Die EU-Richtlinie NIS2 war eigentlich für Oktober 2024 angesetzt. Deutschland hat – wie so oft – geliefert. Spät. Unvollständig. Und mit einem Gesetz, das viele KMU noch immer nicht auf dem Radar haben. Falls Sie gerade googeln, ob Sie betroffen sind: Ja, wahrscheinlich schon.
Was NIS2 eigentlich ist
NIS2 ist die Nachfolgerin der NIS-Richtlinie von 2016 – und sie hat einen deutlich breiteren Scope. Wo früher nur kritische Infrastrukturen gemeint waren (Strom, Wasser, Banken), erfasst NIS2 jetzt auch mittlere Unternehmen in einer langen Liste von Sektoren: Gesundheit, Transport, digitale Infrastruktur, Lebensmittel, Chemie, Maschinenbau, Post und Kurierdienste – um nur die wichtigsten zu nennen.
Die Schwelle: ab 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz in einem betroffenen Sektor. Das ist kein Konzerngesetz. Das ist ein KMU-Gesetz.
„NIS2 ist die erste Cybersicherheitsrichtlinie, die explizit die persönliche Haftung der Geschäftsführung verankert. Kein Delegieren mehr. Kein ‚Das war die IT-Abteilung'."
Was NIS2 von Ihnen verlangt
Die Anforderungen lassen sich in vier Bereiche einteilen:
1. Risikomanagement: Dokumentierte Sicherheitsrichtlinien, regelmäßige Risikoanalysen, Zugriffskontrollen, Verschlüsselung sensibler Daten. Kein Papiertiger – sondern gelebte Prozesse, die Sie bei einer Prüfung nachweisen können.
2. Incident Reporting: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden – erste Einschätzung. Vollständige Meldung innerhalb von 72 Stunden. Das setzt voraus, dass Sie überhaupt wissen, wenn etwas passiert.
3. Lieferkettensicherheit: Sie haften auch für Ihre Dienstleister. Wenn Ihr ERP-Anbieter, Ihr Cloud-Provider oder Ihr IT-Dienstleister unsicher ist, sind Sie es auch. Das ist der Teil, den die meisten KMU unterschätzen.
4. Geschäftsführerhaftung: Die Geschäftsleitung muss Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und kann persönlich haftbar gemacht werden. Strafen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – für „wesentliche Einrichtungen". Für „wichtige Einrichtungen" 7 Millionen oder 1,4 %.
Das stille Problem: Ihre Software-Infrastruktur
Viele KMU stehen vor einem strukturellen Problem: Ihre Geschäftsprozesse laufen auf Software, die sie nicht kontrollieren. Daten in der Cloud eines Drittanbieters. Automatisierungen über externe Plattformen. ERP-Systeme, bei denen der Anbieter entscheidet, wann Updates kommen, wer auf die Daten zugreift und wo die Server stehen.
NIS2 fragt genau danach: Wissen Sie, wer Zugriff auf Ihre Daten hat? Können Sie nachweisen, dass Ihre Infrastruktur sicher ist? Können Sie einen Vorfall innerhalb von 24 Stunden erkennen und melden?
Wer seine Software nicht selbst kontrolliert, kann diese Fragen nicht mit Ja beantworten.
Das Lieferketten-Problem konkret: Wenn Ihr Software-Anbieter einen Vorfall hat und Sie das nicht innerhalb von 24 Stunden wissen – weil Sie keinen Zugang zu den Logs, keinen direkten Serverbeobachtungen haben – verstoßen Sie gegen NIS2. Nicht der Anbieter. Sie.
Der einzige Ausweg, der wirklich funktioniert
Es gibt einen Ansatz, der NIS2-Konformität strukturell löst statt kosmetisch: eigene Infrastruktur, volle Kontrolle. Open-Source-Software, selbst gehostet, auf Servern die Sie (oder Ihr Dienstleister) vollständig einsehen und kontrollieren.
Das bedeutet: Echtzeit-Monitoring mit Alarmen. Vollständige Log-Historie. Incident-Response-Prozesse, die Sie selbst gestalten. Kein Drittanbieter, der Ihnen sagt, wann das nächste Sicherheitsupdate kommt.
Das klingt nach Aufwand. Es ist weniger Aufwand, als Sie denken – besonders wenn Sie heute damit beginnen.
Was jetzt zu tun ist
Drei konkrete Schritte, die heute anfangen können:
1. Betroffenheit klären: BSI-Selbstauskunft nutzen oder Ihren Fachanwalt für IT-Recht fragen. Wenn Sie im Zweifel sind: Sie sind betroffen.
2. Infrastruktur-Audit: Welche Software läuft wo? Wer hat Zugriff? Wo liegen Ihre Daten? Diese Fragen müssen Sie beantworten können – nicht irgendwann, sondern jetzt.
📋 Praktische Orientierung: Die 16 Schlösser Ihres Unternehmens zeigt, welche IT-Sicherheitsstandards ein KMU beherrschen sollte – klar verständlich, ohne Fachjargon.
3. Langfristige Lösung planen: Cloudbasierte Abhängigkeiten identifizieren und schrittweise in kontrollierbare Infrastruktur überführen. Das ist kein Sprint – das ist eine strategische Entscheidung.
Tycho Platform: Die NIS2-konforme Grundlage für Ihr Unternehmen
ERPNext + selbst gehostet + vollständiges Monitoring. Dokumentierbar, auditierbar, Ihr Eigentum.
NIS2 wartet nicht – aber der erste Schritt ist einfacher als gedacht.
Wenn Sie wissen möchten, wie eine kontrollierbare, NIS2-taugliche Infrastruktur für ein Unternehmen Ihrer Größe aussieht, sprechen wir.