NIS2-Compliance 2025: Relevanz für SaaS- und Medien-Startups

Warum ein weiterer Beitrag zur NIS2-Richtlinie?

Brauchen wir 2025 wirklich einen eigenständigen Blogpost zur NIS2-Richtlinie? Die kurze Antwort lautet ja. Obwohl ich bereits über allgemeine Cybersicherheits-Verschärfungen für 2025 berichtet habe, ist die NIS2-Richtlinie ein so spezifisches und folgenschweres Regulierungsthema, dass ein vertiefter Blick aus Sicht kleiner und mittlerer Tech-Anbieter nötig ist.

NIS2 (Network and Information Security Directive 2) markiert einen Wendepunkt im EU-Cybersicherheitsrecht. Diese im Jahr 2023 in Kraft getretene Richtlinie ersetzt die erste NIS-Richtlinie von 2016 und erweitert erheblich den Kreis der betroffenen Unternehmen sowie die Anforderungen an deren IT-Sicherheit. Während mein früherer Beitrag die generelle Cybersecurity-Verschärfung 2025 skizzierte (etwa neue Produktanforderungen für Hardware/Software), möchte ich hier gezielt auf NIS2-Compliance eingehen – und zwar aus der Perspektive von SaaS-Startups, digitalen Inhaltsanbietern und Medienplattformen. Gerade diesen Akteuren drohen neue Pflichten, die im allgemeinen Cybersecurity-Diskurs leicht untergehen könnten.

Warum also ein eigener Artikel nur über NIS2? Weil NIS2 mehr ist als “noch ein Sicherheits-Buzzword”. Es handelt sich um ein EU-weit verbindliches Regelwerk, das verbindliche Cybersicherheitsmaßnahmen, Meldepflichten und sogar persönliche Haftung der Geschäftsführung vorsieht . Viele Unternehmen, die sich bislang nicht als „kritische Infrastruktur“ sahen – etwa Cloud-Dienste, SaaS-Plattformen oder Betreiber von Online-Communities – fallen nun erstmals in den regulatorischen Fokus . Hinzu kommt, dass die Umsetzung in Deutschland 2025 Hochaktuell ist: Das nationale NIS2-Umsetzungsgesetz verzögert sich politisch, aber die EU drängt auf zügige Einhaltung. Diese Gemengelage sorgt für Unsicherheit in der Startup-Szene – und genau hier möchte ich mit Fakten, „Lessons Learned“ und praxisnahen Tipps ansetzen.

Im Folgenden teile ich meine aktuellen Beobachtungen und Erfahrungen zur NIS2-Richtlinie im Jahr 2025. Ich gehe darauf ein, welche Unternehmen betroffen sind, welche neuen Pflichten konkret gelten und welche Herausforderungen sich bei der Umsetzung zeigen. Dabei schöpfe ich aus offiziellen Quellen (u.a. BSI, ENISA, EU-Kommission) und ersten Erfahrungswerten. Mein Ziel: Startups und mittelgroße Tech-Unternehmen sollen verstehen, was NIS2 für sie bedeutet – jenseits allgemeiner Cybersicherheitstrends – und wie sie sich bestmöglich darauf vorbereiten können.

NIS2 in Kürze: Was ist neu und wer ist betroffen?

NIS2 steht für die EU-Richtlinie 2022/2555 „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“. Sie trat im Januar 2023 in Kraft  und muss von den EU-Staaten bis Oktober 2024 in nationales Recht umgesetzt werden. Ihr Zweck: Die Cybersicherheit in weit mehr Sektoren stärken als bisher, um der heutigen Bedrohungslage gerecht zu werden. Im Unterschied zur ersten NIS-Richtlinie (2016) weitet NIS2 den Geltungsbereich massiv aus und verschärft die Pflichten sowie Sanktionen.

Welche Branchen deckt NIS2 ab? Die Richtlinie unterscheidet zwischen „wesentlichen“ (essential) und „wichtigen“ (important) Sektoren. Insgesamt sind es jetzt 15 Sektoren . Zum essential-Bereich zählen klassische kritische Infrastrukturen wie Energie, Gesundheit, Transport, Finanzwesen, Wasser, öffentliche Verwaltung – aber auch digitale Infrastruktur. Unter digitale Infrastruktur fallen z.B. Telekommunikation, Internet-Knoten, DNS, Cloud-Computing-Dienste, Rechenzentren und Vertrauensdienste . Hier ist wichtig: Cloud-Service-Provider werden explizit als kritische Infrastruktur betrachtet – ein Novum, das viele SaaS-Anbieter und Plattform-Betreiber betrifft, sofern sie als Cloud-Dienst qualifizieren.

Die important-Sektoren umfassen weitere Branchen, die zwar nicht unmittelbar lebenswichtig, aber dennoch von erheblicher Bedeutung sind. Dazu gehören etwa Hersteller kritischer Güter (z.B. Chemie, Maschinenbau), Post- und Logistikdienste, Abfallwirtschaft, Lebensmittelproduktion, Forschungseinrichtungen und – für uns besonders relevant – „digitale Diensteanbieter“. Unter digitalen Diensteanbietern versteht NIS2 vor allem Online-Marktplätze, Online-Suchmaschinen und Soziale Netzwerke– im Grunde die Kategorien, die schon unter der alten NIS1 als „Digital Service Providers“ galten. Eine Medien- oder Content-Plattform kann hier hineinfallen, wenn sie z.B. als soziales Netzwerk oder Marktplatz fungiert. Beispielsweise könnte eine Video-Plattform mit Community-Funktionen als soziales Netzwerk eingeordnet werden. Rein klassische Streamingdienste sind zwar nicht explizit genannt, dürften aber zumindest mittelbar betroffen sein: Sie nutzen Cloud- und Netz-Infrastruktur, die unter NIS2 steht, und ein Ausfall hätte weitreichende Auswirkungen – was die Behörden perspektivisch im Auge haben.

Größenschwellen: Ein wichtiger Aspekt – vor allem für Startups – ist die Frage der Unternehmensgröße. NIS2 zielt primär auf mittlere und große Unternehmen ab . Micro- und Kleinunternehmen (weniger als 50 Mitarbeiter und <10 Mio. € Umsatz) sind grundsätzlich ausgenommen, außer sie betreiben kritische Infrastruktur in Sonderfällen. Mittlere Unternehmen (50–249 Mitarbeiter, 10–50 Mio. Umsatz) und Großunternehmen (≥250 Mitarbeiter, >50 Mio. Umsatz) in den genannten Sektoren fallen hingegen in den Anwendungsbereich. Das heißt: Ein SaaS-Startup mit 20 Mitarbeitern muss formal noch keine NIS2-Pflichten erfüllen, selbst wenn es ein Cloud-Service ist. Aber Achtung: Wächst dieses Startup über die Schwelle oder bedient es kritische Kunden, rückt die Compliance-Anforderung schnell näher. Zudem können Mitgliedstaaten bestimmte kleinere „hochrisiko“ Unternehmen trotzdem einbeziehen, wenn sie von besonderer Bedeutung sind. In Deutschland etwa rechnet man damit, dass ca. 29.000 Unternehmen neu reguliert werden , indem man primär die mittleren und großen in den relevanten Branchen erfasst. SaaS-Anbieter und digitale Plattformen sollten also langfristig davon ausgehen, dass ab einer gewissen Größe kein Weg an NIS2 vorbeiführt. Und selbst wenn man (noch) klein ist, kann die Richtlinie indirekt wirken – z.B. durch Sicherheitsauflagen größerer Geschäftspartner in der Lieferkette.

Fazit dieser Kurz-Übersicht: NIS2 holt viele Tech-Firmen aus der „Komfortzone“. Was früher nur für Stromnetzbetreiber oder Banken galt, gilt nun bald auch für Cloud-Startups, Online-Marktplätze oder spezialisierte IT-Dienstleister. Gerade für die Zielgruppe SaaS und digitale Medien bedeutet das: Cybersicherheit wird vom Nice-to-have zur rechtlichen Pflicht (sobald gewisse Schwellen überschritten sind). Entsprechend wichtig ist es, die aktuellen Entwicklungen zu verfolgen – denn 2025 ist ein entscheidendes Jahr für die Umsetzung der NIS2-Richtlinie.

Aktueller Stand 2025: Umsetzung, Verzögerungen und dynamische Entwicklungen

Wo stehen wir im April/Mai 2025 bei der NIS2-Umsetzung? Nun, die Lage ist in Bewegung – und durchaus kompliziert auf EU-Ebene. Offiziell lief die Umsetzungsfrist am 17. Oktober 2024 ab . Doch viele Staaten schafften das nicht fristgerecht. Ende November 2024 hat die EU-Kommission Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten eingeleitet, weil diese die Richtlinie nicht pünktlich in nationales Recht übertragen hatten. Die Realität ist: NIS2 sollte bereits überall Gesetz sein, aber 2025 ist das Panorama sehr fragmentiert.

Einige Länder sind Vorreiter, andere hinken hinterher. Beispielsweise Belgien, Italien, Kroatien, Lettland, Litauen und ein paar weitere hatten ihre NIS2-Gesetze weitgehend pünktlich fertig. Frankreich, Dänemark, Niederlande kündigten Verzögerungen an und peilten Anfang 2025 an. Deutschland – unser Fokusland – hat seinen Gesetzentwurf zwar im Juli 2024 vorgestellt, aber er steckte im Parlament fest. Mitte 2024 war man noch optimistisch, NIS2 in Deutschland bis März 2025 durchzusetzen. Doch politische Turbulenzen haben das verzögert. Nach aktuellem Stand (Frühjahr 2025) ist die deutsche NIS2-Umsetzung weiterhin in Warteschleife. Der ursprüngliche Gesetzentwurf – das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – wurde im Oktober 2024 im Bundestag erstmals beraten, kam dann aber wegen Koalitionsstreitigkeiten nicht zur Verabschiedung. Inzwischen ist sogar von einer Verschiebung bis nach der Bundestagswahl Ende 2025 die Rede gewesen. Allerdings gibt es Signale, dass das Innenministerium einen „100-Tage-Plan“ schmiedet, um NIS2 doch schneller umzusetzen, sobald die politische Lage es zulässt. Kurz gesagt: In Deutschland herrscht derzeit Unklarheit, wann genau die NIS2-Pflichten scharf geschaltet werden – es könnte spät 2025 sein, oder mit Glück doch früher, falls der Gesetzgeber einen Zahn zulegt.

Was bedeutet diese Verzögerung praktisch? Einerseits mag man versucht sein zu denken: „Solange kein deutsches Gesetz da ist, müssen wir nichts tun.“ Diese Haltung ist riskant. Die EU-Kommission zeigt wenig Geduld mit säumigen Staaten; der Druck ist hoch, die Umsetzung schnell nachzuholen. Unternehmen in Deutschland wissen also, dass die Pflichten kommen – die Frage ist nur wann. Einige Länder um uns herum (z.B. Italien oder unsere Nachbarn in Polen/Niederlande ab 2025) haben ihre Regeln schon in Kraft. Für international tätige Anbieter gilt NIS2 de facto jetzt schon – sie müssen ggf. in anderen Ländern Compliance nachweisen. Zudem kann eine deutsche Verzögerung nicht darüber hinwegtäuschen, dass die Inhalte der Richtlinie fix sind. Wer klug ist, nutzt die Gnadenfrist und bereitet sich proaktiv vor. Später mehr dazu.

Ein zweiter aktueller Trend: Die Umsetzung variiert inhaltlich von Land zu Land. Zwar soll NIS2 die Regeln harmonisieren, doch aktuell entsteht ein Flickenteppich. Beispiel: Frankreich bezieht sogar lokale Behörden in den Anwendungsbereich mit ein, während Deutschland kommunale Stellen wohl ausnimmt. Solche Unterschiede zwingen paneuropäische Organisationen, mehrere Compliance-Regime parallel zu managen. Für ein SaaS-Unternehmen mit Kunden in mehreren EU-Staaten bedeutet das zusätzliche Komplexität in der Umsetzung. ENISA hat deshalb jüngst betont, wie wichtig grenzüberschreitende Abstimmung bleibt. Im ENISA NIS360 Report 2024 (veröffentlicht im März 2025) wird ausdrücklich gefordert, dass die Anforderungen überall möglichst einheitlich interpretiert werden und Aufsichtsbehörden sektorübergreifend zusammenarbeiten. Noch sind wir davon ein Stück entfernt, doch die EU-weite Kooperation nimmt Fahrt auf.

Dritter Punkt: erste Erfahrungen & Stimmungsbild. Auch wenn die Gesetze teils noch frisch oder im Werden sind, zeichnet sich ab, wo der Schuh drückt. Eine Umfrage von Juni 2024 ergab, dass zwar 80% der Unternehmen glaubten, NIS2 rechtzeitig erfüllen zu können, aber nur 14% tatsächlich schon compliant waren . Viele waren also übermäßig optimistisch – teilweise weil sie dachten, nationale Verzögerungen gäben ihnen Aufschub. Inzwischen, Anfang 2025, dämmert die Realität: Über 53% der Organisationen gaben zu, die NIS2-Anforderungen noch nicht richtig zu verstehen , und fast die Hälfte beklagte mangelnde Unterstützung durch die Führungsebene. Kurz: Die Vorbereitung verlief holprig. Genau hier sehe ich in meiner Beratungspraxis ebenfalls Lessons Learned: Unternehmen hätten frühzeitiger beginnen sollen, anstatt auf das endgültige Gesetz zu warten. Viele IT-Teams sind technisch durchaus fähig, aber ohne Rückendeckung des Managements blieben Projekte liegen. Dieses Problem greift NIS2 nun direkt auf – indem es Verantwortlichkeit auf Leitungsebene festschreibt. Geschäftsführungen können sich nicht länger rausreden, Cybersicherheit sei „Sache der IT“. Dazu gleich mehr.

Zusammengefasst steht NIS2 im Frühjahr 2025 an einer spannenden Schwelle: Die meisten Unternehmen müssen sich jetzt ernsthaft damit befassen, auch wenn in einigen Ländern (wie Deutschland) der letzte formale Paukenschlag noch aussteht. Es gibt erste Vorreiter-Erfahrungen, aber auch viel Unsicherheit. Für SaaS-Startups und Medienunternehmen heißt das: Die Zeit der Orientierung läuft. Man sollte jetzt die Gelegenheit nutzen, aus den bisherigen Erkenntnissen zu lernen und sich strategisch für die kommenden Audit- und Compliance-Anforderungen aufzustellen – anstatt später im Hauruckverfahren nachzubessern.

Konkrete NIS2-Pflichten: Was müssen SaaS- und Medien-Anbieter erfüllen?

Schauen wir nun ins Eingemachte: Welche Anforderungen stellt NIS2 eigentlich an Unternehmen? Die Richtlinie definiert einen Katalog von Cybersicherheitsmaßnahmen, den alle erfassten wesentlichen und wichtigen Einrichtungen umsetzen müssen. Diese Pflichten sind deutlich präziser und umfangreicher als frühere Vorgaben (z.B. aus NIS1 oder dem deutschen IT-Sicherheitsgesetz). Wichtig ist: Es geht nicht nur um Technik, sondern auch um organisatorische Prozesse und Governance. Hier ein Überblick der wichtigsten Compliance-Bausteine, zugeschnitten auf die typische Situation von SaaS-Startups und digitalen Plattformen:

• Risikomanagement und Sicherheitsstrategie: Unternehmen müssen Risikoanalysen durchführen und eine Policy für Informationssicherheit etablieren. Das bedeutet, es muss regelmäßig bewertet werden, welche Bedrohungen für die eigenen Systeme bestehen, und entsprechende Schutzmaßnahmen müssen geplant und dokumentiert sein. Für ein SaaS-Startup heißt das z.B.: Welche Daten und Dienste sind am kritischsten? Was passiert bei einem Ausfall? NIS2 verlangt einen systematischen Ansatz, kein Bauchgefühl. Die Maßnahmen sollen „angemessen zum Risiko“ sein, unter Berücksichtigung des Stands der Technik und der Unternehmensgröße – also proportionale Sicherheit, aber eben verpflichtend dokumentiert. Viele kleine Anbieter haben hier Nachholbedarf, da formales Risikomanagement oft Neuland für sie ist.
• Incident Response und Business Continuity: Vorfallserkennung und -behandlung sind Pflicht, ebenso Vorkehrungen für Geschäftskontinuität und Disaster Recovery . Konkret fordert NIS2, dass jedes betroffene Unternehmen einen Notfallplan hat: Wie reagieren wir auf Cyberangriffe? Wer informiert wen? Gibt es Backup-Systeme, und sind diese getestet? Für SaaS-Dienste, die Kunden-Workflows hosten, ist das zentral – ein Cloud-Ausfall kann hunderte Kunden lahmlegen. Ich empfehle Mandanten, ein Incident-Response-Team oder zumindest einen Ablaufplan parat zu haben. Die Richtlinie schreibt sogar Meldezeiten vor: Schwere Sicherheitsvorfälle müssen innerhalb von 24 Stunden zunächst gemeldet werden (Early Warning) und eine abschließende Berichtserstattung binnen 72 Stunden erfolgen. In komplexen Fällen kann zudem nach ca. einem Monat ein Abschlussbericht gefordert sein. Diese engen Fristen bedeuten, dass man Meldeprozesse und Kontaktstellen vorbereiten muss, sonst gerät man im Ernstfall unter Druck.
• Supply-Chain-Sicherheit: NIS2 betont erstmals stark die Lieferketten-Perspektive. Unternehmen müssen Sicherheitsaspekte bei ihren Dienstleistern und Zulieferern berücksichtigen. Für ein SaaS-Unternehmen heißt das z.B.: Welche Cloud-Infrastruktur nutzen wir (z.B. AWS, Azure)? Wie sichern wir Third-Party-Module oder Libraries ab, auf denen unser Service beruht? Verträge mit IT-Dienstleistern sollten Sicherheitsklauseln enthalten. Die Richtlinie verlangt, die Qualität und Sicherheitspraktiken der Lieferanten zu bewerten. Praktisch wird das viele Startups überfordern, denn die wenigsten prüfen bislang z.B. die ISO-Zertifizierungen ihrer Software-Zulieferer. Dennoch: Erwartbar ist, dass große Kunden solche Nachweise fordern – Compliance zieht nach unten Kreise. Ein Medien-Startup, das z.B. Streaming-Server von einem Drittanbieter bezieht, muss sich vergewissern, dass dieser Anbieter seinerseits ausreichend abgesichert ist. Hier entstehen neue Audit-Pflichten in der Lieferkette. Erste Hinweise aus der Praxis zeigen: Größere Unternehmen fragen bei ihren kleineren Partnern verstärkt nach Sicherheits-Checks oder Self-Assessments, um ihrer eigenen NIS2-Pflicht zu genügen. Startups sollten darauf vorbereitet sein.
• Sichere Systementwicklung und -wartung: Die Richtlinie verlangt Security by Design – Sicherheit in der Entwicklung, im Erwerb und in der Wartung von IT-Systemen, einschließlich Umgang mit Schwachstellen und Meldung von Sicherheitslücken. Für Softwareanbieter bedeutet das: Etabliert einen Prozess für Vulnerability Management. Z.B. regelmäßige Penetrationstests, Bug-Bounty-Programme oder zumindest schnelle Patch-Zyklen, wenn Lücken bekannt werden. Auch Policies zum Umgang mit Offenlegung von Schwachstellen (CVD – Coordinated Vulnerability Disclosure) sind Teil der Anforderungen. Ein SaaS-Anbieter sollte bspw. definieren: Wie können externe Sicherheitsforscher uns Lücken melden? Wie priorisieren wir Patches? – Diese Professionalität wird nun eingefordert. Das BSI wird hierzulande wahrscheinlich branchenspezifische Mindeststandards vorgeben. Im Finanzsektor etwa mag man strengere Vorgaben für Code-Integrität sehen als im Mediensektor. Dennoch gilt allgemein: Regelmäßige Updates, Patches und Code-Prüfungen sind kein freiwilliger Luxus mehr, sondern Pflichtprogramm unter NIS2.
• Überprüfung der Maßnahmen & Audits: NIS2 schreibt vor, dass Unternehmen die Wirksamkeit ihrer Cybersecurity-Maßnahmen regelmäßig bewerten  Mit anderen Worten: Es reicht nicht, einmal ein Konzept zu erstellen und dann ad acta zu legen. Es muss ein Prozess zur Überwachung und Verbesserung existieren. Das kann interne Audits bedeuten oder externe Prüfungen. Deutschland plant etwa, dass einige Unternehmen einen Nachweis ihrer IT-Sicherheit erbringen müssen  – vermutlich analog zu heutigen KRITIS-Betreiber-Prüfungen (die alle 2 Jahre ein Audit beim BSI vorlegen müssen). Für wichtige Einrichtungen könnte es erleichterte Nachweispflichten geben, aber auch sie müssen mit Stichprobenkontrollen rechnen. Das BSI wird deutlich mehr Firmen unter seiner Aufsicht haben und entsprechend Kontrollen durchführen. Für SaaS-Startups und Co. heißt das: Plant Ressourcen ein, um Compliance-Dokumentation zu pflegen, Reports zu schreiben und ggf. Prüfer zu bedienen. Gerade der Aspekt „Kontinuierliches Monitoring“ und Compliance-Monitoring-Systeme aufzubauen, ist neu für viele. Aber aus meiner Sicht lohnt sich hier z.B. die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 – das deckt viele NIS2-Punkte ab und kann als organisatorisches Rückgrat dienen. Einige meiner Mandanten sind bereits diesen Weg gegangen, um quasi NIS2-ready zu sein, bevor die Behörde es verlangt.
• Basismaßnahmen: Hygiene, Zugangskontrolle, Personal: NIS2 verlangt “basic cyber hygiene” und Security-Schulungen). Das klingt banal, ist aber wesentlich. Jedes erfasste Unternehmen muss seine Mitarbeiter in Cybersicherheit unterweisen und einfache Schutzmaßnahmen implementieren (z.B. regelmäßige Passwortwechsel, Software-Updates, Phishing-Schulungen). Ebenso Pflicht: Regelungen zur Zugriffssteuerung und Asset-Management . Wer darf worauf zugreifen? Sind Berechtigungen restriktiv und rollenbasiert vergeben? All das sollte dokumentiert sein. Für kleine Firmen ist das manchmal Neuland – man kennt jeden Mitarbeiter persönlich und hat informelle Abläufe. Aber NIS2 will hier professionelle Strukturen sehen, vergleichbar mit dem, was die DSGVO im Datenschutz forderte (Privacy by Design etc., übertragen auf Security by Design). Mitarbeiter-Training ist dabei ein entscheidender Faktor: Laut Umfragen ist menschliches Versagen weiterhin Hauptursache vieler Incidents, daher fordert die Richtlinie explizit kontinuierliche Sensibilisierung.
• Kryptografie und sichere Kommunikation: Ein weiterer Baustein sind Policies zum Einsatz von Kryptografie und Verschlüsselung. Unternehmen sollen Richtlinien haben, wo und wie Verschlüsselung zum Schutz von Daten angewandt wird – sei es bei Speicherung oder Übertragung. Praktisch bedeutet das z.B.: Nutzung von TLS 1.3 für alle Datenübertragungen, Verschlüsselung sensibler Datenbanken, ggf. Ende-zu-Ende-Verschlüsselung für bestimmte Dienste. Auch sichere Kommunikationswege intern werden angesprochen – etwa dass interne Kommunikation möglichst über gesicherte Kanäle erfolgen soll, und Notfallkommunikationssysteme ebenfalls abgesichert sein müssen. Für Medienunternehmen könnte z.B. die Absicherung von Live-Übertragungswegen oder Redaktionskommunikation relevant sein. Für SaaS-Anbieter ist klar: Ohne starke Verschlüsselung kein Vertrauen, und NIS2 untermauert das nun regulatorisch.
• Multi-Faktor-Authentifizierung (MFA): Schließlich verlangt NIS2, wo angemessen, den Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung für Zugänge. Für Webdienste, Admin-Zugänge und generell alle kritischen Logins sollte also MFA Standard werden. Ein SaaS-Service sollte seinen Kunden MFA anbieten und intern sowieso MFA erzwingen. In der Praxis von 2025 ist MFA zum Glück bereits weit verbreitet, aber NIS2 macht es eben verbindlich: Ein-Faktor-Logins (nur Passwort) gelten als unzureichend, außer in Sonderfällen. ENISA hat dies im Guidance nochmals betont – MFA ist ein „Must-have“ zur Kontoabsicherung.

Diese Aufzählung zeigt: NIS2-Compliance ist umfassend. Im Grunde muss ein Unternehmen ein vollständiges Cybersecurity-Programm implementieren, das von Governance (Policies, Verantwortlichkeiten) über technische Maßnahmen (Netzwerksicherheit, MFA, Encryption) bis hin zu Reaktion auf Vorfälle alles abdeckt. Für viele Startups klingt das nach viel Holz. Allerdings sind dies keine exotischen Anforderungen – es sind Best Practices, die große Unternehmen oft schon freiwillig (oder nach ISO27001) umsetzen. Neu ist, dass sie gesetzlich eingefordert und überprüft werden. Gerade SaaS- und Cloud-Anbieter werden hier in die Pflicht genommen, da auf ihnen viel anderer Digitalverkehr aufbaut. Medien-Startups und digitale Content-Plattformen sollten das ebenfalls ernst nehmen: Selbst wenn sie formal (noch) nicht fallen, ist es zur Risiko-Reduzierung und für die Skalierung ihres Geschäfts sinnvoll, diese Punkte früh anzugehen. Die Erwartungshaltung von Kunden, Investoren und Behörden geht eindeutig in Richtung nachweisbarer Cybersicherheit.

Praktische Umsetzungshürden: Worauf müssen sich kleinere Anbieter einstellen?

Die Theorie klingt klar – doch wie erlebt man die NIS2-Umsetzung in der Praxis? Gerade für kleine bis mittlere Unternehmen (KMU) offenbaren sich ein paar typische Herausforderungen:

1. Identifikation: Bin ich betroffen? Viele Unternehmen wissen anfangs gar nicht, dass sie unter NIS2 fallen (oder bald fallen werden). Die Einstufung nach Sektor und Schwellenwerten ist nicht trivial, insbesondere bei innovativen Geschäftsmodellen. Das BSI hat hierfür eigens ein Online-Tool („NIS2-Betroffenheitsprüfung“) entwickelt, das per Entscheidungsbaum Firmen eine erste Orientierung gibt. Schon diese Notwendigkeit zeigt: Die Abgrenzung ist komplex. Ein SaaS-Unternehmen muss sich fragen: Bieten wir eine Cloud Computing Dienstleistung im Sinne der Richtlinie? Haben wir ggf. >50 Mitarbeiter? Ein digitales Medien-Startup: Gelten wir als soziales Netzwerk oder Online-Plattform? – Diese Fragen sind mitunter juristisch zu prüfen. Tipp: Frühzeitig eine rechtliche Einordnung vornehmen lassen, um Planungssicherheit zu haben. Das BSI-Tool und die FAQ helfen als Start. In meiner Beratung erlebe ich oft Aha-Momente, wenn etwa ein mittelständischer SaaS-Provider merkt, dass er tatsächlich als „wichtige Einrichtung“ gilt und damit gesetzliche Pflichten auf ihn zukommen. Unterschätzt das nicht – Unwissen schützt hier nicht vor Strafe.

2. Ressourcen & Know-how: Die Umsetzung der genannten Maßnahmen erfordert Manpower und Fachwissen. Viele Startups haben aber keine dedizierte Sicherheitsabteilung. Die Geschäftsführung muss vielleicht zum ersten Mal jemanden explizit mit IT-Sicherheit beauftragen. NIS2 wird für mehr Unternehmen einen Security Officer nötig machen. Das BSI empfiehlt z.B., mindestens zwei verantwortliche Personen im Unternehmen für Informationssicherheit zu benennen und zu schulen. Diese Personen sollten idealerweise Kompetenzen aufbauen, ein Grundschutz oder ISO-Training machen etc. Das verursacht Aufwand und Kosten. Externe Beratung kann helfen, ist aber auch nicht billig. Zudem herrscht Fachkräftemangel im Security-Bereich, was die Suche erschwert. Dennoch gibt es Unterstützung: In Deutschland bietet etwa die Transferstelle Cybersicherheit kostenlose Hilfen für KMU an, um diese fit für NIS2 zu machen. Ebenso startet der Verein „Deutschland sicher im Netz“ mit dem FitNIS2-Navigator ein Tool, um KMU Schritt für Schritt zu begleiten. Lesson Learned: Es ist klug, sich Hilfe zu holen und nicht alles alleine stemmen zu wollen. Sowohl interne Weiterbildung als auch externe Ressourcen sollten eingeplant werden, damit die Umsetzung nicht an Personalmangel scheitert.

3. Technische Umsetzung und Legacy-Probleme: Junge Startups haben oft modernere Tech-Stacks und können Sicherheitsfunktionen relativ zügig integrieren. Schwieriger ist es bei gewachsenen Systemen (Stichwort Legacy Code). NIS2 fordert z.B. durchgehend aktuelle Verschlüsselung – wer aber alte Dienste ohne TLS laufen hat, muss diese migrieren. API-Sicherheit, die im allgemeinen Cyber-Beitrag schon Thema war, ist ebenfalls ein Knackpunkt: Offene Schnittstellen müssen abgesichert, Rate Limiting eingeführt, Logging verbessert werden. Das kostet Entwicklungszeit. Für App-Entwickler im Medienbereich kann z.B. die Forderung nach Datenschutz und Integritätsschutz bedeuten, dass man zusätzliche Verschlüsselungslayer einbauen muss. Einige meiner Mandanten mussten ihr Produkt-Backlog anpassen, um Compliance-Features vorzuziehen – etwa Audit-Logs, 2FA einbauen, oder ein System für Sicherheitsupdates der Kundeninstanzen entwickeln. Die Herausforderung liegt darin, Security-Updates parallel zum normalen Feature Development voranzutreiben, ohne das Kerngeschäft zu bremsen. Hier ist Priorisierung und Kommunikation wichtig: NIS2-Compliance ist nicht „nice to have next year“, sondern möglicherweise Voraussetzung, um bestimmte Kunden (etwa öffentliche Hand, größere Konzerne) überhaupt bedienen zu dürfen. Diese Einsicht hilft oft, intern die nötigen Ressourcen freizuschaufeln.

4. Meldepflichten und Kommunikation: Viele kleinere Unternehmen haben noch nie mit einer Behörde in Sachen Cybervorfall kommuniziert. NIS2 wird das ändern, denn Sicherheitsvorfälle müssen an die zuständige Behörde oder das nationale CERT gemeldet werden. In Deutschland wird dies wohl das BSI sein. Was meldet man? – Beispielsweise einen erfolgreichen Ransomware-Angriff, der den Dienst beeinträchtigt, oder einen großen Datendiebstahl. Die Schwelle sind „signifikante“ Vorfälle, genaue Kriterien legt das Gesetz fest. Die Hürde: Man braucht interne Prozesse, um solche Vorfälle zu erkennen und binnen 24 Stunden die wichtigsten Infos zusammenzutragen. Dazu gehören erste Einschätzung des Incident-Typs, betroffene Systeme, vermutete Ursache. Später müssen detaillierte Reports nachgereicht werden (inkl. Schweregrad, Auswirkungen, ergriffene Gegenmaßnahmen). Das ist Neuland für viele – bisher wollte man Sicherheitsvorfälle eher vertuschen als offenbaren. Kulturwandel: NIS2 will Transparenz, damit andere gewarnt werden und der Staat einen Lageüberblick hat. Unternehmen müssen lernen, offen und schnell mit solchen Situationen umzugehen. Ich rate Mandanten, Notfallkommunikationspläne zu erstellen, nicht nur für die Behörde, sondern auch für Kunden und Öffentlichkeit. Es ist besser, vorbereitet zu sein, als in der Krise kopflos zu agieren. Anfangsschwierigkeiten sind vorprogrammiert – etwa: Wen erreicht man am Freitagabend im BSI? Was passiert, wenn man einen Fehlalarm meldet? Diese praktischen Fragen werden 2025 in den ersten Fällen sicher auftauchen, und Behörden wie Unternehmen werden voneinander lernen müssen.

5. Aufsichtsdruck und Haftungsrisiken: Ein gewichtiges Thema, das den Druck auf Unternehmen enorm erhöht, sind die angedrohten Strafen und persönlichen Haftungsfolgen. NIS2 setzt den Rahmen für empfindliche Bußgelder: bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes bei Verstößen für wesentliche Unternehmen, und bis zu 7 Mio. € oder 1,4% vom Umsatz für wichtige Unternehmen – je nachdem, was höher ist. Diese Zahlen erinnern an die DSGVO und sollen abschreckend wirken. Deutschland wird diese Maxima wohl ausschöpfen (der Referentenentwurf nannte ähnliche Summen). Für Startups können schon viel kleinere Strafen existenzbedrohend sein. Neben Geldstrafen droht Rufschädigung, wenn bekannt wird, dass man gegen Sicherheitsauflagen verstoßen hat. Zudem – und das ist besonders heikel – werden Führungskräfte in die Pflicht genommen. NIS2 verlangt von den Management-Boards Nachweise für Engagement in Cybersecurity. In Deutschland war diskutiert, die persönliche Haftung der Geschäftsführung zu verschärfen Während genaue Haftungsregeln national festgelegt werden, deutet sich an: Geschäftsführer können bei Vernachlässigung der NIS2-Pflichten persönlich belangt werden (bis hin zu Organhaftung oder temporären Berufsverboten). Das BSI betont daher: Übernehmen Sie als Leitung Verantwortung – sprich, das Top-Management soll aktiv an Riskomanagement und Sicherheitskultur mitwirken Für einige Gründer und Geschäftsführer in der Tech-Szene, die vielleicht mehr Produkt- oder Vertriebsfokus hatten, ist das ein Weckruf. Ich mache in Beratungen deutlich: Cybersicherheit gehört auf die Chefetage. Es reicht nicht, einen Admin „irgendwas machen“ zu lassen. Vorstände sollten sich schulen lassen (hier gibt es z.B. vom Allianz für Cybersicherheit Handbücher und Toolkits speziell für Entscheider und regelmäßige Lageberichte zur IT-Sicherheit einfordern. Dieser kulturelle Wandel ist zwar eine Herausforderung, bietet aber auch Chance: Wer als CEO das Thema zur Chefsache macht, sendet ein starkes Signal an Kunden und Investoren, dass sein Unternehmen reif und verantwortungsbewusst handelt. Das kann sogar zum Wettbewerbsvorteil werden.

6. Branchenspezifische Feinheiten: Jedes Segment hat so seine Spezialfälle. SaaS-Startups zum Beispiel operieren oft komplett in der Cloud – hier ist Cloud-Security das A und O. Konzepte wie Zero Trust, Container-Sicherheit, Mandantentrennung etc. müssen eventuell ausgebaut werden. Wenn ein SaaS kritische Geschäftsdaten seiner Kunden hostet, muss es entsprechende Verfügbarkeits-Garantien und Notfallpläne bieten (Stichwort redundante Rechenzentren, Backup-Policies). Medienplattformen dagegen könnten spezielle Anforderungen im Bereich Jugendschutz oder Datenschutz haben, die parallel laufen – NIS2 kommt da on top. Sie müssen eventuell zwei Regulierungen vereinen: Einerseits Inhalte rechtlich managen (Medienstaatsvertrag, DSGVO), andererseits nun die technische Sicherheit (NIS2). Ein Beispiel: Ein Streamingdienst, der personalisierte Streams anbietet, muss sowohl die personenbezogenen Daten schützen (DSGVO) als auch die Service-Continuity sicherstellen (NIS2 – Ausfallprävention). Diese Überschneidungen können Ressourcen binden und Priorisierung erfordern. Zudem sind Medienunternehmen öfter Ziel von Hacktivisten oder DDoS-Angriffen aus politischen Motiven. Hier zahlt sich robustes Incident Response aus, um z.B. im Fall eines Angriffs auf die Plattform trotzdem News verbreiten zu können. Kurzum, jede Branche hat eigene „Kronjuwelen“, die es zu schützen gilt – NIS2 gibt den Rahmen, aber die konkrete Umsetzung muss branchenspezifisch ausgestaltet werden. ENISA hat deshalb empfohlen, dass in der laufenden Transpositionsperiode sektorspezifische Umsetzungshinweise entwickelt werden sollen. In Deutschland ist zu erwarten, dass z.B. für den Bereich Digitale Dienste (wozu SaaS zählt) und Digitale Infrastruktur (Cloud etc.) eigene Handreichungen erscheinen. Die IHKs und Branchenverbände arbeiten teils schon an solchen Leitfäden. Ich beobachte etwa, dass der Bitkom und eco Verband Webinare zu NIS2 für ihre jeweiligen Mitglieder organisieren – ein Zeichen, dass die Branchen sich auf ihre Besonderheiten fokussieren.

7. Synergien mit anderen Compliance-Themen: Last but not least fühlen sich manche Unternehmen 2025 von parallelen Regulierungswellen überrollt. Neben NIS2 stehen ja noch Dinge wie der EU Cyber Resilience Act (Produkt-Cybersicherheit) im Raum, die Digital Operational Resilience Act (DORA) für Finanz-IT, die DSA/DMA im Online-Plattform-Bereich, etc. Die Gefahr besteht, dass man jedes dieser Themen isoliert betrachtet und doppelte Aufwände hat. Ich rate dazu, wo möglich Synergien zu nutzen: Ein grundlegendes Sicherheitskonzept und ISMS hilft nicht nur für NIS2, sondern auch für viele andere Regelungen. Prozesse wie Incident Response, Lieferantenbewertung oder Mitarbeiterschulung lassen sich so aufsetzen, dass sie mehreren Anforderungen genügen. So wird aus der Herausforderung NIS2 vielleicht der Anstoß, generell Professionalität in der IT-Sicherheit zu erhöhen – was langfristig nur Vorteile bringt. Anders gesagt: NIS2-Compliance sollte kein lästiges Pflichtprogramm sein, sondern Teil der Unternehmensstrategie werden, die gleichzeitig die allgemeine Resilienz steigert. Einige fortschrittliche Startups werben bereits damit offensiv: „Wir erfüllen höchste Sicherheitsstandards (NIS2, ISO 27001 etc.)“ – was Kundenvertrauen schafft. Diese positive Sichtweise zu vermitteln, gehört auch zu den Aufgaben eines Rechtsberaters.

Fazit und Ausblick: NIS2-Compliance als Chance für die Startup-Szene

Auch wenn es paradox klingt: Ein eigener Blogpost zu NIS2-Compliance 2025 ist nicht nur relevant, sondern überfällig. Warum? Weil die Thematik so speziell und vielschichtig ist, dass sie in allgemeinen Cybersecurity-Artikeln untergeht. Gerade SaaS- und Medien-Startups laufen Gefahr, NIS2 zunächst zu ignorieren („betrifft uns doch nicht, wir sind nicht KRITIS“) – um dann plötzlich von Pflichten und Audits überrascht zu werden, wenn sie gewachsen sind oder wenn ein großer Kunde Compliance einfordert. Mein Ziel mit diesem Beitrag war es, aufzuzeigen, was jetzt Sache ist: NIS2 bringt EU-weit eine neue Sicherheitskultur in die digitale Wirtschaft (NIS2UmsuCG: Alles Wissenswerte zur Richtlinie). Es reicht nicht mehr, Sicherheit irgendwie mitlaufen zu lassen; sie wird zur Chefsache und zur Compliance-Disziplin – mit Gesetzen, Berichten, Prüfungen und empfindlichen Konsequenzen bei Nachlässigkeit.

Für Deutschland speziell bedeutet die Verzögerung der gesetzlichen Umsetzung kein Aufatmen, sondern die Ruhe vor dem Sturm. Die BSI-Aufsicht wird sich massiv ausweiten – von ein paar hundert KRITIS-Betreibern auf zigtausend Unternehmen quer durch alle Branchen. Das BSI selbst signalisiert, dass es Unternehmen unterstützen will, aber natürlich auch durchgreifen muss, wenn Anforderungen ignoriert werden. Ich rechne damit, dass spätestens 2025/26 erste Bußgelder oder zumindest Verwarnungen nach NIS2 publik werden, ähnlich wie wir es von DSGVO-Verstößen kennen. Kein Startup möchte das erste Negativbeispiel sein, das wegen schlechter Security vorgeführt wird.

Positiv formuliert: Wer jetzt die Weichen richtig stellt, kann vorne mitspielen. Es geht nicht darum, blind neue Bürokratie aufzubauen, sondern die eigene Widerstandsfähigkeit gegen Cyberangriffe zu stärken – und das gegenüber Behörden und Kunden belegen zu können. NIS2 zwingt uns Juristen und Techies, an einem Strang zu ziehen: Rechtskonforme IT-Sicherheit ist das Stichwort. Für mich als beratenden Anwalt heißt das, ich helfe Mandanten beim Übersetzen der rechtlichen Vorgaben in praktikable Maßnahmen (z.B. welche Policies werden gebraucht, wie gestaltet man Verträge mit Dienstleistern neu, welche Schulungen sind sinnvoll). Die Erfahrung zeigt: Mit einer pragmatischen, risikobasierten Herangehensweise lässt sich auch NIS2 stemmen – selbst im KMU-Umfeld. Wichtig ist, dass das Management dahinter steht und die richtigen Fragen stellt: Haben wir unsere Kronjuwelen identifiziert und geschützt? Was tun wir im Ernstfall? Erfüllen wir alle Meldepflichten? – Wenn diese Fragen regelmäßig gestellt und beantwortet werden, ist man auf einem guten Weg.

Zum Abschluss möchte ich betonen, dass NIS2-Compliance kein Selbstzweck ist. Ja, es geht um Regulierung und Pflichterfüllung. Aber im Kern geht es darum, unsere zunehmend digitale Geschäftswelt vor realen Gefahren zu schützen. Ob SaaS-Tool oder Medienplattform – ein schwerer Cyberangriff kann Existenzen bedrohen, Nutzervertrauen zerstören und ganze Geschäftsmodelle crashen. NIS2 liefert einen Rahmen, um dem vorzubeugen, und holt dabei nun auch die Startup-Szene mit ins Boot der Verantwortlichkeit. Ich persönlich begrüße diese Entwicklung, weil sie langfristig Professionalität und Vertrauen in der Tech-Branche fördert. Die Umsetzung mag im Einzelnen herausfordernd sein, aber sie lohnt sich. Oder um es pragmatisch zu sagen: Lieber investieren wir jetzt in Sicherheit und Compliance, als später den Schaden zu beheben – oder Strafen zu zahlen. In diesem Sinne: Nutzen wir die Chance, 2025 als Lern- und Aufbaujahr für NIS2-Standards zu sehen. Ich unterstütze meine Mandanten dabei gerne und werde die weiteren Entwicklungen (national wie EU-weit) genau beobachten – Stoff für künftige Blogposts gibt es reichlich.

NIS2 ist gekommen, um zu bleiben. Machen wir das Beste draus und sorgen wir dafür, dass gerade unsere agilen SaaS- und Medien-Startups sich nicht als Nachzügler, sondern als Vorreiter einer sicheren digitalen Zukunft positionieren. Die Relevanz dieses Themas steht für mich außer Frage – 2025 und darüber hinaus.