Unsere KanzleiYou can add some sub-text right here to give your navigation item some context.
Mandantensegmente
FachwissenYou can add some sub-text right here to give your navigation item some context.
KI BuchhaltungYou can add some sub-text right here to give your navigation item some context.
SchnittstellenpartnerYou can add some sub-text right here to give your navigation item some context.
KontaktYou can add some sub-text right here to give your navigation item some context.
Digitalisierung

NIS-2 Umsetzung: Cybersicherheit und Pflichten für KMU

Ein Artikel von der Intelligent Accounting Steuerberatungsgesellschaft Kassel

Sie wollen Mandant werden?
Kontaktieren Sie uns!

E-Mail Schreiben
Anfrage senden

Cyberangriffe als reales Betriebsrisiko für Unternehmen

Cyberangriffe sind längst kein Randthema mehr, sondern ein betriebswirtschaftliches Risiko, das sich unmittelbar in Ausfallzeiten, finanziellen Schäden und Datenabflüssen niederschlagen kann. Eine repräsentative Unternehmensbefragung aus der Informationswirtschaft und dem Verarbeitenden Gewerbe zeigt, dass ein spürbarer Anteil der Unternehmen innerhalb eines Jahres Schäden durch Cyberangriffe berichtet. Für die Praxis bedeutet das: IT-Sicherheit ist nicht nur eine technische Frage, sondern Teil der Unternehmensorganisation und der Risikosteuerung, vergleichbar mit Liquiditätsplanung oder Compliance in der Finanzberichterstattung.

Besonders greifbar wird das Risiko dort, wo IT-Systeme den laufenden Geschäftsbetrieb tragen. In der Informationswirtschaft, zu der auch IT-Dienstleister zählen, berichten Unternehmen von Ausfallzeiten; im Verarbeitenden Gewerbe werden Betriebsunterbrechungen ebenfalls genannt. Diese Ausfälle treffen nicht nur Produktionsbetriebe, sondern auch Dienstleister, Onlinehändler oder spezialisierte Einrichtungen mit digitalisierten Kernprozessen. Wer etwa über Warenwirtschaft, digitale Zeiterfassung, elektronische Pflege- oder Patientenverwaltung oder cloudbasierte Buchhaltung arbeitet, ist im Störungsfall unmittelbar in seiner Leistungserbringung eingeschränkt. Hinzu kommen finanzielle Verluste, die in einem kleineren, aber relevanten Anteil auftreten, sowie seltener Lösegeldzahlungen. Ebenfalls besonders kritisch ist der Verlust oder Abfluss sensibler Daten, weil daraus Folgekosten entstehen können, beispielsweise durch Wiederherstellung, Forensik, Kundenkommunikation und Reputationsschäden.

Die Befragung weist zudem darauf hin, dass die Betroffenheit mit der Unternehmensgröße zusammenhängt. Unternehmen ab 100 Beschäftigten berichten häufiger von Schäden. Das ist für kleine und mittlere Unternehmen dennoch kein Entwarnungssignal. In der Praxis sind kleinere Unternehmen oft Teil von Lieferketten, arbeiten mit externen IT-Dienstleistern zusammen oder nutzen standardisierte Software-Ökosysteme. Damit können sie indirekt betroffen sein, etwa über kompromittierte Zugänge, Phishing oder Angriffe auf Dienstleister. Außerdem geraten gerade kleinere Organisationen häufig dann unter Druck, wenn ein größerer Kunde höhere Sicherheitsstandards verlangt oder wenn Versicherer und Banken Sicherheitsnachweise stärker berücksichtigen.

NIS-2 Anforderungen: Mindeststandards, Meldepflichten, Sanktionen

Vor diesem Hintergrund verschärft die NIS-2 Richtlinie der Europäischen Union die Cybersicherheitsanforderungen für Unternehmen. Eine Richtlinie ist ein Rechtsakt der Europäischen Union, der die Mitgliedstaaten verpflichtet, bestimmte Ziele in nationales Recht umzusetzen. Im Unterschied zu einer unmittelbar geltenden Verordnung lässt die Richtlinie Spielraum bei der konkreten Ausgestaltung, solange die Zielvorgaben erreicht werden. Ziel der NIS-2 Richtlinie ist es, die Netz- und Informationssicherheit in deutlich mehr Sektoren zu erhöhen und die organisatorische Verankerung von IT-Sicherheitsmaßnahmen zu stärken.

Während die erste NIS-Richtlinie vor allem Betreiber kritischer Infrastrukturen in besonders sensiblen Bereichen erfasste, erweitert NIS-2 den Kreis der betroffenen Unternehmen deutlich. Nach dem genannten Überblick werden damit mehr und auch kleinere Unternehmen aus zusätzlichen Sektoren einbezogen. Dazu gehören Anbieter digitaler Dienste sowie Unternehmen aus Industriebranchen wie Chemie oder Lebensmittelproduktion. Für Unternehmen ist dabei entscheidend, dass NIS-2 Mindeststandards vorgibt, Meldepflichten bei Sicherheitsvorfällen einführt beziehungsweise ausweitet und die Sanktionsregelungen verschärft. Mindeststandards sind dabei verbindliche organisatorische und technische Grundanforderungen, die ein Unternehmen mindestens erfüllen muss, um ein angemessenes Sicherheitsniveau nachzuweisen. Meldepflichten bedeuten, dass Sicherheitsvorfälle an die zuständige Stelle zu melden sind; dies betrifft typischerweise Vorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit, Integrität oder Vertraulichkeit von Systemen und Daten haben. Sanktionen sind staatliche Maßnahmen bei Verstößen, insbesondere Bußgelder; die konkrete Ausgestaltung folgt dem nationalen Umsetzungsrecht.

Für Deutschland wird berichtet, dass das entsprechende Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten ist. Betroffene Unternehmen und Organisationen sind verpflichtet, sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik zu registrieren. Das Bundesamt für Sicherheit in der Informationstechnik ist die zentrale deutsche Behörde für IT-Sicherheitsfragen im staatlichen Kontext und fungiert im Rahmen solcher Regelungen als Ansprechpartner für Registrierung und Meldewesen. Für betroffene Unternehmen ist diese Frist operativ relevant, weil sie neben der Registrierung zugleich einen Impuls setzt, Zuständigkeiten, Prozesse und Dokumentation zu ordnen, bevor im Ernstfall eine Meldung unter Zeitdruck erfolgen muss.

Praktische Umsetzung: Betroffenheit prüfen und Prozesse belastbar machen

In der Befragung geben nach eigener Einschätzung 57 Prozent der von NIS-2 betroffenen Unternehmen an, die neuen Vorgaben bereits weitgehend zu erfüllen. Gleichzeitig äußern 17 Prozent, die Anforderungen eher nicht oder überhaupt nicht zu erfüllen. Diese Spannweite ist in der Praxis plausibel, weil Unternehmen je nach Branche, Digitalisierungsgrad, IT-Betriebsmodell und vorhandener Governance sehr unterschiedlich aufgestellt sind. Für die Umsetzung hilft ein strukturiertes Vorgehen, das nicht bei der Technik beginnt, sondern bei der Frage, ob und warum das eigene Unternehmen unter den Anwendungsbereich fällt. Gerade mittelständische Industrieunternehmen, IT-nahe Dienstleister, digitale Plattformen oder Unternehmen der Lebensmittelproduktion sollten die Betroffenheit sorgfältig prüfen, weil NIS-2 sektorbezogene Einordnungen und Größenmerkmale berücksichtigt und zudem Lieferketteneffekte eine Rolle spielen können, wenn Kunden entsprechende Nachweise verlangen.

In der operativen Umsetzung geht es typischerweise darum, Verantwortlichkeiten in der Leitung zu verankern, Risiken zu bewerten und sicherzustellen, dass Sicherheitsmaßnahmen nicht nur implementiert, sondern auch nachweisbar gelebt werden. Nachweisbarkeit ist wichtig, weil Anforderungen in der Praxis häufig über Audits, interne Kontrollen oder externe Anfragen sichtbar werden. Besonders relevant ist die Vorbereitung auf Sicherheitsvorfälle. Ein Sicherheitsvorfall ist ein Ereignis, das die Sicherheit von Informationssystemen beeinträchtigt oder beeinträchtigen kann, etwa durch unbefugten Zugriff, Datenabfluss oder Systemausfall. Meldepflichten erzeugen dabei einen Zeit- und Dokumentationsdruck: Wer meldet, an wen, mit welchen Informationen und auf Basis welcher internen Eskalation? Unternehmen sollten daher vorab festlegen, welche Rollen im Incident-Management zuständig sind, wie die Kommunikation intern und extern läuft und wie Beweise gesichert werden.

Auch wirtschaftlich lohnt ein prozessorientierter Blick. Ausfallzeiten sind nicht nur IT-Thema, sondern wirken auf Umsatz, Lieferfähigkeit und Liquidität. Finanzielle Schäden entstehen zudem durch Wiederherstellung, Rechtsberatung, mögliche Vertragsstrafen und zusätzliche Compliance-Anforderungen. Für Onlinehändler können Systemausfälle unmittelbar Bestellabwicklung und Zahlungsprozesse treffen. Für Pflegeeinrichtungen oder Krankenhäuser sind digitale Systeme häufig Teil kritischer Abläufe, sodass Ausfälle nicht nur teuer, sondern auch organisatorisch hochsensibel sind. Auch wenn nicht jedes Unternehmen formell unter NIS-2 fällt, ist das geforderte Sicherheitsniveau zunehmend ein Marktstandard, insbesondere dort, wo Auftraggeber, Versicherer oder Finanzinstitute verstärkt auf Resilienz achten.

Fazit: NIS-2 als Anlass für resilientere IT und effiziente Compliance

Die Befragungsergebnisse zu Schäden durch Cyberangriffe verdeutlichen, dass sich IT-Risiken bereits heute in konkreten Betriebsunterbrechungen, finanziellen Verlusten und sensiblen Datenabflüssen manifestieren. NIS-2 setzt darauf eine regulatorische Antwort mit Mindeststandards, Meldepflichten und schärferen Sanktionen und erweitert den Kreis der betroffenen Unternehmen, wobei die Registrierung betroffener Organisationen beim Bundesamt für Sicherheit in der Informationstechnik bis zum 6. März 2026 verpflichtend ist. In der Praxis ist NIS-2 damit weniger ein reines IT-Projekt als ein Organisations- und Prozessprojekt, das Verantwortlichkeiten, Dokumentation und Krisenfähigkeit stärkt.

Wer die Umsetzung jetzt strukturiert angeht, kann regulatorische Pflichten mit echter Resilienz verbinden und gleichzeitig administrativen Aufwand beherrschbar halten, indem Abläufe klar definiert und digital unterstützt werden. Als Kanzlei begleiten wir kleine und mittelständische Unternehmen dabei, ihre kaufmännischen Prozesse in Buchhaltung und Controlling zu digitalisieren und effizienter zu gestalten, sodass Compliance-Anforderungen sauber in den Alltag integriert werden und spürbare Kostenersparnisse durch Prozessoptimierung entstehen.

Artikel vom
05.03.2026
Mehr über diese
Gerichtsentscheidung lesen
zur externen Veröffentlichung

Mandant werden?
Senden Sie uns Ihr Anliegen

Unsere bestens geschulten Mitarbeiter sind bei jedem Schritt für Sie da. Wir helfen gerne. Bitte melden Sie sich, wenn künstliche Intelligenz, Cloud-Lösungen, Machine Learning und eine hochaktuelle Software auch Ihr "Business-Leben" einfacher machen sollen.

Wir haben Ihre Anfrage erhalten.
Oops! Something went wrong while submitting the form.

Wir unterstützen Sie beim Ausbau Ihres Unternehmens!

Profitieren Sie von diesem Wettbewerbsvorteil und gewinnen Sie Zeit für Lebensbereiche die wichtiger sind.
Jetzt anrufen
intelligent accounting Logo
Vorteile
UnternehmenExistenzgründerPrivatpersonenKrypto-Währung
Übersicht
StartseiteKI BuchhaltungDiensteUnsere Kanzlei
Richtlinien
DatenschutzerklärungImpressumCookie-EinstellungenKontaktStellenageboteAABs/AGBs
Links
DownloadsGebührensätzeVideos für MandantenDATEV Unternehmen OnlineDATEV Meine Steuern
Close Cookie Popup
Wir verwenden Cookies
Wir verarbeiten Informationen über Ihren Besuch unter Einsatz von Cookies, um die Leistung der Website zu verbessern. Durch die Nutzung unserer Seite willigen Sie in die Nutzung der technisch notwendigen Cookies ein. Weitere Informationen hierzu finden Sie in unserer Datenschutzerklärung.
Alle akzeptierenCookie Einstellungen
Close Cookie Preference Manager
Cookie Einstellungen
Durch Klicken auf „Alle Cookies akzeptieren“ stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Seitennavigation zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingmaßnahmen zu unterstützen, wie in unserer Datenschutzerklärung beschrieben.
Zwingend erforderlich (immer aktiv)
Cookies, die für die grundlegende Funktionalität der Website erforderlich sind.
Alle Cookies akzeptierenEinstellungen speichern