NIS-2 – Herausforderungen & Lösungen

NIS-2 – Herausforderungen & Lösungen

...

Ziele von NIS-2

In der heutigen digitalen Landschaft ist Cyber-Sicherheit von entscheidender Bedeutung. Die Gefahr von Cyber-Angriffen ist so hoch wie nie zuvor und nimmt stetig weiter zu. Es ist davon auszugehen, dass Unternehmen, die keine ausreichenden Vorkehrungen treffen, früher oder später betroffen sein werden. Mit der NIS-2-Richtlinie setzt die Europäischen Union neue Maßstäbe für die Sicherheitsanforderungen in kritische Infrastrukturen (KRITIS) und wichtige Einrichtungen. Betroffene Unternehmen werden dabei jedoch nicht nur gesetzlich verpflichtet, die Vorgaben zu erfüllen. Vielmehr werden sie von einer höheren Awareness vor drohenden Gefahren und einem robusteren Sicherheitsmanagement profitieren.

Mit den erweiterten Anforderungen an Sicherheitsmaßnahmen und Meldepflichten durch die NIS-2-Richtlinie sollen kritische Infrastrukturen und wichtige Einrichtungen besser vor Cyber-Angriffen geschützt werden. Die Richtlinie stärkt die Resilienz von Unternehmen und Behörden, optimiert die Zusammenarbeit zwischen den Mitgliedstaaten und etabliert einheitliche Mindeststandards für Cyber-Sicherheitsmaßnahmen. Zudem fördert ein starkes Sicherheitsprofil das Vertrauen und die Loyalität der Kundschaft, die zunehmend großen Wert auf wirksamen Datenschutz und höhere Sicherheitsstandards legt.

Seit dem 06. Dezember 2025 ist in Deutschland das NIS-2 Umsetzungsgesetz in Kraft. Es verschärft nicht nur die Sicherheits- und Compliance-Anforderungen, sondern erweitert auch massiv den Kreis der verpflichteten Unternehmen. Anders als die bisherige KRITIS-Regulierung betrifft NIS-2 nun eine deutlich größere Unternehmenslandschaft – auch solche, die bislang nicht im Fokus der Aufsicht standen. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind künftig rund 29.500 Unternehmen in Deutschland von NIS-2 betroffen und fallen damit unter die Aufsicht des BSI. Das NIS-2 Umsetzungsgesetz sieht keine Übergangsfristen vor. Das bedeutet betroffene Unternehmen müssen schnellstmöglich handeln.

Das BSI empfiehlt möglichst noch bis Ende 2025 einen Account bei „Mein Unternehmenskonto“ (MUK) zu erstellen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Konto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren. Das BSI-Portal wird am 06. Januar 2026 freigeschaltet und dient als Meldestelle für erhebliche Sicherheitsvorfälle.

Betroffene Sektoren

Die NIS-2-Richtlinie stellt einen wichtigen Schritt in der europäischen Cyber-Sicherheitsstrategie dar und betrifft zahlreiche Sektoren, die für Gesellschaft und Wirtschaft von zentraler Bedeutung sind – darunter kritische Infrastrukturen und andere essenzielle Bereiche.

NIS-2 unterscheidet in Sektoren besonders wichtiger und wichtiger Einrichtungen1 und Sektoren wichtige Einrichtungen2. Je nach Größe der Unternehmen wird in der NIS-2 zudem in besonders wichtige Einrichtungen sowie wichtige Einrichtungen unterschieden.

Sektoren besonders wichtiger und wichtiger Einrichtungen

Energie
Transport und Verkehr
Finanzwesen
Gesundheit
Wasser
Digitale Infrastruktur
Weltraum

Sonstige wichtige Einrichtungen

Post- und Kurierdienste (Transport und Verkehr)
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Waren
Anbieter digitaler Dienste
Forschung

Besonders wichtige Einrichtungen sind

  • Sektoren besonders wichtiger und wichtiger Einrichtungen1 und
  • mindestens 250 Mitarbeiterinnen bzw. Mitarbeiter oder
  • Jahresumsatz über 50 Mio. € und Jahresbilanzsumme
    über 43 Mio. € oder 
  • Betreiber kritischer Anlagen, unabhängig von Unternehmensgröße

Wichtige Einrichtungen sind

  • Sektoren besonders wichtiger und wichtiger Einrichtungen1 oder Sektoren wichtige Einrichtungen2 und
  • mindestens 50 Mitarbeiterinnen bzw. Mitarbeiter oder
  • Jahresumsatz und Jahresbilanzsumme jeweils über
    10 Mio. € 

(gemäß Anhang 1¹ und Anhang 2² des BSI-Gesetzes)

NIS-2-Betroffenheitscheck

Unsere NIS-2-Betroffenheitsanalyse gibt Ihnen in wenigen Augenblicken eine erste, rechtlich nicht verbindliche Orientierung, ob Sie von den Regelungen betroffen sind. Unabhängig vom Ergebnis raten wir Ihnen, sich in jedem Fall mit der Sicherheit Ihres Unternehmens zu beschäftigen.

Für eine Rechtsberatung, ob Sie unter NIS-2 fallen, stehen Ihnen die Expertinnen und Experten unseres Kooperationspartners BDO LEGAL Rechtsanwaltsgesellschaft mbH gerne zur Verfügung.

Pflichten

Unternehmen, die von der NIS-2-Richtlinie betroffen sind, müssen ihre Einstufung prüfen und sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) mit grundlegenden Informationen wie Kontaktdaten und relevanten Dienstleistungen registrieren.

Das BSI empfiehlt möglichst umgehend einen Account bei „Mein Unternehmenskonto“ (MUK) zu erstellen, um sich im zweiten Schritt mit dem MUK-Konto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren. Das BSI-Portal dient als Meldestelle für erhebliche Sicherheitsvorfälle.

NIS-2 stellt verschärfte Anforderungen an die Cyber-Sicherheit. Unternehmen sind angehalten, Risiken für ihre Systeme aktiv zu identifizieren und zu bewerten, um Sicherheitsvorfälle zu minimieren. Wichtige Maßnahmen umfassen effektives Backup-Management, die Notfallwiederherstellung, den Schutz sensibler Daten und regelmäßige Schulungen sowie Sensibilisierungsmaßnahmen. 

Sicherheitsaspekte der Lieferkette sowie der Einsatz von Kryptografie sollten ebenfalls Teil der Sicherheitsstrategie sein, orientiert an den neuesten technischen Standards, geltenden Normen und regulatorischen Anforderungen des Datenschutzrechts. 

Einrichtungen sind verpflichtet, erhebliche Sicherheitsvorfälle – einschließlich solcher mit Bezug zu personenbezogenen Daten – umgehend an das BSI zu melden, wobei die Erstmeldung innerhalb von 24 Stunden nach Kenntnisnahme erfolgen muss. Regelmäßige Updates und eine umfassende Abschlussmeldung mit detaillierter Analyse sind ebenfalls erforderlich. 

Wichtig: Bei datenschutzrechtlich relevanten Vorfällen gelten zudem ergänzende Meldepflichten.

Die Geschäftsleitung trägt eine zentrale Verantwortung für die Umsetzung und Überwachung der Risikomanagementmaßnahmen. In regelmäßigen Schulungen müssen sich Mitglieder der Geschäftsleitung ausreichende Kenntnisse aneignen, um Risiken, Auswirkungen und Wechselwirkungen von technischen und organisatorischen Maßnahmen bewerten zu können. Denn die Geschäftsleistung haftet für schuldhaft entstandene Schäden – insbesondere dann, wenn bei der Umsetzung von Sicherheits- und Datenschutzvorgaben nachweislich Sorgfaltspflichten verletzt wurden.

Bei schwerwiegenden Sicherheitsvorfällen kann das BSI anordnen, dass betroffene Dienstleistungsempfänger sofort informiert werden. In bestimmten Sektoren müssen zudem Informationen über Cyber-Bedrohungen und empfohlene Gegenmaßnahmen bereitgestellt werden.

Betreiber kritischer Infrastrukturen müssen alle drei Jahre die Umsetzung der NIS-2-Maßnahmen nachweisen. Das BSI legt die Anforderungen an die Nachweiserbringung fest, die spätestens drei Jahre nach der Einstufung fällig sind. Dies umfasst Sicherheitsaudits und die Übermittlung von Ergebnissen sowie Mängelbeseitigungsplänen.

Bei besonders wichtigen Einrichtungen erfolgen die Prüfungen stichprobenartig, bei wichtigen Einrichtungen anlassbezogen. Eine lückenlose Dokumentation ist daher in jedem Fall extrem wichtig.

Unser Lösungsansatz

Mit unserem modular aufgebauten Lösungsansatz unterstützen wir Sie bei der Analyse Ihres Umsetzungsstandes und der Identifizierung von Lücken. Wir priorisieren die anstehenden Themen, erstellen eine Roadmap und arbeiten die Maßnahmen zielgerichtet und transparent ab.

Unser Lösungsansatz wird auf Ihre Bedürfnisse maßgeschneidert, um perfekt auf Ihre individuellen Anforderungen einzugehen.

Unser Lösungsansatz Grafik(Zum Vergrößern klicken)

Kontaktieren Sie uns!

Dr. Micheal Mies

Dr. Michael Mies

Senior Manager, Management Advisory
CIO Advisory
Kontakt anzeigen
Prof. Dr. Alexander Schinner

Prof. Dr. Alexander Schinner

Partner, Cyber Incident Response & Crisis Center (CIRCC), Business Continuity Management (BCM), Security Operation Center (SOC), BDO Cyber Security GmbH
Kontakt anzeigen