IT AdministrationIT Security

NIS2 für Handwerk und KMU: Anforderung und Einführung eines praxisnahen ISMS

NIS2 ist Gesetz in Deutschland: Was Handwerker und KMU jetzt beachten müssen!

Die EU-Richtlinie NIS2 wurde in deutsches Recht überführt und betrifft etliche KMU – inklusive persönlicher Haftung der Geschäftsleitung bis zu 10 Mio. Euro!

Was bedeutet NIS2 für Handwerker und KMU?

NIS2 verpflichtet Sie zur Umsetzung strengerer IT-Sicherheits- und organisatorischer Maßnahmen, um Risiken z.B. durch Ausfälle und (Cyber-)Angriffe zu reduzieren und die Resilienz deutscher Betriebe zu stärken.
Betroffen sind alle Betriebe:

    • mit mehr als 50 Beschäftigten oder über 10 Mio. € Jahresumsatz
    • Branchen die als wesentlich oder wichtig im BSI Katalog gelistet sind
    • ODER wichtigen Zulieferer betroffener Unternehmen

Wichtig: Im BSI Katalog ist unter anderem auch das Verarbeitende Gewerbe und die Herstellung von Waren gelistet und die meisten Handwerker und KMU sind damit – sobald Sie 50 Mitarbeiter oder 10 Mio. € Jahresumsatz erreichen – als „wichtige Einrichtung“ bereits direkt eingestuft und von NIS2 betroffen.
Auch kleinere Betriebe oder solche, die nicht in die gelisteten Kategorien passen kann es treffen. Sofern diese als Zulieferer von betroffenen Unternehmen arbeiten, gelten indirekt die gleichen Regeln.

Und bei Nicht-Einhaltung? Da wird es richtig teuer! Geschäftsführer haften direkt. Und zwar bis zu 10 Mio. €.
Verstöße sind also bei weitem keine Lappalie mehr.

Wie gehen Unternehmen vor, wenn sie unter NIS2 fallen?

Für die Registrierung bleiben maximal drei Monate ab Geltung.
Bereits im Frühjahr 2026 müssen Sie also beim BSI gemeldet sein und unterliegen allen Pflichten. 

Damit Sie die NIS2 Anforderungen rechtzeitig erfüllen, hilft dieser Leitfaden:

  1. Bestimmen Sie die Verantwortlichkeiten im Unternehmen.
  2. Sorgen Sie – intern oder mit externer Hilfe – für KnowHow im Unternehmen, wie mit Informationssicherheit umzugehen ist.
  3. Führen Sie ein einfaches  Managementsystem für die Informationssicherheit ein (ISMS)
    1. Business Continuity Anforderungen
    2. Risiko-Management
    3. IT Notfallpläne
  4. Machen Sie Meldeketten und Meldepflichten intern bekannt
  5. Registrieren Sie sich im BSI Portal.
  6. Setzen Sie regelmäßige ISMS Revisionen und ein permanents Monitoring kritischer IT Systeme auf.

In unserem NIS2 Beitrag erfahren Sie dazu als nächstes, wie Sie:

  • Prozesse analysieren und Anforderungen definieren
  • Gefährdungsanalysen durchführen und ein Risiko-Management aufbauen
  • Meldepflichten und Notfallpläne umsetzen
ISMS-Pyramide

NIS2 in Handwerk und KMU: Prozesse analysieren und Anforderungen definieren

Im ersten Teil unseres NIS2-Beitrags haben wir die Rahmenbedingungen der NIS2-Einführung beleuchtet und wie diese deutsche KMU und Handwerker treffen. In diesem Abschnitt geht es jetzt um den entscheidenden ersten Schritt bei der Einführung Ihres ISMS (Informationssicherheitsmanagementsystems) : die Analyse Ihrer betrieblichen Prozesse.

Warum Prozesse analysen für NIS2?

Weil NIS2 nicht nur technische Anforderungen mit sich bringt, sondern das strukturierte Management von IT-Risiken verlangt.
Und die entstehen automatisch, sobald digitale Prozesse kritisch für den Geschäftsbetrieb sind.

Auch im Handwerk und in KMU sind zentrale Abläufe heute stark IT-gestützt!

CAD, Planung, Statik-Berechnungen, CNC-Ansteuerung, digitale Baustellenkoordination, ERP-Systeme oder Datenaustausch mit Kunden und Zulieferern – Fällt einer dieser Prozesse aus, steht im Zweifel die Baustelle oder die Produktion verzögert sich.
Meist mit spürbaren finanziellen Folgen.

Die Prozess-Analyse als erster Baustein einer wirksamen Absicherung

Das erste Ziel zur NIS2 Compliance ist es deshalb, strukturiert zu erfassen:

  • Welche Kernprozesse sind für Ihr Unternehmen geschäftskritisch?
  • Welche IT-Systeme und Daten hängen daran?
  • Welche Auswirkungen hätte ein Ausfall? 1 Stunde, 1 Tag oder 1 Woche?

Mit einer einfachen Prozess-Matrix, wie hier im Beispiel, schaffen Sie bereits erheblich mehr Transparenz, als in den meisten Unternehmen vorhanden.
Sie erkennen Optimierungspotenziale, Problemfelder und definieren damit einfacher den Schutzbedarf digitaler Prozesse.

Hier beginnt NIS2-Compliance

Erst wenn Sie wissen, welche Prozesse kritisch sind, können Sie angemessene Sicherheitsmaßnahmen, Wiederanlaufzeiten und Verantwortlichkeiten definieren. Ohne diese Grundlage bleibt jede IT-Aufstellung ein Ratespiel.

Für Handwerk und KMU bedeutet das konkret:

Jetzt: Prozesse strukturieren, Anforderungen festlegen, Verantwortliche benennen.
Als nächstes: Weiterlesen, Risiken identifizieren und diese priorisieren.

Mit über 15 Jahren Erfahrung unterstützen wir Sie natürlich auch gerne, diese Analyse praxisnah umzusetzen – ganz ohne bürokratischen Overhead.
Gemeinsam identifizieren wir geschäftskritische Prozesse, definieren realistische Schutzanforderungen und legen die Basis für das anschließende Risiko-Management.

Jetzt Beratungstermin sichern und NIS2 Anforderungen erfüllen
BSI 200-1 Gefährdungsanalyse

NIS2 in Handwerk und KMU: Erste Gefährdungsanalyse und Aufbau eines Risiko-Managements

Im letzten Teil des Beitrags haben wir gezeigt, wie KMU und Handerksunternehmen ihre Prozesse analysieren und geschäftskritische Anforderungen definieren. Jetzt folgt der nächste logische Schritt: die erste Gefährdungsanalyse und der Aufbau eines strukturierten Risiko-Managements.

NIS2 fordert nicht nur technische Schutzmaßnahmen, sondern ein systematisches Management von Risiken. Wer unter die neue Richtlinie fällt, muss also nachweisen können, dass Bedrohungen im Unternehmen erkannt, bewertet und angemessen behandelt werden.

Auch bei kleineren Unternehmen sind viele Kernprozesse digital gestützt: CAD, Planung, Statik, CNC-Steuerung, ERP-Systeme oder Microsoft 365 als zentrale Unternehmensplattform. Fällt eines dieser Systeme aus – etwa durch Ransomware, Hardwaredefekt oder Fehlkonfiguration – kann die Produktion stillstehen oder ein Bauprojekt verzögert sich erheblich.

Die Gefährdungsanalyse beantwortet daher drei zentrale Fragen:

  • Welche Bedrohungen sind realistisch?
  • Wie hoch ist die Eintrittswahrscheinlichkeit?
  • Welche Auswirkungen hätte ein Ausfall für das Unternehmen?

Auf dieser Basis entsteht dann ein nachvollziehbares, lebendes Risiko-Management: Risiken werden priorisiert, Maßnahmen definiert und Verantwortlichkeiten festgelegt. Das kann von technischen Schutzmaßnahmen (z. B. Patch-Management, Backup-Strategie, Netzwerksegmentierung) bis zu organisatorischen Regelungen reichen.

Wichtig ist dabei: Risiko-Management ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Risiken verändern sich – etwa durch neue Software, neue Standorte oder neue Geschäftsbereiche.

Melden Sie sich gerne bei uns, für eine komplette praxisnahe Vorlage zum Risiko-Management. Damit geben wir Ihnen ein Werkzeug an die Hand, mit dem Sie strukturiert starten können: Gefährdungen nach BSI-Vorlage bewerten, Schutzbedarf Ihrer digitalen Assets untersuchen und Maßnahmen ableiten. Verständlich und umsetzbar für alle kleinen und mittleren Unternehmen.

Bei Bedarf unterstützen wir Sie natürlich auch gerne dabei, diese Analyse strukturiert ins Unternehmen zu integrieren. So schaffen Sie nicht nur die Grundlage für NIS2-Compliance, sondern vor allem für einen stabilen, ausfallsicheren Betrieb.

Jetzt mit uns in die Risiko-Analyse starten
Risiko-Management

NIS2 in Handwerk und KMU: Meldepflichten und Notfallpläne

In den letzten Teilen dieses Beitrags haben wir die Rahmenbedingungen von NIS2, die Analyse Ihrer Prozesse, sowie den Aufbau eines Risiko-Managements betrachtet. Heute geht es um den konkreten Ernstfall: Was passiert, wenn tatsächlich ein IT-Sicherheitsvorfall eintritt?

NIS2 verpflichtet betroffene Unternehmen zu klar definierten Meldeprozessen.
Bei einem kritischen IT-Sicherheitsvorfall – etwa durch Ransomware, Systemausfall oder Datenkompromittierung – muss z.B. eine erste Meldung an das BSI bereits innerhalb von 24 Stunden erfolgen.
Spätestens nach 72 Stunden ist sogar ein ausführlicher Bericht über die Lage erforderlich.
Zusätzlich kann ein Abschlussbericht mit Ursachenanalyse und getroffenen Maßnahmen verlangt werden.

Versäumnisse sind kein Kavaliersdelikt.
Je nachdem, ob eine Einstufung als „wichtige“ oder „wesentliche“ Einrichtung vorliegt, drohen empfindliche Bußgelder.
In gravierenden Fällen bis zu Millionenhöhen.
Schwer wiegt aber auch oft der Image-Schaden: Projektverzögerungen sorgen für Vertrauensverlust bei Auftraggebern und können wichtige Lieferketten unterbrechen.

Auch in kleinen und mittleren Unternehmen, wo genauso Anwendungen wie die digitale Planung, CNC-Fertigung, ERP- oder CRM-Systeme oder auch Goolge Workspace und Microsoft 365 Ihre zentralen Unternehmensprozesse stützen, kann ein IT-Ausfall schnell operative Auswirkungen haben.
Ohne klaren Notfallplan wird aus einem technischen Problem dann rasch ein wirtschaftlicher Totalschaden.

Deshalb sind strukturierte Notfallpläne unerlässlich.

Ein wirksamer Notfallplan definiert

  • konkrete Szenarien (z. B. Serverausfall, Cyberangriff, Ransomware, Brand, etc.)
  • klare Verantwortlichkeiten und Eskalationswege
  • interne und externe Meldeketten
  • Wiederanlauf-Prioritäten kritischer Systeme
  • Kommunikationsregeln gegenüber Kunden und Partnern
  • technische und organisatorische Maßnahmen zur Eindämmung und Behebung der Bedrohung
  • Maßnahmen zur wirksamen Vorbeugung des jeweiligen Szenarios

Mit unserer kostenlosen Vorlage für eine praxisnahe „Notfallkarte“ geben wir Ihnen im Beratungsgespräch bereits ein sofort einsetzbares Instrument an die Hand, um damit Ihre definierten Notfall-Szenarien strukturiert abzubilden. Völlig unverbindlich, egal ob Sie mit uns oder allein Ihr praxisnahes ISMS einführen möchten.

Damit schließen wir auch diesen Beitrag ab: von den rechtlichen Grundlagen über Prozessanalyse und Risiko-Management bis hin zur konkreten Handlungsfähigkeit im Ernstfall haben Sie nun das Wissen über die notwendigen Mittel und Maßnahmen an der Hand und sind in der Lage, Ihr Unternehmen „fit für NIS2“ zu machen.

Schaffen Sie jetzt also nicht nur Compliance – sondern echte betriebliche Resilienz.

Jetzt Beratungsgespräch und kostenlose Vorlagen sichern

Melde dich auch für unseren Newsletter an und bleibe immer auf dem Laufenden.


Als Dankeschön gibt es zusätzlich Zugriff auf unsere kostenlosen Inhalte - zum Beispiel die Checkliste zur Absicherung deines Smartphones vor Verlust & Diebstahl oder die Selbsteinschätzung der Krisensicherheit in KMU!

You May Also Like

IT AdministrationIT Security Apple‑Geräte in Microsoft 365 integrieren: drei Stufen für KMU – HowTo

Apple‑Geräte in Microsoft 365 integrieren: drei Stufen für KMU – HowTo

Erfahre wie du Apple‑Geräte in Microsoft 365 einbindest, welche Sicherheitsstufen es gibt und was zu Dir…
admin
adminAugust 14, 2025
Digitaler ArbeitsplatzEndgeräteIT AdministrationIT Security Apple iPhone, iPad & MacOS mit MDM für KMU verwalten – HowTo

Apple iPhone, iPad & MacOS mit MDM für KMU verwalten – HowTo

Wie die zentrale Verwaltung von Apple Geräten klappt und warum sie oft sogar schlanker umgesetzt…
admin
adminJuli 27, 2025
Digitaler ArbeitsplatzEndgeräteIT Administration Windows Netzlaufwerk auf MacOS & iPad verbinden – HowTo

Windows Netzlaufwerk auf MacOS & iPad verbinden – HowTo

Wie du auf Windows- oder NAS-Freigaben von MacOS, iPads und iPhones zugreifen kannst!
admin
adminJuli 21, 2025
Share