Die EU-NIS2-Richtlinie ist in Kraft – doch in Deutschland fehlt bislang das passende Gesetz. Das geplante NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) konnte durch die Ampelregierung nicht mehr verabschiedet werden. Nachdem die Thematik geradezu in der Versenkung verschwunden ist, hat das Bundesministerium des Innern unter Alexander Dobrindt NIS2 nun erneut zur Chefsache erklärt und möchte bis zur parlamentarischen Sommerpause dem Bundestag einen finalisierten Entwurf vorlegen. Für kleine und mittlere Unternehmen wirft das Fragen auf: Muss jetzt überhaupt reagiert werden, oder gilt es zunächst das Gesetz abzuwarten?
Kurz gesagt: Abwarten ist keine Option.
Politischer Stillstand – doch die Bedrohungslage bleibt real
Zugegeben, wann die NIS2-Richtlinie schlussendlich in Gesetzesform gegossen wird, ist derzeit nicht abzusehen. Klar ist jedoch: Die EU-Richtlinie gilt formal bereits – unabhängig von der nationalen Umsetzung.
Noch entscheidender: Die Anforderungen der NIS2-Richtlinie sind keine rein formale Pflichtübung. Sie reagieren auf eine sehr konkrete Realität: Cyberangriffe auf kleine und mittlere Unternehmen nehmen massiv zu. Gerade kleine und mittlere Unternehmen (KMU) sind häufig unzureichend geschützt. Ob Produktionsbetrieb, Händler, Transportlogistiker oder Schreiner – betroffen sind Unternehmen aus nahezu allen Sektoren.
Was NIS2 konkret verlangt und wen es betrifft
Mit NIS2 verschärft die EU die Anforderungen im Vergleich zur Vorgängerrichtlinie (NIS1) deutlich. Neben großen Unternehmen fallen nun auch viele kleine und mittlere Unternehmen unter den Anwendungsbereich, sofern sie in sogenannten kritischen oder wichtigen Sektoren tätig sind. Dazu zählen z. B.:
- Energie, Wasser, Transport, Gesundheit
- Digitale Dienste, IT und Telekommunikation
- Maschinenbau, Lebensmittelindustrie, Abfallwirtschaft, Post- und Kurierdienste
Sollte Ihr Unternehmen in den Anwendungsbereich fallen, sind unter anderem folgende Maßnahmen erforderlich:
- Durchführung einer umfassenden Risikoanalyse
- Einführung technischer und organisatorischer Schutzmaßnahmen
- Erstellung von Notfall- und Wiederanlaufplänen (Business Continuity Management)
- Schulungen und Sensibilisierung der Mitarbeitenden
- Sicherheitsprüfungen von Dienstleistern und Lieferanten
- Einhaltung von Meldepflichten bei IT-Sicherheitsvorfällen (innerhalb von 24 Stunden)
Jetzt Strukturen schaffen statt später unter Druck zu reagieren
Auch ohne gültiges deutsches Gesetz ist es für mittelständische Unternehmen sinnvoll, jetzt aktiv zu werden. Die NIS2-Richtlinie bietet einen klaren Rahmen, an dem sich Unternehmen orientieren können. Wer bereits heute mit der Umsetzung beginnt, vermeidet unnötigen Zeitdruck, reduziert Risiken – und ist optimal vorbereitet, sobald die gesetzliche Grundlage national vorliegt.
Gerade für kleine und mittlere Unternehmen stellt sich oft die Frage: Wo anfangen? Die gute Nachricht: Es gibt praxisnahe Werkzeuge und kostenfreie Angebote, die genau hier ansetzen:
Mit dem FitNIS2-Navigator steht kleinen und mittleren Unternehmen ab sofort ein neues Werkzeug zur Verfügung, das Ihnen dabei hilft, die wachsenden Anforderungen an IT-Sicherheit gezielt und praxisorientiert zu meistern. Das vom Verein Deutschland sicher im Netz e.V. und der Universität Paderborn entwickelte Angebot ist kostenlos und speziell auf die Herausforderungen von KMU abgestimmt.
Der Navigator wurde mit Blick auf die Bedürfnisse kleiner und mittlerer Betriebe konzipiert und bietet unter anderem:
- Eine Einschätzung, ob das Unternehmen von der Richtlinie betroffen ist
- Eine Analyse des aktuellen Sicherheitsniveaus
- Konkrete, auf das Unternehmen zugeschnittene Handlungsempfehlungen
- Praktische Hilfen für die Umsetzung
- Weiterführende kuratierte Unterstützungsangebote
Damit liefert das Tool nicht nur einen Überblick, sondern auch ganz konkrete Unterstützung, um gesetzliche Vorgaben effizient und umsetzbar in die Praxis zu übertragen.
Kleine und mittlere Unternehmen können sich ab sofort gezielt auf die NIS2-Richtlinie vorbereiten: Der FitNIS2-Navigator unterstützt als kostenfreies Tool dabei, die eigene Betroffenheit einzuschätzen, den Stand der IT-Sicherheit zu analysieren und passgenaue Maßnahmen für die Umsetzung der künftigen gesetzlichen Anforderungen zu entwickeln.
NIS2 international: Wettbewerbsfähigkeit im Blick behalten
Ein oft übersehener Aspekt: Viele EU-Länder haben NIS2 bereits vollständig umgesetzt. Wer international tätig ist, z. B. über Lieferketten, IT-Partnerschaften oder EU-Projekte, könnte ohne Nachweis über eigene Sicherheitsstrukturen schnell ins Hintertreffen geraten. Frühzeitige Vorbereitung hilft, Vertrauen aufzubauen und Ausschlussrisiken zu vermeiden.
Fazit: IT-Sicherheit als strategische Zukunftsaufgabe
Die NIS2-Richtlinie ist mehr als ein juristisches Regelwerk. Sie ist Ausdruck einer neuen Realität, in der Cyberresilienz zur Geschäftsgrundlage wird. Für kleine und mittlere Unternehmen ist jetzt der richtige Moment, aktiv zu werden, Strukturen aufzubauen und Verantwortung zu übernehmen.
Mit der richtigen Unterstützung und den passenden Tools gelingt der Einstieg unkompliziert und wirkungsvoll. Und genau hier setzen wir an: Der FitNIS2-Navigator liefert nicht nur einen Überblick, sondern auch konkrete und umsetzbare Hilfestellungen zur Erfüllung der neuen rechtlichen Vorgaben.
Jetzt fit für NIS2 werden unter: www.fitnis2.de
Verfasst von Isabell Hottinger
Projektreferentin für NIS2 Support bei Deutschland sicher im Netz e.V.
