|

IT-Compliance-Checkliste für deutsche KMU: DSGVO, NIS2 und BSI-Grundschutz

ByAnthony Stewart

Compliance für deutsche KMU bewegt sich an der Schnittstelle von drei Rahmenwerken, die sich in ihrer Intention überschneiden, aber in Umfang, Pflichten und Durchsetzung unterscheiden: DSGVO, NIS2 und BSI IT-Grundschutz. Diese zu navigieren ist ohne ein dediziertes Compliance-Team möglich — erfordert aber zu verstehen, was jedes Rahmenwerk auf technischer Ebene tatsächlich verlangt.

Diese Checkliste konzentriert sich auf die IT-Kontrollen, die von jedem Rahmenwerk gefordert werden. Sie ersetzt keine Rechtsberatung. Was sie bietet, ist eine strukturierte Übersicht der technischen Basis, die gleichzeitig den Großteil der KMU-Exposition unter allen drei Rahmenwerken abdeckt.

Rahmenwerk-Übersicht

Rahmenwerk Anwendungsbereich Durchsetzung Max. Bußgeld
DSGVO Jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet Berliner Beauftragte für Datenschutz (BlnBDI) 20 Mio. € oder 4 % des globalen Umsatzes
NIS2 Mittlere/große Einrichtungen in kritischen Sektoren; Lieferkettenimplikationen BSI 10 Mio. € oder 2 % des globalen Umsatzes
BSI IT-Grundschutz Freiwilliges Rahmenwerk; Basis für ISO-27001- und NIS2-Nachweise Freiwillig (obligatorisch für Bundesbehörden) Keine direkten Bußgelder

NIS2 und KMU: NIS2 gilt direkt für mittlere Einrichtungen (50+ Mitarbeiter, 10 Mio. € + Umsatz) in Sektoren wie Energie, Transport, Gesundheit, digitale Infrastruktur und IKT-Dienstleistungsmanagement. Kleinere Unternehmen fallen generell nicht direkt in den Anwendungsbereich. Wenn Sie jedoch Dienstleistungen für eine NIS2-verpflichtete Organisation erbringen, kann dieser Kunde NIS2-ähnliche Anforderungen vertraglich im Rahmen seiner Lieferkettensicherheitspflichten auferlegen.

DSGVO-IT-Kontrollen-Checkliste

DSGVO Artikel 32 verlangt „angemessene technische und organisatorische Maßnahmen” proportional zum Risiko. Für KMU ergibt sich daraus ein konkretes Set von Kontrollen:

Zugriffskontrolle

  • ☐ MFA für alle Benutzerkonten durchgesetzt, die auf Systeme mit personenbezogenen Daten zugreifen
  • ☐ Rollenbasierte Zugriffskontrolle — Benutzer greifen nur auf für ihre Rolle erforderliche Daten zu
  • ☐ Privilegierter Zugriff auf benannte Administratoren mit separaten Admin-Konten beschränkt
  • ☐ Zugriffsüberprüfungen mindestens jährlich (und bei Mitarbeiteraustritt)
  • ☐ IT-Offboarding-Verfahren dokumentiert und getestet — Zugriff am Austrittstag entzogen

Verschlüsselung

  • ☐ Verschlüsselung im Ruhezustand auf allen Geräten mit personenbezogenen Daten (BitLocker oder gleichwertig)
  • ☐ Verschlüsselung bei der Übertragung (TLS 1.2 mindestens)
  • ☐ E-Mail-Verschlüsselung für sensible personenbezogene Daten
  • ☐ Verschlüsselter Backup-Speicher

Datenverfügbarkeit und -resilienz

  • ☐ Backup aller Systeme mit personenbezogenen Daten — mit getestetem Wiederherstellungsverfahren
  • ☐ Business-Continuity-Plan dokumentiert
  • ☐ Datenaufbewahrungsrichtlinie definiert und durchgesetzt — Daten nach Ablauf der Aufbewahrungsfrist gelöscht

Incident Response

  • ☐ Incident-Response-Verfahren dokumentiert — wer was tut, wenn ein Verstoß vermutet wird
  • ☐ 72-Stunden-Meldeverfahren definiert (Meldung an BlnBDI innerhalb von 72 Stunden nach Kenntnisnahme)
  • ☐ Vorfallsprotokoll geführt

Anbieter-/Auftragsverarbeitermanagement

  • ☐ Auftragsverarbeitungsverträge (AVV) mit allen Anbietern, die personenbezogene Daten in Ihrem Auftrag verarbeiten (Microsoft, Cloud-Anbieter, Lohnabrechnungsdienstleister usw.)
  • ☐ Anbieterliste jährlich überprüft
  • ☐ Internationale Datenübermittlungen dokumentiert — Standardvertragsklauseln vorhanden, wo erforderlich

NIS2-Cybersicherheitsmaßnahmen-Checkliste

Risikomanagement

  • ☐ Cybersicherheits-Risikobewertung dokumentiert — wichtige Assets identifiziert, Bedrohungen bewertet
  • ☐ Risikoregister geführt und jährlich überprüft
  • ☐ Sicherheitsrichtlinien dokumentiert und für Mitarbeiter zugänglich

Vorfallsbehandlung

  • ☐ Incident-Response-Plan deckt Cybersicherheitsvorfälle ab (Ransomware, Datenverletzung)
  • ☐ NIS2 verlangt Erstmeldung an BSI innerhalb von 24 Stunden, detaillierten Bericht innerhalb von 72 Stunden
  • ☐ BSI-Kontaktdaten für Vorfallsmeldung im IT-Team verfügbar

Netzwerk- und Systemsicherheit

  • ☐ Netzwerksegmentierung implementiert — Gäste-WLAN, Workstations, Server in separaten VLANs
  • ☐ Firewall und Perimetersicherheit dokumentiert und überprüft
  • ☐ Patch-Management-Prozess — kritische Patches innerhalb definierter Fristen eingespielt
  • ☐ Schwachstellen-Scan mindestens jährlich durchgeführt

Sensibilisierung und Schulung

  • ☐ Sicherheitsbewusstseinsschulung für alle Mitarbeiter — mindestens jährlich
  • ☐ Phishing-Simulation oder gleichwertige praktische Übung durchgeführt
  • ☐ Geschäftsführung über NIS2-Pflichten und Cybersicherheitsrisiken informiert

BSI IT-Grundschutz Basis-Absicherung

Der BSI IT-Grundschutz bietet für KMU eine vereinfachte „Basis-Absicherung”, die ein praktischer Ausgangspunkt ist. Wichtige Bereiche, die direkt auf die DSGVO- und NIS2-Checklisten oben abbilden:

  • SYS.2 (Allgemeiner IT-Client): Endgeräte-Härtung, Patch-Management, lokale Admin-Einschränkungen
  • NET.1 (Netzarchitektur): Netzwerksegmentierung, Firewall-Anforderungen
  • ORP.4 (Identitäts- und Berechtigungsmanagement): Benutzerbereitstellung, Zugriffsüberprüfungen, Privilegienverwaltung
  • CON.3 (Datensicherungskonzept): Backup-Anforderungen, Wiederherstellungstests, Aufbewahrung
  • DER.2 (Sicherheitsvorfallmanagement): Incident-Response-Verfahren, Meldung

Der praktische Ausgangspunkt

Für ein Berliner KMU ohne dedizierte Compliance-Funktion ist der kosteneffizienteste Ansatz, DSGVO-, NIS2-angrenzende und BSI-Basis-Kontrollen gleichzeitig anzugehen — da sie weitgehend dieselben technischen Kontrollen erfordern:

  1. MFA auf alles aktivieren (DSGVO + NIS2)
  2. Intune-Geräte-Compliance implementieren (DSGVO-Verschlüsselung + NIS2-Endgeräte-Sicherheit)
  3. Backup-Verfahren dokumentieren und testen (DSGVO-Verfügbarkeit + NIS2-Kontinuität)
  4. Incident-Response-Verfahren erstellen (DSGVO-72h-Meldung + NIS2-24/72h-Meldung)
  5. AVVs von Ihren Anbietern einholen (DSGVO-Auftragsverarbeiter-Anforderung)
  6. Netzwerk segmentieren (NIS2 + BSI)
  7. Jährliche Sicherheitsbewusstseinsschulung durchführen (NIS2 + BSI)

Kostenlos für Berliner KMU

Wie sicher ist Ihre IT wirklich?

Wir prüfen Ihre Sicherheitslage, Microsoft-365-Konfiguration, Netzwerkresilienz und Compliance-Lücken — und liefern Ihnen einen schriftlichen Bericht ohne Verpflichtung.

Kostenlose IT-Analyse anfordern →

Keine Verpflichtung. Schriftlicher Bericht inklusive. Ca. 45 Minuten Ihrer Zeit.

Unsere kostenlose IT-Analyse umfasst eine Compliance-Lückenprüfung mit DSGVO-technischen Kontrollen, NIS2-Relevanzprüfung und grundlegenden Datenverarbeitungspraktiken für Ihre Unternehmensgröße und Branche. Der schriftliche Bericht zeigt Ihnen genau, was vorhanden ist und was fehlt.

Similar Posts