Die NIS2-Richtlinie (EU 2022/2555) ist seit Januar 2023 wirksam und wurde in nationales Recht in Deutschland (IT-SiG 2.0, NIS2UmsuCG), Österreich und der Schweiz transponiert. Sie betrifft mittelgroße und große Unternehmen in 18 Sektoren — von Produktion und Verkehr bis ICT und öffentlicher Verwaltung. Die Pflichten umfassen Risikomanagement, technische und organisatorische Maßnahmen (MFA, Verschlüsselung, Backup, Supply Chain), Incidentmeldung innerhalb von 24/72 Stunden und persönliche Verantwortung der Geschäftsführer. Sanktionen erreichen bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes.

Dieser Artikel ist Teil der Serie Sicherheit und Compliance in Cloud-ERP 2026. Er erklärt, wie festzustellen ist, ob NIS2 Ihr Unternehmen betrifft, welche konkreten Pflichten entstehen und welchen Bezug das zu Ihrem ERP/CRM-System hat.

Warum NIS2 und warum jetzt

Die ursprüngliche NIS1-Richtlinie von 2016 war eng gefasst — sie betraf nur 19 Sektoren und ca. 100–300 Subjekte pro Land. NIS2 erweitert und verschärft das:

  • 18 Sektoren aufgeteilt in Essential und Important Entities.
  • Automatische Regulierung mittelgroßer Unternehmen (50+ Mitarbeiter / 10+ Mio. EUR Umsatz) in betroffenen Sektoren.
  • Verschärfte technische und organisatorische Anforderungen.
  • Persönliche Verantwortung von Geschäftsführern (Managing Directors, Board Members).
  • Höhere Sanktionen und aktivere Aufsicht.

Der Grund für diese Welle: Zunehmende Cyberincidents in der EU (Colonial Pipeline, Maersk, NotPetya, Ransomware-Wellen 2020–2024) zeigten, dass ein freiwilliger Ansatz nicht ausreicht. NIS2 macht Cyberresilienz zu einer regulatorischen Anforderung ähnlich wie DSGVO den Datenschutz.

Wen NIS2 in DACH betrifft

Sektoren

NIS2 teilt Sektoren in zwei Klassen:

Essential Entities (Sektoren mit hoher Kritikalität)

  • Energie (Strom, Gas, Wärme, Öl, Wasserstoff)
  • Verkehr (Luftfahrt, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmärkte
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Cloud, Rechenzentren, DNS, TLD, Internet Exchange)
  • ICT Service Management (B2B-IT, MSP, MSSP)
  • Öffentliche Verwaltung
  • Weltraum (Satelliteninfrastruktur)

Important Entities (andere kritische Sektoren)

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Herstellung (kritische Chemikalien, Arzneimittel, Medizinprodukte, Kraftfahrzeuge, Computer, Elektrik)
  • Lebensmittelverteilung
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Größenkriterium

Die Richtlinie definiert regulierte Subjekte primär über die Größe:

KategorieMitarbeiterUmsatzBilanzsumme
Mittelgroßes Unternehmen (reguliert)50–25010–50 Mio. EUR< 43 Mio. EUR
Großes Unternehmen (reguliert)> 250> 50 Mio. EUR> 43 Mio. EUR
Kleines Unternehmen (meist nicht reguliert*)< 50< 10 Mio. EUR< 10 Mio. EUR

*Ausnahmen: Kleine Unternehmen können reguliert werden, wenn sie der einzige Anbieter eines kritischen Dienstes im Land sind oder wenn ihr Ausfall einen erheblichen gesellschaftlichen/wirtschaftlichen Einfluss hätte.

Praktischer Bestimmungsablauf

  1. Sektor. Prüfen Sie die Anhänge I und II der NIS2-Umsetzungsgesetze (DE: NIS2UmsuCG, AT: NISG 2024, CH: ISG).
  2. Größe. Wenden Sie die EU-KMU-Definition an (Empfehlung 2003/361/EG).
  3. Ausnahme. Auch wenn Sie unter dem Schwellenwert sind, prüfen Sie, ob Sie Single Provider sind oder andere qualifizierende Attribute haben.
  4. Selbstregistrierung. Regulierte Subjekte müssen sich selbst registrieren beim nationalen Amt (BSI in DE, A-SIT in AT) — typischerweise innerhalb von 90 Tagen nach Erfüllung der Kriterien.

Tipp: Wenn Sie IT/Cloud-Dienste anbieten (einschließlich SaaS-ERP), fallen Sie automatisch unter die Kategorie “digitale Infrastruktur” oder “ICT Service Management” — unabhängig von der Größe Ihrer Kunden.

Zentrale Pflichten regulierter Subjekte

NIS2 Art. 21 definiert 10 Mindestmaßnahmen, die Sie einführen müssen:

  1. Richtlinien für Risikoanalyse und Sicherheit von Informationssystemen
  2. Incident Handling (Erkennung, Reaktion, Wiederherstellung)
  3. Business Continuity — Backup, Disaster Recovery, Krisenmanagement
  4. Supply Chain Security — einschließlich Beziehungen zu direkten Lieferanten und Dienstleistern
  5. Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  6. Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen
  7. Grundlegende Cyberhygiene-Praktiken und Schulung
  8. Richtlinien für Kryptografie (einschließlich Verschlüsselung)
  9. Sicherheit der Humanressourcen, Zugriffsrichtlinie, Asset Management
  10. MFA oder kontinuierliche Authentifizierung, sichere Kommunikation

Incidentmeldung

Die härteste neue Regel. Bei einem erheblichen Incident (definiert durch Kriterien: Anzahl betroffener Nutzer, finanzieller Schaden, Dienstausfall) müssen Sie:

FristPflichtAn wen
24 StundenEarly Warning (Vorabinformation)BSI (DE) / A-SIT (AT)
72 StundenIncident Notification (Details)BSI / A-SIT
1 MonatFinal ReportBSI / A-SIT
LaufendKommunikation mit BetroffenenKunden, Partner

Die Frist beginnt ab dem Moment, an dem Sie vom Incident erfahren — nicht ab seinem Beginn. Das bedeutet, dass Erkennungsfähigkeiten entscheidend sind.

Sanktionen und persönliche Verantwortung

KategorieMaximale Sanktion
Essential Entity10 Mio. EUR oder 2 % des weltweiten Umsatzes (höherer Betrag)
Important Entity7 Mio. EUR oder 1,4 % des Umsatzes
Geschäftsführer (persönlich)Tätigkeitsverbot, persönliche Bußgelder
ReputationsfolgeÖffentliche Kennzeichnung als non-compliant

NIS2 stellt explizit fest, dass das Top-Management verantwortlich für die Genehmigung und Aufsicht von Maßnahmen ist. Das nationale Umsetzungsrecht überführt das in entsprechende Verantwortlichkeiten.

Bezug von NIS2 zu ERP/CRM-Systemen

Ihr ERP/CRM ist ein kritisches Informationssystem — es enthält Finanz-, Kunden-, HR- und operative Daten. Für die NIS2-Compliance bedeutet das mehrere konkrete Anforderungen:

1. Risikobeurteilung muss das ERP abdecken

Im Risikoregister müssen Sie das ERP als erstklassiges Asset mit Analyse führen:

  • Welche Daten enthält es (Klassifizierung)
  • Wer hat Zugriff (RBAC)
  • Welche Bedrohungen gibt es (Ransomware, Insider Threat, Vendor Compromise)
  • Welche Maßnahmen haben wir (technisch + organisatorisch)

2. Lieferant (Cloud-ERP-Anbieter) muss bewertet werden

Supply Chain Security ist in NIS2 explizit. Ihr SaaS-ERP-Anbieter wird Teil Ihrer Regulierung. Verlangen Sie:

  • Sicherheitszertifizierung (ISO 27001 mindestens, idealerweise auch SOC 2)
  • EU-Jurisdiktion (vermeidet CLOUD Act)
  • AVV + Sub-Processor-Liste
  • Incident Response SLA kompatibel mit Ihrer 24/72-Stunden-Frist
  • Audit-Log für forensische Analyse
  • BCP/DRP mit definiertem RTO/RPO

Modulario deckt diese Anforderungen standardmäßig ab — mehr auf der Sicherheitsseite und im Pillar-Artikel zur Sicherheit in Cloud-ERP.

3. MFA und Access Management

Punkt 10 der Mindestmaßnahmen erfordert MFA für den Zugriff auf ERP. Modulario unterstützt TOTP, WebAuthn, SAML 2.0 und OIDC für die Integration mit unternehmenseigenem IdP (Azure AD, Google Workspace, Keycloak).

4. Backup und Recovery

ERP-Backup muss sein:

  • Off-Site (geografisch getrennt)
  • Verschlüsselt
  • Regelmäßig getestet (Recovery Drill mindestens 2× jährlich)
  • Ransomware-resistent (immutable / air-gapped)

Modulario bietet tägliche Full + stündliche inkrementelle Backups mit 30-Tage-Retention in Multi-Region-Replikation.

5. Audit-Log für Incident Response

Bei einem Incident müssen Sie die Frage beantworten können: “Was ist passiert, wann und wer ist verantwortlich?” Das Audit-Log in jedem ERP-Modul ist entscheidend für:

  • 24-Stunden Early Warning (was haben wir festgestellt)
  • 72-Stunden-Detailbericht (Umfang des Impacts)
  • Final Report (Root Cause + Remediation)

Der Modulario Audit-Log speichert vollständige Before/After-Snapshots für jede Änderung, mit Benutzeridentifikation und IP-Adresse.

Vorbereitungsablauf: 12-Wochen-Plan für KMU

Für ein mittelgroßes Unternehmen (50–150 Mitarbeiter), das noch nicht begonnen hat:

WocheAktivitätErgebnis
1–2Sektoranalyse, KategoriebestimmungEntscheidung: reguliert / nicht
3–4Asset-Register, Gap-AnalyseAsset-Liste + Gap-Report
5–6Risikobeurteilung, Treatment PlanRisikoregister + Mitigationsplan
7–8Richtlinien und VerfahrenSatz ~20 Richtlinien
9–10Implementierung technischer MaßnahmenMFA, Backup, Monitoring, Audit-Log
11MitarbeiterschulungSchulungsaufzeichnungen
12Selbstregistrierung + internes AuditRegistrierung beim BSI/A-SIT

Realistisch dauert das für die meisten KMU 4–6 Monate bei Vollzeiteinsatz oder 9–12 Monate bei Teilzeit.

Häufigste Fehler bei der NIS2-Implementierung

  1. “Das betrifft uns nicht.” Viele Unternehmen ignorieren NIS2 in der Überzeugung, sie seien zu klein. Überprüfen Sie den Sektor — IT-Dienste, Lebensmittelproduktion, Verkehr haben niedrige Schwellenwerte.
  2. Fokus nur auf Technologie. NIS2 ist 50 % Organisation + 50 % Technologie. Ohne Richtlinien, Schulung und Lieferantenmanagement reicht MFA alleine nicht.
  3. Supply Chain vergessen. Ihr Sublieferant kann das schwache Glied sein. Bewerten Sie SaaS-Anbieter, IT-MSP, Hosting.
  4. Reaktive Incident Response. Ohne vorbereitetem Runbook und Kontakten schaffen Sie die 24-Stunden-Frist nicht.
  5. Keine Dokumentation. Der Prüfer / Regulierer will Nachweise, nicht nur Aussagen. Logs, Aufzeichnungen, Screenshots, Unterschriften.

Was jetzt zu tun ist

  1. Prüfen Sie Ihre Reguliertheit nach dem nationalen NIS2-Umsetzungsgesetz (DE: NIS2UmsuCG, AT: NISG 2024).
  2. Führen Sie eine Gap-Analyse gegenüber den 10 Mindestmaßnahmen des NIS2 Art. 21 durch.
  3. Auditieren Sie Ihre SaaS-Lieferanten — besonders ERP/CRM, E-Mail, Dateispeicherung. Suchen Sie ISO 27001, EU-Jurisdiktion, AVV, Audit-Log.
  4. Starten Sie die Implementierung nach dem 12-Wochen-Plan oben.

Wenn Sie ein NIS2-ready ERP by default suchen, sehen Sie sich unsere Sicherheitsmaßnahmen an. Verwandte Themen finden Sie im Pillar-Artikel zur Sicherheit in Cloud-ERP, im Artikel zu ISO 27001 für KMU.

Häufige Fragen

Wir sind ein Unternehmen mit 35 Mitarbeitern in IT-Dienstleistungen. Betrifft uns NIS2? Wahrscheinlich ja. Der Sektor “ICT Service Management” hat einen niedrigeren Schwellenwert und als Single Provider oder wichtiges Glied in der Lieferkette können Sie auch unter 50 Mitarbeitern reguliert werden. Lassen Sie das von BSI oder einem auf Cybersicherheit spezialisierten Anwalt prüfen.

Was ist das Verhältnis von NIS2 und DSGVO? Komplementär. DSGVO schützt personenbezogene Daten (Fokus: betroffene Personen), NIS2 schützt kritische Informationssysteme (Fokus: gesellschaftlicher Impact). Viele Maßnahmen überschneiden sich (Verschlüsselung, Zugangskontrolle, Incident Response), aber Meldebehörden und Sanktionen sind unterschiedlich. Compliance mit einem garantiert nicht Compliance mit dem anderen.

Was, wenn mein Cloud-ERP-Anbieter keine ISO 27001 hat? NIS2 verpflichtet Sie zur Lieferantenbewertung. Ohne ISO 27001 müssen Sie Alternativnachweise haben — Sicherheitsaudit, Penetrationstest, detaillierte Vertragsdokumentation. In der Praxis ist ISO 27001 de facto Anforderung. Wenn Ihr Anbieter sie nicht hat, erwägen Sie eine Migration — Modulario ist ISO 27001-zertifiziert und stellt vollständige Vendor-Due-Diligence-Dokumentation bereit.

Wer im Unternehmen ist für die NIS2-Compliance verantwortlich? Das Top-Management (Geschäftsführer, Vorstand) trägt Genehmigungs- und Aufsichtsverantwortung. Die operative Agenda leitet typischerweise CISO, IT-Leiter oder ein dedizierter Compliance Officer. Für KMU ohne diese Rollen: eine verantwortliche Person benennen (häufig IT-Manager) und sie mit einem externen Berater stärken.