NIS2-Richtlinie: Was KMU wissen muss

Q: Bin ich als KMU von NIS2 betroffen?

NIS2 betrifft Unternehmen ab 50 Mitarbeitern ODER 10 Mio. € Jahresumsatz in bestimmten Sektoren (Energie, Gesundheit, IT, Transport, Finanz u.a.). Viele KMU sind indirekt betroffen, wenn sie als Lieferant oder Dienstleister für betroffene Unternehmen tätig sind.

Q: Was droht bei NIS2-Verstößen?

Bei Verstößen gegen NIS2-Pflichten drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist. Zusätzlich können Geschäftsführer persönlich haftbar gemacht werden.

Q: Deckt eine Cyberversicherung NIS2-Bußgelder ab?

Bußgelder sind in der Regel nicht versicherbar (ordnungswidrigkeitsrechtliches Prinzip). Eine Cyberversicherung deckt jedoch die Kosten für NIS2-Compliance-Beratung, IT-Forensik nach einem Vorfall, DSGVO-Meldepflichten und Betriebsunterbrechung — und reduziert damit das Risiko von Verstößen erheblich.

Seit Oktober 2024 gilt in Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG) — die Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit in nationales Recht. Was viele Unternehmen noch nicht wissen: NIS2 betrifft nicht nur Konzerne und kritische Infrastruktur. Auch tausende kleine und mittlere Unternehmen fallen unter die neuen Pflichten — oft ohne es zu ahnen.

Dieser Artikel erklärt, wer betroffen ist, was konkret verlangt wird, welche Konsequenzen drohen — und warum eine Cyberversicherung ein zentrales Element der NIS2-Compliance sein kann.

⚠ ACHTUNG

Die Aufsichtsbehörden haben angekündigt, NIS2-Verstöße ab 2025 aktiv zu verfolgen. „Wir wussten nicht, dass wir betroffen sind" gilt nicht als Entschuldigung — und schützt nicht vor Bußgeldern.

Wer ist von NIS2 betroffen?

NIS2 unterscheidet zwischen „wesentlichen Einrichtungen" (Essential Entities) und „wichtigen Einrichtungen" (Important Entities). Die Einstufung hängt von Branche, Größe und gesellschaftlicher Bedeutung ab.

Direkt betroffen: Größenschwelle

Grundsätzlich gilt: Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mindestens 10 Mio. € in einem der betroffenen Sektoren fallen unter NIS2. Die Sektoren umfassen:

1 Wesentliche Sektoren: Energie, Transport, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum
2 Wichtige Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste (Suchmaschinen, soziale Netzwerke, Online-Marktplätze), Forschung

Indirekt betroffen: die Lieferkette

Auch wenn Ihr Unternehmen selbst die Schwellen nicht erfüllt: Wenn Sie als Lieferant, IT-Dienstleister oder Subunternehmer für eine betroffene Einrichtung tätig sind, werden diese die NIS2-Anforderungen vertraglich an Sie weitergeben. Das betrifft Hunderttausende KMU in Deutschland — und ist der Punkt, den die meisten Unternehmen übersehen.

💡 PRAXISBEISPIEL

Eine Steuerberatungskanzlei mit 12 Mitarbeitern ist unter NIS2 direkt nicht betroffen. Aber wenn sie die Lohnbuchhaltung für ein Krankenhaus (Gesundheitssektor = wesentliche Einrichtung) übernimmt, wird das Krankenhaus vertraglich NIS2-Anforderungen einfordern — inkl. Nachweispflichten über IT-Sicherheitsmaßnahmen.

Was verlangt NIS2 konkret?

NIS2 schreibt keine spezifischen Technologien vor, sondern einen risikobasierten Ansatz zur IT-Sicherheit. Betroffene Unternehmen müssen nachweisbar folgende Maßnahmen umgesetzt haben:

Pflicht	Was das bedeutet	Typische Umsetzung
Risikoanalyse	Regelmäßige Bewertung von IT-Risiken	Jährliches IT-Sicherheitsaudit
Incident Response	Plan für den Umgang mit Sicherheitsvorfällen	Notfallhandbuch, Cyberversicherung mit 24/7-Hotline
Business Continuity	Backup- und Wiederherstellungskonzept	Offline-Backups, Notfallbetrieb definiert
Supply-Chain-Sicherheit	IT-Sicherheit der Lieferanten prüfen	Vertragsklauseln, Lieferanten-Audits
Verschlüsselung	Daten im Transit und at Rest verschlüsseln	TLS, Festplattenverschlüsselung
Meldepflicht	Sicherheitsvorfälle innerhalb 24h melden	An BSI — deutlich kürzer als die DSGVO-72h-Frist
Schulungen	Mitarbeiter regelmäßig sensibilisieren	Jährliche Phishing-Simulationen, Social-Engineering-Trainings

Besonders wichtig: NIS2 verpflichtet explizit die Geschäftsführung zur persönlichen Verantwortung. CEOs und Geschäftsführer können bei Versäumnissen persönlich haftbar gemacht werden — nicht nur das Unternehmen.

Was droht bei Verstößen?

Die Sanktionen unter NIS2 sind deutlich schärfer als unter der Vorgängerrichtlinie NIS1. Der Gesetzgeber hat die Bußgeldrahmen bewusst an die DSGVO angelehnt:

Einrichtungstyp	Max. Bußgeld	Persönliche Haftung GF
Wesentliche Einrichtungen	10 Mio. € oder 2 % Jahresumsatz	Ja — direkt möglich
Wichtige Einrichtungen	7 Mio. € oder 1,4 % Jahresumsatz	Ja — bei grober Fahrlässigkeit

Zusätzlich können Aufsichtsbehörden den Betrieb vorübergehend untersagen, bis nachgewiesene Sicherheitsmängel behoben sind. Für ein KMU kann das die Existenz bedeuten.

NIS2 und Cyberversicherung: Wie hängt das zusammen?

Eine Cyberversicherung ist kein direkter Ersatz für NIS2-Compliance — aber sie ist ein zentrales Werkzeug, das gleich mehrere NIS2-Anforderungen adressiert:

1 Incident Response Plan: Gute Cyberversicherungen liefern nicht nur Geld — sie liefern eine 24/7-Notfall-Hotline mit IT-Forensikern, Krisenkommunikatoren und Rechtsanwälten. Das ist genau das, was NIS2 unter „Incident Response" versteht.
2 Meldepflicht-Unterstützung: NIS2 verlangt Meldung an das BSI innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (detaillierter Bericht). Die Cyberversicherung koordiniert diese Meldungen und stellt Rechtsbeistand bereit.
3 Business Continuity: Betriebsunterbrechungsdeckung sichert den Fortbestand des Unternehmens während der Wiederherstellungsphase — eine direkte Umsetzung des NIS2-Kontinuitätsprinzips.
4 Nachweis gegenüber Kunden: Eine bestehende Cyberversicherung ist ein starkes Signal gegenüber Geschäftspartnern, dass IT-Risiken professionell gemanagt werden — relevant für die NIS2-Lieferkettenpflicht.

✓ FAZIT

NIS2 ist kein Papiertiger. Die Behörden haben angekündigt, aktiv zu prüfen und zu sanktionieren. Für betroffene KMU ist jetzt Handeln angesagt: Zuerst prüfen, ob und wie man betroffen ist. Dann die Pflichtmaßnahmen umsetzen. Und als Sicherheitsnetz eine Cyberversicherung abschließen, die im Ernstfall die gesamte Krisenreaktion übernimmt — inklusive der NIS2-Meldepflichten.

Markus Kopka

Versicherungsmakler (§34d GewO) · Cyberversicherung-Spezialist

Markus Kopka berät seit über 10 Jahren Arztpraxen, Kanzleien und KMU zu Cyberversicherungen. Als produktneutraler Makler vergleicht er Tarife von über 40 Versicherern — unabhängig und kostenlos.

LinkedIn (25.000+ Kontakte) Mehr erfahren →

Häufige Fragen zu NIS2 und Cyberversicherung

Bin ich als KMU von NIS2 betroffen?

Direkt betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz in den betroffenen Sektoren. Indirekt können auch kleinere Unternehmen betroffen sein, wenn sie als Lieferant oder Dienstleister für NIS2-pflichtige Unternehmen tätig sind. Im Zweifel empfiehlt sich eine individuelle Prüfung durch einen spezialisierten Rechtsanwalt oder IT-Sicherheitsberater.

Was droht bei NIS2-Verstößen?

Für wesentliche Einrichtungen drohen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis 7 Mio. € oder 1,4 %. Zusätzlich können Geschäftsführer persönlich haftbar gemacht werden, und Behörden können den Betrieb vorübergehend untersagen.

Deckt eine Cyberversicherung NIS2-Bußgelder ab?

Bußgelder sind grundsätzlich nicht versicherbar (ordnungswidrigkeitsrechtliches Prinzip). Eine Cyberversicherung deckt jedoch Compliance-Beratungskosten, IT-Forensik, Meldepflicht-Rechtsbeistand und Betriebsunterbrechung — und hilft damit, NIS2-Verstöße von vornherein zu vermeiden.

Bis wann muss ich NIS2 umsetzen?

Das NIS2-Umsetzungsgesetz gilt in Deutschland seit Oktober 2024. Es gibt keine Übergangsfrist für betroffene Unternehmen — die Pflichten gelten sofort. Wer noch keine Maßnahmen umgesetzt hat, sollte jetzt handeln, da die Behörden angekündigt haben, ab 2025 aktiv zu prüfen.