Blog

NIS2. Das steckt hinter der neuen EU-Richtlinie zur Cybersicherheit

Was ist NIS2?

NIS2 steht für die „Netzwerk- und Informationssicherheitsrichtlinie“ (Network and Information Systems Directive). Sie ist die überarbeitete und verschärfte Version der ursprünglichen NIS-Richtlinie von 2016, die als erster europaweiter Regelungsrahmen für Cybersicherheit galt.

Ziel der NIS2 ist es, die digitale Widerstandsfähigkeit von Unternehmen und Behörden in Europa nachhaltig zu verbessern und die Zusammenarbeit bei der Abwehr und Bewältigung von Cyberangriffen zu stärken.

Als renommierter Digitalisierungspartner mit einschlägiger Expertise in IT Security unterstützen wir unsere Kunden dabei, ihre IT-Landschaften ganzheitlich und wirksam gegen jede Form von Manipulation und Missbrauch zu schützen. Dazu gehört es auch, im Bereich Gesetze und Regularien stets am Puls der Entwicklung zu bleiben und sie bei der intelligenten digitalen Umsetzung zu unterstützen.

Kurze NIS-Historie

Die erste NIS-Richtlinie wurde 2016 verabschiedet und richtete sich vor allem an Betreiber kritischer Infrastrukturen wie Energie, Verkehr oder Gesundheit. Angesichts steigender Cyberkriminalität und wachsender Digitalisierung zeigte sich jedoch, dass die alte Richtlinie nicht mehr ausreichte. Deshalb hat die EU die NIS2 Ende 2022 in Kraft gesetzt. Nun sind die Mitgliedsstaaten verpflichtet, die Vorgaben in nationales Recht zu übertragen.

Dominique Wüst

Projektleitung IT Security

Aktueller Stand in Deutschland

Seit dem 06. Dezember 2025 ist die NIS2-Richtlinie nunmehr auch in Deutschland in Kraft und mit ihr eine Vielzahl von Bestimmungen, Regularien und Vorgaben, die hier nicht in Gänze wiedergegeben werden können. Nur so viel:

  • Mehr Betroffene: Neben KRITIS-Unternehmen betrifft NIS2 auch viele Mittelständler und Dienstleister.
  • Neue Pflichten: Umfassendes Risikomanagement, Meldepflichten für Sicherheitsvorfälle, Nachweise für technische und organisatorische Maßnahmen sind jetzt verpflichtend.
  • Strengere Sanktionen: Es gibt höhere Bußgelder bei Verstößen, persönliche Haftung auf Managementebene.

Viele Details sind noch in Abstimmung, doch der Handlungsdruck wächst.

Für wen ist das relevant und warum?

NIS2 betrifft nicht mehr nur die „Großen“: Viele mittelständische Unternehmen, IT-Dienstleister, Verwaltungsorganisationen und produzierende Betriebe fallen künftig unter die neuen Regelungen. Relevanz hat das Thema für alle Organisationen, deren Dienste für das Funktionieren unserer Gesellschaft und Wirtschaft wichtig sind. Laut BSI sind das in Deutschland um die 29.500 Firmen und Institutionen. Darunter u. a. Unternehmen aus folgenden Sektoren: Energie, Transport, Finanz- und Bankwesen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, öffentliche Verwaltung.

Auch Unternehmen, die bisher nicht als „Kritische Infrastruktur“ (KRITIS) galten, können nun unter die Regelung fallen, wenn sie bestimmte Größen- oder Umsatzgrenzen überschreiten oder in den genannten Sektoren tätig sind.

Grundsätzlich sollten darum alle Unternehmen die vom BSI angebotene Betroffenheitsprüfung durchführen, da die Vorgaben weitreichend und neu sind.

Wer nicht ausreichend vorsorgt, riskiert hohe Bußgelder, Schäden und Vertrauensverluste. NIS2 verlangt, Cybersicherheit systematisch und ganzheitlich anzugehen – das betrifft IT, Prozesse und die gesamte Organisation.

Gut, dass wir helfen können. Mit der Analyse des Status quo, der Identifizierung von Handlungsnotwendigkeiten und der praktischen Umsetzung einer leistungsstarken, richtlinienkonformen und zukunftsfähigen IT Security für einzelne Softwarelösungen und ganze System-Landschaften.

Wo sitzt der Schmerz der Kunden?

NIS2 ist nicht nur ein IT-Thema, sondern betrifft die gesamte Betriebsorganisation, die Unternehmenskultur und nicht zuletzt den Markt- und Markenwert. Betroffene Unternehmen stehen vor großen Herausforderungen:

  • Unsicherheit: Was genau muss erfüllt werden? Wie kann die Compliance
    sinnvoll nachgewiesen werden?
  • Ressourcen: Der zusätzliche Aufwand für Organisation, Technik und Reporting ist erheblich.
  • Know-how: Nicht jedes Unternehmen verfügt über ausreichend IT-Security-
    Expertise.
  • Risiko: Bei Verstößen drohen Bußgelder und Reputationsschäden.

Ist mein Unternehmen von NIS2 betroffen?

Zunächst gilt: Die NIS2-Richtlinie betrifft alle Unternehmen, die wichtige Dienste für Wirtschaft und Gesellschaft bereitstellen. Das geht weit über die klassischen „kritischen Infrastrukturen“ hinaus. Dazu gehören heute zum Beispiel IT-Dienstleister, Hersteller, Transport- und Logistikunternehmen, Gesundheitseinrichtungen und viele weitere Branchen.

Sie sind betroffen, wenn:

  • Ihr Unternehmen mindestens 50 Mitarbeitende hat oder mehr als 10 Mio. Euro Jahresumsatz erzielt,
  • Ihr Unternehmen als „wichtiger Sektor“ (z. B. Energie, Transport, Gesundheit, IT, öffentliche Verwaltung, Lebensmittel, Finanzen …) gilt,
  • Sie IT-gestützte Dienstleistungen oder Infrastrukturen bereitstellen, die als wesentlich für das Funktionieren von Gesellschaft und Wirtschaft eingestuft werden.

Was ist jetzt zu tun?

  • Betroffenheit klären: Prüfen Sie, ob Ihr Unternehmen unter die neuen NIS2-Regeln fällt (siehe oben).
  • Bestandsaufnahme & Gap-Analyse: Erfassen Sie, wie Ihr Unternehmen aktuell in Sachen IT-Sicherheit aufgestellt ist und identifizieren Sie mögliche Lücken.
  • Risikoanalyse durchführen: Bewerten Sie, welche Risiken Ihre Systeme und Daten haben und wo besondere Schutzmaßnahmen nötig sind.
  • Maßnahmen planen & umsetzen: Entwickeln Sie ein passendes Schutzkonzept und setzen es technisch und organisatorisch um (IT Security, Prozesse, Meldewege, Schulungen).
  • Dokumentation & Nachweis: Halten Sie alle Maßnahmen und Prozesse transparent fest. Stellen Sie die Compliance gegenüber Aufsichtsbehörden sicher.
  • Schulung & Sensibilisierung: Machen Sie Ihre Mitarbeitenden fit für neue Regeln und Cybersicherheitsthemen.
  • Regelmäßige Überprüfung und Anpassung: Bleiben Sie am Ball! Prüfen und aktualisieren Sie Ihre Maßnahmen fortlaufend.

Wir unterstützen Sie bei NIS2

Die gute Nachricht: Sie müssen sich nicht allein durch den NIS2-Dschungel kämpfen. Wir stehen Ihnen gern mit Rat und Tat zur Seite.

Wir unterstützen Sie mit Erfahrung, Know-how und pragmatischen Lösungen. So wird eine wirksame und ganzheitliche IT Security für Ihr Unternehmen machbar und Sie bleiben auch in Zukunft sicher aufgestellt. Kontaktieren Sie uns gern!