12.07.2025

🔐 Cybersicherheit 2025: Diese neuen EU-Pflichten treffen viele KMU – auch Handwerksbetriebe

Ab 2025 wird’s ernst: Mit der EU-Richtlinie NIS2 kommen schärfere Vorgaben zur Cybersicherheit – und das betrifft deutlich mehr Unternehmen als bisher gedacht.
Kleine und mittlere Unternehmen (KMU), die bislang mit dem Thema IT-Sicherheit wenig zu tun hatten, stehen plötzlich auf dem Radar. Warum? Die neue NIS2-Richtlinie der EU erweitert den Kreis der betroffenen Firmen deutlich – und zieht insbesondere auch Zulieferer in kritischen Lieferketten in die Pflicht. Wer also für systemrelevante Unternehmen arbeitet, muss künftig aufrüsten – ob er will oder nicht.

⚠️ Wer ist betroffen?
Auf den ersten Blick gelten die Regelungen nur für sogenannte “kritische” oder “wichtige Einrichtungen”. Doch hier wird’s brisant:
Auch mittelbare Beteiligte – also Zulieferer, Dienstleister oder IT-Partner dieser Unternehmen – müssen die neuen Sicherheitsstandards erfüllen.

Das heißt konkret:

- Handwerksbetriebe, die mit Stadtwerken, Kliniken, Energieversorgern oder Kommunen zusammenarbeiten

- IT-Dienstleister, die für kritische Unternehmen tätig sind

- Produzierende Betriebe, die in die Lieferkette eingebunden sind

👉 Ob du betroffen bist, kannst du mit dem offiziellen Tool des BSI herausfinden:
Hier geht’s zur Betroffenheitsprüfung

📅 Was ist der Zeitrahmen?
Eigentlich sollte die NIS2-Richtlinie bis Oktober 2024 in nationales Recht umgesetzt werden. Doch Deutschland hat die Frist gerissen – unter anderem wegen politischer Blockaden.

Die Umsetzung wird nun frühestens Ende 2025 erwartet. Bedeutet:

Du hast noch Zeit zur Vorbereitung,

aber: Eine Übergangsfrist ist NICHT vorgesehen.

Wer bei Inkrafttreten nicht vorbereitet ist, riskiert Bußgelder und Sanktionen.

🛡️ Was müssen KMU konkret tun?
Die neuen Anforderungen betreffen vier zentrale Bereiche:

1. Risikomanagement
- Einführung von Prozessen zur schnellen Erkennung und Behebung von IT-Störungen

- Verbesserung der Netzwerksicherheit (z. B. durch Firewalls, verschlüsselte Verbindungen)

- Mehrstufige Authentifizierung und Zugriffskontrollen

- Schutz der Kommunikation via Sprache, Video und Text

2. Verantwortung der Geschäftsführung
- Die Chefetage muss Sicherheitsmaßnahmen persönlich verantworten

- Es gilt eine Weiterbildungspflicht in Cybersicherheit

- Bei Verstößen droht sogar persönliche Haftung

3. Meldepflichten
- Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden

- Zusätzlich ist eine „Frühwarnung“ innerhalb eines Tages Pflicht

4. Geschäftskontinuität
- Du brauchst einen Krisenplan, um den Betrieb auch bei Cyberangriffen am Laufen zu halten

- Dazu gehören Notfallverfahren, Datenwiederherstellung und Reaktionsteams

🧰 Was du jetzt tun solltest
Auch wenn das Gesetz noch nicht gilt: Wer zu lange wartet, wird kalt erwischt. Daher unsere Empfehlung:

1. Prüfe deine Betroffenheit 👉 Hier geht’s zur BSI-Prüfung

2. Sprich mit deinem IT-Dienstleister oder IT-affinen Mitarbeitenden

3. Erarbeite eine erste Risikobewertung und starte mit den Basics: Passwortsicherheit, Firewalls, Updates

4. Sensibilisiere die Geschäftsführung – denn sie steht künftig mit in der Haftung

Fazit
Die NIS2-Richtlinie ist kein Thema nur für Konzerne. Auch kleinere Betriebe, Handwerker oder Dienstleister sind betroffen – oft, ohne es zu wissen. Jetzt ist die Zeit, um vorzusorgen, statt später hektisch nachzurüsten.
Cybersicherheit wird Pflicht – und das nicht irgendwann, sondern sehr bald.

Admin - 13:49 @ EU KI Gesetz | Kommentar hinzufügen