Newsroom

Die NIS-2-Richtlinie, die mit Wirkung 05.12.2025 als „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ vom BMI veröffentlicht wurde, erweitert den Kreis regulierter Unternehmen massiv. Was als Update einer bestehenden EU-Vorgabe begann, entwickelt sich zur größten Compliance-Herausforderung für deutsche IT-Abteilungen seit der DSGVO. Doch während Datenschutz mittlerweile etabliert ist, stehen viele Unternehmen bei Cybersecurity-Governance noch am Anfang.

Anders als die ursprüngliche NIS-Richtlinie, die sich primär an Betreiber kritischer Infrastrukturen (KRITIS) richtete, greift NIS-2 deutlich breiter. Entscheidend sind nicht mehr nur kritische Dienstleistungen samt deren Infrastruktur-Funktionen, sondern jetzt auch Mitarbeiterzahlen, Umsatz und Branchenzugehörigkeit. Unternehmen ab 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz können betroffen sein – vorausgesetzt, sie operieren in einem der 18 regulierten Sektoren.

Die Bandbreite ist beachtlich: Neben klassischen KRITIS-Bereichen wie Energie und Gesundheit fallen nun auch digitale Infrastrukturen, Raumfahrt, verarbeitendes Gewerbe und weite Teile der Logistik- und Transportbranche unter die Richtlinie.

Das Problem: Viele Unternehmen wissen noch nicht, ob sie reguliert sind. Die Klassifizierung als „besonders wichtige Einrichtung“ oder „wichtige Einrichtung“ hängt von komplexen Schwellenwerten ab. Diese Unsicherheit ist nicht nur ärgerlich – sie kostet Zeit, die knapp wird.

NIS-2 fordert ein verbindliches Informationssicherheits-
managementsystem. Das klingt abstrakt, bedeutet aber konkrete Arbeit: Risikoanalysen müssen dokumentiert, Sicherheitsvorfälle in Echtzeit erkannt, Systeme kontinuierlich überwacht werden. Penetrationstests und Verschlüsselung werden zur Pflicht, Multi-Faktor-Authentifizierung zum Standard.

Der IT-Grundschutz des BSI oder ISO 27001 bilden hier oft eine solide Basis. Doch für viele mittelständische Betriebe bedeutet NIS-2 den Einstieg in strukturiertes IT-Sicherheitsmanagement überhaupt.

„Wir hatten Virenschutz, Firewalls, Backups – das Übliche“, erklärte mir der IT-Leiter. „Aber ein ISMS? Dokumentierte Prozesse für Incident Response? Das mussten wir komplett neu aufbauen.“ Das bindet Ressourcen, die anderswo fehlen.

Der Fachkräftemangel, ohnehin seit Jahren Dauerthema, verschärft sich durch NIS-2 nochmals. An dieser Stelle kommen wir mit unserem Team ins Spiel.

Eine der markantesten Neuerungen von NIS-2: Die Geschäftsführung haftet persönlich. Cybersecurity ist nicht mehr Aufgabe der IT-Abteilung allein, sondern wird zur Vorstandsverantwortung. Das verändert die interne Dynamik.

Die NIS-2-Richtlinie verschärft die Meldepflichten deutlich: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden nach Bekanntwerden vorläufig gemeldet werden – mit ersten Einschätzungen zu Ursache, Ausmaß und Auswirkungen. Innerhalb von 72 Stunden ist eine weiterführende Analyse einzureichen, ein vollständiger Abschlussbericht muss spätestens nach einem Monat vorliegen. Dafür sind etablierte Incident-Response-Prozesse, klar definierte Eskalationswege und belastbare interne Kommunikationsstrukturen unerlässlich – doch gerade daran mangelt es in vielen Unternehmen noch.

Neu ist auch: Unternehmen müssen die Cybersecurity ihrer Lieferanten und Dienstleister prüfen. NIS-2 fordert explizit, dass Risiken aus der Supply Chain bewertet und gemanagt werden. Wer Cloud-Services nutzt, Software einkauft oder IT outsourct, muss sicherstellen, dass Partner ebenfalls angemessene Sicherheitsstandards erfüllen.

Das klingt logisch – ist aber operativ komplex. Auch hier zeigt sich: NIS-2 ist keine rein technische Compliance-Übung, sondern verändert Geschäftsprozesse grundlegend.

• Innerhalb von drei Monaten müssen sich betroffene Unternehmen bei der zuständigen Aufsichtsbehörde registrieren.
• Für besonders wichtige Einrichtungen kann die Behörde nach spätestens drei Jahren einen formalen Nachweis über die vollständige Umsetzung der Sicherheitsmaßnahmen verlangen.

Für wichtige Einrichtungen gelten keine verlängerten Fristen – die Anforderungen greifen ab Inkrafttreten. Wer erst 2027 mit der Umsetzung beginnt, riskiert regulatorische Verstöße mit allen rechtlichen Konsequenzen.

• Betroffenheitsanalyse zuerst. Mit einem standardisierten Fragebogen klären, ob NIS-2 greift – und wenn ja, in welcher Kategorie. Das schafft Klarheit und ist Basis für alle weiteren Schritte.

• Externe Expertise gezielt nutzen. Interne Ressourcen sind begrenzt, Fachkräfte rar. Kooperationen mit spezialisierten Beratern, Transferstellen für KMU oder Brancheninitiativen können helfen, Know-how aufzubauen und Lücken zu schließen.

• Modulares ISMS etablieren. Wer noch kein Informationssicherheitsmanagementsystem hat, sollte jetzt starten. ISO 27001 oder der IT-Grundschutz des BSI bieten bewährte Frameworks. Wichtig: iterativ vorgehen, nicht alles auf einmal umsetzen wollen.

• Verantwortlichkeiten klären – intern und extern. Geschäftsführung muss benannt, Zuständigkeiten dokumentiert, Lieferanten bewertet werden. Governance ist kein Beiwerk, sondern Kern von NIS-2-Compliance.

• Incident Management priorisieren. Meldepflichten innerhalb von 24 Stunden erfordern funktionierende Prozesse. Wer erkennt Vorfälle? Wer eskaliert? Wer meldet an wen? Diese Fragen sollten beantwortet und geübt sein

Ein Momentum für strukturierte Cybersecurity

NIS-2 ist zweifellos eine Herausforderung – für CIOs, für IT-Teams, für Geschäftsführungen. Die Anforderungen sind umfassend, die Fristen eng, die Ressourcen knapp. Doch NIS-2 bietet auch eine Chance: Unternehmen, die Cybersecurity jetzt strukturiert angehen, bauen nachhaltige Resilienz auf. Sie reduzieren Risiken, stärken ihre Wettbewerbsfähigkeit und schaffen Vertrauen – bei Kunden, Partnern und Investoren.