Sanly Tech
← Zurück zum Blog
· NIS2 & Recht · 6 min · Sanly Tech

NIS2: Bin ich als Kanzlei oder Praxis betroffen?

NIS2DSGVOKanzleiArztpraxisIT-Sicherheit

Seit dem 17. Oktober 2024 gilt das NIS2-Umsetzungsgesetz in Deutschland. Viele Unternehmen haben davon gehört – aber die wenigsten wissen ob sie selbst betroffen sind. Besonders unter Kanzleien, Arztpraxen und Steuerberatern herrscht Unsicherheit.

Dieser Artikel gibt eine klare Übersicht: Wer fällt unter NIS2, was wird gefordert, und was sollten Sie jetzt konkret tun.

Was ist NIS2?

NIS2 steht für “Network and Information Security Directive 2” – eine EU-Richtlinie die IT-Sicherheitsanforderungen für Unternehmen und Organisationen in Europa verbindlich regelt. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Geltungsbereich erheblich.

In Deutschland wurde NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Das Ziel: ein einheitliches, hohes Sicherheitsniveau für kritische und wichtige Einrichtungen in der EU.

Wer ist betroffen?

NIS2 unterscheidet zwei Kategorien:

Wesentliche Einrichtungen

Unternehmen in besonders kritischen Sektoren wie Energie, Gesundheit, Wasser, digitale Infrastruktur. Strengere Anforderungen, höhere Bußgelder.

Wichtige Einrichtungen

Unternehmen in weiteren relevanten Sektoren – darunter rechtliche Dienstleistungen, Post und Kurier, Abfallwirtschaft, Lebensmittel und mehr.

Die entscheidenden Schwellenwerte

Ein Unternehmen fällt unter NIS2 wenn mindestens eines der folgenden Kriterien erfüllt ist:

  • Mitarbeiter: 50 oder mehr Beschäftigte
  • Umsatz: 10 Millionen Euro oder mehr pro Jahr
  • Bilanzsumme: 10 Millionen Euro oder mehr

Kleinere Unternehmen können ebenfalls betroffen sein wenn sie in kritischen Sektoren tätig sind oder als Teil einer kritischen Lieferkette gelten.

Sind Kanzleien betroffen?

Ja – unter bestimmten Umständen.

Anwaltskanzleien fallen nicht automatisch unter NIS2, aber die Schwellenwerte werden schneller erreicht als gedacht. Eine Kanzlei mit 50 Anwälten und entsprechendem Jahresumsatz kann direkt betroffen sein.

Darüber hinaus: Kanzleien die für Unternehmen in regulierten Sektoren tätig sind (Energieversorger, Krankenhäuser, Finanzinstitute) können als Teil der Lieferkette unter NIS2 fallen – unabhängig von ihrer eigenen Größe.

Was das bedeutet: Auch wenn Ihre Kanzlei aktuell nicht direkt betroffen ist, werden Ihre Mandanten zunehmend fordern dass ihre Dienstleister nachweisbare IT-Sicherheitsstandards erfüllen.

Sind Arztpraxen betroffen?

Einzelpraxen in der Regel nicht – größere Einrichtungen sehr wohl.

Einzelne Arztpraxen mit weniger als 50 Mitarbeitern fallen typischerweise nicht unter NIS2. Anders sieht es aus bei:

  • Medizinischen Versorgungszentren (MVZ) die die Schwellenwerte erreichen
  • Krankenhäusern und Kliniken – diese fallen als wesentliche Einrichtungen direkt unter NIS2
  • Praxisverbünden die gemeinsam die Schwellenwerte überschreiten

Unabhängig von NIS2 gilt: Patientendaten unterliegen bereits jetzt strengen DSGVO-Anforderungen. NIS2 verschärft die technischen Anforderungen zusätzlich.

Sind Steuerberater betroffen?

Möglicherweise – abhängig von Größe und Mandantenstruktur.

Steuerberatungskanzleien ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz können direkt betroffen sein. Hinzu kommt: Wer für Unternehmen in regulierten Sektoren arbeitet, kann als wichtiger Dienstleister in deren Lieferkette eingestuft werden.

Was wird von betroffenen Unternehmen gefordert?

NIS2 schreibt konkrete Maßnahmen vor:

Technische Maßnahmen

  • Risikoanalyse und Sicherheitskonzepte
  • Maßnahmen zur Aufrechterhaltung des Betriebs (Business Continuity)
  • Sicherheit in der Lieferkette
  • Verschlüsselung und Zugangskontrolle
  • Regelmäßige Sicherheitsüberprüfungen

Organisatorische Maßnahmen

  • Meldepflicht bei Sicherheitsvorfällen (innerhalb von 24 Stunden beim BSI)
  • Schulungen für Mitarbeiter und Führungskräfte
  • Dokumentation aller Sicherheitsmaßnahmen

Verantwortung der Geschäftsführung Ein wichtiger Punkt: NIS2 macht Geschäftsführer und Vorstände persönlich haftbar für die Umsetzung der Anforderungen. Unwissenheit schützt nicht.

Was droht bei Verstößen?

Die Bußgelder sind erheblich:

  • Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes

Dazu kommen mögliche Betriebsunterbrechungen, Reputationsschäden und zivilrechtliche Haftung gegenüber betroffenen Kunden oder Mandanten.

Was sollten Sie jetzt tun?

Schritt 1: Betroffenheit prüfen Klären Sie ob Ihr Unternehmen die Schwellenwerte erfüllt und in welchem Sektor Sie tätig sind. Im Zweifelsfall sollten Sie davon ausgehen dass Sie betroffen sind.

Schritt 2: IST-Zustand analysieren Welche IT-Sicherheitsmaßnahmen haben Sie bereits? Wo sind die Lücken? Ein strukturierter Security Audit gibt Ihnen Klarheit.

Schritt 3: Maßnahmen priorisieren Nicht alles auf einmal. Beginnen Sie mit den Maßnahmen die das höchste Risiko adressieren: Zugangskontrolle, Verschlüsselung, Incident Response.

Schritt 4: Dokumentieren NIS2 verlangt Nachweise. Halten Sie alle Maßnahmen schriftlich fest – das schützt Sie im Ernstfall.

Fazit

NIS2 ist kein bürokratisches Randthema. Die Richtlinie betrifft mehr Unternehmen als gedacht – und die persönliche Haftung der Geschäftsführung macht es zu einer Chefsache.

Für Kanzleien, Praxen und Steuerberater gilt: Auch wenn Sie aktuell nicht direkt betroffen sind, werden Ihre Mandanten und Geschäftspartner zunehmend verlangen dass Sie nachweisbare IT-Sicherheitsstandards erfüllen.

Jetzt ist der richtige Zeitpunkt um die eigene Situation zu prüfen – nicht nach dem ersten Sicherheitsvorfall.

Sie möchten wissen ob Ihr Unternehmen von NIS2 betroffen ist? Wir prüfen das kostenlos in einem 30-minütigen Erstgespräch.

Kostenloses Erstgespräch vereinbaren →