NIS-2-Gesetz: 29.500 KMU müssen Cybersicherheit ab sofort erfüllen

Die Anforderungen an die Informationssicherheit für kleine und mittlere Unternehmen (KMU) haben sich drastisch verschärft. Schuld sind die nationale Umsetzung der EU-Richtlinie NIS-2 und steigende Auflagen der Versicherer. Rund 29.500 Betriebe in Deutschland sind laut Schätzungen betroffen.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-E-Book zur Cyber Security jetzt herunterladen

NIS-2: Diese Pflichten kommen auf Firmen zu

Der regulatorische Rahmen steht. Der Bundestag verabschiedete das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) am 13. November 2025, der Bundesrat stimmte am 21. November zu. Seit Jahreswechsel 2025/2026 ist das Regelwerk in Kraft.

Betroffen sind Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von zehn Millionen Euro. Das gilt für definierte Sektoren wie Energie, Verkehr oder das verarbeitende Gewerbe. Die Richtlinie unterscheidet zwischen besonders wichtigen und wichtigen Einrichtungen – die Einstufung hängt primär von Mitarbeiterzahl und Umsatz ab.

Zu den zentralen Pflichten gehören die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI), ein Risikomanagement und strenge Meldefristen bei Sicherheitsvorfällen. Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen bei Verstößen. Viele Mittelständler, besonders in Nordthüringen und Südniedersachsen, erfüllen die Anforderungen noch nicht.

Versicherer werden strenger – und teurer

Parallel zur Gesetzgebung hat sich der Markt für Cyber-Versicherungen gewandelt. 2024 verzeichnete der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) eine Schadenquote von 124 Prozent im Cyber-Bereich. Die Folge: Die Ablehnungsquote für Versicherungsanfragen stieg bis 2026 auf rund 33 Prozent.

Versicherer fordern fünf Kernmaßnahmen für den Policenschutz: Multifaktor-Authentifizierung (MFA), Endpoint Detection and Response (EDR), regelmäßig getestete Backups, konsequentes Patch-Management und einen Incident-Response-Plan. Die gute Nachricht: NIS-2-Konformität deckt bereits etwa 80 Prozent der Versicherungsanforderungen ab.

Für ein KMU mit rund 30 Mitarbeitern liegt die durchschnittliche Jahresprämie bei etwa 4.500 Euro. Ein durchschnittlicher Ransomware-Schaden in dieser Größenordnung kann dagegen Kosten von rund 220.000 Euro verursachen.

Industrie: IEC 62443 und der Cyber Resilience Act

Für Unternehmen im industriellen Sektor gewinnt die Normenreihe IEC 62443 an Bedeutung. Das modulare Regelwerk adressiert die Cybersicherheit industrieller Automatisierungssysteme. Es unterstützt die Umsetzung des Cyber Resilience Act (CRA), der voraussichtlich ab Ende 2027 verbindliche Anforderungen an vernetzte Produkte stellt.

Ergänzt wird das durch den digitalen Produktpass: Für Elektronikprodukte wird er ab 2027 verpflichtend, für Batteriesysteme über 2 kWh bereits ab Februar 2027. Neben der industriellen Sicherheit rückt die Governance von Künstlicher Intelligenz (KI) in den Fokus. Auditor Matthias Reetz empfiehlt einen integrierten Ansatz, der Informationssicherheit nach ISO 27001 mit KI-Management nach ISO 42001 verknüpft. Das sei nötig, um Risiken wie Schatten-KI und unkontrollierte Datenflüsse zu beherrschen.

Neben der klassischen IT-Sicherheit stellen neue Gesetze zur Künstlichen Intelligenz Unternehmen vor weitere Compliance-Herausforderungen. Dieser kostenlose Download verschafft Ihnen den Überblick über Fristen und Pflichten, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. Umsetzungsleitfaden zum EU AI Act kostenlos sichern

Externe Hilfe als Lösung gegen Fachkräftemangel

Angesichts knapper Ressourcen und Fachkräftemangel setzen KMU verstärkt auf externe Dienstleister. Ein Modell ist der virtuelle Chief Information Security Officer (vCISO) als Managed Service. Anbieter kalkulieren mit einer Kostenersparnis von fast der Hälfte gegenüber einer internen Vollzeitstelle. Solche Mandate umfassen regelmäßige Scans, Mitarbeiterschulungen und definierte Reaktionszeiten im Krisenfall.

Zusätzlich gewinnt proaktives „Threat Hunting“ an Bedeutung. Ein Unternehmen verzeichnet statistisch mehr als 190 gezielte Angriffe pro Woche, die durchschnittliche Erkennungsdauer für Eindringlinge liegt bei rund 200 Tagen. Hypothesenbasierte Suchverfahren sollen Sicherheitslücken schließen, bevor ein akuter Schaden entsteht.

Fachkonferenzen wie die Inno Days Mitte Juli 2026 in Karlsruhe oder themenspezifische Webinare im Juni 2026 widmen sich verstärkt diesen Umsetzungsfragen. Ziel ist der Austausch zwischen Behörden wie dem BSI, Forschungseinrichtungen und der Industrie.

de | wirtschaft | 69492627 |