NIS2 für Industrie & KMU: Pflichten, Haftung und Umsetzung

NIS2 ist jetzt relevant, weil die Richtlinie Cybersicherheit erstmals verbindlich und überprüfbar macht – mit Haftung, Meldepflichten und klaren technischen Vorgaben. Für KMU bedeutet das sofortigen Handlungsdruck, da viele Anforderungen ohne Übergangsfrist gelten.

Warum NIS2 für Industrie & KMU notwendig ist

Ein einzelner OT-Vorfall zeigt, wie verwundbar Unternehmen heute sind: Ein kompromittierter OT-Controller kann eine gesamte Fertigung in Minuten stoppen. Häufige Ursachen sind:

• ein kompromittierter VPN-Zugang
• eine ungepatchte OT-Komponente (z. B. veraltete SPS-Firmware)
• seitliche Bewegung in unsegmentierten Netzen

Die Folge: Stillstandskosten von 50.000–500.000 € pro Tag, je nach Branche und Auslastung. Versicherer regulieren oft nicht, wenn Basismaßnahmen wie MFA, Patch-Management und Monitoring fehlen.

Was ist NIS2 und warum betrifft es so viele KMU?

NIS2 schafft einen europaweiten Sicherheitsrahmen für kritische und KRITIS-nahe Unternehmen – ohne Übergangsfristen. Die Anforderungen umfassen:

• technische und organisatorische Sicherheitsmaßnahmen
• Meldepflichten (24 h / 72 h / 30 Tage)
• Haftung der Geschäftsführung
• technische Mindestanforderungen („Stand der Technik“)

NIS2 folgt – wie auch die B3S-Standards des BSI – dem Prinzip des „Stand der Technik“. (Dies ist ein Rechtsbegriff, der bei Audits, Bußgeldverfahren und Versicherungsfällen entscheidend ist.)

Was bedeutet „Stand der Technik“ für NIS2 in der Praxis?

„Stand der Technik“ bezeichnet Sicherheitsmaßnahmen, die branchenweit als wirksam anerkannt und für Unternehmen verpflichtend sind. Für NIS2 heißt das: Firmen müssen Mindeststandards wie Segmentierung, MFA, Monitoring und Patch-Management nachweislich betreiben. Veraltete oder punktuelle Maßnahmen gelten bei Audits als Verstoß.

Typische Stand-der-Technik-Anforderungen

• 2-Faktor-Authentifizierung für externe & privilegierte Zugänge
• Netzwerksegmentierung zwischen IT & OT
• SIEM/XDR-basiertes kontinuierliches Monitoring
• Schwachstellen- und Patch-Management
• Verschlüsselung sensibler Daten
• regelmäßige Restore-Tests der Backups

Rechtsrelevanz: Wenn ein vermeidbarer Vorfall auftritt, kann die Geschäftsführung persönlich haften (siehe „Sanktionen & Haftung“). Damit macht NIS2 Cybersicherheit prüfbar, verpflichtend und bußgeldrelevant – auch für viele Unternehmen, die bislang nicht zum KRITIS-Umfeld gehörten.

Die vier Säulen der NIS2-Compliance: Ein klarer Orientierungsrahmen für Entscheider

NIS2 definiert vier Kernbereiche, an denen sich jedes KMU orientieren muss, um auditfähig zu werden: Governance, Technik, Kultur und Haftung. Diese Struktur beantwortet die Frage, was umgesetzt werden muss – und wie Behörden die Compliance später prüfen.

Warum Europa die Cybersicherheitsstandards verschärft: Gründe für den NIS2-Druck auf Industrie und Mittelstand

Industrieunternehmen sind zunehmend digitalisiert, vernetzt und abhängig von IT/OT-Systemen. Angreifer nutzen typische Schwachstellen:

• Fehlkonfigurationen
• Alte Betriebssysteme im OT
• ungepatchte Systeme
• exponierte Remote-Zugänge
• Schatten-IT

Über 70 % der erfolgreichen Angriffe haben genau diese Ursachen.

NIS2 vs. KRITIS Dachgesetz

Während das KRITIS-Dachgesetz die Grundversorgung schützt, fokussiert NIS2 auf die digitale Sicherheit definierter Sektoren – unabhängig von der KRITIS-Einstufung. Ein Zulieferverhältnis zu KRITIS-Unternehmen führt nicht automatisch zu NIS2-Pflichten. OEMs können aber vertraglich strengere Sicherheitsanforderungen vorschreiben – das ist Lieferketten-Steuerung, nicht Regulierung.

Wer ist von NIS2 betroffen?

Ein Unternehmen ist von NIS2 betroffen, wenn es zu einem der definierten Sektoren gehört oder die Größenkriterien erfüllt (≥ 50 Mitarbeitende oder ≥ 10 Mio. € Umsatz). Dadurch fallen besonders viele Industrie- und KRITIS-nahe KMU automatisch unter die Richtlinie.

Unmittelbar betroffen: Unternehmen mit gesetzlicher Pflicht

NIS2 definiert zwei Wege in die Regulierung: die Zugehörigkeit zu einem kritischen Sektor oder die Erfüllung der Size-Cap-Grenzen. Unternehmen gelten damit als wesentlich oder wichtig, sobald sie 50 Mitarbeitende oder 10 Mio. € Umsatz überschreiten – unabhängig davon, ob sie KRITIS sind. Dadurch fallen viele Industrie-KMU erstmals verbindlich unter die Richtlinie.

Size-Cap-Rule: Ab welcher Größe NIS2 greift

Auch ohne kritischen Sektor wird ein Unternehmen NIS2-pflichtig, wenn es:

• mindestens 50 Mitarbeitende beschäftigt oder
• 10 Mio. € Jahresumsatz überschreitet
• Gilt auf Unternehmensebene, nicht pro Standort
• Gilt auch für GmbH-Strukturen in einer Holding
• Gilt für EU-weit aggregierte Werte, wenn Unternehmen international aufgestellt sind
• Schnell wachsende Unternehmen können sehr kurzfristig betroffen sein (z. B. Scaleups)

Gerade industriell geprägte KMU erfüllen diese Kriterien fast automatisch.

Mittelbar betroffen: Wenn die Lieferkette NIS2-Compliance fordert

Keine gesetzliche Pflicht – aber eine faktische Marktanforderung

Selbst Unternehmen, die formal nicht direkt unter NIS2 fallen, geraten zunehmend unter Druck durch:

• Kunden, die von ihren Zulieferern Sicherheits- und Compliance-Nachweise verlangen
• Versicherungen, die höhere Cyber-Resilienz als Vertragsbedingung festschreiben
• OEMs, die Security-Standards verbindlich in ihre Einkaufsrichtlinien integrieren

Versicherungen verlangen inzwischen:

• dokumentiertes ISMS
• regelmäßige Risikoanalysen
• SOC/Monitoring-Nachweis
• funktionierendes Patch-Management
• Nachweis über Awareness-Trainings

Das bedeutet: Auch ohne gesetzliche Verpflichtung wird NIS2-Konformität zur Zugangsvoraussetzung für Aufträge, Versicherbarkeit und Partnerschaften.

Warum so viele KMU betroffen sind

• erweiterte Sektorenliste
• hohe IT/OT-Durchdringung
• veraltete Betriebssysteme im Bereich OT
• Size-Cap-Regel erstmals für KMU relevant
• Lieferkettenanforderungen durch OEMs

Lieferkette & Auftragsfähigkeit

Viele KMU treffen die NIS2-Anforderungen zuerst über die Lieferkette: OEMs, KRITIS-Betreiber und Versicherer verlangen zunehmend Sicherheitsnachweise entlang der Lieferkette. Wer diese Anforderungen nicht erfüllt, verliert Projekte, Ausschreibungen oder Vertragsverlängerungen. NIS2 wird damit zum geschäftskritischen Faktor – nicht nur zur Compliance-Frage.

Bei Ausschreibungen wurde bewertet:

• Netzsegmentierung
• Monitoring
• Incident-Response-Fähigkeit
• Awareness-Nachweise
• Lieferanten-Security-Assessment

Fehlten v. a.:

• Monitoring 24/7
• dokumentierte Prozesse
• CISO-Rolle
• Risikoanalyse

Welche Anforderungen stellt NIS2 an die Governance und Risikomanagement?

NIS2 verpflichtet Unternehmen zu klaren Mindeststandards in Governance, Technik und Meldeprozessen. Die Geschäftsführung trägt die Gesamtverantwortung und muss Maßnahmen nachweislich überwachen, freigeben und dokumentieren. Fehlende Umsetzung kann zu Bußgeldern, Auflagen und persönlicher Haftung führen.

Pflichten der Geschäftsführung:

• Risikomanagement (inkl. OT)
• Freigabe & Kontrolle von Maßnahmen
• Rollen und Verantwortlichkeiten definieren (CISO-Funktion)
• Pflichtschulungen
• Haftung bei Versäumnissen
• BCM & Wiederanlaufkonzepte

Nach NIS2 muss die Geschäftsführung:

• Schulungen selbst absolvieren
• Security-Prozesse überwachen
• Wirksamkeit prüfen (KPIs: MTTD/MTTR)
• Maßnahmen genehmigen und dokumentieren

Bei Audits zählt: „Nicht dokumentiert = nicht passiert.“

Welche technischen Sicherheitsmaßnahmen verpflichtend sind

• Netzsegmentierung IT/OT
• Patch- & Schwachstellenmanagement automatisiert
• SIEM/XDR-Monitoring
• Backupplan inkl. Wiederherstellungstests
• Zero-Trust & Least-Privilege (Rechtevergabe)
• MFA überall
• Verschlüsselung
• Logging & Protokollierung
• Penetrationstests
• sichere Cloud-Konfigurationen
• Supply-Chain-Security
• Secure-by-Design

Fallbeispiel Schatten-IT: Kritische CAD-Dateien über privaten Cloud-Ordner geteilt → Compliance-Verstoß + Datenabfluss + fehlende Nachvollziehbarkeit.

BSI-Daten zeigen, dass 78 % aller erfolgreichen Angriffe auf Unternehmen mit < 250 Mitarbeitenden erfolgen. Grund:

• viele ungepatchte Systeme
• kein 24/7-Monitoring
• schlechte Segmentierung
• fehlende MFA
• hohe Schatten-IT

Welche Meldepflichten NIS2 vorsieht (24 h / 72 h / 1 Monat)

Die NIS2-Richtlinie definiert erstmals ein europaweit einheitliches, sehr strenges Meldesystem. Entscheider in Industrie-KMU müssen verstehen: Diese Meldepflicht ist nicht optional – und ohne automatisiertes Monitoring organisatorisch kaum leistbar.

Warum ohne Monitoring nichts funktioniert

Für Geschäftsführer/IT-Leitung im KMU ist entscheidend:

• Logdaten verteilen sich oft über IT & OT
• interne IT-Teams sind im Vorfall bereits überlastet
• forensische Analysen brauchen Spezialwerkzeuge
• ohne SOC/Monitoring bleibt unklar, wann ein Vorfall begann

Fazit: Die Meldesystematik der NIS2 ist nur mit 24/7-Monitoring, SIEM/XDR und Incident-Response-Fähigkeit erfüllbar. Genau diese Anforderungen überfordern KMU meist – weshalb Co-Managed-Modelle sinnvoll sind.

Beispiel meldepflichtiger Vorfall:

• Ransomware-Infektion
• Ausfall eines ERP-Systems
• Datenabfluss über ungepatchten Remote-Zugang
• Verdacht auf OT-Seitwärtsbewegung

Folgen bei Verstößen:

• Bußgelder
• Ermittlungen
• Verlust von Kunden
• Versicherungen verweigern Regulierung

Registrierung über „Mein Unternehmenskonto“

Die Registrierung ist Pflicht und Voraussetzung für offizielle Meldungen. Fehlende Registrierung gilt als Compliance-Verstoß.

Dauer: ca. 15–30 Minuten
Erforderlich: Stammdaten, Sektor, Verantwortliche, Kommunikationswege

Ablauf:

1. Portal öffnen: https://www.mein-unternehmenskonto.de
2. Anmeldung via BundID oder Unternehmenskonto
3. Unternehmensprofil anlegen
4. NIS2-Sektor auswählen
5. Verantwortliche & Kontaktstellen eintragen
6. Angaben prüfen & Profil aktivieren

Warum ISO 27001 und ein ISMS der schnellste Weg zur NIS2-Auditfähigkeit sind

Was ist ein ISMS? Ein Informationssicherheits-Managementsystem (ISMS) ist ein organisatorischer Rahmen, der Rollen, Prozesse, Richtlinien und Kontrollen für Sicherheit festlegt – inklusive Messung der Wirksamkeit und laufender Verbesserung.

Welche Rolle spielt ISO 27001? ISO 27001 ist der international anerkannte Standard für ein ISMS. Er beschreibt, wie ein ISMS aufgebaut und betrieben wird, und liefert mit Anhang A eine Bibliothek typischer Kontrollen (z. B. Zugriff, Kryptografie, Betrieb, Lieferkette).

Wie hilft das bei NIS2? NIS2 fordert Governance, Risikomanagement, technische Maßnahmen, Monitoring und Meldefähigkeit. Ein ISO-27001-basiertes ISMS bildet genau das strukturiert und auditierbar ab:

Technische Dienste und Tools zur NIS2-Umsetzung

Neben organisatorischen Maßnahmen brauchen KMU konkrete technische Werkzeuge, um NIS2-Anforderungen messbar zu erfüllen. Drei Bereiche sind dabei besonders relevant:

NIS2-Sanktionen / -Haftung

Die NIS2-Richtlinie setzt neue Maßstäbe in puncto Haftung. Für Geschäftsführungen von KMU bedeutet das: Die Verantwortung liegt klar auf Leitungsebene – nicht bei der IT.

Unternehmen mit sauberer Dokumentation, nachweisbaren Sicherheitsprozessen, Monitoring, regelmäßigen Reviews und Schulungen werden bei Verstößen signifikant milder behandelt.

Warum Industrie-KMU jetzt handeln müssen

Wie „Cyber Complete GmbH“ KMU NIS2-Ready macht

Cyber Complete GmbH unterstützt Unternehmen dabei, NIS2 pragmatisch und auditfest umzusetzen – von der Risikoanalyse über technische Maßnahmen bis zum 24/7-Monitoring. Der Ansatz entlastet interne IT-Teams und schafft messbare Sicherheit durch klare Prozesse, kontinuierliche Überwachung und vollständige Dokumentation. So erreichen KMU schnell einen belastbaren Compliance-Status.

Fazit – Schnelles Handeln entscheidet über Sicherheit und Auftragsfähigkeit

NIS2 macht Cybersicherheit messbar und verpflichtend. Für KMU geht es nicht nur um Compliance – sondern um Geschäftsfähigkeit, Versicherbarkeit und Wettbewerbsvorteile. Wer früh handelt, reduziert Risiken, entlastet die IT und sichert seine Lieferketten- und Auditfähigkeit.

NIS2 ist ein strategischer Wendepunkt: Sicherheit wird zur Voraussetzung für Auftragsfähigkeit.

Jetzt NIS2-Reife prüfen – GAP-Analyse: → https://cybercomplete.de