alle News
Es ist soweit: Die EU-Richtlinie NIS2 bringt verbindliche Anforderungen an die Cybersicherheit, und das für deutlich mehr Unternehmen als bisher. Besonders im Mittelstand rückt das Thema jetzt verstärkt in den Fokus. Viele Unternehmen stellen überrascht fest: Moment mal, betrifft uns das etwa auch? Unsere Antwort: Das ist gut möglich. Und genau deshalb wird es immer wichtiger zu wissen, wie Sie NIS2 umsetzen.
Zugegeben: Auf den ersten Blick klingt das Ganze auch nach mehr Bürokratie und zusätzlichem Aufwand. Und ja, mit NIS2 kommen Veränderungen auf Sie zu. Aber NIS2 ist auch eine echte Chance. Wer die richtigen Weichen stellt, kann ein durchdachtes Sicherheitskonzept aufbauen und das gesamte Unternehmen cyberresilienter machen.
In diesem Beitrag erklären wir Ihnen, worum es bei NIS2 eigentlich geht, wer betroffen ist (vielleicht auch Sie!) und wie Sie sich gemeinsam mit uns gut aufstellen können. Ganz gleich, ob Sie gerade erst von NIS2 gehört haben oder schon mitten in der Planung stecken. Wir holen Sie genau da ab, wo Sie stehen!
Zugegeben: Auf den ersten Blick klingt das Ganze auch nach mehr Bürokratie und zusätzlichem Aufwand. Und ja, mit NIS2 kommen Veränderungen auf Sie zu. Aber NIS2 ist auch eine echte Chance. Wer die richtigen Weichen stellt, kann ein durchdachtes Sicherheitskonzept aufbauen und das gesamte Unternehmen cyberresilienter machen.
In diesem Beitrag erklären wir Ihnen, worum es bei NIS2 eigentlich geht, wer betroffen ist (vielleicht auch Sie!) und wie Sie sich gemeinsam mit uns gut aufstellen können. Ganz gleich, ob Sie gerade erst von NIS2 gehört haben oder schon mitten in der Planung stecken. Wir holen Sie genau da ab, wo Sie stehen!
Welche Pflichten gelten für Unternehmen?
Mit NIS2 gewinnt Cybersicherheit in Unternehmen eine völlig neue Relevanz und betrifft längst nicht mehr nur die IT-Abteilung. Auch die Geschäftsführung steht nun „noch mehr“ in der Verantwortung. Mit dem KRITIS-Dachgesetz, das die europäische NIS-Richtlinie in nationales Recht überführt, wird Cybersicherheit ab sofort endgültig zur unternehmerischen Führungsaufgabe.
Diese Pflichten kommen auf betroffene Unternehmen zu:
- Feststellung der Betroffenheit: Eigeninitiative ist gefragt. Unternehmen müssen künftig selbstständig prüfen, ob sie unter die NIS2-Vorgaben fallen. Eine automatische Benachrichtigung durch die zuständigen Behörden erfolgt nicht.
- Registrierungspflichten: Sobald klar ist, dass Ihr Unternehmen betroffen ist, müssen Sie Ihr Unternehmen beim BSI innerhalb von drei Monaten registrieren (auch die bisherigen KRITIS!).
- Meldepflichten: Kommt es zu einem erheblichen Sicherheitsvorfall, muss innerhalb von 24 Stunden nach Feststellung eine erste Meldung an das BSI erfolgen. Nach spätestens 72 Stunden folgt eine aktualisierte Bewertung. Eine Abschlussmeldung ist ebenfalls erforderlich.
- Risikomanagementmaßnahmen: NIS2 verlangt dokumentierte und konkrete Konzepte zur Risikobewertung, Notfallmanagement und Datensicherung (NIS2UmsuCG §30 Absatz 2).
- Schulungspflicht: Auch die Management-Ebene bleibt nicht außen vor: Die Einhaltung der Vorgaben muss aktiv sichergestellt und dokumentiert werden. Geschäftsleitende tragen die persönliche Verantwortung. Eine erste offizielle Handreichung des BSI für entsprechende Schulungen liegt bereits vor.
Wen trifft NIS2 und wen (vielleicht doch) auch?
Die neuen Pflichten betreffen nicht jedes Unternehmen, aber deutlich mehr als bisher. Schätzungen zufolge fallen rund 30.000 mittlere und große Unternehmen in Deutschland unter das NIS2-Umsetzungsgesetz. Ob Ihr Unternehmen dazugehört, lässt sich im Wesentlichen an zwei Fragen festmachen:
1. Gehört Ihr Unternehmen zu einem der 18 definierten NIS2-Sektoren?
Die EU unterscheidet diese beiden Gruppen:
Besonders wichtige Einrichtungen
(strengere Vorgaben & Kontrollen, höhere Strafen)
- Energie
- Finanzen/Versicherungen
- Gesundheit
- IT und TK
- Transport/Verkehr
- Wasser/Abwasser
- Weltraum
Wichtige Einrichtungen
(etwas geringere Anforderungen)
- Abfallentsorgung
- Anbieter digitaler Dienste
- Chemie
- Energie
- Finanzen/Versicherungen
- Forschung
- Gesundheit
- IT und TK
- Lebensmittel
- Transport/Verkehr
- Wasser/Abwasser
- Weltraum
- Verarbeitendes Gewerbe
2. Überschreiten Sie eine bestimmte Unternehmensgröße?
Ab was ist mein Unternehmen „mittelgroß“ oder „groß“?
Mittlere Unternehmen: ab 10 Mio. € Umsatz und ab 10 Mio. € Bilanzsumme oder ab 50 Mitarbeiten
Großunternehmen: ab 50 Mio. € Umsatz und ab 43 Mio. € Bilanzsumme oder ab 250 Mitarbeitenden
Auch wenn Sie nicht „groß“ genug sind, kann NIS2 Auswirkungen auf Sie haben - etwa als Zulieferer oder Partner in der Lieferkette. Fakt ist: Cybersicherheit betrifft uns alle. Und wer heute wettbewerbsfähig bleiben will, kommt nicht mehr drum herum, sich damit zu beschäftigen.
Im Zweifel prüfen wir die Betroffenheit für Sie. Schnell, unverbindlich und mit Blick auf Ihre individuelle Situation.
NIS2 umsetzen: Lassen Sie uns gemeinsam Ihren nächsten Schritt planen:
Wie Sie NIS2 umsetzen: Pragmatisch & praxnisnah.
Was klar ist: Wer unter NIS2 fällt, muss handeln. Aber bitte nicht planlos mit reinem Aktionismus oder blindem Technik-Einkauf. Der Schlüssel liegt in einem strukturierten und realistischen Vorgehen - step by step.
Bestandsaufnahme & Gap-Analyse:
Am Anfang steht die Frage: Wo stehen Sie eigentlich? Welche Sicherheitsmaßnahmen gibt es bereits und wo bestehen Lücken im Vergleich zu den NIS2-Vorgaben? Eine Gap-Analyse bringt Licht ins Dunkel und schafft die Grundlage für alles weitere.
Maßnahmenplan & klare Verantwortlichkeiten:
Auf Basis der Analyse wird ein Maßnahmenplan mit klaren Prioritäten und Zuständigkeiten erstellt. Was muss getan werden? Wer übernimmt was? So wird aus einem unübersichtlichen Pflichtenheft ein greifbares Projekt mit Zielbild.
ISMS-Einführung & Schulung:
Ein Informationssicherheits-Managementsystem (ISMS) nach ISO27001 bildet das Rückgrat der erfolgreichen Umsetzung. Entscheidend ist, dass auch die Mitarbeitenden eingebunden sind. Schulungen helfen, Risiken zu erkennen und im Ernstfall richtig zu reagieren. Echte Sicherheit entsteht nur, wenn Wissen, Haltung und das Mitmachen bei allen verankert sind.
NIS2-Checkliste: Das sollten Sie jetzt konkret tun
NIS2 klingt zunächst kompliziert, muss es aber nicht sein. Mit einem klaren Fahrplan und dem richtigen Partner an Ihrer Seite behalten Sie den Überblick. Diese Schritte helfen Ihnen, die richtigen Weichen zu stellen um NIS2 umzusetzen:
Gehören Sie zu einem der relevanten Sektoren? Überschreiten Sie die Größenkriterien? Wenn Sie unsicher sind, fragen Sie lieber einmal zu viel als zu wenig. Wir unterstützen Sie gern bei der Einschätzung.
Verschaffen Sie sich einen klaren Überblick über Ihre aktuelle IST-Situation. Welche Maßnahmen sind schon vorhanden und wo fehlen noch Bausteine, um die NIS2-Anforderungen zu erfüllen?
Ihre Sicherheitsmaßnahmen sollten verständlich und lückenlos dokumentiert sein. Dazu gehören auch klare Verantwortlichkeiten, Abläufe und Kommunikationswege.
Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden.
Definieren Sie interne Abläufe, klare Eskalationswege und Verantwortlichkeiten, damit im Ernstfall alles reibungslos läuft.
Definieren Sie interne Abläufe, klare Eskalationswege und Verantwortlichkeiten, damit im Ernstfall alles reibungslos läuft.
Überprüfen Sie bestehende Verträge und Sicherheitsstandards Ihrer Dienstleister und Zulieferer. Ihre Sicherheit endet nicht am eigenen Server.
Technik ist wichtig, aber Menschen machen den Unterschied. Schulen Sie Ihr Team regelmäßig im sicheren Umgang mit IT-Systemen und schaffen Sie eine gelebte Sicherheitskultur.
Ein Informationssicherheits-Managementsystem (ISMS) ist eine gute Basis. Es hilft Ihnen nicht nur beim Erfüllen der Anforderungen, sondern auch bei der langfristigen Absicherung Ihres Unternehmens.
Häufige Fehler bei der NIS2-Umsetzung
Viele Unternehmen starten mit besten Absichten und trotzdem wird es an einigen Stellen holprig. Der Grund? Es sind oft die gleichen Stolperfallen, die für Frust und Verzögerungen sorgen. Wer sie kennt, kann sie gezielt vermeiden:
- Unklare Verantwortlichkeiten: Wenn niemand genau weiß, wer was zu tun hat, bleibt am Ende zu viel liegen. NIS2 verlangt klare Zuständigkeiten und diese müssen dokumentiert sein.
- Geschäftsführung bleibt außen vor - ein Trugschluss: Cybersicherheit ist Chefsache. Ohne aktives Commitment von oben fehlt es oft an Ressourcen, Priorität und am nötigen Rückenwind für alle Beteiligten.
- Fehlende Nachweise bei Audits: Selbst die besten Maßnahmen bringen wenig, wenn sie nicht belegbar und nachvollziehbar dokumentiert sind. Ob Audit oder Behördenprüfung - ohne klare Nachweise geraten Unternehmen schnell in Erklärungsnot.
- Meldestrukturen fehlen oder funktionieren nicht: Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden. Nur wenn intern alles sitzt, kann im Ernstfall schnell gehandelt werden und verliert keine wertvolle Zeit.
- Zulieferer und Partner werden vergessen: Viele übersehen: Auch externe Partner oder Zulieferer müssen Sicherheitsstandards erfüllen. Die Verantwortung liegt bei Ihnen, Ihre Partner mit ins Boot zu holen.
Sind Sie bereit für NIS2?
Lassen Sie es uns gemeinsam rausfinden. Unsere Experten Florian Wiesenbauer und Heinz Krippel analysieren, wo Sie stehen, und entwickeln einen klaren Fahrplan für die Umsetzung der Anforderungen.
KOSTENLOSEN TERMIN BUCHENWie Sie INES IT bei NIS2 unterstützt
NIS2 verlangt mehr als Technik: Es braucht klare Strukturen, funktionierende Prozesse und ein echtes Sicherheitsbewusstsein im ganzen Unternehmen. Genau hier setzen wir an:
- Kostenlose Erstprüfung: Wir sprechen über Ihren Status Quo, Ihre Ziele und geben eine erste Einschätzung ab.
- Betroffenheitsanalyse: Sie erfahren, ob Ihr Unternehmen unter den Anwendungsbereich von NIS2 fällt.
- Gap-Analyse: Wir zeigen auf, welche Unterschiede zwischen dem aktuellen Sicherheitsniveau und den Anforderungen von NIS2 bestehen.
- Risikomanagement & Kritikalitätsbewertung: Wir machen sichtbar, welche Risiken bestehen und priorisieren den Handlungsbedarf.
- Maßnahmenplanung: Auf Grundlage der durchgeführten Analyse und der dabei gewonnenen
Erkenntnisse stellen wir einen strukturierten Maßnahmenplan als Grundlage für die Umsetzung zur Verfügung. - Implementierung- und Umsetzungsbegleitung:Wir stehen Ihnen bei der Umsetzung von der Erstanalyse bis zur Zertifizierung zur Seite und bringen die Maßnahmen gemeinsam mit Ihnen
erfolgreich in die Praxis. - Dokumentation: Die Dokumentation der erforderlichen Richtlinien, Prozesse und Verfahren
erfolgt in einer klar strukturierten, nachvollziehbaren und prüffähigen Form. - Awareness & Schulungen: Durch praxisnahe Schulungen fördern wir das Sicherheitsbewusstsein Ihrer Belegschaft im Arbeitsalltag.
- Langfristige Betreuung: Auch nach der Umsetzung stehen wir Ihnen als Partner zur Seite und halten Sie stets auf dem neuesten Stand.
FAQ zu NIS2
NIS2 ist eine EU-Richtlinie, die betroffene Unternehmen dazu verpflichtet, Cybersicherheit auf ein hohes einheitliches Niveau zu bringen. Betroffene Unternehmen müssen klare IT-Sicherheitsmaßnahmen umsetzen, Vorfälle melden können und Strukturen schaffen.
Ursprünglich sollte NIS2 bereits im Oktober 2024 in Kraft treten. Am 13. November 2025 war es dann soweit und der Bundestag hat das NIS2-Umsetzungsgesetz beschlossen. Unsere Empfehlung: Wenn Ihr Unternehmen betroffen ist, beginnen Sie jetzt damit, die notwendigen Maßnahmen Schritt für Schritt umzusetzen.
Das hängt vor allem von zwei Faktoren ab: Branche und Unternehmensgröße.
Aber: Die Einstufung ist aber nicht immer eindeutig. Deshalb unser Tipp: Lassen Sie uns gemeinsam einen kurzen Check machen. Dann wissen Sie schnell und verlässlich, woran Sie sind.
Aber: Die Einstufung ist aber nicht immer eindeutig. Deshalb unser Tipp: Lassen Sie uns gemeinsam einen kurzen Check machen. Dann wissen Sie schnell und verlässlich, woran Sie sind.
Wir starten immer mit einem kostenlosen Erstgespräch, um Ihre Situation einzuschätzen und sich erstmal kennenzulernen. Danach erhalten Sie ein individuelles Angebot, zugeschnitten auf Ihre Anforderungen, Unternehmensgröße und Ziele.
Kein Standardpaket, sondern genau das, was Sie wirklich brauchen.
Kein Standardpaket, sondern genau das, was Sie wirklich brauchen.
NIS2 umsetzen: Lassen Sie uns gemeinsam Ihren nächsten Schritt planen:
Mehr zur NIS2 Schulungspflicht
Die Schulungpflicht für Geschäftsleitungen (§ 38 Abs. 3 BSIG-E) zeigt deutlich: Cybersicherheit ist kein deligierbares Randthema mehr, sondern verlangt aktives Handeln und echte Verantwortung auf Führungsebene. Was konkret gefordert wird, erfahren Sie in unserem Artikel.
Zum vollständigen Artikelalle News