KMU und der neue NIS-2-Entwurf – Der aktuelle Referentenentwurf zur NIS-2-Umsetzung zeigt: Auch kleine und mittlere Unternehmen müssen sich auf neue Pflichten einstellen. Viele Vorgaben der EU-Richtlinie werden direkt übernommen. Wer in einem regulierten Bereich tätig ist, sollte die Auswirkungen frühzeitig prüfen.
Größerer Anwendungsbereich auch für KMU
Der Entwurf übernimmt die Schwellenwerte der EU. Unternehmen mit mindestens 50 Beschäftigten oder über 10 Millionen Euro Jahresumsatz können unter das Gesetz fallen, wenn sie in einem betroffenen Sektor arbeiten. Dazu zählen Energie, Gesundheit, Verkehr, Medien, Wasser, Abfallwirtschaft, digitale Dienste oder IT-Dienstleister. Auch Unternehmen, die bisher nicht als systemrelevant galten, können betroffen sein.
Mehr Aufwand für Organisation und Technik
Wer unter NIS-2 fällt, muss ein Risikomanagement für IT-Systeme einführen. Dazu kommen Meldepflichten bei Sicherheitsvorfällen und technische Schutzmaßnahmen, die dem Stand der Technik entsprechen. In vielen Fällen bedeutet das den Aufbau eines Informationssicherheitsmanagementsystems. Für KMU ist das mit zusätzlichem Aufwand verbunden – in der Organisation, bei der Dokumentation und in der IT.
Aufsichtsbehörden mit mehr Befugnissen
Die neuen Regeln sehen umfassende Kontrollmöglichkeiten vor. Behörden dürfen Maßnahmen prüfen, Nachweise anfordern und Bußgelder verhängen. KMU müssen zeigen, wie sie ihre Systeme absichern, welche Risiken bestehen und wie sie Vorfälle behandeln. Wer hier nicht vorbereitet ist, riskiert Sanktionen.
Keine Erleichterungen für kleinere Unternehmen
Zwar lässt die EU-Richtlinie Spielraum für abgestufte Anforderungen, doch der deutsche Entwurf nutzt diese Möglichkeit bisher kaum. Für betroffene KMU gelten grundsätzlich die gleichen Anforderungen wie für große Unternehmen. Das erhöht den Handlungsdruck, vor allem in Branchen mit kritischer Infrastruktur oder digitaler Steuerung.
Mehr Klarheit, aber auch mehr Bürokratie
Der Entwurf bringt neue Regeln, aber auch klarere Strukturen. Zuständigkeiten sind eindeutiger geregelt, Verfahren sollen standardisiert werden. Branchenverbände erhalten mehr Mitspracherechte. Für KMU kann das helfen, sich besser zu orientieren. Der bürokratische Aufwand bleibt dennoch hoch.
Fazit: Jetzt strukturiert starten
KMU, die in regulierten Bereichen arbeiten, müssen sich mit den neuen Pflichten auseinandersetzen. Der Aufwand ist nicht zu unterschätzen. Wer bisher keine systematische IT-Sicherheit betreibt, sollte jetzt damit beginnen. Eine Bestandsaufnahme und erste organisatorische Maßnahmen sind sinnvoll, um Bußgelder und operative Risiken zu vermeiden.
Unterstützung bei der Umsetzung
Wenn Sie klären möchten, ob Ihr Unternehmen betroffen ist, oder eine strukturierte Begleitung bei der Umsetzung benötigen, unterstützen wir Sie gerne. Wir helfen dabei, Anforderungen einzuschätzen, Maßnahmen umzusetzen und Nachweisdokumente vorzubereiten.
weiterführende Links:
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
BSI – NIS-2 – was tun?
BSI – NIS-2-regulierte Unternehmen
NIS-2: Was Sie über den neuen Referentenentwurf wissen müssen
NIS2-Umsetzung: Kommt das neue BSI-Gesetz jetzt im Eiltempo?
Allianz Risk Barometer 2025: Cybercrime größtes Risiko für Firmen – Lanzrath CyberSec
Aktueller Stand der NIS2-Umsetzung in Deutschland – Lanzrath CyberSec
NIS2 & Cybersecurity: Warum Sicherheit kein Luxus sein darf – Lanzrath CyberSec
Bild: DALL·E 3 | OpenAI