NIS2-Bereitschaft für Kleinunternehmen — ein verständlicher Leitfaden (2026) | Scanthra

Scanthra · 8 Min Lesezeit · Aktualisiert Mai 2026

Was ist NIS2 und wo gilt sie?

NIS2 ist die EU-Netz- und Informationssicherheitsrichtlinie (Richtlinie (EU) 2022/2555). Sie ersetzt das ursprüngliche NIS1 von 2016 und erweitert den Anwendungsbereich erheblich, hebt die Mindestanforderungen an Sicherheitsmaßnahmen an und führt persönliche Haftung für Leitungsorgane ein.

Alle EU-Mitgliedstaaten mussten NIS2 bis zum 17. Oktober 2024 in nationales Recht umsetzen. In der Praxis sind die nationalen Gesetze in Wellen in 2024–2026 angelaufen. Einige Beispiele der lokalen Bezeichnungen, auf die du stoßen kannst:

• Deutschland — NIS2-Umsetzungsgesetz (NIS2UmsuCG).
• Polen — Änderung des Cybersicherheitsgesetzes (Krajowy System Cyberbezpieczeństwa), in Kraft seit dem 3. April 2026.
• Frankreich — umgesetzt durch das Loi de transposition NIS2 unter Aufsicht der ANSSI.
• Italien — Decreto Legislativo zur Umsetzung der Richtlinie, beaufsichtigt von ACN.
• Spanien, Niederlande, Belgien, Nordics … — jedes Land hat sein eigenes Gesetz mit demselben Mindestinhalt.

Außerhalb der EU entstehen ähnliche Regelwerke — das britische Cyber Security and Resilience Bill, das Schweizer Informationssicherheitsgesetz und einige Nicht-EU-Länder richten die Sprache ihrer Fragebögen an NIS2 aus, auch wenn diese rechtlich nicht gilt. Wenn du aus irgendeinem Teil der Welt in die EU verkaufst, werden deine Kunden dich früher oder später nach den Maßnahmen nach Artikel 21 fragen.

Bin ich betroffen?

Direkt: nur wenn du eine wesentliche oder wichtige Einrichtung bist. Das betrifft vor allem mittlere und große Unternehmen (≥50 Mitarbeiter oder ≥10 Mio. EUR Umsatz) in Sektoren wie Energie, Verkehr, Banken, Gesundheitswesen, digitale Infrastruktur, öffentliche Verwaltung, Post und Kurierdienste, Abfall, Herstellung kritischer Produkte, Lebensmittel, Chemikalien, Forschung und digitale Anbieter (Cloud, Marktplätze, Suchmaschinen).

Indirekt: jeder Lieferant oder Unterauftragnehmer einer betroffenen Einrichtung. NIS2 Artikel 21(2)(d) verlangt von betroffenen Einrichtungen, die Sicherheit in der Lieferkette zu gewährleisten. In der Praxis bedeutet das: Unternehmenskunden schicken dir einen Sicherheitsfragebogen und einen Vertragsanhang, in dem du dieselben Kontrollen nachweisen sollst — Patching, Header, MFA, Incident Response — auch wenn dein Unternehmen 5 Mitarbeiter hat und außerhalb der EU sitzt.

Die 7 website-relevanten Maßnahmen nach Artikel 21

Von den 10 Mindestmaßnahmen in NIS2 Artikel 21(2) lassen sich sieben direkt an einer Website beobachten und verbessern:

1. Kryptographie und Verschlüsselung — modernes TLS/SSL (Verschlüsselung), HSTS (HTTPS-Erzwingung), kein SSLv3/TLS 1.0/1.1.
2. Umgang mit Sicherheitslücken und Offenlegung — halte CMS (Content-Management-System) und Komponenten auf unterstützten, gepatchten Versionen; veröffentliche einen Sicherheitskontakt oder security.txt.
3. Zugangskontrolle — Admin-URLs nicht öffentlich indexiert, keine offengelegten .git- / .env- / Backup-Dateien.
4. Sichere Kommunikation — nur HTTPS, sichere Cookies, sinnvolle CSP (Content Security Policy) und Permissions-Policy.
5. Datenschutz — Debug-Seiten deaktiviert, keine Stack-Traces sichtbar, keine internen IPs in Headern.
6. Lieferkettensicherheit — bekannte Abhängigkeiten und Versionen, keine Kundendaten über Subdomains zugänglich.
7. E-Mail-Authentifizierung — SPF / DKIM / DMARC (E-Mail-Schutz), damit sich Vorfälle nicht über gefälschte E-Mails ausbreiten.

Das günstige NIS2-Starter-Paket (unter 4 Stunden Arbeit)

Diese fünf Maßnahmen decken die meisten „wir hätten mehr erwartet"-Befunde in einem typischen NIS2-Lieferantenfragebogen für kleine Unternehmen ab — unabhängig vom Land:

1. Aktiviere automatische Updates für dein CMS, Themes und Plugins.
2. Füge HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy als HTTP-Header hinzu. Sieh dir unseren CSP-Leitfaden an.
3. Konfiguriere SPF, DKIM und DMARC auf deiner Domain. Sieh dir unseren E-Mail-Authentifizierungsleitfaden an.
4. Entferne oder blockiere .env, .git/, /backup.sql, /wp-config.php.bak und andere „versehentlich öffentliche" Dateien.
5. Veröffentliche /.well-known/security.txt mit einem E-Mail-Kontakt und deiner Richtlinie zur Offenlegung von Sicherheitslücken.

Ein 24/72-Stunden-Notfallplan auf einer Seite

Selbst außerhalb des direkten Geltungsbereichs wird dieses Dokument zum Wettbewerbsvorteil, wenn ein Unternehmenskunde es anfordert. Die 24/72-Stunden- Fristen kommen direkt aus NIS2 Artikel 23:

• Stunde 0: Vorfall identifizieren. Snapshot erstellen.
• Stunde 1–4: Eindämmen — Zugangsdaten rotieren, den betroffenen Dienst isolieren.
• Stunde 4–24: Benachrichtigen (interne Verantwortliche, Hosting-Anbieter, Datenschutzbehörde bei betroffenen personenbezogenen Daten, Kunden wenn deren Daten betroffen sind). NIS2 nennt das die „Frühwarnung".
• Stunde 24–72: Formellen Bericht bei deinem nationalen CSIRT einreichen, wenn du betroffen bist.
• Ab Tag 7: Ursachenanalyse, Post-Mortem, Runbook aktualisieren. NIS2 verlangt einen Abschlussbericht spätestens einen Monat nach Benachrichtigung.

Jeder Mitgliedstaat betreibt sein eigenes Meldeportal — CSIRT NASK in Polen, BSI in Deutschland, ANSSI/CERT-FR in Frankreich, CSIRT Italia, NCSC-NL in den Niederlanden usw. ENISA pflegt ein zentrales Verzeichnis. Auch wenn du nicht direkt betroffen bist: Die URL und deine Account-Daten bereitzuhalten spart panikartiges Googeln am schlimmsten Tag des Jahres.

Was NIS2 ausdrücklich nicht ist

Einige häufige Missverständnisse:

• Es ist keine einmalige Zertifizierung. Es gibt kein „NIS2-Siegel" — du weist kontinuierliche Praxis nach.
• Es ersetzt nicht die DSGVO (GDPR). Beide gelten nebeneinander; Vorfälle mit personenbezogenen Daten können beide Regelwerke auslösen.
• Es erfordert nicht den Kauf bestimmter Software. Artikel 21 ist technologieneutral.
• Es ist in seiner Wirkung nicht „nur EU". Nicht-EU-Anbieter, die in die EU verkaufen, erhalten regelmäßig NIS2-ähnliche Fragebögen ihrer EU-Kunden.

Wie Scanthra hilft

Jeder Scanthra-PDF-Bericht enthält nun einen Abschnitt NIS2-Bereitschaft, der die Scan-Befunde den sieben website-relevanten Artikel-21-Kategorien zuordnet — mit einem Status pro Kategorie (OK, Handlungsbedarf, Lücke) und einer Gesamtbewertung. Die Zuordnung bezieht sich auf die EU-Richtlinie selbst, ist also unabhängig davon nützlich, welche nationale Umsetzung für dich gilt — und unabhängig davon, ob du in der EU bist. Es ist keine Rechtsauslegung und kein Ersatz für ein Audit, aber eine nützliche technische Grundlage für eine Antwort auf einen Lieferantenfragebogen oder die Weitergabe an deinen Sicherheitsberater.

Dieser Artikel dient allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Für eine verbindliche Auslegung von NIS2 in deiner Rechtsordnung wende dich an eine qualifizierte Rechtsanwältin oder deine nationale Cybersicherheitsbehörde.