Zur Startseite wechseln
Bitte geben Sie mindestens 3 Zeichen ein!
Kategorien

Die NIS2-Richtlinie verständlich erklärt

News
Bildquelle: Digital GFX (Adobe Stock)
11/12/2025 | IT und Cybersicherheit | NIS-2

Informationssicherheit im Fokus: Wie NIS2 Unternehmen schützt

Digitalisierung und Vernetzung schreiten rasant voran und mit ihr die Bedrohungen – für Unternehmen und für die Gesellschaft! Für Unternehmen ist es längst keine Frage mehr, ob sie Opfer eines Cyberangriffs werden, sondern nur noch wann. Die Konsequenzen daraus können verheerend sein. Deshalb ist es dringend geboten, dass sich Unternehmenslenker mit den neuesten Entwicklungen in der Cyber- und Informationssicherheit auseinandersetzen und Maßnahmen ergreifen, um die digitale Sicherheit zu verbessern und Risiken zu minimieren. Eine der wichtigsten Entwicklungen in diesem Bereich ist die NIS2-Richtlinie, die von der Europäischen Union erlassen wurde. In diesem Artikel werden die Kernelemente von NIS2 dargestellt und erklärt, was NIS2 für Unternehmen bedeutet und was diese tun müssen, um den Anforderungen gerecht zu werden.
NIS2 ist eine wichtige Richtlinie, die die Sicherheit von Netz- und Informationssystemen in der EU verbessern soll. Am 6.12.2025 ist die EU-Richtlinie in nationales Recht überführt worden und das NIS2-Umsetzungsgesetz in Kraft getreten. Damit erfolgt eine umfassende Modernisierung des Cybersicherheitsrechts. 

Unternehmen, die von NIS2 betroffen sind, müssen die Anforderungen der EU-Richtlinie bzw. des NIS2-Umsetzungsgesetzes ab sofort (seit Inkrafttreten des NIS2-Umsetzungsgesetzes am 6.12.2025) erfüllen und sicherstellen, dass ihre Netz- und Informationssysteme sicher sind. Auch Unternehmen, die aktuell nicht direkt betroffen sind, sollten die Anforderungen von NIS2 unbedingt ernst nehmen und entsprechende Maßnahmen ergreifen. Durch die Umsetzung von NIS2 kann das Risiko von Cyberbedrohungen minimiert und die Informationssicherheit im Unternehmen gestärkt werden.

Weitere Artikel

Was ist und warum gibt es NIS2?


NIS2 ist die Abkürzung für "Network and Information Security 2" und bezeichnet die zweite Richtlinie der Europäischen Union für die Sicherheit von Netz- und Informationssystemen. Diese Richtlinie wurde von der Europäischen Kommission erlassen und am 27. Dezember 2022 in Kraft gesetzt. Sie ist eine Weiterentwicklung und ersetzt die erste NIS-Richtlinie, die 2016 in Kraft gesetzt wurde. Sie soll die Sicherheitssysteme der Unternehmen in der EU verbessern und harmonisieren. Durch die zunehmende Digitalisierung und Vernetzung von Systemen und Anlagen steigt auch das Risiko von Cyberangriffen und -bedrohungen erheblich. NIS2 soll helfen, diese Risiken zu minimieren. Dazu gehören die Entwicklung von Strategien und Plänen für Informationssicherheit, die Durchführung von Risikobewertungen und die Umsetzung von Maßnahmen zur Risikominderung.

Die Mitgliedstaaten der EU müssen die Richtlinie in nationales Recht umsetzen und sicherstellen, dass die Anforderungen von NIS2 erfüllt werden. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Umsetzung von NIS2 zuständig. Das NIS2-Umsetzungsgesetz (Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung) wurde am 5.12.2025 im Bundesgesetzblatt veröffentlicht (BGBl. 2025 I Nr. 301 vom 05.12.2025) und ist am 6.12.2025 in Kraft getreten.

Welche Unternehmen sind davon betroffen?


Wichtig ist, dass Unternehmen selbständig prüfen müssen, ob sie von der NIS2-Richtlinie betroffen sind und damit künftig zu den durch das BSI beaufsichtigten Einrichtungen gehören. 

Die NIS2-Richtlinie gilt für 
  • Unternehmen der Kritischen Infrastrukturen (KRITIS) sowie 
  • „besonders wichtige“ und 
  • „wichtige Einrichtungen“ gemäß Anhang I und II des NIS2-Umsetzungsgesetzes.

Kernforderungen
Unternehmen, die in diese Kategorien fallen, müssen die folgenden drei Kernforderungen erfüllen. Sie sind verpflichtet,
  • sich als NIS2-Unternehmen beim BSI bzw. beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu registrieren (zweistufiger Registrierungsprozess); (§§ 33, 34 Umsetzungsgesetz), 
  • dem BSI erhebliche Sicherheitsvorfälle unverzüglich zu melden und 
  • Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren. 

Besonders wichtige, wichtige und weitere Einrichtungen


KRITIS gelten automatisch als besonders wichtige Einrichtungen.

Gemäß § 28 des NIS2-Umsetzungsgesetzes gelten (u.a.) als:

  • „Besonders wichtige Einrichtungen“ Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, mit mindestens 50 Mitarbeiter ODER einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro,
  • „Wichtige Einrichtungen“ Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, mit weniger als 50 Mitarbeiter UND einem Jahresumsatz oder einer Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger.
  • Weitere Unternehmen, wie z.B. „sonstige natürliche oder juristische Personen“, sind ebenfalls in § 28 aufgeführt, mit anderen Kriterien für Mitarbeiterzahl und Jahresumsatz/Jahresbilanzsumme.

Ausnahmeregelungen sind in den §§ 28, 29, 37, 43 und 46 des NIS2-Umsetzungsgesetzes zu finden. 
Wichtig zu beachten ist, dass auch andere Unternehmen, die nicht direkt als Betreiber kritischer Infrastrukturen gelten, von NIS2 betroffen sein können, wenn sie Dienstleistungen für diese Unternehmen erbringen oder mit ihnen zusammenarbeiten.

Umsetzung von NIS2: Anforderungen und Maßnahmen


Die Anforderungen von NIS2 umfassen zehn Mindestmaßnahmen, die Unternehmen ergreifen müssen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten (§ 30 des NIS2-Umsetzungsgesetzes):

  1. Risikoanalyse und IT-Sicherheit - Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
  2. Bewältigung von Sicherheitsvorfällen,
  3. Betriebsaufrechterhaltung (Business Continuity Management (BCM) - Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  4. Gewährleistung von Lieferkettensicherheit,
  5. Sicherheit bei Entwicklung und Wartung von Netzen und Informationssystemen,
  6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen,
  7. Schulungen und Sensibilisierung zur Sicherheit in der Informationstechnik,
  8. Einsatz von kryptographischen Verfahren,
  9. Personalsicherheit und Zugriffskontrolle,
  10. Multi-Faktor-Authentifizierung.

Um diese Anforderungen umzusetzen, müssen Unternehmen, die von NIS2 betroffen sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen und dokumentieren. Dabei „sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.“ (§ 30 NIS2-Umsetzungsgesetz). Dazu gehören auch die unverzügliche Meldung von Sicherheitsvorfällen, spätestens innerhalb von 24 Stunden, und die Aktualisierung innerhalb von 72 Stunden.

Empfohlener Umsetzungsplan


Der empfohlene Umsetzungsplan ist eine umfassende Vorlage für Unternehmen, die ihre Sicherheitsarchitektur verbessern wollen, insbesondere für solche mit einem geringen Sicherheitsstandard.

Von NIS2 betroffene Unternehmen sollten folgenden systematischen Weg wählen, um eine effiziente, zügige und wirtschaftliche Umsetzung der erforderlichen Maßnahmen zu gewährleisten. Das Ziel ist es, einen hohen Sicherheitsstandard zu etablieren – für das Unternehmen insgesamt und seine Mitarbeiter, aber auch für Kunden- und Lieferantenbeziehungen.

Vorgehensplan (10-Punkte-Plan)


  1. Zunächst sollte geklärt werden, ob eine NIS2-Verpflichtung vorliegt. Dazu dient die Durchführung einer Betroffenheitsanalyse, wie sie z.B. vom BSI angeboten wird,

  2. Anschließend ist eine Statusanalyse durchzuführen. Die Kernfragen lauten: Wurde im Unternehmen bereits eine Risikoanalyse und -bewertung durchgeführt, besteht eine Sicherheitsarchitektur, wie „ausgefeilt“ und umfassend ist diese, sind auch Kunden- und Lieferantenbeziehungen eingebunden und existieren (umfangreiche) automatisierte Dokumentations- und Berichtsroutinen?

  3. Analyse der genauen Anforderungen von NIS2,

  4. Definition des „Zielbilds“ nach der Implementierung von NIS2,

  5. GAP-Analyse erstellen – was ist bereits vorhanden, was fehlt noch,

  6. Definition der Verantwortlichkeiten – im Rahmen eines umfassenden GRC-Rahmenwerkes (Governance, Risk Management und Compliance),

  7. Prioritäten definieren, nach geschäftsspezifischen Herausforderungen sowie dem Risikoprofil und einer Gefahrenanalyse. Dabei haben geschäftskritische Systeme sowie Prozesse oberste Priorität.

  8. Einen Umsetzungsplan (inhaltlich, zeitlich) erstellen; klären, ob, in welchem Umfang, wer bei der Umsetzung unterstützen soll; Transparenz schaffen, Strukturen und Prozesse definieren, Assets klassifizieren, auditfähige Berichtswege (Reportingsystem) etablieren, Schulungen planen für Geschäftsleitung und Mitarbeitende,

  9. Budget bereitstellen,

  10. Implementierung: Aufbau, soweit nicht vorhanden, einer effizienten GRC-Struktur und eines umfassenden ISMS (Informations-Sicherheits-Management-System) – das auch die Anforderungen von NIS2 (10 Punkte gemäß § 30 NIS2-Umsetzungsgesetz) abdeckt. Entwicklung einer zukunftsweisenden und gelebten Sicherheitskultur – über alle Strukturen, Funktionen und Mitarbeitenden.

Von Vorteil bei der Implementierung kann ein iterativer Ansatz sein, mit dem die Maßnahmen stufenweise implementiert, deren Wirksamkeit sorgfältig überprüft und überwacht und die bei Bedarf modifiziert werden. Damit können besonders wirksame Maßnahmen, in besonders kritischen Bereichen sofort ergriffen werden, um schnell das Sicherheitsniveau zu erhöhen. Damit ist auch eine gute Balance möglich, zwischen unternehmensspezifischen Anforderungen und dem Aufbau bzw. der Optimierung der Unternehmenssicherheit.

Nach der Herstellung einer NIS2-konformen Sicherheitsarchitektur im Unternehmen, ist es erforderlich, eine wirksame, regelmäßige Überwachung zu implementieren und eine kontinuierliche Modernisierung und Verbesserung zu gewährleisten!

Etablierung einer Sicherheitskultur


Mit der vollständigen Erfüllung dieser „technischen“ Mindestmaßnahmen ist ein Unternehmen NIS2-konform. Damit aber aus einem Unternehmen auch ein „sicheres Unternehmen“ werden kann, fehlt noch ein entscheidender Baustein: der Aufbau und die Etablierung einer ausgeprägten Sicherheitskultur. Denn das Erfüllen aller technischen Anforderungen macht aus einem Unternehmen noch kein „sicheres Unternehmen“. 

Um dies zu erreichen, ist es erforderlich, parallel zu den technischen Maßnahmen, auch eine dezidierte, selbstverständliche Sicherheitskultur zu etablieren, ausgehend von der Geschäftsleitung und gelebt von allen Ebenen im Unternehmen und allen Mitarbeitenden.

Dies ist eine Grundvoraussetzung für eine leistungsfähige Unternehmenssicherheit. Und für das Unternehmen wird Unternehmenssicherheit damit zu einem Wettbewerbsvorteil, mit dem man sich bei Kunden und Lieferanten von seinen Wettbewerbern abheben kann.

Was ist Unternehmen zu raten, die aktuell nicht direkt von NIS2 betroffen sind?


Auch den Unternehmen, die aktuell nicht direkt von NIS2 betroffen sind, wird dringend geraten, die Anforderungen der Richtlinie ernst zu nehmen und wirksame Maßnahmen zur Verbesserung der Cyber- und Informationssicherheit zu ergreifen, um das Risiko von Cyberangriffen und -bedrohungen zu minimieren und die Informationssicherheit zu verbessern. Das Unterlassen kann zu verheerenden Folgen führen, bis zur Insolvenz des angegriffenen Unternehmens. 

Ein häufig vorherrschender Irrglaube ist, dass nur die „großen“ Unternehmen von Cyber-Angriffen betroffen sind. In Wirklichkeit sind KMUs das Hauptziel von Cyber-Attacken. Denn 60% aller Cyberangriffe richten sich gegen kleine und mittlere Unternehmen. Die Schäden, die daraus entstehen, sind enorm!

Konsequenzen bei Nichtumsetzung von NIS2


Die Nichtumsetzung von NIS2 kann für Unternehmen schwerwiegende Konsequenzen haben, mit empfindlichen Geldstrafen und Bußgeldern – von Sicherheitsrisiken bzw. Sicherheitsvorfällen und Reputationsschäden für das betroffene Unternehmen ganz abgesehen! In Deutschland kann das BSI Bußgelder bis zu 10 Millionen Euro oder 2% des Gesamtumsatzes des Unternehmens verhängen (§ 65 des NIS2-Umsetzungsgesetzes).

Autor: Dr. Wolfgang Erlebach

Consultant | KnowledgeRiver GmbH

Wolfgang Erlebach, Dr. rer. pol., hat jahrelange Erfahrungen in verschiedenen Führungspositionen in der Finanzwirtschaft sowie als Aufsichtsrat und Vorstand in der Informationstechnologie. Er ist selbständiger Unternehmensberater, mit Fokus auf Strategieentwicklung und -umsetzung, Interim-Management, KI, Unternehmenssicherheit und NIS2. Gemeinsam mit Partnern hilft er Unternehmen eine effiziente Sicherheitsarchitektur zu entwickeln und eine gelebte Sicherheitskultur zu etablieren.

Weitere Artikel

News
09/01/2026 | Recht und Regulierung

Happy New Digitalisierungsjahr 2026!
News
17/12/2025 | Schatten-KI | Datenanalyse und Künstliche Intelligenz

Schatten-KI: Wenn KI im Verborgenen arbeitet


Wir setzen auf unserer Webseite Cookies ein, die zur Sicherheit und Funktionalität der Webseite erforderlich sind. Soweit Sie auf die Schaltfläche „Alle Cookies akzeptieren“ klicken, werden alle von uns gesetzten Cookies angenommen.

Ihre Einwilligung umfasst auch den Einsatz von Matomo Cookies, die uns Informationen über die Webseitennutzung geben. Weitere ausführliche Informationen dazu finden Sie in unserer Datenschutzerklärung.

Natürlich können Sie eine abgegebene Einwilligung auch jederzeit ohne Angabe von Gründen widerrufen.

Soweit Sie auf die Schaltfläche Konfigurieren klicken, können Sie Ihre jeweilige Zustimmung zum Einsatz nicht erforderlicher Cookies im Einzelfall wählen.