

Für KMU ist ein strukturiertes und pragmatisches Vorgehen entscheidend. Am Anfang steht eine Betroffenheitsprüfung, um die eigene Rolle und den Handlungsbedarf zu bestimmen. Darauf aufbauend empfiehlt sich eine Bestandsaufnahme bestehender Sicherheitsmaßnahmen.

Im nächsten Schritt ist eine risikobasierte Analyse erforderlich, die IT-Assets, Geschäftsprozesse und potenzielle Auswirkungen miteinander verknüpft. Auf dieser Basis lassen sich Maßnahmen priorisieren und gezielt umsetzen.

Ein zentraler Erfolgsfaktor ist die klare und schlanke Dokumentation: Richtlinien und Verfahrensbeschreibungen sollten kurz, verständlich und prüfbar sein – nicht umfangreich, sondern wirksam.

5. Ist ein ISMS für NIS2 Voraussetzung?

Formal schreibt NIS2 kein Zertifikat vor. Inhaltlich ist jedoch klar, dass die Anforderungen ohne ein strukturiertes Informationssicherheitsmanagementsystem (ISMS) kaum effizient erfüllbar sind.

NIS2 referenziert ausdrücklich auf internationale Normen, insbesondere die ISO/IEC 27001. Diese eignet sich hervorragend als methodische Grundlage, um:

• NIS2-Anforderungen systematisch abzudecken,
• die Relevanz einzelner Controls zu bewerten,
• Maßnahmen unternehmensspezifisch umzusetzen.

Empfohlen wird, die ISO 27001 als Referenzrahmen zu nutzen, die relevanten Controls unter Beachtung der NIS2-Anforderungen auszuwählen und diese kurz, präzise und nachvollziehbar in Richtlinien und Verfahrensbeschreibungen zu dokumentieren.

Zur effizienten Umsetzung empfiehlt sich der Einsatz eines GRC-Tools, um Risiken, Assets, Prozesse, Business Impact Analysen, Maßnahmen und Abweichungen zentral zu steuern und nachzuverfolgen.

blu – Ihr Partner für die NIS2-Umsetzung im KMU-Umfeld

Die blu Guard GmbH unterstützt KMU gezielt bei der praxisnahen und verhältnismäßigen Umsetzung von NIS2:

• Betroffenheitsprüfung und Einordnung
• NIS2-GAP-Analyse zum Festpreis
• Dokumentation bestehender Verfahren und Kontrollen
• Beratung zur Umsetzung auf Basis ISO/IEC 27001
• CISO- und ISB-Gestellung – auch für KMU ohne eigene Ressourcen

Unser Ansatz verbindet regulatorische Sicherheit mit wirtschaftlich tragfähiger Umsetzung.

Fazit

NIS2 ist kein Selbstzweck, sondern ein verbindlicher Rahmen zur Erhöhung der digitalen Resilienz. Für KMU liegt der Schlüssel zum Erfolg in einer strukturierten, risikobasierten Umsetzung mit klarer Verantwortung und nachvollziehbarer Dokumentation. Wer jetzt handelt, reduziert regulatorische Risiken und stärkt nachhaltig die eigene Wettbewerbsfähigkeit.

Sind Sie unsicher, ob Ihr Unternehmen von NIS2 betroffen ist oder wie groß Ihr konkreter Handlungsbedarf ist?
Die blu Guard GmbH unterstützt Sie mit einer klar strukturierten Betroffenheitsprüfung und einer NIS2-GAP-Analyse zum Festpreis – pragmatisch, verständlich und speziell auf KMU zugeschnitten.