Am 6.12.2025 ist das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in Kraft getreten.
Mit dem Inkrafttreten der NIS-2-Richtlinie hat die EU den Rahmen für Cybersicherheit deutlich verschärft. Ziel ist es, kritische und wichtige Unternehmen besser vor Cyberangriffen zu schützen und europaweit ein einheitlich hohes Sicherheitsniveau sicherzustellen.
Für viele Organisationen bedeutet das: neue Pflichten, neue Prozesse und vor allem die Frage, ob sie überhaupt von NIS-2 betroffen sind.
Weiterlesen...: Inkrafttreten der NIS-2-Richtlinie – Was Unternehmen jetzt wissen müssenWer ist von der NIS-2-Richtlinie betroffen?
Die Richtlinie gilt für zwei Kategorien von Unternehmen:
1. wesE – Wesentliche Einrichtungen
z. B.: Energieversorger, Gesundheitseinrichtungen, Verkehr, Finanzwesen, Trinkwasserversorgung, Abfallwirtschaft, öffentliche Verwaltung.
2. wE – Wichtige Einrichtungen
z. B.: Postdienste, Lebensmittelproduktion, digitale Dienste, Maschinenbau, Chemie, Abwasser, Forschungseinrichtungen, bestimmte Hersteller und Zulieferer.
Unternehmen müssen selbst prüfen, ob sie in den Geltungsbereich fallen.
Dabei spielen folgende Faktoren eine Rolle:
- Branche bzw. Sektor
- Unternehmensgröße (Mittelstand & Großunternehmen sind häufig automatisch einbezogen)
- Bedeutung für die Gesellschaft oder Lieferkette
- Abhängigkeit kritischer Dienste oder Infrastruktur
Viele Unternehmen werden erstmals durch NIS-2 erfasst – auch solche, die vorher nicht unter die alte NIS-Richtlinie fielen.
Welche Pflichten bringt NIS-2 mit sich?
Sobald ein Unternehmen feststellt, dass es betroffen ist, gelten klare Anforderungen:
1. Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen
Dazu gehören u. a.:
- Risikoanalyse & Risikomanagement
- Incident-Response-Prozesse
- Zugriffskontrollen & Rechtevergabe
- Business Continuity & Disaster Recovery
- Lieferketten-Sicherheit
- Kryptografie & Verschlüsselung
- Sichere Systementwicklung und -wartung
2. Meldepflichten bei Sicherheitsvorfällen
Geschäftsleitungen müssen:
- Cybersicherheitsmaßnahmen aktiv unterstützen
- Risiken bewerten lassen
- Schulungen sicherstellen
- Für Versäumnisse haften
Wie Unternehmen jetzt vorgehen sollten
Um die Anforderungen rechtzeitig zu erfüllen, empfiehlt sich ein strukturiertes Vorgehen:
Schritt 1: Betroffenheitsanalyse
- Branche, Größe und Rolle in der Lieferkette prüfen
- Zugehörigkeit zu „wesentlichen“ oder „wichtigen“ Einrichtungen bestimmen
- Ggf. externe Bewertung einholen
Schritt 2: Gap-Analyse
- Aktuelle Sicherheitsmaßnahmen mit NIS-2-Anforderungen vergleichen
- Schwachstellen identifizieren
- Prioritätenliste erstellen
Schritt 3: Maßnahmenplan entwickeln
- Technische und organisatorische Maßnahmen planen
- Prozesse und Richtlinien aktualisieren
- Verantwortlichkeiten definieren
Schritt 4: Schulungen & Sensibilisierung
- Mitarbeitende regelmäßig schulen
- Fokus auf Sicherheitskultur
Schritt 5: Testen & Überwachen
- Notfallübungen durchführen
- Sicherheitsstandards regelmäßig prüfen
- Lieferanten bewerten
Fazit
Die NIS-2-Richtlinie ist mehr als nur eine weitere EU-Vorgabe. Sie ist ein entscheidender Schritt dafür, Cyberrisiken transparenter, kontrollierbarer und beherrschbarer zu machen. Unternehmen sollten nicht abwarten – sondern frühzeitig klären, ob sie betroffen sind, und Maßnahmen in die Wege leiten. Wer jetzt systematisch handelt, senkt Risiken, bleibt rechtskonform und stärkt langfristig die eigene IT-Resilienz.
Jetzt kostenloses Beratungsgespräch buchen!
Quelle:
