1. Startseite
  2. Blog
  3. NIS2 ein Jahr später: Wo stehen KMU bei der Umsetzung?
IT-Ratgeber VIOCOM GmbH, Gladbeck

NIS2 ein Jahr später: Wo stehen KMU bei der Umsetzung?

NIS2 ist seit Oktober 2024 in Kraft. Ein Jahr später zeigt sich: Viele KMU sind noch nicht compliant. Was jetzt noch fehlt und was zu tun ist.

Im Oktober 2024 trat die NIS2-Richtlinie in deutsches Recht in Kraft. Sie verpflichtet Tausende Unternehmen zu konkreten Maßnahmen in der Cybersicherheit – darunter viele mittelständische Betriebe in NRW, die bislang wenig reguliert waren. Ein Jahr später ist die Bilanz ernüchternd: Laut Branchenbefragungen hat ein Großteil der betroffenen KMU die Umsetzung noch nicht vollständig abgeschlossen.

Was NIS2 verlangt – kurze Erinnerung

NIS2 gilt für Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz in bestimmten Sektoren – darunter Energie, Gesundheit, Transport, IT-Dienstleistungen, Maschinenbau und mehr. Die Kernpflichten umfassen:

  • Risikoanalyse und Dokumentation der IT-Sicherheitsmaßnahmen
  • Technische Mindeststandards (Verschlüsselung, Patch-Management, Zugangskontrolle)
  • Incident-Reporting an das BSI innerhalb von 24 Stunden (Erstmeldung) bzw. 72 Stunden
  • Schulungen für Mitarbeitende und Geschäftsführung
  • Sicherheitsanforderungen für Lieferketten und Dienstleister

Was KMU bisher umgesetzt haben

Die gute Nachricht: Technische Basismaßnahmen wie Firewalls, Antivirensoftware und Updates sind in den meisten betroffenen Betrieben vorhanden. Viele haben außerdem begonnen, ihre IT-Infrastruktur zu dokumentieren.

Die schlechte Nachricht: Bei organisatorischen und prozessualen Anforderungen sieht es deutlich schlechter aus. Die häufigsten Lücken sind:

1. Fehlende oder unvollständige Dokumentation: Eine Risikoanalyse ist eine formale Anforderung, keine informelle Einschätzung. Viele Unternehmen haben kein aktuelles, revisionsfestes Dokument.

2. Kein Incident-Response-Prozess: Was passiert bei einem Sicherheitsvorfall konkret? Wer informiert das BSI? Wer kommuniziert mit Kunden? Ohne schriftlich festgelegten Prozess scheitert die Meldepflicht in der Praxis.

3. Schulungen fehlen oder sind nicht nachweisbar: Die Teilnahme an Sensibilisierungsmaßnahmen muss dokumentiert werden. Ein einmaliges Meeting reicht nicht.

4. Lieferkette nicht bewertet: Wer sind Ihre wesentlichen IT-Dienstleister? Welche Sicherheitsanforderungen stellen Sie an sie? Das müssen Sie schriftlich festhalten.

Was Behörden prüfen

Das BSI und die zuständigen Aufsichtsbehörden prüfen vorrangig die Dokumentation. Technische Maßnahmen sind schwer zu prüfen, Prozesse und Nachweise aber nicht. Bußgelder können bis zu 10 Mio. Euro (wesentliche Einrichtungen) bzw. 7 Mio. Euro (wichtige Einrichtungen) erreichen. Erste Verfahren wurden 2026 eingeleitet.

Sofortmaßnahmen für Nachzügler

Wenn Ihr Unternehmen NIS2-pflichtig ist und die Umsetzung noch nicht abgeschlossen haben, empfehlen wir folgende Prioritäten:

  1. Gap-Analyse durchführen: Ist-Zustand vs. NIS2-Anforderungen dokumentieren
  2. Incident-Response-Plan erstellen: Verantwortlichkeiten, Eskalationswege, BSI-Kontakt
  3. Mitarbeiterschulung nachholen und dokumentieren
  4. Lieferantenbewertung nachholen: Wichtige IT-Dienstleister schriftlich einschätzen
  5. Risikoanalyse formalisieren: Auch wenn der Inhalt stimmt – das Dokument muss revisionssicher sein

Die Zeit drängt. Wer jetzt beginnt, kann bis Ende 2026 compliance-fähig sein.

VIOCOM unterstützt Unternehmen in Gladbeck und dem Ruhrgebiet bei der NIS2-Umsetzung – von der Gap-Analyse bis zur vollständigen Dokumentation: Zur IT-Security-Seite

Benötigen Sie Unterstützung?

VIOCOM berät KMU im Ruhrgebiet – persönlich, transparent und ohne versteckte Kosten.

Jetzt Kontakt aufnehmen

VIOCOM GmbH · Am Wiesenbusch 2, 45966 Gladbeck · +49 2043 37520

← Alle Artikel