Einsteiger-Check ab 299 € · Festpreis · ohne Risiko
net-kom Systemhaus
Glühbirne in einem zarten Glas-Schild — IT-Sicherheit als ruhige, fast unsichtbare Schutzschicht
IT-Sicherheit für KMU

IT-Sicherheit.
Bevor der Ernstfall
den Betrieb stilllegt.

Die EU-Richtlinie NIS2 ist seit Oktober 2024 in nationales Recht umgesetzt und verpflichtet auch mittelständische Unternehmen zu nachweisbaren Schutzmaßnahmen — Geschäftsführer haften nach aktueller Gesetzeslage persönlich. net-kom begleitet KMU im Rheinland von der Bestandsaufnahme bis zur laufenden Absicherung — vendor-agnostisch, dokumentiert, seit 2002.
Sicherheits-Audit anfragen02173 99398140 — direkt sprechen
01Regulierung verstehen

NIS2.
Vier Zahlen, die Sie kennen müssen.

NIS2 erweitert den Anwendungsbereich der Vorgänger-Richtlinie erheblich — von rund 1.800 auf knapp 30.000 betroffene Unternehmen in Deutschland. Wer direkt unter die Schwellen fällt, muss ein Risikomanagement-System einführen und beim BSI registriert sein. Wer unterhalb der Schwelle liegt, aber Zulieferer für NIS2-pflichtige Kunden ist, wird in der Regel über die Lieferketten-Anforderungen indirekt mit-reguliert.

50+
Mitarbeiter
Direkter Schwellenwert
10 Mio €
Jahresumsatz
Alternative zum MA-Schwellenwert
24 h
Meldefrist
Sicherheitsvorfälle an Behörde
10 Mio €
Max. Bußgeld
oder 2 % weltweiter Umsatz

Sektoren: Energie, Verkehr, Gesundheit, digitale Dienste, verarbeitendes Gewerbe, Lebensmittel, öffentliche Verwaltung (Kommunen ab 2026).

02Persönliche Haftung

Geschäftsführung
haftet persönlich.

NIS2 verankert die Verantwortung für das Risikomanagement explizit beim Leitungsorgan. Eine vollständige Delegation an Dienstleister oder die eigene IT-Abteilung ist nach aktueller Gesetzeslage nicht vorgesehen.

  • Aktive Genehmigung
  • Überwachung
  • Dokumentation
  • Regelmäßige Schulung
Pflicht-Lektüre für Leitungsorgane
„Fehlende Dokumentation wird in der Regel als Pflichtverletzung gewertet — nicht als Versäumnis."

Im Schadensfall — etwa nach einem Ransomware-Angriff mit Datenabfluss — prüft die Aufsichtsbehörde, ob das Leitungsorgan seiner Sorgfaltspflicht nachgekommen ist. „Wir haben unserem Dienstleister vertraut" gilt dabei in der Regel nicht als ausreichender Nachweis. Belastbar ist, was schriftlich dokumentiert und regelmäßig überprüft wird.

Konzept
Sicherheits-Architektur dokumentiert
Protokoll
Maßnahmen mit Datum & Verantwortung
Schulung
Nachweisbar, regelmäßig, dokumentiert
03Konkrete Maßnahmen

Schutz ist kein Projekt.
Schutz ist Betrieb.

IT-Sicherheit ist nach aktuellem Stand der Technik kein einmaliges Projekt: Schutz entsteht durch laufende Kontrolle, nicht durch Installation. Fünf Bausteine, die in der Regel gemeinsam wirken müssen.

01

Endpoint Detection & Response

Klassische Signatur-Scanner erkennen nur, was sie schon kennen. Moderner Endpoint-Schutz analysiert Verhalten in Echtzeit und kann auch unbekannte Angriffsmuster auffällig machen — etwa Verschlüsselungsversuche oder ungewöhnliche Prozesse. Wir betreiben EDR auf der gesamten Geräteflotte (Workstations, Server, Notebooks), prüfen Alarme und reagieren mit definiertem Eskalationsweg.

Aktiv im Hintergrund · 24/7
02

Multi-Faktor-Authentifizierung

Gestohlene Passwörter sind nach Auswertungen des BSI eine der häufigsten Einbruchsursachen. MFA fügt einen zweiten Faktor hinzu und reduziert das Risiko, dass ein einzelnes kompromittiertes Passwort den Zugang öffnet, substanziell. Rollout für M365, VPN, RDP und kritische Fachanwendungen mit Ausnahme-Konzept.

03

Patch-Management mit Protokoll

Ungepatchte Systeme sind in der Regel der einfachste Angriffsweg. Wir patchen zentral, in definierten Wartungsfenstern, mit Testlauf vor produktivem Rollout. Protokoll mit Datum, Verantwortlichkeit und betroffenen Systemen — für Ihre Sicherheitsdokumentation und den Versicherungs-Nachweis.

04

Backup nach 3-2-1 mit Restore-Test

Drei Kopien, zwei Medientypen, eine außer Haus — plus regelmäßiger Restore-Test und Immutable-Storage gegen Verschlüsselung. Ein nie getestetes Backup ist im Ernstfall keine belastbare Größe.

05

Security Monitoring

Auffällige Anmeldungen nachts, unbekannte Geräte, ungewöhnliche Datentransfers — Signale, die in der Regel früher kommen als der eigentliche Schaden. Wir prüfen Alarme aus EDR und M365-Logs und stimmen die Eskalationsschritte mit Ihnen ab.

04Versicherbarkeit

Cyber-Versicherung zahlt,
wenn der Antrag stimmt.

Wenn Ihr Versicherer im Antragsbogen nach MFA fragt und Sie „ja" ankreuzen, obwohl MFA nur für eine von zehn Anwendungen aktiv ist, kann das im Schadensfall als arglistige Täuschung gewertet werden — mit vollständigem Leistungsausschluss.

Praxis-Erfahrung · Cyber-Versicherungsfall

Cyber-Versicherer arbeiten typischerweise mit Antragsbögen, die konkrete technische Maßnahmen abfragen — MFA, EDR, Backup-Konzept, Patch-Stand, Segmentierung. net-kom erstellt auf Anfrage eine Selbstauskunft-Unterstützung: Welche Maßnahmen aktiv sind, welche fehlen, in welcher Reihenfolge sie sinnvoll aufgebaut werden. So sind die Angaben im Antrag belastbar — und nicht im Schadensfall angreifbar.

Versicherer-Mindestkatalog

Was vor Vertragsabschluss aktiv sein muss

  • 01Multi-Faktor-Authentifizierung für alle externen Zugänge (VPN, RDP, M365, Admin-Konten)
  • 02Backup-Konzept nach 3-2-1 mit Offsite-Komponente und protokolliertem Restore-Test
  • 03Endpoint Detection & Response auf allen verwalteten Geräten — Workstations, Notebooks, Server
  • 04Patch-Management mit definierten Wartungsfenstern und SLA für kritische Updates
  • 05Netzwerksegmentierung — mindestens getrenntes Server-VLAN, Gast-WLAN, Produktions-Netz
  • 06Mitarbeiter-Sensibilisierung gegen Phishing und Social Engineering, nachweisbar dokumentiert
05Einstieg

Wo steht
Ihre IT-Sicherheit
heute?

Bevor wir Maßnahmen empfehlen, schaut Geschäftsführer Michael Vreys Ihre Umgebung persönlich an. Strukturierte Bestandsaufnahme, schriftlicher Bericht mit Risikobewertung und priorisierter Maßnahmenliste — pauschal ab 299 Euro netto, bis 200 Arbeitsplätze. Sie behalten den Bericht; ob Sie damit zu uns oder zu jemand anderem gehen, entscheiden Sie.

Bestandsaufnahme aller Geräte
Netzwerk-Zugang, VPN, Firewall
Backup vorhanden / getestet?
MFA-Konfiguration M365
Patch-Stand
NIS2-Abgleich
Einsteiger-Check ab 299 €oder rufen Sie direkt an: 02173 99398140
06Häufige Fragen

Fragen zur
IT-Sicherheit für KMU.

Frage nicht dabei? Rufen Sie an — 02173 99398140.

01Was bedeutet NIS2 für mein Unternehmen?

NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit, in Deutschland seit Oktober 2024 in nationaler Umsetzung. Direkt betroffen sind in der Regel Unternehmen ab 50 Mitarbeitern oder ab 10 Millionen Euro Jahresumsatz, sofern sie in einem der 18 regulierten Sektoren tätig sind — u.a. Energie, Gesundheit, digitale Dienste, verarbeitendes Gewerbe, Lebensmittel, Logistik. Kleinere Unternehmen sind oft indirekt betroffen, weil NIS2-pflichtige Kunden Sicherheits-Nachweise von ihren Zulieferern verlangen.

02Was kostet IT-Sicherheit für ein KMU im Mittelstand?

Ein realistischer Einstieg liegt bei einer einmaligen Bestandsaufnahme ab 299 Euro netto (Einsteiger-Check, bis 200 Arbeitsplätze). Die laufenden Kosten für EDR, MFA, Backup und Patch-Management hängen von Geräteanzahl, Standorten und Datenvolumen ab; für ein KMU mit 20 bis 50 Arbeitsplätzen liegen sie typischerweise im niedrigen bis mittleren vierstelligen Bereich pro Monat. Im ersten Gespräch erhalten Sie eine konkrete Größenordnung — ohne Verkaufsdruck.

03Wie schnell merke ich einen Cyberangriff?

Ohne aktives Monitoring werden Angriffe nach Branchen-Auswertungen oft erst nach Wochen oder Monaten entdeckt — häufig erst, wenn die Verschlüsselung läuft oder Daten im Darknet auftauchen. Mit Endpoint Detection & Response und ausgewerteten M365-Login-Logs lassen sich verdächtige Muster in der Regel deutlich früher erkennen. Eine Garantie, jeden Angriff in Echtzeit zu sehen, gibt es nicht — wohl aber eine substanzielle Verkürzung der Verweildauer.

04Was passiert, wenn wir NIS2 nicht umsetzen?

Aufsichtsbehörden können Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen und im Extremfall die Leitungstätigkeit vorübergehend untersagen. Zusätzlich kann der Schutz aus einer Cyber-Versicherung im Schadensfall entfallen, wenn im Versicherungsantrag angegebene Maßnahmen nachweislich nicht umgesetzt waren. Geschäftsführer haften nach NIS2 persönlich für die Einrichtung des Risikomanagements.

05Wie lange dauert die Umsetzung der NIS2-Grundmaßnahmen?

Für ein KMU mit 10 bis 50 Mitarbeitern und bestehender Microsoft-365-Umgebung kalkulieren wir typischerweise 4 bis 8 Wochen für die technischen Grundmaßnahmen — MFA, EDR-Rollout, Backup-Konzept mit Restore-Test, Patch-Management, erste Netzwerksegmentierung. Die Sicherheits-Dokumentation und Mitarbeiter-Sensibilisierung sind danach laufende Prozesse, kein einmaliges Projekt.

06Reicht klassischer Virenschutz heute noch aus?

Signaturbasierter Virenschutz erkennt nur, was bereits als Schadcode bekannt ist. Aktuelle Angriffe nutzen polymorphe Malware, dateilose Techniken und Zero-Day-Exploits, die ein klassischer Scanner in der Regel nicht erfasst. Endpoint Detection & Response (EDR) analysiert stattdessen Verhalten und kann auch unbekannte Muster auffällig machen. Für NIS2-Anforderungen und die meisten Cyber-Versicherungs-Anträge gilt klassischer Antivirus nach aktuellem Stand der Technik nicht mehr als ausreichend.

07Was ist die 3-2-1-Backup-Regel?

Drei Datenkopien (Original plus zwei Sicherungen), auf zwei verschiedenen Medientypen, davon eine außer Haus. Ergänzt um Immutable Storage — also unveränderlich abgelegte Sicherungen — bleiben Backups auch bei einem Ransomware-Angriff in der Regel intakt. Ein Backup ohne dokumentierten Restore-Test ist im Ernstfall jedoch keine belastbare Größe; deshalb gehört der Wiederherstellungs-Test fest in das Konzept.

08Wir haben bereits einen IT-Dienstleister — warum net-kom?

net-kom übernimmt auf Wunsch auch nur die Sicherheits-Spezialthemen: NIS2-Bestandsaufnahme, Maßnahmen-Roadmap, Selbstauskunft für die Cyber-Versicherung, Audit der vorhandenen Backup- und Patch-Prozesse. Wenn Ihr bisheriger Dienstleister diese Themen bisher nicht abdeckt, füllen wir die Lücke — ohne ihn zu ersetzen.

09Kontakt

Bereit für IT,
die einfach funktioniert?

Ein Anruf, ein Termin vor Ort, ein Einsteiger-Check — Sie entscheiden, wie wir starten. Versprochen: kein Verkaufsgespräch.

02173 99398140support@net-kom.de
Adresse
net-kom Systemhaus
Hausinger Str. 6
40764 Langenfeld (Rheinland)
Servicezeiten
Mo – Fr · 8:00 – 16:30 Uhr
Mobil für Notfälle
(für unsere Kunden)
Schnellstart
Einsteiger-Check ab 299 €
Festpreis, ohne Risiko
Jetzt buchen →