NIS-2-Richtlinie ist da! Damit gelten in Deutschland strengere Cybersicherheitsregeln für Organisationen aus Wirtschaft und Statt. NIS-2 soll die kritische Strukturen und zentrale Dienstleistungen wirksamer vor digitalen Bedrohungen besser schützen. Welche Unternehmen sind konkret betroffen, welche Pflichten müssen bis wann umgesetzt werden und welche zentrale Anforderungen müssen beobachtet werden? Antworten finden Sie hier.
Die EU-Richtlinie NIS-2 (Network and Information Security), offiziell Richtlinie (EU) 2022/2555, ist die aktualisierte EU-Cybersicherheitsrichtlinie. Sie ist eine Weiterentwicklung der NIS-Richtlinie von 2016, sowohl die inhaltlichen Anforderungen als auch in Bezug auf erheblich wachsende Anzahl der betroffenen Unternehmen und Institution.
In Deutschland ist dies mit dem NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) geschehen. Der Deutsche Bundestag hat den Gesetzentwurf zur Umsetzung der EU-NIS-2-Richtlinie am 13. November 2025 verabschiedet und der Bundesrat stimmte am 21. November 2025 zu. Damit ist die Richtlinie seit dem 6. Dezember 2025 in Deutschland in Kraft.
Betroffene Unternehmen sind verpflichtet, sich gemäß Artikel 9 der NIS-2-Richtlinie innerhalb von drei Monaten nach Inkrafttreten – also spätestens bis März 2026 – beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren, Sicherheitsvorfälle zu melden und zentrale Anforderungen wie ein strukturiertes Risikomanagement umzusetzen.
Die NIS-2-Richtlinie definiert eine Reihe von Wirtschaftssektoren, für die verbindliche Anforderungen an die Cybersicherheit gelten. Grundlage hierfür sind Anhang I und II der NIS-2-Richtlinie, in denen die relevanten Branchen aufgeführt sind.
Ob ein Unternehmen unter die NIS-2-Richtlinie fällt, hängt nicht allein von der Branche ab, sondern maßgeblich auch von der Unternehmensgröße. Die Richtlinie unterscheidet hierbei zwischen wichtigen und besonders wichtigen Einrichtungen, wobei insbesondere die Anzahl der Mitarbeitenden sowie Umsatz- oder Bilanzkennzahlen herangezogen werden.
Bereiten Sie sich auf NIS-2 vor, bevor es verpflichtend wird
Analyse des aktuellen Sicherheitsstatus nach NIS-2
Prüfung technischer und organisatorischer Schutzmaßnahmen
Konkrete Handlungsempfehlungen zur NIS-2-Umsetzung
Artikel 21 der NIS-2-Richtlinie definiert zehn grundlegende Sicherheitsbereiche, die betroffene Unternehmen umsetzen müssen:
(a) Risikoanalyse und -management: Unternehmen müssen ihre IT-Risiken systematisch analysieren und daraus klare Sicherheitsmaßnahmen für ihre Informationssysteme ableiten.
(b) Bewältigung von Sicherheitsvorfällen: Es braucht definierte Prozesse, um Cybervorfälle schnell zu erkennen, gezielt zu reagieren und Schäden wirksam zu begrenzen.
(c) Geschäftskontinuität: Backups, Wiederherstellungspläne und Krisenmanagement stellen sicher, dass der Geschäftsbetrieb auch im Ernstfall fortgeführt werden kann.
(d) Lieferkettensicherheit: Auch IT-Dienstleister und externe Anbieter müssen in die Sicherheitsbetrachtung einbezogen werden, da sie ein potenzielles Risiko darstellen.
(e) Sichere Entwicklung, Beschaffung und Wartung von IT: IT-Sicherheit muss bereits bei Anschaffung, Entwicklung, Betrieb und Wartung von Systemen konsequent mitgedacht werden.
(f) Effektivitätsprüfung: Unternehmen sind verpflichtet, ihre IT-Sicherheitsmaßnahmen regelmäßig zu überprüfen und bei Bedarf anzupassen.
(g) Cyberhygiene und Trainings: Regelmäßige Schulungen sorgen dafür, dass Mitarbeitende Sicherheitsrisiken erkennen und im Alltag sicher handeln.
(h) Einsatz von Kryptografie: Sensible Daten und Kommunikation müssen durch geeignete Verschlüsselungs- und Kryptografieverfahren geschützt werden.
(i) Sicherheit des Personals und Zugriffskontrolle: Zugriffsrechte, Benutzerkonten und IT-Assets müssen klar geregelt und streng kontrolliert werden, um Missbrauch zu verhindern.
(j) Sichere Kommunikation & Notfallkommunikation: Moderne Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung und sichere Kommunikationslösungen sind verpflichtend einzusetzen.
NIS-2-Richtlinie ist kein „Nice-to-have“, sondern eine verbindliche gesetzliche Vorgabe mit klaren Fristen, Pflichten und spürbaren Sanktionen. Wer die Umsetzung aufschiebt, riskiert dagegen empfindliche Bußgelder, Reputationsschäden und persönliche Haftung der Geschäftsleitung.
Denken Sie an die Umsetzungsfrist bis März 2026. Sind Sie sich unsicher oder verfügen Sie nicht über eine entsprechende IT-Sicherheitsexpertise in Ihrem Unternehmen, sollten Sie einen externen Dienstleister wie StieCon IT-Consulting GmbH hinzuziehen.
