\n
![](\"https:\/\/factorialhr.com\/wp-content\/uploads\/2026\/04\/21114522\/DE-sidebar-1-nis-iso.png\")
\n <\/div>\n <\/div>\n<\/div>\n
Also, wenn ich ein kleines Unternehmen bin, betrifft mich die NIS2 nicht?<\/h2>\n
Es ist sehr verlockend zu denken, dass Ihr KMU automatisch von der Einhaltung der Richtlinie befreit ist, wenn es die 50 Besch\u00e4ftigten oder die 10 Millionen Euro Umsatz nicht erreicht. Die Realit\u00e4t ist jedoch, dass sie Sie betreffen kann, und zwar auf zwei sehr unterschiedliche Arten:<\/p>\n
1. Direkte Betroffenheit<\/b><\/h3>\n
Wie wir in den vorangegangenen Abschnitten gesehen haben, legt das Gesetz selbst fest, dass die Gr\u00f6\u00dfe keine Rolle spielt<\/b>, wenn Ihr Unternehmen Dienstleistungen anbietet, die f\u00fcr die Gesellschaft oder die Wirtschaft hochkritisch sind. Sie m\u00fcssen die NIS2 obligatorisch einhalten, auch wenn Sie ein Kleinstunternehmen sind, sofern Ihr Gesch\u00e4ft eine der folgenden T\u00e4tigkeiten umfasst:<\/p>\n\n- Ein Anbieter von \u00f6ffentlichen Kommunikationsnetzen oder elektronischen Kommunikationsdiensten.<\/li>\n
- Ein Vertrauensdiensteanbieter (zum Beispiel Ausstellung von elektronischen Signaturen oder Zertifikaten).<\/li>\n
- Ein Register f\u00fcr Top-Level-Domains (TLD) oder ein DNS-Dienstleister.<\/li>\n
- Der einzige Anbieter eines Dienstes, der f\u00fcr die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivit\u00e4ten in Deutschland unerl\u00e4sslich ist. Dieser Punkt ist besonders auf dem deutschen Markt auf regionaler Ebene relevant. Wenn Ihr Unternehmen beispielsweise das einzige ist, das einen Fernw\u00e4rmedienst oder eine kritische Logistikinfrastruktur in einem bestimmten Land verwaltet, fallen Sie unabh\u00e4ngig von Ihrer Mitarbeiterzahl unter den Schirm der NIS2.<\/li>\n<\/ul>\n
2. Indirekte Betroffenheit<\/b><\/h3>\n
Dies ist die Situation, die die immense Mehrheit der europ\u00e4ischen und deutschen KMU beeinflussen wird. Auch wenn das Gesetz Sie aufgrund Ihrer Gr\u00f6\u00dfe oder Ihres Sektors nicht direkt verpflichtet, verlangt die NIS2 von besonders wichtigen und wichtigen Einrichtungen, dass sie die Cybersicherheit ihrer gesamten Lieferkette gew\u00e4hrleisten.<\/b><\/p>\n
Was bedeutet das in der Praxis? Dass Ihr Kunde, wenn Ihr kleines Unternehmen Dienstleister f\u00fcr eine Organisation ist, die die NIS2 einhalten muss (zum Beispiel, wenn Sie IT-Support, Software, Logistik oder Wartung f\u00fcr eine Bank, ein Krankenhaus oder ein Energieunternehmen anbieten), vertraglich von Ihnen verlangen wird, dass Sie strenge Cybersicherheitsma\u00dfnahmen anwenden.<\/p>\n
Wenn Sie dies nicht tun, wird dieses gro\u00dfe Unternehmen gezwungen sein<\/b>, auf Ihre Dienste zu verzichten und einen anderen Anbieter zu suchen, um sich keinen Schwachstellen oder den Millionenstrafen der Richtlinie auszusetzen. Somit wird die Einhaltung von Cybersicherheitsstandards auch f\u00fcr KMU zu einer entscheidenden Gesch\u00e4ftsvoraussetzung, um als Zulieferer f\u00fcr gr\u00f6\u00dfere Unternehmen wettbewerbsf\u00e4hig zu bleiben.<\/p>\nWorin unterscheiden sich besonders wichtige von wichtigen Einrichtungen?<\/h2>\n
Da die Verordnung die betroffenen Unternehmen in diese zwei Kategorien unterteilt, ist es normal, sich zu fragen, worin sie sich in der Realit\u00e4t unterscheiden. Auf technischer Ebene verlangt die Richtlinie von beiden die Anwendung \u00e4hnlicher Cybersicherheitsma\u00dfnahmen, aber der gro\u00dfe Unterschied liegt darin, wie die Regierung (in diesem Fall das BSI) sie \u00fcberwacht und in der H\u00f6he der Bu\u00dfgelder.<\/p>\n
\n- Besonders wichtige Einrichtungen:<\/b> Sie unterliegen einer proaktiven Aufsicht durch das BSI. Das bedeutet, die Beh\u00f6rde kann regelm\u00e4\u00dfige Audits, Vor-Ort-Inspektionen und Pr\u00fcfungen durchf\u00fchren. Die maximalen Bu\u00dfgelder betragen hier bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.<\/li>\n
- Wichtige Einrichtungen:<\/b> Hier erfolgt die Aufsicht reaktiv, also erst nach einem gemeldeten Sicherheitsvorfall. Das BSI wird also nur dann t\u00e4tig, wenn es konkrete Anhaltspunkte f\u00fcr einen Versto\u00df gibt. Die Bu\u00dfgelder sind auf bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes begrenzt.<\/li>\n<\/ul>\n
Welche konkreten Pflichten haben Unternehmen und Gesch\u00e4ftsf\u00fchrung?<\/h2>\n
Die NIS2-Richtlinie fordert von betroffenen Unternehmen einen proaktiven Risikomanagement-Ansatz. Gem\u00e4\u00df Artikel 21 der Richtlinie m\u00fcssen mindestens die folgenden zehn Ma\u00dfnahmen umgesetzt werden:<\/p>\n
\n- Konzepte f\u00fcr die Risikoanalyse und die Sicherheit von Informationssystemen<\/li>\n
- Bew\u00e4ltigung von Sicherheitsvorf\u00e4llen (Pr\u00e4vention, Erkennung, Reaktion)<\/li>\n
- Business-Continuity-Management und Krisenmanagement (z. B. Backup-Management, Wiederherstellung nach einem Notfall)<\/li>\n
- Sicherheit der Lieferkette, einschlie\u00dflich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern<\/li>\n
- Sicherheitsma\u00dfnahmen beim Erwerb, der Entwicklung und Wartung von Netz- und Informationssystemen, einschlie\u00dflich des Umgangs mit Schwachstellen<\/li>\n
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementma\u00dfnahmen<\/li>\n
- Grundlegende Verfahren zur Cyberhygiene und Schulungen zur Cybersicherheit<\/li>\n
- Konzepte und Verfahren f\u00fcr den Einsatz von Kryptografie und Verschl\u00fcsselung<\/li>\n
- Sicherheit des Personals, Konzepte f\u00fcr die Zugriffskontrolle und das Management von Anlagen<\/li>\n
- Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungsl\u00f6sungen<\/li>\n<\/ul>\n
Eine zentrale Neuerung ist die pers\u00f6nliche Haftung der Gesch\u00e4ftsf\u00fchrung. Sie muss diese Ma\u00dfnahmen nicht nur genehmigen, sondern deren Umsetzung auch aktiv \u00fcberwachen. Laut dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) sind Leitungsorgane zudem verpflichtet, selbst an Cybersicherheitsschulungen teilzunehmen, um die Risiken bewerten zu k\u00f6nnen.<\/p>\n
Wie wird die NIS2-Richtlinie in der Praxis angewendet?<\/h2>\n
Um besser zu verstehen, wie sich alle von uns gesehenen Kriterien (Sektor, Gr\u00f6\u00dfe und Kritikalit\u00e4t) \u00fcberschneiden, werden wir zwei allt\u00e4gliche Szenarien analysieren. Eines, in dem das Unternehmen zur Einhaltung der Richtlinie verpflichtet ist, und ein anderes, in dem es prinzipiell au\u00dferhalb ihrer direkten Reichweite bliebe.<\/p>\n
Fall 1: Das Unternehmen, das betroffen IST<\/b><\/h3>\n
Stellen Sie sich ein Unternehmen namens S\u00fcddeutsche Lebensmittelvertriebs GmbH vor.<\/p>\n
\n- Sektor: <\/b>Es widmet sich dem Gro\u00dfhandel mit Lebensmitteln (Sektor in Anhang II enthalten: Sonstige kritische Sektoren).<\/li>\n
- Gr\u00f6\u00dfe: <\/b>Das Unternehmen hat 120 Besch\u00e4ftigte und einen Jahresumsatz von 15 Millionen Euro.<\/li>\n<\/ul>\n
Ist es von der NIS2 betroffen?<\/b> Ja. Da es mehr als 50 Besch\u00e4ftigte hat und den Umsatz von 10 Millionen Euro \u00fcberschreitet, erf\u00fcllt es die \u201eGr\u00f6\u00dfenregel\u201c (es ist ein mittleres Unternehmen). Da es einem Sektor aus Anhang II angeh\u00f6rt, stuft die Richtlinie es automatisch als \u201ewichtige Einrichtung\u201c ein. Es muss die geforderten Cybersicherheitsma\u00dfnahmen anwenden und jeden schwerwiegenden Vorfall melden, obwohl Inspektionen durch das BSI nur reaktiv durchgef\u00fchrt werden, wenn es ein Problem gibt.<\/p>\nFall 2: Das Unternehmen, das NICHT direkt betroffen ist<\/b><\/h3>\n
<\/p>\n