Seit Donnerstag gilt die NIS-2-Richtlinie in Deutschland. Die meisten Online-Unternehmerinnen in meiner Bubble sind nicht betroffen – aber genau deshalb solltest du jetzt handeln.
Lesezeit: 10 Minuten | Aktualisiert: November 2025
Es gibt Momente, in denen das Universum dir zeigt, dass du genau das Richtige tust.
Für mich war dieser Moment am Freitag. Ich saß an meinem Schreibtisch, nahm eine Podcast-Folge über Cybersecurity auf – und genau in diesem Moment klingelte mein Handy.
Ein Ping-Anruf. Aus dem Vereinigten Königreich.
More on point geht wirklich nicht.
Denn genau darum geht es bei Cybersecurity: Um die Realität, dass unsere Daten ständig im Visier sind. Dass Hacker nicht nur “die Großen” angreifen. Und dass wir alle – egal wie klein unser Business gerade ist – Verantwortung tragen.
Am Donnerstag hat Deutschland die NIS-2-Richtlinie in deutsches Recht umgesetzt. Über ein Jahr zu spät, aber jetzt ist sie da. Und während die meisten Medien darüber berichten, wer jetzt alles betroffen ist, möchte ich dir eine andere Perspektive zeigen:
Warum Cybersecurity dein nächster Wettbewerbsvorteil sein könnte – auch wenn du nicht unter NIS-2 fällst.
Der große Spoiler: Du bist wahrscheinlich nicht betroffen
Lass uns mit den harten Fakten starten. NIS-2 gilt nur, wenn BEIDES (Nr. 1 und 2) zutrifft:
1. Unternehmensgröße:
- Mindestens 50 Mitarbeiter ODER
- Mindestens 10 Mio. € Jahresumsatz
2. Branche:
Du arbeitest in einem kritischen oder wichtigen Sektor – zum Beispiel:
- Digitale Infrastruktur (Cloud-Anbieter, Hosting, DNS-Dienste)
- IT-Dienstleister (Managed Services)
- Große E-Commerce-Plattformen (wie Amazon, Shopify, Udemy)
- Energie, Verkehr, Gesundheit, Wasserversorgung
Wenn du unter diesen Schwellenwerten liegst: Du bist nicht NIS-2-pflichtig.
Und ich weiß, mit wem ich arbeite. Die allermeisten von euch haben vielleicht 2-3 Angestellte. Viele arbeiten nur mit Freelancern. Und ehrlich? Mittlerweile arbeiten viele von uns sogar komplett ohne menschliche Mitarbeiter – nur noch mit digitalen Tools und Automatisierung.
Also: Schätzungsweise 80% können aufatmen.
Aber genau deshalb solltest du weiterlesen
Hier ist der Punkt, den die meisten übersehen:
NIS-2 ist nicht das Problem. NIS-2 (oder besser noch das gesamte Thema Cybersecurity) ist die Chance.
Denn während die “Großen” jetzt unter Druck stehen, Meldepflichten erfüllen müssen und innerhalb von 24 Stunden erhebliche Störungen an Behörden melden müssen – hast du die Freiheit, proaktiv zu handeln.
Ohne Druck. Ohne Panik. Mit System.
Und genau das ist der Wettbewerbsvorteil.
Warum Cybersecurity ein Vertrauensfaktor ist
Stell dir vor, du bist auf der Suche nach einer Coach. Oder einer Beraterin. Oder einer Agentur.
Du hast zwei Optionen:
Option A:
Sagt nichts zu Datensicherheit. Nutzt irgendwelche Tools. Du weißt nicht, wo deine Daten landen.
Option B:
Sagt klar und transparent:
“Ich habe mich intensiv mit Cybersecurity auseinandergesetzt. Deine Daten werden auf EU-Servern gespeichert. Ich nutze 2-Faktor-Authentifizierung für alle Systeme. Und ich habe einen Notfallplan, falls doch mal was passiert.”
Für wen würdest du dich entscheiden?
Genau.
Cybersecurity ist kein technisches Thema. Es ist ein Vertrauensthema.
Und Vertrauen ist – gerade im Online-Business – das wertvollste Gut, das du haben kannst.
“Jedes System ist hackbar” – und was das für dich bedeutet
Mein Mann ist Software-Entwickler. Und er sagt immer wieder einen Satz, der mir anfangs Angst gemacht hat:
“Jedes System ist hackbar.”
Die Frage ist nur: Wie lange brauchen die besten Hacker der Welt dafür?
Und hier kommt der Denkfehler, den viele machen:
“Ich bin für Hacker total uninteressant. Ich bin noch viel zu klein. Ich habe nichts zu verbergen.”
Klingt logisch. Ist aber falsch.
Denn Hacker suchen nicht nach “interessanten” Zielen. Sie suchen nach einfachen Zielen.
Nach Systemen, die nicht gesichert sind. Nach Passwörtern, die zu simpel sind. Nach Unternehmen, die sich keine Gedanken gemacht haben.
Und genau deshalb ist es so wichtig, jetzt anzufangen – auch wenn du noch klein bist.
Der Live-Moment: Mein Ping-Anruf während der Aufnahme
Zurück zu meinem Handy-Moment:
Ich nahm die Podcast-Folge auf. Sprach gerade darüber, wie wichtig Cybersecurity ist. Und dann: “Bing bing bing”.
Ein Ping-Anruf aus dem Vereinigten Königreich.
Ich hatte nicht mal die Chance, ranzugehen. Das Handy klingelte nur kurz – und dann war Ruhe.
Was ist ein Ping-Anruf?
Das war 2010 das Erste, was ich an der Uni gelernt habe:
Niemals, wirklich NIEMALS rufst du so eine Nummer zurück.
Ping-Anrufe funktionieren so:
- Jemand ruft dich an
- Lässt es nur ganz kurz klingeln
- Hofft, dass du zurückrufst
- Und dann rufst du eine kostenpflichtige Nummer an
Damit machen die Milliarden. Wirklich. Milliarden.
Und woher haben die meine Handynummer?
Weil irgendwo meine Daten geleakt oder gehackt wurden.
Und nein, diese Nummer findest du nicht öffentlich im Internet. Ich habe andere Nummern, die in meinem Impressum stehen. Aber diese nicht.
Das heißt: Irgendwo – bei irgendeinem Anbieter, den ich genutzt habe – sind meine Daten durchgesickert.
Und ich ärgere mich die Pest darüber.
Aber es zeigt auch: Das Thema ist real. Und es betrifft uns alle.
Mein Weg weg von Cloud-Services (und was du daraus lernen kannst)
Ich möchte dir etwas Persönliches erzählen – nicht, weil du es genauso machen sollst, sondern weil es zeigt, dass es Alternativen gibt.
Ich bin mittlerweile weitgehend weg von großen Cloud-Services. Ich nutze kein Microsoft Office mehr. Ich speichere meine Mandatsdetails nicht in der Cloud, sondern lokal – auf meinem eigenen Server.
Warum?
Weil ich für mich entschieden habe, dass ich die Kontrolle über meine Daten behalten möchte. So wie ich früher einen Aktenschrank in meinem Büro gehabt hätte, den ich abgeschlossen habe.
Und das soll ausdrücklich nicht heißen, dass Cloud-Services grundsätzlich unsicher sind. Viele große Anbieter haben hervorragende Sicherheitsmaßnahmen. Das sind Milliarden-Konzerne mit riesigen IT-Abteilungen.
Aber – und das ist der Punkt – auch die sind nicht unknackbar.
Und für mich persönlich fühlt es sich besser an zu wissen: Die Daten sind gerade nur bei mir.
Ist das Aufwand? Ja, schon ein bisschen.
Ist es befriedigend? Verdammt, ja.
Aber: Das ist meine persönliche Entscheidung. Und du musst das nicht genauso machen.
Was ich dir aber mitgeben möchte:
Mach dir Gedanken darüber, wo deine Daten liegen. Und ob du mit dem Risiko leben kannst.
NIS-2 vs. DSGVO: Die Geschwister im Vergleich
Um das Ganze besser einzuordnen, hilft ein Vergleich:
Du kannst dir NIS-2 wie den Bruder oder die Schwester der DSGVO vorstellen.
| DSGVO | NIS-2 |
|---|---|
| Datenschutz | IT-Sicherheit |
| Was du speicherst | Wie du speicherst |
| Kundendaten schützen | Systeme sichern |
| Gilt für (fast) alle | Gilt nur für große Player in kritischen Branchen |
Die DSGVO kennst du (hoffe ich 😄). Da geht es darum, dass du die Daten deiner Kunden schützen musst. Dass du sie vernünftig speicherst, am Ende wieder löscht, Auskunft geben kannst.
NIS-2 geht einen Schritt weiter:
Es geht nicht nur darum, dass du die Daten speicherst, sondern wo und wie. Und dass du dafür sorgst, dass diese Daten nicht durch Hacker angegriffen werden können.
Für die meisten von uns bedeutet das:
DSGVO bleibt Pflicht. NIS-2 ist optional – aber smart.
Was du jetzt konkret tun kannst (auch ohne NIS-2-Pflicht)
Okay, kommen wir zum praktischen Teil. Was kannst du jetzt tun – auch wenn du nicht unter NIS-2 fällst?
1. Risikoanalyse: Wo fließen deine Daten hin?
Nimm dir 30 Minuten und mach eine Liste:
- Welche Tools nutzt du? (E-Mail-Marketing, CRM, Kursplattform, Buchhaltung, etc.)
- Wo werden die Daten gespeichert? (EU, USA, andere Drittstaaten?)
- Hast du Datenverarbeitungsverträge (AVV) mit den Anbietern?
- Weißt du, was passiert, wenn einer dieser Anbieter gehackt wird?
Das Ziel: Nicht Panik. Sondern Klarheit.
2. Minimum: 2-Faktor-Authentifizierung
Wenn du nur eine Sache aus diesem Artikel mitnimmst:
Aktiviere 2-Faktor-Authentifizierung (2FA) für alle wichtigen Accounts.
Das ist das absolute Minimum. Und es macht einen riesigen Unterschied.
3. Notfallplan: Was passiert im Ernstfall?
Du musst keinen 50-seitigen Notfallplan schreiben. Aber du solltest dir Gedanken machen:
- Was tust du, wenn dein E-Mail-Marketing-Tool gehackt wird?
- Wie informierst du deine Kunden?
- Hast du Backups deiner wichtigsten Daten?
Ein einfacher Plan ist besser als kein Plan.
4. Kommuniziere es nach außen
Und hier kommt der Wettbewerbsvorteil:
Kommuniziere, dass du dich mit Cybersecurity auseinandersetzt.
Das kann sein:
- Ein Absatz auf deiner “Über mich”-Seite
- Ein Post auf Instagram
- Ein Hinweis in deinem Onboarding
Zum Beispiel:
“Deine Daten sind mir wichtig. Deshalb nutze ich ausschließlich EU-Server, habe alle Systeme mit 2-Faktor-Authentifizierung gesichert und einen Notfallplan für den Fall der Fälle.”
Das schafft Vertrauen. Und Vertrauen schafft Kunden.
Größer denken: Was, wenn du doch irgendwann 10 Mio. € machst?
Hier ist noch ein Gedanke, der mir wichtig ist:
Vielleicht willst du keine 50 Mitarbeiter haben. Aber 10 Mio. € Jahresumsatz wär schon nett, oder? 😉
Und wenn du jetzt schon anfängst, deine Systeme sauber aufzusetzen – dann bist du vorbereitet.
Dann musst du nicht in Panik verfallen, wenn du plötzlich die Schwellenwerte knackst.
Dann hast du die Strukturen schon. Die Prozesse schon. Die Sicherheit schon.
Das ist strategisches Denken.
Und genau das unterscheidet erfolgreiche Unternehmerinnen von denen, die ständig im Reaktions-Modus sind.
Zusammenfassung: Deine nächsten Schritte
Okay, fassen wir zusammen:
✅ NIS-2 ist seit Donnerstag deutsches Gesetz – aber die meisten von euch sind nicht betroffen
✅ Cybersecurity ist kein Pflicht-Thema für dich – aber ein Wettbewerbsvorteil
✅ “Jedes System ist hackbar” – die Frage ist nur, wie lange es dauert
✅ Was du tun kannst:
- Risikoanalyse: Wo fließen deine Daten?
- Minimum: 2-Faktor-Authentifizierung aktivieren
- Notfallplan erstellen
- Nach außen kommunizieren
✅ Der strategische Vorteil: Wenn du jetzt handelst, bist du vorbereitet – auch wenn du irgendwann wächst
Wo bekommst du Hilfe?
Falls du doch unter NIS-2 fällst:
- NIS-2 Bertroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik
- Anwalt/Anwältin: Lass dich beraten, was du konkret tun musst.
Für alle anderen:
- Podcast-Episode: Hör dir die komplette Story an (inkl. Live-Ping-Anruf 😄)
🎧 [Jetzt auf Spotify anhören →] - Teile diesen Artikel: Je mehr Bescheid wissen, desto besser.
Mein persönlicher Appell an dich
Cybersecurity ist kein sexy Thema. Ich weiß.
Es ist nicht so greifbar wie “10 Tipps für bessere Instagram-Reels” oder “So schreibst du unwiderstehliche Sales-Mails”.
Aber es ist wichtig.
Weil es um Vertrauen geht. Weil es um deine Kundinnen geht. Und weil es um dein Business geht.
Nimm das als Anlass, dich damit auseinanderzusetzen.
Auch wenn es nur ist, dass du deine Apps mit 2-Faktor-Authentifizierung versiehst.
Die großen Player müssen das jetzt machen. Und du willst ja eigentlich auch dahin, oder?
Dann fang jetzt an. In Ruhe. Mit System.
Und dann kommuniziere es nach außen:
“Ich habe mich richtig damit auseinandergesetzt. Das ist so krass, was man alles noch verbessern kann. Ich habe das gemacht, damit du als Kundin bei mir ein sicheres Gefühl hast.”
Genau das möchte ich meinen Mandantinnen auch vermitteln.
Was du jETZT aus rechtlicher Perspektive tun kannst
Ich verstehe aber voll, dass dir dieser ganze Datenkram irgendwie zu komplex vorkommt. Und maybe fragst du dich gerade auch, warum ich darüber auf meinem Kanzlei-Blog schreibe. Guess what: Du schließt mit allen Tools Verträge ab. Auch über die Daten und deren Sicherung. Und ich lehne mich mal weit aus dem Fenster und behaupte, die allermeisten davon hast du noch nie gelesen. Genau das ist aber mein Job. Wenn du also Unterstützung dabei brauchst, zu erfassen, was in deinem Business vertraglich eigentlich so abgeht, feel free und nimm gern Kontakt zu mir auf.