Wir helfen Ihnen die NIS-2-Anforderungen zu erfüllen

damit Sie keine Bußgelder zahlen müssen.

 

 

NIS-2 in Deutschland: Seit dem 06.12.2025 offiziell in Kraft

Was Unternehmen und Behörden jetzt wissen und umsetzen müssen

Seit dem 06. Dezember 2025 gilt in Deutschland das neue Gesetz zur Umsetzung der NIS-2-Richtlinie. Mit diesem Stichtag startet für Bundesbehörden und tausende Unternehmen eine neue Ära der Cybersicherheit: verbindlicher, konsequenter und deutlich umfassender als bisher.

Während früher nur rund 4.500 Einrichtungen unter die Vorgaben fielen, steigt die Zahl nun auf etwa 29.500 betroffene Unternehmen und Organisationen. Viele davon haben bislang nicht mit NIS-Vorgaben gerechnet. Jetzt müssen sie selbst prüfen, ob sie künftig als „betroffen“ gelten und damit rechtlich verpflichtet sind, Schutzmaßnahmen umzusetzen.

 

Warum NIS-2 jetzt so wichtig ist

Die NIS-2-Richtlinie ist Europas Antwort auf steigende Cyberangriffe und komplexere Bedrohungen. Ziel ist es, die digitale Widerstandsfähigkeit zu stärken – über alle Branchen hinweg und mit konsequenter Verantwortlichkeit.

Für Unternehmen heißt das:
Wer betroffen ist, muss schnell handeln. Wer nicht prüft, riskiert Bußgelder, Haftung und Sicherheitslücken.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet hier eine NIS-2-Betroffenheitsprüfung an.

WICHTIG:
Es gibt keine Übergangsfristen! Ab dem Tag des Inkrafttretens müssen betroffene Unternehmen die neuen Anforderungen umsetzen.

 

-> Fazit: Im Nikolausstiefel steckt dieses Jahr ein To-do, keine Schoki!

Der 06. Dezember 2025 brachte keine Süßigkeiten, sondern eine klare Botschaft:
Mehr digitale Sicherheit, mehr Verantwortung, mehr Handlungspflicht.

Jetzt heißt es für Unternehmen:
Prüfen. Registrieren. Umsetzen.


Die Fristen laufen und NIS-2 ist verbindlich! Mehr zu den Pflichten finden Sie in unserem FAQ.

Für weitere Informationen oder Unterstützung sind wir nur einen Anruf oder eine E-Mail weit entfernt.

 

 

FAQ und Tipps & Tricks zu NIS-2

FAQ und Tipps & Tricks zu NIS-2

Was steckt hinter NIS-2?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) soll die Cybersicherheit in der EU auf ein neues Level heben. Sie ersetzt die alte NIS-Richtlinie, bringt schärfere Regeln und betrifft viel mehr Unternehmen.

Welche Pflichten kommen jetzt auf Unternehmen zu?

Mit Inkrafttreten des Gesetzes gilt: Wer betroffen ist, muss handeln. Zu den zentralen Anforderungen zählen:

  • 1. Registrierungspflicht
    • Ab jetzt läuft die Uhr. Unternehmen müssen sich innerhalb von drei Monaten im neuen System anmelden. Der Weg dorthin erfolgt in zwei Schritten: 1. Unternehmenskonto (MUK) anlegen – bestenfalls noch 2025. 2. Ab dem 06. Januar 2026 Registrierung im neuen BSI-Portal, das später auch für Meldungen genutzt wird. Passiert vorher ein Sicherheitsvorfall, erfolgt die Meldung noch über das bekannte Onlineformular bzw. die üblichen KRITIS-Meldewege.
    • 2. Meldung von Sicherheitsvorfällen
      • Betroffene Einrichtungen müssen erhebliche IT-Sicherheitsvorfälle künftig schnell und nachvollziehbar an das BSI melden.
    • 3. Einführung eines systematischen Risikomanagements
      • NIS-2 verlangt ein belastbares, dokumentiertes Sicherheitsniveau, unter anderem durch: • Risikoanalysen • technische und organisatorische Maßnahmen • Incident-Response-Strukturen • Business Continuity • Lieferketten-Sicherheit

Wer muss sich mit NIS-2 auseinandersetzen?

Kurz gesagt: Unternehmen aus kritischen und wichtigen Sektoren. Das sind u. a. Energie, Verkehr, Gesundheitswesen, Finanzwesen, digitale Infrastruktur und öffentliche Verwaltung. Entscheidend ist meist die Mitarbeiterzahl (mind. 50) oder der Jahresumsatz (mind. 10 Mio. Euro).

Welche Anforderungen stellt NIS-2?
  • Sicherheitsstrategie: IT-Sicherheitskonzept mit Maßnahmen wie Firewalls und Notfallplänen.
  • Meldepflicht: Vorfälle innerhalb von 24 Stunden melden, innerhalb von 72 Stunden dokumentieren.
  • Sichere Lieferketten: Dienstleister müssen Sicherheitsstandards einhalten.
  • Verantwortlichkeit der Geschäftsleitung: Führungsebene kann persönlich haftbar gemacht werden.
Wie ist der Stand der Umsetzung in Deutschland?

Seit dem 06. Dezember 2025 ist NIS-2 in Deutschland in Kraft getreten. Das Gesetz sieht keine allgemeine Übergangsfrist vor. Ab dem Tag des Inkrafttretens müssen betroffene Unternehmen die neuen Anforderungen umsetzen.

Herausforderungen in der Praxis
  • Mehr Aufwand für Prozesse, Dokumentation und Schulungen
  • Technische Upgrades für veraltete Systeme
  • Fachkräftemangel in der IT-Sicherheit
  • Abgleich mit anderen Regularien wie DSGVO
Welche weiteren Vorschriften spielen mit rein?
  • DSGVO: Datenschutz und Cybersicherheit
  • Cyber Resilience Act (CRA): Sicherheitsanforderungen für Software/Hardware
  • TISAX®: IT-Sicherheit in der Automobilbranche
  • ISO 27001: Standard für IT-Sicherheitsmanagement
Was passiert, wenn man sich nicht daran hält?

Bußgelder bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes, Reputationsschäden und persönliche Haftung.

Wie gehst du am besten vor?
  1. Status-Check: Wo steht dein Unternehmen?
  2. Maßnahmenplan: Sicherheitslücken identifizieren
  3. Mitarbeiter sensibilisieren: Schulungen durchführen
  4. Notfallstrategie: Incident-Response-Plan
  5. Experten an Bord holen: IT-Sicherheitsdienstleister
Nice-to-Know & Tipps und Tricks
  • Passwort-Manager nutzen: Zufällig generierte, lange Passwörter schützen besser als einfache Kombinationen. Ein Passwort-Manager erleichtert die Verwaltung.
  • Multi-Faktor-Authentifizierung aktivieren: Selbst, wenn ein Passwort gestohlen wird, bleibt der Zugriff durch eine zweite Sicherheitsstufe (z. B. SMS-Code oder App) geschützt.
  • Regelmäßige Backups machen: Wichtige Daten sollten täglich oder wöchentlich gesichert und an einem sicheren, offline gespeicherten Ort aufbewahrt werden.
  • Phishing-Tests durchführen: Gefälschte E-Mails sind eine der häufigsten Angriffsformen. Mit internen Phishing-Tests lernen Mitarbeiter, verdächtige Nachrichten zu erkennen.
  • Software-Updates aktivieren: Software-Updates enthalten oft Sicherheits-Patches. Automatische Updates sollten aktiviert sein, um Schwachstellen zu minimieren.
  • Netzwerktrennung einrichten: Kritische Systeme sollten von weniger wichtigen Netzwerken getrennt sein, damit Angreifer nicht direkt auf sensible Bereiche zugreifen können.
Responsive Bild mit Lightbox
NIS-2 Branchen


Pflichten und Herausforderungen für Unternehmen im Überblick:


1.    NIS2-Richtlinie:
⇒ Einführung strengerer Cybersicherheitsstandards.
⇒ Verpflichtung zu Risikomanagementmaßnahmen und der Meldung von Sicherheitsvorfällen.


2.    KRITIS:
⇒ Fokus auf physische und organisatorische Widerstandsfähigkeit.
⇒ Durchführung von Risikobewertungen und Einhaltung von Mindeststandards.


Unsere Empfehlungen:
•    Frühzeitige Anpassung: Unternehmen sollten die Anforderungen der Richtlinien bereits jetzt prüfen und entsprechende Maßnahmen vorbereiten.
•    Risikomanagement stärken: Stellen Sie sicher, dass sowohl Cybersicherheits- als auch Resilienzstrategien auf dem neuesten Stand sind.
•    Proaktive Planung: Rechnen Sie mit kurzfristigen rechtlichen Änderungen und bereiten Sie sich organisatorisch auf die Umsetzung vor.


Obwohl die politische Verzögerung bedauerlich ist, sollten Unternehmen dies nicht als Anlass für Abwarten sehen. Die Anpassung an die neuen Standards bietet langfristige Vorteile und minimiert Risiken – sowohl rechtlich als auch operativ.
Analysen: Wir bieten Erstanalysen, um gemeinsam mit Ihnen einen ersten Überblick über Lage und Situation in ihrem Unternehmen zu geben und Sie mit den neuen Anforderungen vertraut zu machen.


Für weitere Informationen oder Unterstützung sind wir nur einen Anruf oder eine E-Mail weit entfernt.

 

 

 

 

NIS-2 als Chance: Wie Unternehmen von der neuen Sicherheitsrichtlinie profitieren können

Die Umsetzung der NIS-2-Richtlinie (Network and Information Systems Directive) bietet Unternehmen zahlreiche Vorteile, die über die bloße Einhaltung gesetzlicher Vorgaben hinausgehen:

  • Verbesserte Schutzmaßnahmen: Die Umsetzung von NIS-2 erfordert, dass Unternehmen ihre IT-Infrastruktur stärken, wodurch das Risiko von Cyberangriffen verringert wird.
  • Früherkennung von Bedrohungen: Durch kontinuierliches Monitoring und verbessertes Risikomanagement können Bedrohungen frühzeitig erkannt und abgewehrt werden.
  • Vertrauenswürdigkeit bei Kunden und Partnern: Ein nachweislich hoher Sicherheitsstandard stärkt das Vertrauen von Kunden und Geschäftspartnern in das Unternehmen.
  • Reputation: Unternehmen, die hohe Sicherheitsstandards einhalten, können sich als sichere und zuverlässige Partner am Markt positionieren.
  • Marktvorteil durch Compliance: Unternehmen, die frühzeitig und vollständig die NIS-2-Richtlinie umsetzen, können dies als Wettbewerbsvorteil nutzen und sich von Mitbewerbern abheben.
  • Angebotsspektrum erweitern: Mit der Einhaltung der NIS-2 können Unternehmen neue Geschäftsfelder erschließen, die hohe Sicherheitsstandards voraussetzen.
  • Effizienzsteigerung: Die Implementierung von Sicherheitsmaßnahmen kann zur Optimierung von IT- und Geschäftsprozessen führen.
  • Risikomanagement: Ein besseres Verständnis und eine strukturierte Herangehensweise an Risikomanagement können insgesamt zu effizienteren Geschäftsabläufen beitragen.
  • Vermeidung von Strafen: Durch die Einhaltung der NIS-2-Richtlinie vermeiden Unternehmen potenzielle Bußgelder und rechtliche Konsequenzen.
  • Finanzielle Stabilität: Verbesserte Sicherheitsmaßnahmen können das Risiko von finanziellen Verlusten durch Cyberangriffe verringern.
  • Technologische Fortschritte: Die Anforderungen der NIS-2 können Unternehmen dazu motivieren, in neue Technologien und Sicherheitslösungen zu investieren.
  • Innovationskultur: Eine stärkere Fokussierung auf Cybersicherheit kann eine Kultur der kontinuierlichen Verbesserung und Innovation fördern.
  • Notfallpläne und -übungen: Durch die NIS-2 werden Unternehmen dazu verpflichtet, Notfallpläne zu entwickeln und regelmäßig zu testen, was die Reaktionsfähigkeit bei Sicherheitsvorfällen verbessert.
  • Wiederherstellungsfähigkeit: Schnelleres und effizienteres Wiederherstellen nach einem Vorfall minimiert Ausfallzeiten und schützt wichtige Geschäftsprozesse.
  • Netzwerke und Partnerschaften: Die NIS-2 fördert den Informationsaustausch zwischen Unternehmen und Behörden, was zu einer besseren Gesamtstrategie zur Bekämpfung von Cyberbedrohungen führt.
  • Branchenübergreifende Zusammenarbeit: Der Austausch von Best Practices und Erfahrungen innerhalb der Branche und darüber hinaus kann zu einer kollektiven Erhöhung der Sicherheitsstandards führen.

 

 

Unser Team für NIS2

Friedrich Gillet

Geschäftsführender Gesellschafter

Sachverständiger und Fachgutachter mit umfangreicher Erfahrung in Prozessverbesserung und Unternehmensberatung

Marc Mietz

Geschäftsführender Gesellschafter

Risikomanager und Experte für Automobilindustrie

Dr. Stephen Dickopf

Auditor für Informationssicherheitsmanagement -ISO 27001:2022- zusätzliche Prüfkompetenz nach §8a BSIG.

Berater für den Bereich KRITIS.


Alles, was Sie jetzt über NIS-2 wissen müssen

Ein Verstoß gegen die NIS-2-Richtlinie kann zu hohen Geldstrafen führen, explizit ist im aktuellen Referentenentwurf geregelt, dass diese Bußgelder von der Geschäftsleitung selbst zu tragen sind und nicht durch die Unternehmen ersetzt werden dürfen.
Für jede Person in einer Geschäftsführung ist es daher von entscheidender Bedeutung, den Handlungsbedarf zu erkennen und ggf. Maßnahmen zu ergreifen.

Um die Anforderungen der NIS-2 zu erfüllen, ist ein strukturierter Ansatz erforderlich, der sowohl technische als auch organisatorische Maßnahmen umfasst. Damit stellen Sie sicher, dass Ihr Unternehmen den neuen Sicherheitsstandards entspricht und potenzielle Risiken minimiert werden.

Verpassen Sie nicht die Gelegenheit, Ihr Wissen über NIS-2 zu erweitern und sich vor finanziellen Risiken zu schützen. Handeln Sie jetzt, um Ihr Unternehmen zukunftssicher zu machen.
 

NIS-2 Whitepaper zum gratis Download

Unser NIS-2 Whitepaper zum kostenfreien Download

 

 

Ist Ihr Unternehmen betroffen?


In der NIS2-Richtlinie der EU sind elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren bzw. Branchen gelistet, die von den neuen Regelungen betroffen sind.

 

Das Bundesamt für Sicherheit in der Informationstechnik bietet Unternehmen eine NIS-2-Betroffenheitsprüfung auf ihrem Onlineauftritt.
 

Wesentliche Einrichtungen (Essential)

  1. Energie (Elektrizität, Fernwärme/-kälte, Erdöl, Erdgas, Wasserstoff)
  2. Verkehr (Straßenverkehr, Luftverkehr, Schienenverkehr, Schifffahrt)
  3. Bankwesen 
  4. Finanzmarktinfrastrukturen 
  5. Gesundheit (Gesundheitsdienstleister, Labore, Pharma, Medizingeräte, Fprschung & Entwicklung)
  6. Trinkwasser 
  7. Abwasser 
  8. Digitale Infrastrukturen
  9. IKT-Dienste (Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie)                                     
  10. öffentliche Verwaltung 
  11. Raumfahrt

Wichtige Einrichtungen (Important)

  1. Post- und Kurierdienste
  2. Abfall 
  3. Chemie (Produktion, Herstellung und Handel)
  4. Lebensmittel/Ernährung (Produktion, Verarbeitung und Vertrieb)
  5. Industrie/Produktion (Medizinprodukte und In-vitro, DV, Elektronik, Optik, elektrische Ausrüstungen, Maschinenbau, Fahrzeugbau und Teile)
  6. Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
  7. Forschung 


In der Übersicht:

Betreiber wesentlicher Dienste (Essential Service Operators):

- mindestens 50 Mitarbeitende und/oder einem Jahresumsatz oder einer Jahresbilanzsumme von mindestens 10 Millionen Euro.

- Branchen: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und -verteilung sowie digitale Infrastruktur.

 

Betreiber Wichtige Dienste (Important Service Operators):

- mindestens 250 Mitarbeitende und/oder einem Jahresumsatz von mindestens 50 Millionen Euro oder einer Jahresbilanzsumme von mindestens 43 Millionen Euro.

- Branchen: Abwasser, öffentlicher Verwaltung, Weltraum, Lebensmittel, Chemikalien, Hersteller von Medizinprodukten, Post- und Kurierdienste, Abfallwirtschaft und Forschung.

 

 

Grundsätzlich gelten große und mittlere Unternehmen als von der NIS-2 erfasst.

Kleinunternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz unter 10 Millionen Euro sind normalerweise nicht betroffen.

Allerdings gibt es eine Ausnahme, wenn die Dienste des Unternehmens als besonders kritisch eingestuft werden. Bestimmte Dienste, wie z.B. die von Anbietern öffentlicher elektronischer Kommunikationsnetze oder Vertrauensdienste, unterliegen unabhängig von der Unternehmensgröße immer den Bestimmungen der NIS-2.

 

Maßnahmen zum Risikomanagement

Die NIS-2 verlangt von Unternehmen, dass sie angemessene Risikomanagementmaßnahmen ergreifen, um Sicherheitsvorfälle zu verhindern oder deren Auswirkungen zu minimieren. Diese Maßnahmen müssen technischer, operativer und organisatorischer Natur sein und dem aktuellen Risiko sowie dem Stand der Technik entsprechen. Dabei sind die Kosten, die Unternehmensgröße und die Wahrscheinlichkeit eines Sicherheitsvorfalls zu berücksichtigen.

Ein zentrales Element der NIS-2 sind die zehn spezifischen Mindestmaßnahmen, die Unternehmen erfüllen müssen. Diese umfassen unter anderem

  • Risikoanalysen
  • Backup-Management
  • Notfallwiederherstellung
  • Krisenmanagement
  • Mitarbeiterschulungen in Cybersicherheit
  • Sicherheitsmaßnahmen für die Lieferkette.

Unternehmen müssen ihre Lieferanten hinsichtlich ihrer Cybersicherheitsrisiken bewerten und sicherstellen, dass Vertragsbeziehungen mit Lieferanten vermieden werden, die bedeutende Cybersicherheitsbedenken aufweisen.

Die NIS-2 stellt sicher, dass Unternehmen effektive Strategien entwickeln, um ihre Dienste und die ihrer Kunden vor potenziellen Sicherheitsvorfällen zu schützen. Diese Maßnahmen sind zwar nun gesetzlich verpflichtend, helfen Ihnen aber darüber hinaus das Vertrauen der Kunden zu wahren, den Geschäftsbetrieb zu gewährleisten und den Fortbestand ihres Unternehmens zu sichern.

 

Fahrplan zur Umsetzung der NIS-2-Richtlinie in deutsches Recht

Die finale Gestaltung der deutschen NIS-2-Umsetzung ist beschlossen.

Wichtige Meilensteine der NIS-2-Richtlinie von der EU bis Deutschland:

  • 27.12.2022: Veröffentlichung der europäischen NIS-2-Richtlinie im EU-Amtsblatt
  • 16.01.2023: Inkrafttreten der europäischen NIS-2-Richtlinie
  • April & Juli 2023: Erster und zweiter deutscher Referentenentwurf der NIS2-Umsetzung
  • 27.09.2023: Dritter deutscher Entwurf (Diskussionspapier für den Dialog mit der Wirtschaft und Verbändeabstimmung)
  • 07.05.2024: Veröffentlichung eines neuen Referentenentwurfs für das NIS2UmsuCG durch das Bundesministerium des Innern und für Heimat (BMI)
  • Noch offen: Erwarteter weiterer Entwurf für das NIS2UmsuCG
  • Noch offen: Verkündung des NIS2UmsuCG (IT-Sicherheitsgesetz 3.0), dem deutschen NIS2-Umsetzungsgesetz
  • 01.10.2024: Geplantes Inkrafttreten des deutschen NIS2UmsuCG
  • Spätestens 17.10.2024 (EU-Deadline): Vollständige Umwandlung der europäischen NIS-2-Richtlinie in deutsches Recht
  • 18.10.2024 (EU-Vorgabe): Das deutsche NIS-2-Umsetzungsgesetz tritt in Kraft - Unternehmen müssen sich an die Vorschriften halten <- diese Vorgabe konnte in Deutschland nicht eingehalten werden
  • 06.12.2025: Umsetzung von NIS-2 in nationales Recht, das Gesetz tritt in Deutschland OHNE Übergangsfrist in Kraft