Zum Inhalt springen
DSGVO-konforme B2B-Shops
IT-Sicherheit

IT-Sicherheit und NIS2 im B2B-Onlineshop umsetzen

Was NIS2, DSGVO und PCI-DSS für B2B-Shopbetreiber bedeuten: Betroffenheitsprüfung, Meldefristen, Lieferkettensicherheit, MFA und technische Härtung des Shops.

13 Min. Lesezeit IT-SicherheitNIS2ComplianceDSGVO

Cyberangriffe sind für den B2B-Handel keine abstrakte Gefahr mehr, sondern ein kalkulierbares Betriebsrisiko. Die durch digitale und analoge Angriffe verursachten Schäden für die deutsche Wirtschaft sind 2025 auf 289,2 Milliarden Euro gestiegen, ein Plus von rund 8 Prozent gegenüber dem Vorjahr (Bitkom). Für Betreiber eines B2B-Onlineshops kommt seit dem 6. Dezember 2025 eine zweite Dimension hinzu: Das NIS2-Umsetzungsgesetz verankert IT-Sicherheit erstmals als gesetzliche Pflicht mit Registrierung, Meldeketten und Verantwortung der Geschäftsleitung (Bundesamt für Sicherheit in der Informationstechnik). Zusammen mit der DSGVO und dem Kartensicherheitsstandard PCI-DSS entsteht ein Pflichtenrahmen, der den Shop technisch wie organisatorisch betrifft. Dieser Beitrag ordnet die Betroffenheitsprüfung, die Meldefristen und die technische Härtung ein und zeigt, warum Sicherheit ein laufender Wartungsprozess und kein einmaliges Projekt ist.

IT-Sicherheit und NIS2 im B2B-OnlineshopNIS2-Umsetzungsgesetzin Kraft seit 6. Dez 2025rund 29.500 EinrichtungenDSGVODatenschutz und Meldepflichtenrund 1,2 Mrd EUR Bußgelder 2025PCI-DSS 4.0.1Kartenzahlungs-SicherheitMFA-Pflicht seit 31.03.2025B2B-Shop härtenMFA und phishing-resistente LoginsUpdates und Patch-ManagementBackups und MonitoringLieferkettensicherheitB2B-Shop (Shopware)VorfallMeldekette an das BSI24 StundenFrühwarnung72 StundenMeldung mit Bewertung1 MonatAbschlussmeldung289 Mrd EURSchaden für die Wirtschaft 2025 (Bitkom)50 MA · 10 Mio EURSchwellenwert wichtige Einrichtung (BSI)119 / Tagneue Schwachstellen 2025 (BSI)Registrierung · Härtung · Meldung · Wartung — IT-Sicherheit als laufender Prozess

Warum IT-Sicherheit im B2B-Shop zur Pflicht wird

Die Zahlen des Bitkom-Wirtschaftsschutzberichts zeichnen ein deutliches Bild. 87 Prozent der Unternehmen waren zuletzt von Datendiebstahl, Spionage oder Sabotage betroffen, nach 81 Prozent im Vorjahr (Bitkom). Der Anteil rein digitaler Angriffe am Gesamtschaden ist von 67 auf 70 Prozent gestiegen und entspricht einer Summe von 202,4 Milliarden Euro (Bitkom). Besonders folgenreich bleibt Ransomware: 34 Prozent der Unternehmen waren betroffen, fast dreimal so viele wie 2022 mit 12 Prozent (Bitkom). Für einen Onlineshop, dessen Umsatz unmittelbar an der Verfügbarkeit des Systems hängt, ist jede Stunde Stillstand ein direkter Ausfall.

Auch die Bedrohungslage selbst wächst. Das BSI verzeichnete im Berichtszeitraum Juli 2024 bis Juni 2025 durchschnittlich 119 neue Schwachstellen pro Tag in IT-Systemen, ein Anstieg um rund 24 Prozent gegenüber dem Vorjahr (Bundesamt für Sicherheit in der Informationstechnik). Jede dieser Lücken kann eine ungepatchte Shop-Instanz, ein veraltetes Plugin oder eine offene Schnittstelle treffen. Genau hier setzt der Gesetzgeber an: NIS2 verlangt nicht bloß eine einmalige Absicherung, sondern ein fortlaufendes Risikomanagement, das mit der Bedrohungslage Schritt hält. Regulatorische Anforderungen häufen sich zudem; parallel zur E-Rechnungspflicht trifft NIS2 dieselben Systeme.

Sicherheit ist Chefsache -- mit persönlicher Verantwortung

Nach dem NIS2-Umsetzungsgesetz muss die Geschäftsleitung die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen; sie kann für Versäumnisse in die Verantwortung genommen werden (Bundesamt für Sicherheit in der Informationstechnik). IT-Sicherheit lässt sich damit nicht vollständig an die IT delegieren. Eine dokumentierte Bestandsaufnahme der Shop-Sicherheit ist der erste Schritt, um die Pflichten nachweisbar zu erfüllen.

NIS2-Umsetzungsgesetz: Was seit Dezember 2025 gilt

Das NIS2-Umsetzungsgesetz (offiziell NIS2UmsuCG) setzt die europäische Richtlinie (EU) 2022/2555 in nationales Recht um und ist am 6. Dezember 2025 in Kraft getreten (Bundesamt für Sicherheit in der Informationstechnik). Damit steigt die Zahl der beaufsichtigten Einrichtungen von rund 4.500 auf etwa 29.500 (Bundesamt für Sicherheit in der Informationstechnik). Das Gesetz unterscheidet zwei Klassen: besonders wichtige Einrichtungen und wichtige Einrichtungen. Beide müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle melden und ein Risikomanagement einführen und dokumentieren -- der Unterschied liegt vor allem in der Aufsichtsintensität und der Höhe möglicher Bußgelder.

Die zugrunde liegende Richtlinie benennt die Mindestanforderungen an das Risikomanagement. Sie reichen von Konzepten für Risikoanalyse und Informationssicherheit über die Bewältigung von Sicherheitsvorfällen und das Backup-Management bis zur Sicherheit der Lieferkette und dem Einsatz von Multi-Faktor-Authentisierung (EUR-Lex, Richtlinie (EU) 2022/2555, Artikel 21). Diese Maßnahmenbereiche bilden den Kern dessen, was ein betroffener Shop-Betreiber nachweisen muss. Sie sind bewusst technikoffen formuliert, damit sie auf unterschiedliche Systemlandschaften passen -- vom kleinen Fachhändler bis zur konzernweiten Shopware-Plattform.

Registrierung

Betroffene Einrichtungen registrieren sich beim BSI und halten ihre Kontaktdaten aktuell, damit Meldewege im Ernstfall funktionieren.

Risikomanagement

Technische und organisatorische Maßnahmen nach dem Stand der Technik werden eingeführt und nachvollziehbar dokumentiert.

Meldepflicht

Erhebliche Vorfälle werden in mehreren Stufen an das BSI gemeldet -- beginnend mit einer Frühwarnung binnen 24 Stunden.

Lieferkettensicherheit

Die Sicherheit von Dienstleistern, Hosting und Zulieferern gehört in das eigene Risikomanagement und in die Verträge.

Betriebskontinuität

Backup-Management, Notfallpläne und ein geübter Wiederanlauf sorgen dafür, dass der Betrieb einen Vorfall übersteht.

Nachweis und Verantwortung

Die Geschäftsleitung billigt die Maßnahmen, überwacht sie und trägt die Verantwortung für ihre Umsetzung.

Betroffenheitsprüfung: Fällt Ihr Shop-Betrieb unter NIS2?

Ob ein Unternehmen unter NIS2 fällt, entscheidet sich an zwei Fragen: Gehört es zu einem der regulierten Sektoren, und überschreitet es die Größenschwellen? Zu den Sektoren zählen unter anderem Verkehr und Logistik, Post- und Kurierdienste, Lebensmittelproduktion, Chemie, Maschinen- und Fahrzeugbau, Gesundheit sowie digitale Dienste (Bundesamt für Sicherheit in der Informationstechnik). Viele B2B-Händler sind über ihre Branche -- etwa als Großhändler, technischer Händler oder Zulieferer -- unmittelbar erfasst. Als wichtige Einrichtung gilt, wer mindestens 50 Mitarbeitende beschäftigt oder mehr als 10 Millionen Euro Jahresumsatz erzielt (Bundesamt für Sicherheit in der Informationstechnik).

Die Schwelle für besonders wichtige Einrichtungen liegt höher: ab 250 Mitarbeitenden oder über 50 Millionen Euro Umsatz bei zugleich mehr als 43 Millionen Euro Bilanzsumme (EUR-Lex, Richtlinie (EU) 2022/2555, Artikel 3). Die Einordnung ist nicht bloß Formsache, denn sie bestimmt, wie eng das BSI beaufsichtigt und wie hoch mögliche Bußgelder ausfallen. Wer nahe an einer Schwelle liegt oder mehrere Standorte betreibt, sollte die Prüfung sauber dokumentieren -- die Beratung zur Einordnung gehört an den Anfang jedes Projekts.

KriteriumWichtige EinrichtungBesonders wichtige Einrichtung
Größenschwelleab 50 Mitarbeitende oder 10 Mio. EUR Umsatzab 250 Mitarbeitende oder über 50 Mio. EUR Umsatz
Bilanzsummenicht maßgeblichzusätzlich über 43 Mio. EUR
Registrierung beim BSIverpflichtendverpflichtend
Meldepflicht24 h / 72 h / 1 Monat24 h / 72 h / 1 Monat
Aufsichtüberwiegend nachträglichauch proaktiv und enger
Bußgeldrahmenniedriger angesetzthöher angesetzt

Auch mittelbar Betroffene sollten reagieren

Selbst wer die Schwellen nicht erreicht, kann über die Lieferkette in die Pflicht geraten: Größere Auftraggeber geben ihre NIS2-Anforderungen vertraglich an Zulieferer und Dienstleister weiter. Ein Shop, der als Bestellkanal und B2B-Portal eines regulierten Kunden dient, wird so faktisch Teil von dessen Sicherheitsanforderungen. Wer die Härtung frühzeitig angeht, verschafft sich einen Vorteil in Ausschreibungen und Lieferantenaudits.

Registrierung und Meldeketten: 24, 72 Stunden, ein Monat

Mit dem Inkrafttreten am 6. Dezember 2025 begann eine dreimonatige Frist zur Registrierung beim BSI, die am 6. März 2026 endete (Bundesamt für Sicherheit in der Informationstechnik). Wer neu unter die Pflicht fällt oder die Frist versäumt hat, muss die Registrierung unverzüglich nachholen. Kernstück der laufenden Pflichten ist die abgestufte Meldung erheblicher Sicherheitsvorfälle nach Paragraf 32 BSIG. Sie folgt dem Grundsatz Schnelligkeit vor Vollständigkeit: Statt einer einzigen, spät fertigen Analyse verlangt das Gesetz mehrere, zunehmend detaillierte Meldungen.

  1. Frühwarnung binnen 24 Stunden: Erste Meldung an das BSI mit der Einschätzung, ob ein rechtswidriger oder böswilliger Auslöser vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind (Bundesamt für Sicherheit in der Informationstechnik).
  2. Meldung binnen 72 Stunden: Bestätigung und erste Bewertung des Vorfalls mit Angaben zu Schweregrad, Auswirkungen und -- soweit bekannt -- Indikatoren für die Kompromittierung.
  3. Abschlussmeldung nach einem Monat: Ausführlicher Bericht mit Ursachenanalyse, Schweregrad, Auswirkungen und den ergriffenen Gegenmaßnahmen.

Ohne Vorbereitung sind 24 Stunden extrem knapp

Die erste Frist läuft ab Kenntnisnahme, nicht ab Feierabend. Ein Vorfall am Wochenende lässt die Uhr genauso ticken. Wer Meldewege, Zuständigkeiten und Kontaktdaten nicht vorab festgelegt hat, verliert wertvolle Stunden mit Organisation statt mit Abwehr. Ein eingespielter Reaktionsplan und ein Wartungspartner mit Bereitschaft verkürzen die Zeit bis zur ersten belastbaren Meldung.

Lieferkettensicherheit: der Shop als Glied in der Kette

NIS2 nimmt ausdrücklich die Lieferkette in den Blick. Betroffene Einrichtungen müssen die Sicherheit ihrer unmittelbaren Anbieter und Dienstleister bewerten und in ihr eigenes Risikomanagement einbeziehen (EUR-Lex, Richtlinie (EU) 2022/2555, Artikel 21). Für einen B2B-Shop bedeutet das doppelte Verantwortung: Nach oben ist er selbst Zulieferer für regulierte Kunden, nach unten hängt er von Hosting, Zahlungsdienstleistern, Erweiterungs-Herstellern und Wartungspartnern ab. Jede dieser Anbindungen externer Systeme ist zugleich eine mögliche Angriffsfläche. Eine kompromittierte Drittanbieter-Erweiterung kann den gesamten Shop öffnen, auch wenn die eigene Software gepflegt ist.

Ein Shop ist nur so sicher wie das schwächste Glied seiner Lieferkette -- vom Hosting über die Zahlungsanbindung bis zur kleinsten Erweiterung.

Grundsatz der Lieferkettensicherheit nach NIS2

DSGVO und PCI-DSS: die zweite und dritte Ebene

NIS2 steht nicht allein. Die DSGVO verpflichtet jeden Shop, der personenbezogene Daten verarbeitet, zu angemessenen technischen und organisatorischen Maßnahmen -- und bei einer Verletzung des Schutzes personenbezogener Daten zur Meldung an die Aufsichtsbehörde binnen 72 Stunden (Artikel 33 DSGVO). Die Durchsetzung ist real: 2025 verhängten europäische Datenschutzbehörden Bußgelder von rund 1,2 Milliarden Euro (DLA Piper); seit Geltungsbeginn 2018 summieren sich die bekannten Bußgelder auf fast 7 Milliarden Euro (CMS Enforcement Tracker). Auch die Kundenkommunikation berührt den Datenschutz: Wer Bestell- und Servicemails über automatisierte E-Mail-Strecken versendet, muss Einwilligung und Datensparsamkeit sauber abbilden.

Wer Kartenzahlungen akzeptiert, unterliegt zusätzlich dem PCI-DSS. Seit dem 31. März 2025 sind die zunächst als Best Practice eingeführten, zukunftsdatierten Anforderungen der Version 4.0 verbindlich (PCI Security Standards Council). Dazu zählt eine Multi-Faktor-Authentisierung für sämtliche Zugriffe auf die Karteninhaber-Datenumgebung sowie -- wo Passwörter genutzt werden -- eine Mindestlänge von 12 Zeichen aus Buchstaben und Ziffern (PCI Security Standards Council). Praktisch lässt sich das Risiko senken, indem der Shop keine Kartendaten selbst speichert, sondern die Zahlungsabwicklung über zertifizierte Verfahren auslagert und den eigenen Geltungsbereich klein hält.

RahmenwerkGilt fürKern der PflichtMeldefrist
NIS2 / BSIGregulierte Sektoren ab SchwellenwertRisikomanagement, Registrierung, Meldung24 h / 72 h / 1 Monat
DSGVOjede Verarbeitung personenbezogener Datenangemessene Schutzmaßnahmen, Betroffenenrechte72 h an die Aufsichtsbehörde
PCI-DSSAkzeptanz von KartenzahlungenSchutz der Karteninhaber-Datenvertraglich an Acquirer und Marke

Drei Rahmenwerke, eine gemeinsame Basis

NIS2, DSGVO und PCI-DSS verlangen im Kern dieselben Grundlagen: aktuelle Software, starke Authentisierung, protokollierte Zugriffe, getestete Backups und einen geübten Notfallprozess. Wer diese Basis einmal sauber aufsetzt, erfüllt große Teile aller drei Rahmenwerke zugleich. Das gilt auch für angrenzende Pflichten wie die Barrierefreiheit nach BFSG, die denselben Weg der strukturierten Umsetzung geht.

Technische Härtung des B2B-Shops

Die technische Härtung übersetzt die gesetzlichen Vorgaben in konkrete Einstellungen am Shop. Sie beginnt bei den Zugängen und endet bei der Überwachung. Viele Maßnahmen zahlen doppelt ein: Aktuelle Software und eine schlanke, saubere Konfiguration erhöhen die Sicherheit und wirken sich zugleich positiv auf Ladezeiten und Stabilität aus. Wer den Shop ohnehin technisch erneuert -- etwa bei einer Migration auf eine aktuelle Shopware-Basis --, sollte Härtung und Aktualität von Anfang an mitdenken, statt sie nachzurüsten.

  • Multi-Faktor-Authentisierung für alle Administrations- und Redaktionszugänge des Shops
  • Rollen- und Rechtekonzept nach dem Prinzip der geringsten Berechtigung
  • Regelmäßiges Patch- und Update-Management für Core, Erweiterungen und Server
  • Durchgängige Transportverschlüsselung (TLS) und sichere HTTP-Sicherheitsheader
  • Automatisierte, getestete Backups mit definierter Wiederanlaufzeit
  • Protokollierung sicherheitsrelevanter Ereignisse und deren regelmäßige Auswertung
  • Abgesicherte Schnittstellen und geprüfte Drittanbieter-Erweiterungen
  • Wiederkehrende Prüfung auf bekannte Schwachstellen und Fehlkonfigurationen

Security-Wartung: Sicherheit als laufender Prozess

Der wichtigste Perspektivwechsel: IT-Sicherheit ist kein Zustand, den man einmal herstellt, sondern ein Prozess, den man aufrechterhält. Bei durchschnittlich 119 neuen Schwachstellen pro Tag (Bundesamt für Sicherheit in der Informationstechnik) veraltet ein einmal abgesicherter Shop mit jedem Tag ein Stück. NIS2 formuliert diesen Gedanken als Pflicht zum fortlaufenden Risikomanagement -- und genau hier liegt der Unterschied zwischen einem Einmalprojekt und einer laufenden Betreuung.

Einmalige Härtung gegen laufende Security-Wartung

Einmalige Absicherung

Der Shop wird zu einem Stichtag geprüft und gehärtet. Sinnvoll als Startpunkt, aber für die dauerhafte Pflichterfüllung selten ausreichend.

  • Schutz entspricht dem Stand des Prüftages
  • Neu bekannte Schwachstellen bleiben zunächst offen
  • Updates werden unregelmäßig eingespielt
  • Im Vorfall fehlt ein eingespielter Ansprechpartner

Laufende Security-Wartung

Der Shop wird kontinuierlich aktuell gehalten, überwacht und im Ernstfall betreut. Der belastbare Zielzustand.

  • Sicherheits-Updates werden zeitnah eingespielt
  • Monitoring erkennt Auffälligkeiten früh
  • Backups werden regelmäßig getestet
  • Meldewege und Reaktionsplan sind vorbereitet

Sicherheit als Wartungsleistung abbilden

Die NIS2-Pflicht zum fortlaufenden Risikomanagement lässt sich am zuverlässigsten über einen festen Wartungs- und Support-Service abbilden: geplante Updates, überwachte Verfügbarkeit, getestete Backups und ein vorbereiteter Reaktionsplan. So wird aus einer gesetzlichen Anforderung ein planbarer Betriebsbaustein. Sprechen Sie uns auf Ihre bestehende Shop-Umgebung an, dann leiten wir daraus die passenden Maßnahmen ab.

Fahrplan: NIS2 und Shop-Härtung umsetzen

Der Weg zur NIS2-konformen Shop-Sicherheit lässt sich in überschaubare Schritte gliedern. Er beginnt mit Klarheit über die Betroffenheit und endet bei einem überwachten Dauerbetrieb -- vorausgesetzt, die Absicherung wird als fortlaufende Aufgabe geplant.

  1. Betroffenheit prüfen: Sektor und Größenschwellen abgleichen, mittelbare Pflichten über Kunden und Lieferkette erfassen und dokumentieren.
  2. Registrieren: Sofern betroffen, die Registrierung beim BSI vornehmen oder nachholen und die Kontaktdaten aktuell halten.
  3. Ist-Zustand aufnehmen: Shop, Server, Schnittstellen und Dienstleister auf Aktualität, Zugänge und Schwachstellen prüfen.
  4. Härten: Multi-Faktor-Authentisierung, Update-Management, Verschlüsselung, Backups und Protokollierung einrichten.
  5. Meldeprozess aufsetzen: Zuständigkeiten, Meldewege und einen Reaktionsplan für die 24-Stunden-Frist festlegen und üben.
  6. Dauerhaft betreiben: Sicherheit über eine laufende Wartung fortschreiben, statt sie als abgeschlossenes Projekt zu behandeln.

Quellen und Studien

Dieser Artikel basiert auf Daten aus: Bundesamt für Sicherheit in der Informationstechnik (BSI) -- Pressemitteilung zum Inkrafttreten des NIS2-Umsetzungsgesetzes (Dezember 2025), NIS-2-Infopakete zu Pflichten und Meldepflicht (Paragraf 32 BSIG) sowie Die Lage der IT-Sicherheit in Deutschland 2025; EUR-Lex -- Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie), insbesondere Artikel 3, 21 und 23; PCI Security Standards Council -- PCI DSS v4.0.1 und die zum 31. März 2025 verbindlichen Anforderungen; Bitkom -- Studienbericht Wirtschaftsschutz 2025 (über 1.000 befragte Unternehmen); DLA Piper -- GDPR Fines and Data Breach Survey 2026 sowie CMS GDPR Enforcement Tracker. Zahlen können je nach Erhebungszeitpunkt und Stichprobe variieren. Konkrete rechtliche Pflichten sind mit fachkundiger Beratung zu klären.