Die NIS-2-Richtlinie (Directive (EU) 2022/2555) ist die Nachfolgerin der NIS-1-Richtlinie und verschärft die Anforderungen an Cybersicherheit für tausende Unternehmen in der EU. Sie ist seit Ende 2022 in Kraft, die nationale Umsetzung in Deutschland (NIS2UmsuCG) verzögert sich – die Anforderungen gelten dennoch.
Wer fällt unter NIS-2?
Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio EUR Umsatz in einer der „wesentlichen" oder „wichtigen" Sektoren – darunter Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur, Wasser, öffentliche Verwaltung, Post, Lebensmittel, Chemie, Industrie, IT-Dienste und Forschung. In Deutschland sind 30.000 bis 40.000 Unternehmen betroffen.
Business Continuity Management: dokumentierte Pläne
Auswirkungen auf ERP-Anwender
ERP-Systeme sind Kernziele für Cyberangriffe – sie enthalten Stamm-, Transaktions- und Finanzdaten und sind oft mit dutzenden Drittsystemen verbunden. NIS-2-konforme ERP-Strategie umfasst:
Zertifizierte Cloud-Rechenzentren in der EU
SBOM (Software Bill of Materials) für Module und Konnektoren
Patch-Management mit klaren SLAs
Identity- und Access-Management mit MFA
Audit-Logs und unveränderliche Protokollierung
Penetration-Tests mindestens jährlich
Praxis-Beispiel: NIS-2-Compliance im Mittelstand
Seit Oktober 2024 müssen mittelständische Unternehmen mit 50+ Mitarbeitenden in 18 als kritisch eingestuften Sektoren (Energie, Gesundheit, Lebensmittel, IT-Dienstleister, Verkehr und mehr) erweiterte Cybersecurity-Maßnahmen umsetzen — die NIS-2-Richtlinie ist EU-weit gültig. Konkret bedeutet das: Risiko-Management mit ISMS (Information Security Management System), Incident-Reporting an BSI binnen 24 Stunden, Lieferketten-Sicherheit, Notfallvorsorge, regelmäßige Sicherheits-Schulungen. ERP-Systeme als kritische Geschäftsanwendung sind Hauptziel von Angriffen — entsprechend strenge Anforderungen an Zugriffs-Kontrollen, Patch-Management, Audit-Logs und Backup-Strategie. Bei Verstößen drohen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Häufige Fragen zu NIS-2
Bin ich von NIS-2 betroffen? Direkt: ab 50 MA und 10 Mio. € Umsatz in einem der 18 kritischen Sektoren. Indirekt: Lieferanten von NIS-2-pflichtigen Unternehmen müssen entsprechende Sicherheits-Standards nachweisen. Welche ERP-Funktionen sind relevant? Multi-Faktor-Authentifizierung, Berechtigungs-Management mit Need-to-Know-Prinzip, Audit-Logs für alle Änderungen, verschlüsselte Daten-Übertragung, Backup-Verschlüsselung, Notfall-Procedures. Was kostet NIS-2-Compliance? Bei einem 100-MA-Mittelständler typisch 80.000-300.000 € einmalig (ISMS-Aufbau, Tools, Schulung) plus 30.000-100.000 € jährlich (Wartung, Audits, Dokumentation). Welche Cloud-ERPs erfüllen NIS-2? Microsoft Dynamics 365 (mit zertifizierten EU-Rechenzentren), SAP S/4HANA Cloud, Oracle NetSuite — alle mit ISO 27001 und BSI-C5 zertifiziert.
Bis zu 10 Mio EUR oder 2 Prozent des weltweiten Jahresumsatzes – höher als die DSGVO. Zusätzlich Anordnungen und persönliche Haftung der Geschäftsleitung.
Lizenzgebühren machen typisch nur 25-35 % der Gesamtprojektkosten aus, die restlichen 65-75 % entstehen für Implementation, Customizing, Schulung und Datenmigration.
Wann muss ich NIS-2 umgesetzt haben?
Die EU-Frist war Oktober 2024. Die deutsche Umsetzung verzögert sich, die Anforderungen gelten dennoch faktisch.
In der Praxis variiert die genaue Ausgestaltung je nach Branche, Größenklasse und Customizing-Tiefe des konkreten ERP-Setups.
