NIS2-Richtlinie 2025 — was der Mittelstand jetzt wissen muss

Kurz gesagt: NIS2 betrifft rund 29.000 bis 40.000 Unternehmen in Deutschland — und damit deutlich mehr als die Vorgänger-Richtlinie. Pflichten sind Risikomanagement, Meldepflicht für Sicherheitsvorfälle (24/72 Stunden), Lieferketten-Absicherung und persönliche Haftung der Geschäftsleitung. Wer 2025 noch wartet, hat nach Inkrafttreten des deutschen Umsetzungsgesetzes zu wenig Zeit.

Die NIS2-Richtlinie ist seit Oktober 2024 offiziell anwendbar — und im März 2025 hängt die deutsche Umsetzung immer noch im Gesetzgebungsverfahren. Das sollte Dich nicht beruhigen, sondern alarmieren. Sobald das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft tritt, läuft für ungefähr 29.000 bis 40.000 betroffene Unternehmen eine sehr kurze Vorbereitungsfrist. Wer erst dann anfängt, die eigenen Prozesse zu sortieren, kommt zu spät.

Wir sind MOLOTOW Web Development aus Lahr im Schwarzwald und beraten Mittelständler zu Website- und Sicherheits-Fragen. In diesem Beitrag sortieren wir die Fakten — ehrlich, ohne FUD, ohne Verharmlosung. Keine Rechtsberatung — wenn Dein Unternehmen NIS2-betroffen ist, gehört die finale Bewertung in die Hände einer spezialisierten Kanzlei oder eines BSI-geprüften Prüfers.

Was NIS2 überhaupt ist

NIS2 ist die Nachfolgerin der ersten EU-Richtlinie zur Netz- und Informationssicherheit von 2016. Zwei Kernziele: Das Schutzniveau kritischer und wichtiger Infrastrukturen EU-weit anheben — und den Kreis der betroffenen Unternehmen deutlich erweitern. Während NIS1 ungefähr 2.000 deutsche Unternehmen betraf (klassische KRITIS-Betreiber), fallen unter NIS2 zehn bis zwanzig Mal so viele.

Die Richtlinie selbst wurde im Januar 2023 verabschiedet, die Umsetzungsfrist in nationales Recht endete am 17. Oktober 2024. Deutschland hat sie — wie ein Großteil der EU-Staaten — verpasst. Die EU-Kommission hat im November 2024 Vertragsverletzungsverfahren eingeleitet. Am Stand heute ist das deutsche Umsetzungsgesetz im Bundestag, und es gilt als sicher, dass es 2025 in Kraft tritt. Unsicher ist nur wann.

Wer ist betroffen — der Realitätscheck

Die Regel ist auf den ersten Blick einfach, im Detail aber trickreich:

Wesentliche Einrichtungen (essential) sind Unternehmen aus den kritischen Sektoren (Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Management, öffentliche Verwaltung, Weltraum) mit mindestens 250 Mitarbeitenden oder 50 Millionen Euro Jahresumsatz.

Wichtige Einrichtungen (important) sind Unternehmen aus den sonstigen kritischen Sektoren (Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, Maschinenbau, Motorfahrzeuge, Elektrotechnik, digitale Anbieter, Forschung) mit 50 bis 249 Mitarbeitenden oder zwischen 10 und 50 Millionen Euro Umsatz.

Dazu kommen unabhängig von der Größe bestimmte Sonderkategorien — qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Registrare, öffentliche elektronische Kommunikationsnetze und einige mehr.

Die praktische Konsequenz: Viele Maschinenbau-Zulieferer, Chemie-Mittelständler, Lebensmittelbetriebe und IT-Dienstleister ab rund 50 Mitarbeitenden werden betroffen sein, ohne es heute zu wissen. Der schnelle Selbst-Check: Sektor aus Anhang I oder II der Richtlinie plus Unternehmensgröße über dem Schwellwert — und schon läuft die Uhr.

Das Lieferketten-Thema — und warum auch kleinere Betriebe mitziehen müssen

Eine der weniger bekannten, aber praktisch relevantesten Regelungen: Betroffene Unternehmen müssen die Sicherheit ihrer Lieferkette bewerten. Das heißt, sie müssen von ihren Zulieferern Nachweise über deren Cybersicherheit verlangen. Auch wenn Du selbst nicht direkt unter NIS2 fällst — sobald einer Deiner großen Kunden betroffen ist, werden Fragebögen, Audits und Anforderungen auf Dich zukommen. Spätestens dann lohnt sich eine strukturierte Sicherheitsdokumentation.

In unserer Praxis sehen wir aktuell viele Handwerks- und Fertigungsbetriebe, die von OEM-Kunden aus der Automobil- oder Maschinenindustrie plötzlich detaillierte Security-Fragebögen bekommen. Das ist kein Zufall — das ist NIS2-Vorbereitung Richtung Lieferkette.

Die zehn Mindestpflichten — kurz und ehrlich

Die Richtlinie listet in Artikel 21 zehn Mindestmaßnahmen für das Risikomanagement. Übersetzt in Praxis-Sprache:

1. Risikoanalyse und Informationssicherheits-Richtlinien — schriftlich, aktuell, der Geschäftsleitung bekannt.
2. Incident Handling — klar definierter Prozess, wer bei einem Vorfall was tut.
3. Business Continuity — Backup-Strategie, Notfallwiederherstellung, Krisenkommunikation.
4. Sicherheit der Lieferkette — siehe oben.
5. Sicherheit in Beschaffung, Entwicklung und Wartung von IT-Systemen — inklusive Patch-Management.
6. Bewertung der Wirksamkeit der Maßnahmen — regelmäßige Audits, KPIs.
7. Cyber-Hygiene und Security Awareness — für alle Mitarbeitenden, nicht nur IT.
8. Einsatz von Kryptographie — wo angemessen, mit dokumentierter Begründung.
9. Personalsicherheit, Zugriffsrechte, Asset-Management — klassisches Identity-Management.
10. Multi-Faktor-Authentifizierung und sichere Kommunikation — sowohl intern als auch mit Externen.

Viele dieser Punkte decken sich mit dem, was wir unter WordPress-Sicherheit 2025 — Angriffsvektoren ohnehin als Standard beschreiben. Wer eine saubere IT-Grundhygiene hat, muss nicht bei Null anfangen — sondern dokumentieren, was bereits läuft.

Meldepflichten — die harten Fristen

Das ist der Punkt, an dem es für betroffene Unternehmen wirklich weh tun kann:

• Frühwarnung binnen 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls.
• Vorfallmeldung binnen 72 Stunden mit Erstbewertung.
• Abschlussbericht binnen einem Monat nach dem Vorfall.

Meldungen gehen an das BSI beziehungsweise die nationale zuständige Stelle. Wer die Fristen reißt, riskiert Bußgelder — die deutlich höher sind als bei der DSGVO.

Bußgelder — die unbequeme Zahl

Für wesentliche Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, was höher ist. Für wichtige Einrichtungen sind es 7 Millionen Euro oder 1,4 Prozent Jahresumsatz. Zusätzlich haftet die Geschäftsleitung persönlich — eine der meistdiskutierten Neuerungen, weil sie nicht an den Arbeitgeber delegierbar ist.

Das ist nicht Panikmache, das steht so in der Richtlinie. In der Praxis werden Bußgelder nicht aus heiterem Himmel verhängt, sondern nach Audits und schwerwiegenden Verstößen — aber das Risiko ist real und gehört in jede Vorstandspräsentation.

Praxis-Schritte für KMU — was Du jetzt tun solltest

Unabhängig davon, ob das deutsche Gesetz morgen oder in drei Monaten kommt, sind diese Schritte sinnvoll:

1. Betroffenheit prüfen. Sektor plus Unternehmensgröße. Wenn ja — sofort Projektverantwortlichen benennen.
2. Asset-Inventar erstellen. Welche Systeme, welche Daten, welche Zugänge? Ohne Inventar kein Risikomanagement.
3. Lücken-Analyse gegen die zehn Mindestpflichten. Was existiert bereits, wo ist nichts dokumentiert?
4. Incident-Response-Plan schreiben. Wer tut was in den ersten 24 Stunden nach einem Vorfall?
5. Security Awareness für Mitarbeitende. Phishing-Simulation, Pflichttrainings, klare Kommunikationsregeln.
6. Dokumentation, Dokumentation, Dokumentation. NIS2-Audits prüfen nicht nur, ob Du sicher bist — sondern ob Du es nachweisen kannst.
7. Budget einplanen. Realistisch rechnet die Branche für mittelgroße Betriebe mit 50.000 bis 250.000 Euro initialem Aufwand, je nach IT-Reifegrad.

Häufige Fragen

Wir sind ein 30-Personen-Softwarehaus — sind wir betroffen?

Wahrscheinlich nicht direkt (unter 50 Mitarbeitende), aber über die Lieferkette vermutlich indirekt — sobald Ihr größere Kunden in betroffenen Sektoren habt. Pragmatische Empfehlung: Sicherheitsstandards trotzdem dokumentieren, damit Ihr Kundenfragebögen beantworten könnt.

Reicht unsere ISO 27001-Zertifizierung?

ISO 27001 deckt einen großen Teil der NIS2-Anforderungen ab, aber nicht alles. Insbesondere die Meldepflichten, die Lieferkettenprüfung und die Geschäftsleitungs-Haftung sind NIS2-spezifisch. Die Zertifizierung ist eine starke Basis, ersetzt aber keine NIS2-Compliance-Analyse.

Gibt es eine Übergangsfrist nach Inkrafttreten?

Die deutsche Umsetzung wird voraussichtlich keine lange Übergangsfrist gewähren — die EU-Frist ist ja bereits abgelaufen. Realistisch rechnen wir mit drei bis sechs Monaten zwischen Inkrafttreten und voller Anwendbarkeit der Meldepflichten. Das ist sehr knapp, wenn noch nichts vorbereitet ist.

Ist das nur ein Papiertiger?

Nein. Das BSI und die zuständigen Stellen haben angekündigt, risikobasiert zu prüfen, aber auch entschlossen zu sanktionieren. Die persönliche Haftung der Geschäftsleitung ist ein klares politisches Signal, dass NIS2 nicht als reines Verwaltungs-Ritual verstanden werden soll.

Fazit

NIS2 ist kein Selbstläufer, aber auch keine Raketenwissenschaft. Wer eine ordentliche IT-Grundhygiene hat, ein dokumentiertes Backup-Konzept und klare Zuständigkeiten, ist bereits weiter als viele andere. Der kritische Punkt ist die Nachweisbarkeit — und die entsteht nicht rückwirkend.

Für Website-Betreiber ist NIS2 meist nicht direkt relevant, aber die Anforderungen schlagen über Kundenverträge und Zulieferer-Audits auf jeden Mittelständler durch. Wer sich heute fragt, wie sicher seine IT-Landschaft aufgestellt ist, fängt am besten mit einer strukturierten Bestandsaufnahme an. Wir unterstützen bei der technischen Seite — Sicherheit der Website, Backup-Strategie, Monitoring, Update-Routinen. Die juristische Bewertung holst Du Dir bei einer Kanzlei.

Wenn Du die ersten Schritte gerne mit uns durchgehen willst: Schreib uns über unser Kontaktformular oder schau unter Webentwicklung. Keine Rechtsberatung — aber ehrliche Technik-Beratung.