Eine gehackte Website ist selten nur ein technisches Ärgernis. Für Unternehmen kann sie zu Ausfallzeiten, Datenabfluss, falschen Rechnungen, Suchmaschinenverlusten und Vertrauensschäden führen. Genau an dieser Stelle wird NIS-2 für viele KMU greifbar: Die europäische Cybersicherheitsrichtlinie und ihre deutsche Umsetzung verschieben IT-Sicherheit stärker in Richtung Geschäftsleitung, Risikomanagement, Lieferkette und Meldeprozesse.

Wichtig ist die Einordnung: Nicht jede Website macht ein Unternehmen automatisch zu einer NIS-2-Einrichtung. Ein kleiner Unternehmensauftritt, ein lokaler Blog oder eine einfache Landingpage fallen nicht allein wegen WordPress oder eines Kontaktformulars unter die neuen Spezialpflichten. Trotzdem sollten Website-Betreiber in Deutschland prüfen, ob Branche, Größe, digitale Dienste oder Kundenbeziehungen NIS-2 relevant machen. Auch nicht direkt betroffene Unternehmen spüren die Anforderungen häufig über Lieferantenprüfungen, Sicherheitsfragebögen und höhere Erwartungen an Website- und Systembetrieb.

Was NIS-2 in Deutschland verändert

NIS-2 steht für die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Ziel ist ein höheres gemeinsames Cybersicherheitsniveau in der EU. In Deutschland wurde der Rahmen über das neu gefasste BSI-Gesetz konkretisiert. Seit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes gelten für erfasste Einrichtungen unter anderem Registrierungs-, Melde- und Risikomanagementpflichten.

Das BSI stellt dafür ein eigenes BSI-Portal bereit. Dort sollen betroffene Unternehmen und Behörden sich registrieren und erhebliche Sicherheitsvorfälle melden. Für Website-Betreiber ist daran vor allem relevant: Cybersicherheit wird nicht mehr nur als freiwillige IT-Aufgabe verstanden, sondern als dokumentierbarer Unternehmensprozess. Wer betroffen ist, muss technische und organisatorische Maßnahmen planen, umsetzen, dokumentieren und bei Vorfällen strukturiert reagieren.

Wer als KMU zuerst die Betroffenheit prüfen sollte

Die Betroffenheit hängt nicht an der Frage, ob ein Unternehmen eine Website hat. Entscheidend sind vor allem Einrichtungsart, Sektor, Größe und teilweise besondere Rollen im digitalen Ökosystem. Das BSI verweist in seiner Betroffenheitsprüfung auf Sektoren und Einrichtungsarten aus den Anlagen zum BSI-Gesetz sowie auf Schwellenwerte wie Beschäftigtenzahl, Umsatz und Bilanzsumme. Bestimmte digitale Rollen, etwa DNS-Dienste, TLD-Registries, Vertrauensdienste oder einzelne Kommunikationsdienste, können gesondert zu bewerten sein.

Für KMU mit Website, Shop oder Plattform sind vor allem diese Fragen sinnvoll:

  • Gehört das Unternehmen zu einem regulierten Sektor wie Energie, Gesundheit, Transport, Finanzwesen, digitale Infrastruktur, IKT-Dienstleistungen, Lebensmittel, Chemie, verarbeitendes Gewerbe oder Forschung?
  • Werden digitale Dienste wie Cloud, Rechenzentrum, Managed Services, Managed Security, Online-Marktplatz, Suchmaschine oder soziales Netzwerk angeboten?
  • Erreicht das Unternehmen relevante Größenordnungen bei Mitarbeitenden, Umsatz oder Bilanzsumme?
  • Ist die Website Teil eines kritischen Geschäftsprozesses, etwa für Bestellungen, Kundenportale, Buchungen, Support oder Downloads?
  • Fordern wichtige Kunden, Behörden oder Auftraggeber bereits NIS-2-nahe Nachweise zur Informationssicherheit?

Diese Fragen ersetzen keine rechtliche Einstufung. Sie helfen aber, aus einem unklaren Bauchgefühl eine strukturierte Prüfung zu machen.

Warum normale Websites trotzdem betroffen sein können

Viele Unternehmen denken bei NIS-2 zuerst an Serverräume und Industrieanlagen. In der Praxis beginnt die Angriffsfläche aber oft bei öffentlichen Systemen: WordPress-Logins, Kontaktformulare, Newsletter-Tools, Shop-Backends, Tracking-Skripte, DNS-Einstellungen, CDN-Konfigurationen, Support-Portale oder veraltete Plugins. Selbst wenn die eigentliche Regulierung nicht wegen der Website greift, kann die Website ein Teil des zu schützenden Informationsverbunds sein.

Ein Beispiel: Ein mittelständischer Anbieter in einem regulierten Sektor betreibt einen WooCommerce-Shop, über den Kunden Ersatzteile bestellen. Fällt der Shop aus oder werden Kundenkonten kompromittiert, ist das kein reines Marketingproblem. Es betrifft Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen. Genau diese Schutzdimensionen stehen im Zentrum der NIS-2-Logik und des BSI-Gesetzes.

Die wichtigsten Website-Prüfpunkte

Für Website-Betreiber ist ein kompakter Sicherheitscheck ein guter Einstieg. Er sollte nicht bei der Frage enden, ob WordPress aktuell ist. Sinnvoll ist eine vollständige Sicht auf Technik, Prozesse und Verantwortlichkeiten.

  • Inventar: Domains, Subdomains, Hosting, DNS, CMS, Plugins, Themes, Schnittstellen, Formulare, Zahlungsanbieter und Tracking-Tools dokumentieren.
  • Zugänge: Admin-Konten, Agenturzugänge, FTP/SFTP, Hosting-Panel, Datenbank, Newsletter-Tool und Analytics-Konten erfassen.
  • Absicherung: Mehr-Faktor-Authentifizierung, starke Rollenvergabe, regelmäßige Updates, sichere Passwortrichtlinien und Schutz vor Brute-Force-Angriffen prüfen.
  • Backups: Automatische Sicherungen, getrennte Speicherung, Wiederherstellungstest und klare Zuständigkeiten festlegen.
  • Monitoring: Verfügbarkeit, verdächtige Logins, Malware, Dateiänderungen, Zertifikate und auslaufende Domains überwachen.
  • Lieferkette: Hostinganbieter, Agenturen, Plugin-Anbieter, Zahlungsdienstleister und externe Skripte in die Risikobetrachtung aufnehmen.
  • Vorfallprozess: Kontaktliste, Eskalationsweg, technische Sofortmaßnahmen, Kommunikationsfreigabe und Dokumentation vorbereiten.

Gerade kleinere Unternehmen profitieren davon, diese Liste pragmatisch zu halten. Ein nachvollziehbarer Prozess, der tatsächlich gelebt wird, ist wertvoller als ein komplexes Sicherheitskonzept, das niemand pflegt.

WordPress: Wo die Praxis oft scheitert

WordPress ist nicht per se unsicher. Riskant wird es, wenn Systeme jahrelang wachsen, ohne dass jemand die Verantwortung für Updates, Rollen und alte Erweiterungen übernimmt. Viele Angriffe nutzen bekannte Schwachstellen in Plugins, schwache Passwörter, vergessene Admin-Konten oder schlecht abgesicherte Upload-Funktionen.

Ein NIS-2-tauglicher WordPress-Basisprozess beginnt mit klarer Zuständigkeit. Wer spielt Updates ein? Wer prüft, ob ein Plugin noch gepflegt wird? Wer bekommt Adminrechte? Wer kontrolliert nach einem Relaunch, ob Testnutzer, Staging-Zugänge oder alte Formulare noch aktiv sind? Wer entscheidet, wann ein Sicherheitsvorfall an Hosting, Datenschutzverantwortliche, Geschäftsleitung oder externe Beratung eskaliert wird?

Auch Datenschutz und Consent bleiben wichtig. Wenn Kontaktformulare, Newsletter, Bewerbungsformulare, Kundenkonten oder Tracking-Tools personenbezogene Daten verarbeiten, muss die Datenschutzerklärung zur tatsächlichen Technik passen. Für Cookies, Analytics und Marketing-Skripte bleibt ein sauber eingerichteter Consent Manager relevant. NIS-2 ersetzt die DSGVO nicht; bei Datenpannen können beide Themen parallel wichtig werden.

Meldepflichten und DSGVO nicht verwechseln

Das BSI-Gesetz beschreibt für erfasste wichtige und besonders wichtige Einrichtungen Meldepflichten bei erheblichen Sicherheitsvorfällen. Die erste Meldung muss nach dem gesetzlichen Modell sehr früh erfolgen; weitere Bewertungen und Abschlussinformationen folgen danach. Diese NIS-2-Meldelogik ist nicht identisch mit der Datenschutz-Meldung nach DSGVO.

Ein Website-Vorfall kann deshalb mehrere Spuren auslösen: technische Eindämmung, Information des Hosters, interne Eskalation, Prüfung einer BSI-Meldung, Prüfung einer Meldung an die Datenschutzaufsicht, Kundenkommunikation und forensische Sicherung. Unternehmen sollten vorher festlegen, wer diese Entscheidungen vorbereitet. In der Krise ist es zu spät, Zuständigkeiten im Chatverlauf zu suchen.

Auch nicht betroffene KMU sollten vorbereitet sein

Viele kleine Unternehmen werden nach der Betroffenheitsprüfung nicht direkt unter NIS-2 fallen. Das ist keine Entwarnung für die Website-Sicherheit. Wer für größere Kunden arbeitet, in Ausschreibungen auftaucht oder digitale Dienste in kritischen Lieferketten erbringt, wird trotzdem häufiger Sicherheitsnachweise liefern müssen. Fragebögen zu Backups, Incident Response, Zugriffskontrolle, Datenschutz, Subdienstleistern und Schwachstellenmanagement werden normaler.

Außerdem sind die Basismaßnahmen unabhängig von der Regulierung wirtschaftlich sinnvoll. Ein kompromittierter Webshop kann Umsatz kosten. Eine gehackte Website kann Besucher auf Schadseiten umleiten. Manipulierte Formulare können Leads, Bewerbungen oder Kundendaten abgreifen. Wer hier früh Ordnung schafft, reduziert nicht nur rechtliche Risiken, sondern auch operative Ausfälle.

Praktische NIS-2-Checkliste für Website-Betreiber

Für den nächsten internen Sicherheitslauf eignet sich diese Reihenfolge:

  • Betroffenheit anhand Branche, Einrichtungsart, Größe und digitaler Rolle prüfen.
  • Website-Systeme und externe Dienstleister vollständig inventarisieren.
  • Admin- und Dienstleisterzugänge bereinigen und Mehr-Faktor-Authentifizierung aktivieren.
  • Update-Prozess für CMS, Plugins, Themes und Serverkomponenten festlegen.
  • Backups nicht nur erstellen, sondern Wiederherstellung testen.
  • Kontaktformulare, Shops, Kundenkonten und Tracking auf Datenschutz- und Sicherheitsrisiken prüfen.
  • Vorfallplan mit Rollen, Kontakten, Meldeprüfung und Dokumentation erstellen.
  • Lieferanten und Agenturen nach Sicherheitsprozessen, Supportwegen und Reaktionszeiten fragen.

Wer diese Punkte dokumentiert, hat bereits eine bessere Grundlage für Kundenfragen, Versicherungen, Audits und interne Entscheidungen.

Fazit: NIS-2 beginnt mit einer ehrlichen Bestandsaufnahme

NIS-2 betrifft nicht jede Website und nicht jedes KMU direkt. Für Website-Betreiber in Deutschland ist das Thema dennoch relevant, weil öffentliche Websysteme oft der sichtbarste Teil der eigenen IT-Risiken sind. Die richtige Reihenfolge lautet: Betroffenheit prüfen, Systeme inventarisieren, Verantwortlichkeiten klären, Basismaßnahmen umsetzen und Meldeprozesse vorbereiten.

AdSimple unterstützt Unternehmen bei wichtigen Website-Pflichten rund um Datenschutz, Consent und rechtliche Informationen. Für eine belastbare NIS-2-Einstufung und komplexe Sicherheitsorganisation sollten betroffene Unternehmen zusätzlich fachkundige rechtliche und IT-Sicherheitsberatung einbeziehen.

Quellen und weiterführende Informationen