Cyberangriffe sind für den B2B-Handel keine abstrakte Gefahr mehr, sondern ein kalkulierbares Betriebsrisiko. Die durch digitale und analoge Angriffe verursachten Schäden für die deutsche Wirtschaft sind 2025 auf 289,2 Milliarden Euro gestiegen, ein Plus von rund 8 Prozent gegenüber dem Vorjahr (Bitkom). Für Betreiber eines B2B-Onlineshops kommt seit dem 6. Dezember 2025 eine zweite Dimension hinzu: Das NIS2-Umsetzungsgesetz verankert IT-Sicherheit erstmals als gesetzliche Pflicht mit Registrierung, Meldeketten und Verantwortung der Geschäftsleitung (Bundesamt für Sicherheit in der Informationstechnik). Zusammen mit der DSGVO und dem Kartensicherheitsstandard PCI-DSS entsteht ein Pflichtenrahmen, der den Shop technisch wie organisatorisch betrifft. Dieser Beitrag ordnet die Betroffenheitsprüfung, die Meldefristen und die technische Härtung ein und zeigt, warum Sicherheit ein laufender Wartungsprozess und kein einmaliges Projekt ist.
Warum IT-Sicherheit im B2B-Shop zur Pflicht wird
Die Zahlen des Bitkom-Wirtschaftsschutzberichts zeichnen ein deutliches Bild. 87 Prozent der Unternehmen waren zuletzt von Datendiebstahl, Spionage oder Sabotage betroffen, nach 81 Prozent im Vorjahr (Bitkom). Der Anteil rein digitaler Angriffe am Gesamtschaden ist von 67 auf 70 Prozent gestiegen und entspricht einer Summe von 202,4 Milliarden Euro (Bitkom). Besonders folgenreich bleibt Ransomware: 34 Prozent der Unternehmen waren betroffen, fast dreimal so viele wie 2022 mit 12 Prozent (Bitkom). Für einen Onlineshop, dessen Umsatz unmittelbar an der Verfügbarkeit des Systems hängt, ist jede Stunde Stillstand ein direkter Ausfall.
Auch die Bedrohungslage selbst wächst. Das BSI verzeichnete im Berichtszeitraum Juli 2024 bis Juni 2025 durchschnittlich 119 neue Schwachstellen pro Tag in IT-Systemen, ein Anstieg um rund 24 Prozent gegenüber dem Vorjahr (Bundesamt für Sicherheit in der Informationstechnik). Jede dieser Lücken kann eine ungepatchte Shop-Instanz, ein veraltetes Plugin oder eine offene Schnittstelle treffen. Genau hier setzt der Gesetzgeber an: NIS2 verlangt nicht bloß eine einmalige Absicherung, sondern ein fortlaufendes Risikomanagement, das mit der Bedrohungslage Schritt hält. Regulatorische Anforderungen häufen sich zudem; parallel zur E-Rechnungspflicht trifft NIS2 dieselben Systeme.
Sicherheit ist Chefsache -- mit persönlicher Verantwortung
NIS2-Umsetzungsgesetz: Was seit Dezember 2025 gilt
Das NIS2-Umsetzungsgesetz (offiziell NIS2UmsuCG) setzt die europäische Richtlinie (EU) 2022/2555 in nationales Recht um und ist am 6. Dezember 2025 in Kraft getreten (Bundesamt für Sicherheit in der Informationstechnik). Damit steigt die Zahl der beaufsichtigten Einrichtungen von rund 4.500 auf etwa 29.500 (Bundesamt für Sicherheit in der Informationstechnik). Das Gesetz unterscheidet zwei Klassen: besonders wichtige Einrichtungen und wichtige Einrichtungen. Beide müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle melden und ein Risikomanagement einführen und dokumentieren -- der Unterschied liegt vor allem in der Aufsichtsintensität und der Höhe möglicher Bußgelder.
Die zugrunde liegende Richtlinie benennt die Mindestanforderungen an das Risikomanagement. Sie reichen von Konzepten für Risikoanalyse und Informationssicherheit über die Bewältigung von Sicherheitsvorfällen und das Backup-Management bis zur Sicherheit der Lieferkette und dem Einsatz von Multi-Faktor-Authentisierung (EUR-Lex, Richtlinie (EU) 2022/2555, Artikel 21). Diese Maßnahmenbereiche bilden den Kern dessen, was ein betroffener Shop-Betreiber nachweisen muss. Sie sind bewusst technikoffen formuliert, damit sie auf unterschiedliche Systemlandschaften passen -- vom kleinen Fachhändler bis zur konzernweiten Shopware-Plattform.
Registrierung
Betroffene Einrichtungen registrieren sich beim BSI und halten ihre Kontaktdaten aktuell, damit Meldewege im Ernstfall funktionieren.
Risikomanagement
Technische und organisatorische Maßnahmen nach dem Stand der Technik werden eingeführt und nachvollziehbar dokumentiert.
Meldepflicht
Erhebliche Vorfälle werden in mehreren Stufen an das BSI gemeldet -- beginnend mit einer Frühwarnung binnen 24 Stunden.
Lieferkettensicherheit
Die Sicherheit von Dienstleistern, Hosting und Zulieferern gehört in das eigene Risikomanagement und in die Verträge.
Betriebskontinuität
Backup-Management, Notfallpläne und ein geübter Wiederanlauf sorgen dafür, dass der Betrieb einen Vorfall übersteht.
Nachweis und Verantwortung
Die Geschäftsleitung billigt die Maßnahmen, überwacht sie und trägt die Verantwortung für ihre Umsetzung.
Betroffenheitsprüfung: Fällt Ihr Shop-Betrieb unter NIS2?
Ob ein Unternehmen unter NIS2 fällt, entscheidet sich an zwei Fragen: Gehört es zu einem der regulierten Sektoren, und überschreitet es die Größenschwellen? Zu den Sektoren zählen unter anderem Verkehr und Logistik, Post- und Kurierdienste, Lebensmittelproduktion, Chemie, Maschinen- und Fahrzeugbau, Gesundheit sowie digitale Dienste (Bundesamt für Sicherheit in der Informationstechnik). Viele B2B-Händler sind über ihre Branche -- etwa als Großhändler, technischer Händler oder Zulieferer -- unmittelbar erfasst. Als wichtige Einrichtung gilt, wer mindestens 50 Mitarbeitende beschäftigt oder mehr als 10 Millionen Euro Jahresumsatz erzielt (Bundesamt für Sicherheit in der Informationstechnik).
Die Schwelle für besonders wichtige Einrichtungen liegt höher: ab 250 Mitarbeitenden oder über 50 Millionen Euro Umsatz bei zugleich mehr als 43 Millionen Euro Bilanzsumme (EUR-Lex, Richtlinie (EU) 2022/2555, Artikel 3). Die Einordnung ist nicht bloß Formsache, denn sie bestimmt, wie eng das BSI beaufsichtigt und wie hoch mögliche Bußgelder ausfallen. Wer nahe an einer Schwelle liegt oder mehrere Standorte betreibt, sollte die Prüfung sauber dokumentieren -- die Beratung zur Einordnung gehört an den Anfang jedes Projekts.
| Kriterium | Wichtige Einrichtung | Besonders wichtige Einrichtung |
|---|---|---|
| Größenschwelle | ab 50 Mitarbeitende oder 10 Mio. EUR Umsatz | ab 250 Mitarbeitende oder über 50 Mio. EUR Umsatz |
| Bilanzsumme | nicht maßgeblich | zusätzlich über 43 Mio. EUR |
| Registrierung beim BSI | verpflichtend | verpflichtend |
| Meldepflicht | 24 h / 72 h / 1 Monat | 24 h / 72 h / 1 Monat |
| Aufsicht | überwiegend nachträglich | auch proaktiv und enger |
| Bußgeldrahmen | niedriger angesetzt | höher angesetzt |
Auch mittelbar Betroffene sollten reagieren
Registrierung und Meldeketten: 24, 72 Stunden, ein Monat
Mit dem Inkrafttreten am 6. Dezember 2025 begann eine dreimonatige Frist zur Registrierung beim BSI, die am 6. März 2026 endete (Bundesamt für Sicherheit in der Informationstechnik). Wer neu unter die Pflicht fällt oder die Frist versäumt hat, muss die Registrierung unverzüglich nachholen. Kernstück der laufenden Pflichten ist die abgestufte Meldung erheblicher Sicherheitsvorfälle nach Paragraf 32 BSIG. Sie folgt dem Grundsatz Schnelligkeit vor Vollständigkeit: Statt einer einzigen, spät fertigen Analyse verlangt das Gesetz mehrere, zunehmend detaillierte Meldungen.
- Frühwarnung binnen 24 Stunden: Erste Meldung an das BSI mit der Einschätzung, ob ein rechtswidriger oder böswilliger Auslöser vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind (Bundesamt für Sicherheit in der Informationstechnik).
- Meldung binnen 72 Stunden: Bestätigung und erste Bewertung des Vorfalls mit Angaben zu Schweregrad, Auswirkungen und -- soweit bekannt -- Indikatoren für die Kompromittierung.
- Abschlussmeldung nach einem Monat: Ausführlicher Bericht mit Ursachenanalyse, Schweregrad, Auswirkungen und den ergriffenen Gegenmaßnahmen.
Ohne Vorbereitung sind 24 Stunden extrem knapp
Lieferkettensicherheit: der Shop als Glied in der Kette
NIS2 nimmt ausdrücklich die Lieferkette in den Blick. Betroffene Einrichtungen müssen die Sicherheit ihrer unmittelbaren Anbieter und Dienstleister bewerten und in ihr eigenes Risikomanagement einbeziehen (EUR-Lex, Richtlinie (EU) 2022/2555, Artikel 21). Für einen B2B-Shop bedeutet das doppelte Verantwortung: Nach oben ist er selbst Zulieferer für regulierte Kunden, nach unten hängt er von Hosting, Zahlungsdienstleistern, Erweiterungs-Herstellern und Wartungspartnern ab. Jede dieser Anbindungen externer Systeme ist zugleich eine mögliche Angriffsfläche. Eine kompromittierte Drittanbieter-Erweiterung kann den gesamten Shop öffnen, auch wenn die eigene Software gepflegt ist.
Ein Shop ist nur so sicher wie das schwächste Glied seiner Lieferkette -- vom Hosting über die Zahlungsanbindung bis zur kleinsten Erweiterung.
DSGVO und PCI-DSS: die zweite und dritte Ebene
NIS2 steht nicht allein. Die DSGVO verpflichtet jeden Shop, der personenbezogene Daten verarbeitet, zu angemessenen technischen und organisatorischen Maßnahmen -- und bei einer Verletzung des Schutzes personenbezogener Daten zur Meldung an die Aufsichtsbehörde binnen 72 Stunden (Artikel 33 DSGVO). Die Durchsetzung ist real: 2025 verhängten europäische Datenschutzbehörden Bußgelder von rund 1,2 Milliarden Euro (DLA Piper); seit Geltungsbeginn 2018 summieren sich die bekannten Bußgelder auf fast 7 Milliarden Euro (CMS Enforcement Tracker). Auch die Kundenkommunikation berührt den Datenschutz: Wer Bestell- und Servicemails über automatisierte E-Mail-Strecken versendet, muss Einwilligung und Datensparsamkeit sauber abbilden.
Wer Kartenzahlungen akzeptiert, unterliegt zusätzlich dem PCI-DSS. Seit dem 31. März 2025 sind die zunächst als Best Practice eingeführten, zukunftsdatierten Anforderungen der Version 4.0 verbindlich (PCI Security Standards Council). Dazu zählt eine Multi-Faktor-Authentisierung für sämtliche Zugriffe auf die Karteninhaber-Datenumgebung sowie -- wo Passwörter genutzt werden -- eine Mindestlänge von 12 Zeichen aus Buchstaben und Ziffern (PCI Security Standards Council). Praktisch lässt sich das Risiko senken, indem der Shop keine Kartendaten selbst speichert, sondern die Zahlungsabwicklung über zertifizierte Verfahren auslagert und den eigenen Geltungsbereich klein hält.
| Rahmenwerk | Gilt für | Kern der Pflicht | Meldefrist |
|---|---|---|---|
| NIS2 / BSIG | regulierte Sektoren ab Schwellenwert | Risikomanagement, Registrierung, Meldung | 24 h / 72 h / 1 Monat |
| DSGVO | jede Verarbeitung personenbezogener Daten | angemessene Schutzmaßnahmen, Betroffenenrechte | 72 h an die Aufsichtsbehörde |
| PCI-DSS | Akzeptanz von Kartenzahlungen | Schutz der Karteninhaber-Daten | vertraglich an Acquirer und Marke |
Drei Rahmenwerke, eine gemeinsame Basis
Technische Härtung des B2B-Shops
Die technische Härtung übersetzt die gesetzlichen Vorgaben in konkrete Einstellungen am Shop. Sie beginnt bei den Zugängen und endet bei der Überwachung. Viele Maßnahmen zahlen doppelt ein: Aktuelle Software und eine schlanke, saubere Konfiguration erhöhen die Sicherheit und wirken sich zugleich positiv auf Ladezeiten und Stabilität aus. Wer den Shop ohnehin technisch erneuert -- etwa bei einer Migration auf eine aktuelle Shopware-Basis --, sollte Härtung und Aktualität von Anfang an mitdenken, statt sie nachzurüsten.
- Multi-Faktor-Authentisierung für alle Administrations- und Redaktionszugänge des Shops
- Rollen- und Rechtekonzept nach dem Prinzip der geringsten Berechtigung
- Regelmäßiges Patch- und Update-Management für Core, Erweiterungen und Server
- Durchgängige Transportverschlüsselung (TLS) und sichere HTTP-Sicherheitsheader
- Automatisierte, getestete Backups mit definierter Wiederanlaufzeit
- Protokollierung sicherheitsrelevanter Ereignisse und deren regelmäßige Auswertung
- Abgesicherte Schnittstellen und geprüfte Drittanbieter-Erweiterungen
- Wiederkehrende Prüfung auf bekannte Schwachstellen und Fehlkonfigurationen
Security-Wartung: Sicherheit als laufender Prozess
Der wichtigste Perspektivwechsel: IT-Sicherheit ist kein Zustand, den man einmal herstellt, sondern ein Prozess, den man aufrechterhält. Bei durchschnittlich 119 neuen Schwachstellen pro Tag (Bundesamt für Sicherheit in der Informationstechnik) veraltet ein einmal abgesicherter Shop mit jedem Tag ein Stück. NIS2 formuliert diesen Gedanken als Pflicht zum fortlaufenden Risikomanagement -- und genau hier liegt der Unterschied zwischen einem Einmalprojekt und einer laufenden Betreuung.
Einmalige Härtung gegen laufende Security-Wartung
Einmalige Absicherung
Der Shop wird zu einem Stichtag geprüft und gehärtet. Sinnvoll als Startpunkt, aber für die dauerhafte Pflichterfüllung selten ausreichend.
- Schutz entspricht dem Stand des Prüftages
- Neu bekannte Schwachstellen bleiben zunächst offen
- Updates werden unregelmäßig eingespielt
- Im Vorfall fehlt ein eingespielter Ansprechpartner
Laufende Security-Wartung
Der Shop wird kontinuierlich aktuell gehalten, überwacht und im Ernstfall betreut. Der belastbare Zielzustand.
- Sicherheits-Updates werden zeitnah eingespielt
- Monitoring erkennt Auffälligkeiten früh
- Backups werden regelmäßig getestet
- Meldewege und Reaktionsplan sind vorbereitet
Sicherheit als Wartungsleistung abbilden
Fahrplan: NIS2 und Shop-Härtung umsetzen
Der Weg zur NIS2-konformen Shop-Sicherheit lässt sich in überschaubare Schritte gliedern. Er beginnt mit Klarheit über die Betroffenheit und endet bei einem überwachten Dauerbetrieb -- vorausgesetzt, die Absicherung wird als fortlaufende Aufgabe geplant.
- Betroffenheit prüfen: Sektor und Größenschwellen abgleichen, mittelbare Pflichten über Kunden und Lieferkette erfassen und dokumentieren.
- Registrieren: Sofern betroffen, die Registrierung beim BSI vornehmen oder nachholen und die Kontaktdaten aktuell halten.
- Ist-Zustand aufnehmen: Shop, Server, Schnittstellen und Dienstleister auf Aktualität, Zugänge und Schwachstellen prüfen.
- Härten: Multi-Faktor-Authentisierung, Update-Management, Verschlüsselung, Backups und Protokollierung einrichten.
- Meldeprozess aufsetzen: Zuständigkeiten, Meldewege und einen Reaktionsplan für die 24-Stunden-Frist festlegen und üben.
- Dauerhaft betreiben: Sicherheit über eine laufende Wartung fortschreiben, statt sie als abgeschlossenes Projekt zu behandeln.
Quellen und Studien