menü.

NIS-2-Beratung.

Individuelle NIS-2-Beratung

Die NIS-2-Richtlinie ist eine überarbeitete Version der ursprünglichen Network and Information Security (NIS) Directive. Das NIS2-Umsetzungsgesetz soll in Deutschland ab März 2025 in Kraft treten.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist eine Überarbeitung der ursprünglichen NIS-Richtlinie, die 2016 eingeführt wurde. Sie zielt darauf ab, die Cybersicherheitsmaßnahmen innerhalb der EU zu harmonisieren und zu verstärken. Die neue Richtlinie erweitert den Geltungsbereich, wodurch die Richtlinie für mehr Unternehmen rechtsgültig ist. Gleichzeitig stellt NIS-2 auch strengere Anforderungen an die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen.

Der Regierungsentwurf zum NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde am 30.07.2025 vom Bundeskabinett beschlossen. Das parlamentarische Verfahren läuft. Ein Inkrafttreten ist für den Jahreswechsel 2025/2026 zu erwarten.

Welche Unternehmen betrifft es?

Einfach erklärt:

Unternehmen mit‍ mindestens

  • 50 Mitarbeitern oder
  • einem Jahresumsatz und einer Jahresbilanz von über 10 Mio. Euro

können von der NIS-2-Richtlinie betroffen sein.

Übersicht aller betroffenen Sektoren

Die NIS2-Richtlinie betrifft Organisationen aus 18 spezifischen Sektoren (Anhang I/II). Einrichtungen in diesen Sektoren werden – je nach Größe/Kritikalität – als besonders wichtig (essential) oder wichtig (important) eingestuft.

Besonders wichtige Sektoren

  1. Elektrizität
  2. Fernwärme
  3. Erdöl
  4. Erdgas
  5. Wasserstoff
  1. Luftverkehr
  2. Schienenverkehr
  3. Schifffahrt
  4. Straßenverkehr
  1. Kreditinstitute
  1. Handelsplätze
  2. Zentrale Gegenpartien
  1. Gesundheits­dienstleister
  2. EU Labore
  3. Medizinforschung
  4. Pharmazeutik
  5. Medizingeräte
  1. Wasserversorgung
  1. Abwasserentsorgung
  1. Internet-Knoten (IXP)
  2. DNS (ohne Root)*
  3. TLD Registries*
  4. Cloud Provider
  5. Rechenzentren
  6. CDNs
  7. Vertrauensdienste (TSP)*
  8. Elektronische Kommunikation*
  1. Managed Service Providers
  2. Managed Security Service Providers
  1. Zentralregierung*
  2. Regionale Regierung*
  1. Bodeninfrastruktur

Wichtige Sektoren

  1. Postdienste
  1. Abfallbewirtschaftung
  1. Produzierende Unternehmen
  2. Herstellung
  3. Handel
  1. Produktion
  2. Verarbeitung
  3. Vertrieb
  1. Medizinprodukte und In-vitro
  2. DV (Computer), Elektronik, Optik
  3. Elektrische Ausrüstung
  4. Maschinenbau
  5. Kraftwagen und Teile
  6. Fahrzeugbau
  1. Marktplätze
  2. Suchmaschinen
  3. Soziale Netzwerke
  1. Forschende Institute

Die Unterschiede zwischen "besonders wichtigen" und "wichtigen" Sektoren Einrichtungen:

  1. Besonders wichtige Einrichtungen werden proaktiv durch die Behörden beaufsichtigt (ohne Anlass).
    Bußgeldrahmen: bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist)
  2. Wichtige Einrichtungen müssen grds. nur anlassbezogen einer Aufsicht unterzogen.
    Bußgeldrahmen: bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Sonderfälle und Ausschlüsse

Unabhängig von der Größe oder dem Umsatz eines Unternehmens gibt es bestimmte Ausnahmen. Zum Beispiel können Unternehmen, die kritische Tätigkeiten ausführen, Auswirkungen auf die öffentliche Ordnung haben oder vom Staat als "wichtig" eingestuft werden, unter die NIS2-Richtlinie fallen. Dies gilt auch, wenn sie weniger als 50 Mitarbeiter haben oder ihr Jahresumsatz unter 10 Millionen Euro liegt.

Verteidigung oder Geheimdienste können teilweise oder ganz von den Regelungen ausgenommen sein.

Wichtige Anforderungen der NIS-2-Richtlinie

  • Risikomanagement und Sicherheitsmaßnahmen:

Unternehmen müssen ein Risikomanagementsystem einführen und angemessene Sicherheitsmaßnahmen implementieren, um sich wirksam gegen Cyberbedrohungen zu schützen. Dazu gehören eine Risikoanalyse mit Sicherheitskonzepten, Business Continuity Management einschließlich Backups, Incident-Handling und Forensik, Patch- und Schwachstellenmanagement, Logging, Monitoring und Anomalieerkennung, ein Zugriffs- und Identitätsmanagement, Kryptomanagement, Maßnahmen zur Absicherung der Lieferkette sowie regelmäßige Schulungen und Awareness-Maßnahmen für Mitarbeitende.

  • Meldung von Sicherheitsvorfällen:

Sicherheitsvorfälle müssen unverzüglich an die zuständigen Behörden gemeldet werden. Dies soll eine schnelle Reaktion und Minimierung der Auswirkungen ermöglichen. Hierbei sind klare Meldefristen definiert.

  • Sanktionen bei
    Nichteinhaltung:

Die NIS-2-Richtlinie sieht erhebliche Sanktionen für Unternehmen vor, die ihre Verpflichtungen nicht erfüllen. Dies umfasst finanzielle Strafen und andere regulatorische Maßnahmen.

Schritte zur Umsetzung der NIS-2-Richtlinie

Für betroffene Unternehmen ist es entscheidend, frühzeitig Maßnahmen zu ergreifen, um die Anforderungen der NIS-2-Richtlinie zu erfüllen. Wir empfehlen ein mehrstufiges Vorgehen:

  1. Bewertung des aktuellen Sicherheitsniveaus: Führen Sie eine umfassende Bewertung Ihrer aktuellen Sicherheitsmaßnahmen und -protokolle durch, um Schwachstellen zu identifizieren.

  2. Entwicklung eines Risikomanagementplans: Erstellen Sie einen detaillierten Risikomanagementplan, der spezifische Maßnahmen zur Verbesserung der Cybersicherheit beinhaltet. Es gilt klare Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen zu definieren.

  3. Schulung und Sensibilisierung: Stellen Sie sicher, dass Ihre Mitarbeiter regelmäßig geschult werden und sich der Bedeutung der Cybersicherheit bewusst sind. Die größte Schwachstelle bei Cyberangriffen ist nach wie vor der Mensch.

  4. Implementierung von Sicherheitsmaßnahmen: Implementieren Sie die erforderlichen Sicherheitsmaßnahmen, einschließlich technologischer Lösungen und organisatorischer Prozesse. Ein Informationssicherheitskonzept kann dabei hilfreich sein.

  5. Regelmäßige Überprüfung und Aktualisierung: Überprüfen und aktualisieren Sie regelmäßig Ihre Sicherheitsmaßnahmen, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.

Mögliche Maßnahmen zur Umsetzung in der Praxis

Schutz der Vertraulichkeit und Integrität von Daten während der Übertragung und Speicherung.

Zur Erhöhung der Sicherheit durch eine zusätzliche Sicherheitsebene beim Zugriff auf sensible Systeme und Daten ist eine Zweifaktor (2FA)- oder Mehrfaktor-Authentifizierung (MFA) über Ihr zentrales Identity- & Access-Management (z. B. Entra ID/Azure AD, Okta) – für alle privilegierten und externen Zugriffe verpflichtend.

Evaluierung von Sicherheitsrichtlinien, Prozessen und Technologien zur Identifizierung von Schwachstellen und Implementierung von Verbesserungen.

Regelmäßige Awareness-Schulungen sensibilisieren Mitarbeitende für Cyber-Bedrohungen und vermitteln Best Practices (z. B. Phishing-Prävention, sichere Passwortverwendung, Erkennung verdächtiger Aktivitäten); darüber hinaus verpflichtet NIS-2 die Unternehmensleitung, die Cybersicherheits-Maßnahmen zu genehmigen und zu überwachen, selbst an Schulungen teilzunehmen und persönliche Verantwortung zu tragen.

Simulationen von Cyberangriffen durch Sicherheitsexperten zur Aufdeckung von Schwachstellen in Systemen und Netzwerken, um potenzielle Sicherheitslücken zu identifizieren und zu beheben.

Regelmäßige Aktualisierung von Software und Betriebssystemen, um bekannte Schwachstellen zu schließen und die Angriffsfläche zu reduzieren.

Grundlegende Schutzmechanismen zum Blockieren unerlaubten Zugriffs und schädlicher Software.

Mit Tools wie zum Beispiel WEBCON BPS können Unternehmen ihre Sicherheits- und Compliance-Prozesse im Rahmen der NIS2-Richtlinie schnell digitalisieren, transparent steuern und flexibel an neue Anforderungen anpassen.

  • kompetente Beratung
  • intuitive Bedienung
  • rechtskonform
  • zertifiziert

Fazit

Die NIS-2-Richtlinie kann einen bedeutenden Schritt zur Verbesserung der Cybersicherheit in der EU darstellen, wiewohl die Umsetzung gerade für den Mittelstand entsprechende Ressourcen erfordert.

Durch eine frühzeitige Vorbereitung und kann die fristgerechte Umsetzung robuster Sicherheitsmaßnahmen gewährleistet werden.Unternehmen stelle somit nicht nur die Compliance sicher, sondern stärken auch ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen.

Bei Fragen zur praktischen Umsetzung stehen wir Ihnen jederzeit gerne unterstützend zur Seite

Für weitere Informationen nehmen Sie gerne Kontakt mit uns auf.

Profitieren Sie vom Know-how unserer Experten.

Felix Hofstetter

Business Development Manager

E-Mail: felix.hofstetter@sp-it.de

Alle Neuigkeiten auf einen Blick.

Read more +18 November 2025 By agnesjabrik in news., Termine.

Invitation to the 2nd Bizagi Tech Talk on November 18, 2025 in Augsburg

Read more +17 September 2025 By agnesjabrik in news., Termine.

WEBCON TAG 17.-18. September: Digitale Transformation in der Praxis – Jetzt anmelden!

Read more +26 August 2025 By sebastianbaars in news., Termine.

NIS-2-Richtlinie: Was Unternehmen jetzt wissen müssen

Sonntag & Partner
Partnerschaftsgesellschaft mbB
Wirtschaftsprüfer, Steuerberater, Rechtsanwälte
Schertlinstraße 23
86159 Augsburg

Telefon: +49 821 57058-0
Telefax: +49 821 57058-153

www.sonntag-partner.de

Aktuelles

Expertise

Services

Mitgliedschaften

Support

Support

TOP