IT-SicherheitNIS2 im Handwerk: Betroffenheit prüfen und IT-Sicherheit stärken

Funktionierende kritische Infrastrukturen sind die Grundlage unseres Alltags und unserer Wirtschaft. Fällt ein Energieversorger, ein Krankenhaus oder ein zentraler IT-Dienstleister durch einen Cyberangriff aus, sind die Folgen für eine ganze Region spürbar. Genau hier setzt die europäische NIS2-Richtlinie an: Sie soll das Cybersicherheitsniveau in besonders relevanten Branchen EU-weit anheben – und bezieht dabei deutlich mehr Unternehmen ein als die Vorgängerregelung.

Auch wenn die meisten Handwerksbetriebe nicht im Zentrum der Regulierung stehen, lohnt sich ein genauer Blick: Das Thema betrifft das Handwerk an mehreren Stellen – direkt, über Lieferketten oder schlicht, weil Cyberkriminelle längst auch kleinere Betriebe ins Visier nehmen.

Jetzt prüfen: Sind Sie betroffen?

Bevor Sie sich mit den weiteren Pflichten beschäftigen, lohnt sich zunächst eine schnelle Einschätzung der eigenen Betroffenheit. Dafür stehen kostenfreie Online-Tools zur Verfügung:

NIS-2-Betroffenheitsprüfung des Bundesamt für Sicherheit in der Informationstechnik (BSI)
NIS2-Betroffenheitscheck der Transferstelle Cybersicherheit im Mittelstand (auch für Handwerksbetriebe konzipiert)
NIS-2-FAQ des Bundesamt für Sicherheit in der Informationstechnik (BSI)
BSI-Melde- und Informationsportal (Registrierung)
Anleitung zur Registrierung im BSI-Melde- und InformationsportalPortal

Wichtig: Diese Checks liefern eine automatisierte Ersteinschätzung – sie ersetzen keine vertiefte Prüfung.

Unterstützung durch die Handwerkskammer Magdeburg

Ob Betroffenheitsprüfung, Einordnung Ihres Betriebs oder erste Schritte zu mehr IT-Sicherheit: Das Beratungsteam der Handwerkskammer Magdeburg unterstützt und berät Sie gern zu den nächsten Schritten.

Das NIS2-Umsetzungsgesetz: Wer ist betroffen?

Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz in Kraft. Es hat das bisherige BSI-Gesetz grundlegend überarbeitet und verpflichtet Unternehmen in 18 definierten Sektoren – von Energie über Gesundheit bis zum verarbeitenden Gewerbe – zu umfassenden Cybersicherheitsmaßnahmen.

Ob ein Betrieb betroffen ist, hängt von zwei Faktoren ab: der Branche (Anlage 1 und 2 des Gesetzes) und der Unternehmensgröße. § 28 Absatz 2 des neuen BSI-Gesetzes definiert unter anderem die Voraussetzungen für sogenannte „wichtige Einrichtungen“ wie folgt:

§ 28 Abs. 2 BSI-Gesetz (Auszug) – Wichtige Einrichtungen

Als wichtige Einrichtungen gelten u. a. sonstige natürliche oder juristische Personen, die anderen entgeltlich Waren oder Dienstleistungen anbieten und die einer der in den Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen sind und

mindestens 50 Mitarbeiter beschäftigen oder
einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

Quelle: BSI-Gesetz vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301)

Für das Handwerk heißt das: Die meisten Betriebe liegen unterhalb dieser Schwellenwerte und sind damit nicht unmittelbar zur Registrierung verpflichtet. Genauer hinschauen sollten dennoch:

größere Betriebe aus dem Elektro-, Metall- oder Fahrzeugbereich, die unter die einschlägigen Branchenkategorien des verarbeitenden Gewerbes fallen (z. B. Herstellung elektrischer Ausrüstungen, Maschinenbau, Kraftfahrzeugteile) und die genannten Schwellenwerte überschreiten,
Betriebe mit Bezug zu Energieinfrastruktur, etwa beim Betrieb größerer Ladeinfrastruktur oder digitaler Energiedienste,
Zulieferer und Dienstleister größerer, selbst NIS2-pflichtiger Unternehmen: Über die im Gesetz vorgeschriebene Sicherheit der Lieferkette können Anforderungen vertraglich auch an kleinere Partner weitergegeben werden – unabhängig von der eigenen Betriebsgröße.

Betroffene Unternehmen müssen unter anderem:

angemessene Risikomanagementmaßnahmen für ihre IT-Systeme umsetzen,
erhebliche Sicherheitsvorfälle innerhalb fester Fristen melden (Erstmeldung binnen 24 Stunden, Folgemeldung binnen 72 Stunden),
sich beim BSI registrieren.

Registrierung: Frist verstrichen, Zahlen unter den Erwartungen

Die gesetzliche Frist zur Registrierung lief drei Monate nach Inkrafttreten des Gesetzes ab. Nach Einschätzung des BSI haben sich bislang jedoch deutlich weniger Unternehmen registriert als erwartet – das geht aus einem aktuellen Rundschreiben des Zentralverbands des Deutschen Handwerks (ZDH) hervor. Betroffene Betriebe, die ihre Registrierung noch nicht vorgenommen haben, sollten dies nach Erwartung des BSI spätestens bis zum 31. Juli 2026 nachholen.

Auch ohne NIS2-Pflicht: IT-Sicherheit gehört auf die Tagesordnung

Selbst wenn Ihr Betrieb nicht unter die NIS2-Pflichten fällt, sollte IT-Sicherheit fester Bestandteil des betrieblichen Alltags sein. Die Bedrohungslage betrifft längst nicht mehr nur große Unternehmen: Laut der Bitkom-Wirtschaftsschutz-Studie 2025 wurden 87 Prozent der deutschen Unternehmen in den vergangenen zwölf Monaten Opfer von Datendiebstahl, Industriespionage oder Sabotage. Cyberangriffe verursachen inzwischen rund 70 Prozent des dadurch entstandenen Gesamtschadens von 289,2 Milliarden Euro – Tendenz steigend. Besonders verbreitet sind Ransomware-Angriffe, bei denen Daten verschlüsselt und nur gegen Lösegeld wieder freigegeben werden: 2025 war bereits gut ein Drittel der befragten Unternehmen betroffen, fast dreimal so viele wie noch 2022.

Ein einziger erfolgreicher Angriff kann für einen Handwerksbetrieb existenzbedrohend sein – durch Produktionsausfall, Datenverlust oder Vertrauensverlust bei Kunden. Einige einfache Maßnahmen senken das Risiko bereits deutlich:

regelmäßige, getestete Datensicherungen (Backups),
zeitnahe Updates für Betriebssysteme, Software und Firmware,
Zwei-Faktor-Authentifizierung für wichtige Zugänge,
Sensibilisierung der Beschäftigten für Phishing-Mails und Betrugsversuche,
ein einfacher Notfallplan für den Ernstfall.

Ansprechperson:

Karsten Gäde

Berater für Innovation und Technologie (BIT)
IT-Sicherheitsbotschafter im Handwerk
CSR-Manager

Tel. 0391 6268-212

Fax 0391 6268-110

kgaede--at--hwk-magdeburg.de