Welche IT-Sicherheits-Gesetze betreffen mein Unternehmen?

Für die meisten Unternehmen gelten DSGVO (alle, die personenbezogene Daten verarbeiten), das IT-Sicherheitsgesetz 2.0 (Unternehmen im besonderen öffentlichen Interesse, KRITIS-Betreiber) und ggf. die NIS2-Richtlinie (mittlere und große Unternehmen in bestimmten Sektoren). Der BSI-IT-Grundschutz ist ein Standardwerk, das viele Anforderungen technisch umsetzt – verpflichtend insbesondere für Behörden.

Bin ich als KMU von NIS2 betroffen?

NIS2 betrifft mittlere und große Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz) in 18 Sektoren – darunter Energie, Verkehr, Gesundheit, Lebensmittel und digitale Infrastruktur. Auch kleinere Unternehmen können als Zulieferer betroffen sein. Eine konkrete Einordnung ist Teil unseres IT-Compliance-Checks.

Wo fange ich mit DSGVO-Compliance praktisch an?

Mit drei Schritten: 1) Verzeichnis der Verarbeitungstätigkeiten erstellen (welche Daten, wozu, wer hat Zugriff). 2) Technisch-organisatorische Maßnahmen prüfen (Backup, Zugriffsschutz, Verschlüsselung, Löschkonzept). 3) Externe Verarbeiter (Microsoft 365, Newsletter-Tool, Steuerberater) per Auftragsverarbeitungsvertrag absichern. Den Status können Sie über unseren Compliance-Check selbst einschätzen.

Was unterscheidet IT-SiG 2.0 von BSI-Grundschutz?

Das IT-Sicherheitsgesetz 2.0 ist ein Gesetz – es schreibt vor, dass bestimmte Unternehmen IT-Sicherheit nach „Stand der Technik“ umsetzen, Vorfälle melden und Nachweise führen müssen. Der BSI-IT-Grundschutz ist eine konkrete Methodik mit Bausteinen und Maßnahmen-Katalogen, mit der sich diese gesetzlichen Anforderungen strukturiert umsetzen lassen. Vereinfacht: das Gesetz sagt, was getan werden muss – der Grundschutz beschreibt, wie.

Erstellt OM-IT auch die nötigen Dokumente und Nachweise?

Ja. Wir unterstützen bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten, von Notfall- und Berechtigungskonzepten sowie bei der Aufbereitung von Audit-Unterlagen. Rechtliche Bewertungen bleiben Sache Ihres Datenschutzbeauftragten oder einer Rechtsanwaltskanzlei – wir liefern die technisch-organisatorische Grundlage.

Wichtiger Hinweis

Dies ist keine Rechtsberatung. Die Inhalte dieser Seite stellen keine Rechtsberatung dar. Sie dienen ausschließlich zur Orientierung und ersetzen keine individuelle rechtliche Prüfung durch einen Rechtsanwalt oder qualifizierten Datenschutzbeauftragten. Bei rechtlichen Fragen sollten Sie stets einen spezialisierten Rechtsanwalt oder Datenschutzbeauftragten konsultieren.

IT-Sicherheits-Compliance

Erfüllen Sie Ihre gesetzlichen IT-Sicherheitspflichten. Unsere Übersicht hilft Ihnen dabei, den Überblick über relevante Gesetze und Verordnungen zu behalten und Ihre Compliance-Anforderungen zu identifizieren.

Compliance-Check starten Unverbindliche Erstberatung

Warum Compliance wichtig ist

Hohe Bußgelder

Verstöße können zu Bußgeldern von bis zu 4% des Jahresumsatzes führen

Schutz vor Cyberangriffen

Compliance-Maßnahmen schützen vor Datenpannen und Cyberangriffen

Vertrauen der Kunden

Compliance stärkt das Vertrauen von Kunden und Geschäftspartnern

Relevanz nach Unternehmensgröße

1-10 Mitarbeiter

Kleine Unternehmen

DSGVO: Grundlegende TOMs

IT-SiG 2.0: Nur wenn KRITIS

BSI Grundschutz: Freiwillig

11-250 Mitarbeiter

Mittelständische Unternehmen

DSGVO: Datenschutzbeauftragter bei 10+ MA

NIS2: In kritischen Sektoren meist verpflichtend

BSI Grundschutz: Oft von Kunden gefordert

250+ Mitarbeiter

Große Unternehmen

DSGVO: Verarbeitungsverzeichnis verpflichtend

NIS2: In kritischen Sektoren verpflichtend

BSI Grundschutz: ISO 27001 empfohlen

Compliance-Bereiche im Detail

DSGVO & Datenschutz

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Für Unternehmen mit folgenden Mitarbeiterzahlen relevant:

1-10 Mitarbeiter

Grundlegende TOMs, vereinfachte Dokumentation

11-250 Mitarbeiter

Datenschutzbeauftragter ab 20 Personen mit ständiger automatisierter Verarbeitung (§ 38 BDSG), erweiterte Anforderungen

250+ Mitarbeiter

Verarbeitungsverzeichnis verpflichtend, Compliance-Programme

Wichtige Anforderungen:

Datenschutzbeauftragter (bei bestimmten Kriterien)
Verarbeitungsverzeichnis
Datenschutz-Folgenabschätzung
+ 2 weitere...

Konsequenzen bei Verstößen:

Bußgelder bis zu 4% des Jahresumsatzes oder 20 Mio. €

Details ansehen

IT-Sicherheitsgesetz 2.0

Meldepflichten und Mindeststandards für kritische Infrastrukturen

Für Unternehmen mit folgenden Mitarbeiterzahlen relevant:

Alle Größen

Nur wenn KRITIS-Betreiber (Energie, IT, Transport, Gesundheit, etc.)

Wichtige Anforderungen:

Meldepflicht bei IT-Sicherheitsvorfällen
Implementierung von IT-Sicherheitsstandards
Regelmäßige Sicherheitsaudits
+ 2 weitere...

Konsequenzen bei Verstößen:

Bußgelder bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes (§ 65 BSIG)

Details ansehen

NIS2-Richtlinie

Erweiterte Cybersicherheitsanforderungen für kritische Sektoren

Für Unternehmen mit folgenden Mitarbeiterzahlen relevant:

1-50 Mitarbeiter

Nur in bestimmten kritischen Sektoren: Basis-Maßnahmen

51-250 Mitarbeiter

In kritischen Sektoren meist verpflichtend: Anforderungen

250+ Mitarbeiter

In kritischen Sektoren verpflichtend: Compliance-Programme

Wichtige Anforderungen:

Risikomanagement und Sicherheitsmaßnahmen
Incident-Response-Pläne
Business Continuity Management
+ 2 weitere...

Konsequenzen bei Verstößen:

Bußgelder bis zu 10 Mio. € oder 2% des Jahresumsatzes

Details ansehen

BSI IT-Grundschutz

Systematischer Ansatz für Informationssicherheit

Für Unternehmen mit folgenden Mitarbeiterzahlen relevant:

1-10 Mitarbeiter

Freiwillig: Kosteneffiziente Verbesserung der IT-Sicherheit

11-250 Mitarbeiter

Oft von Kunden gefordert: Wettbewerbsvorteil durch Zertifizierung

250+ Mitarbeiter

Oft verpflichtend: ISO 27001 Zertifizierung empfohlen

Wichtige Anforderungen:

Strukturanalyse der IT-Infrastruktur
Modellierung der Sicherheitsanforderungen
Implementierung von Sicherheitsmaßnahmen
+ 2 weitere...

Konsequenzen bei Verstößen:

Keine direkten Strafen, aber erhöhte Haftung bei Schäden

Details ansehen

Weiterführende Informationen – BSI

Offizielle Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI):

Bereit für den Compliance-Check?

Unser interaktiver Selbstcheck hilft Ihnen dabei, Ihren aktuellen Compliance-Status zu bewerten und konkrete Handlungsempfehlungen zu erhalten. Für die Umsetzung der Maßnahmen siehe unsere Cybersecurity-Leistungen.

Compliance-Check starten Unverbindliche Erstberatung anfragen

DSGVO & Datenschutz

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Relevanz nach Größe

1-10 Mitarbeiter

Grundlegende TOMs, vereinfachte Dokumentation

11-250 Mitarbeiter

Datenschutzbeauftragter ab 20 Personen mit ständiger automatisierter Verarbeitung (§ 38 BDSG), erweiterte Anforderungen

250+ Mitarbeiter

Verarbeitungsverzeichnis verpflichtend, Compliance-Programme

Wichtige Anforderungen

Datenschutzbeauftragter (bei bestimmten Kriterien)
Verarbeitungsverzeichnis
Datenschutz-Folgenabschätzung
+ 2 weitere

Konsequenzen

Bußgelder bis zu 4% des Jahresumsatzes oder 20 Mio. €

Details ansehen

IT-Sicherheitsgesetz 2.0

Meldepflichten und Mindeststandards für kritische Infrastrukturen

Relevanz nach Größe

Alle Größen

Nur wenn KRITIS-Betreiber (Energie, IT, Transport, Gesundheit, etc.)

Wichtige Anforderungen

Meldepflicht bei IT-Sicherheitsvorfällen
Implementierung von IT-Sicherheitsstandards
Regelmäßige Sicherheitsaudits
+ 2 weitere

Konsequenzen

Bußgelder bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes (§ 65 BSIG)

Details ansehen

NIS2-Richtlinie

Erweiterte Cybersicherheitsanforderungen für kritische Sektoren

Relevanz nach Größe

1-50 Mitarbeiter

Nur in bestimmten kritischen Sektoren: Basis-Maßnahmen

51-250 Mitarbeiter

In kritischen Sektoren meist verpflichtend: Anforderungen

250+ Mitarbeiter

In kritischen Sektoren verpflichtend: Compliance-Programme

Wichtige Anforderungen

Risikomanagement und Sicherheitsmaßnahmen
Incident-Response-Pläne
Business Continuity Management
+ 2 weitere

Konsequenzen

Bußgelder bis zu 10 Mio. € oder 2% des Jahresumsatzes

Details ansehen

BSI IT-Grundschutz

Systematischer Ansatz für Informationssicherheit

Relevanz nach Größe

1-10 Mitarbeiter

Freiwillig: Kosteneffiziente Verbesserung der IT-Sicherheit

11-250 Mitarbeiter

Oft von Kunden gefordert: Wettbewerbsvorteil durch Zertifizierung

250+ Mitarbeiter

Oft verpflichtend: ISO 27001 Zertifizierung empfohlen

Wichtige Anforderungen

Strukturanalyse der IT-Infrastruktur
Modellierung der Sicherheitsanforderungen
Implementierung von Sicherheitsmaßnahmen
+ 2 weitere

Konsequenzen

Keine direkten Strafen, aber erhöhte Haftung bei Schäden

Details ansehen

Wichtiger Hinweis

IT-Sicherheits-Compliance

Warum Compliance wichtig ist

Hohe Bußgelder

Schutz vor Cyberangriffen

Vertrauen der Kunden

Relevanz nach Unternehmensgröße

1-10 Mitarbeiter

11-250 Mitarbeiter

250+ Mitarbeiter

Compliance-Bereiche im Detail

DSGVO & Datenschutz

Für Unternehmen mit folgenden Mitarbeiterzahlen relevant:

Wichtige Anforderungen:

IT-Sicherheitsgesetz 2.0

Für Unternehmen mit folgenden Mitarbeiterzahlen relevant:

Wichtige Anforderungen:

NIS2-Richtlinie

Für Unternehmen mit folgenden Mitarbeiterzahlen relevant:

Wichtige Anforderungen:

BSI IT-Grundschutz

Für Unternehmen mit folgenden Mitarbeiterzahlen relevant:

Wichtige Anforderungen:

Weiterführende Informationen – BSI

Bereit für den Compliance-Check?

DSGVO & Datenschutz

Relevanz nach Größe

Wichtige Anforderungen

IT-Sicherheitsgesetz 2.0

Relevanz nach Größe

Wichtige Anforderungen

NIS2-Richtlinie

Relevanz nach Größe

Wichtige Anforderungen

BSI IT-Grundschutz

Relevanz nach Größe

Wichtige Anforderungen

Häufige Fragen zur IT-Sicherheits-Compliance

Welche IT-Sicherheits-Gesetze betreffen mein Unternehmen?

Bin ich als KMU von NIS2 betroffen?

Wo fange ich mit DSGVO-Compliance praktisch an?

Was unterscheidet IT-SiG 2.0 von BSI-Grundschutz?

Erstellt OM-IT auch die nötigen Dokumente und Nachweise?