NIS-2-Richtlinie: Schützen, was uns verbindet​

Unternehmen der kritischen Infrastruktur (KRITIS) sind essenziell für unsere Gesellschaft.  

Mit der EU-NIS-2-Richtlinie und dem damit einhergehenden deutschen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz stehen KRITIS-Organisationen und weitere betroffene Sektoren vor verbindlichen Pflichten zur Cybersicherheit und Resilienzsteigerung.  

Das Ziel: IT-Systeme und Netzwerke widerstandsfähiger gegen Cyberangriffe machen, um langfristig Betriebssicherheit und Zukunftsfähigkeit zu gewährleisten. 

Jetzt individuelle NIS-2-Beratung anfordern

NIS-2-Richtlinie stärkt die Cyber-Resilienz von Unternehmen

Viele Organisationen arbeiten mit komplexen, historisch gewachsenen IT-Strukturen. Das erhöht das Risiko von Cyberangriffen. Die NIS-2-Richtlinie verlangt deshalb, dass insbesondere Unternehmen aus dem KRITIS-Umfeld ihre Sicherheitsstrategien neu bewerten und modernisieren. So sollen Cyber-Resilienz strategisch aufgebaut und Risiken in Netzwerken, Informationssystemen und Lieferketten systematisch reduziert werden.​

​Laut BSI-Lagebericht zur IT-Sicherheit 2025 werden täglich rund 119 neue Schwachstellen in IT-Systemen bekannt – ein Anstieg von 24 % gegenüber dem Vorjahr. Der Handlungsdruck wächst. Ein Grund, warum BSI-Präsidentin Claudia Plattner die gesetzliche Umsetzung der NIS-2-Richtline begrüßt: „Mit diesem Gesetz hat Deutschland einen wichtigen Meilenstein auf dem Weg zu einer resilienten Cybernation erreicht, denn wir schützen damit einen entscheidenden Teil unserer digitalen Angriffsfläche viel besser als bisher."​

Das müssen Unternehmen bei der Umsetzung der NIS-2-Richtlinie beachten:

Nummer 1

Etablierung eines strukturierten Risikomanagements

Unternehmen müssen regelmäßig prüfen, welche Bedrohungen für ihre kritischen Prozesse bestehen, und geeignete technische sowie organisatorische Maßnahmen festlegen. Diese sollen den Stand der Technik einhalten sowie europäische und internationale Normen (z.B. ISO 27001/27005 oder BSI IT-Grundschutz) berücksichtigen. Bestimmte Produkte oder Dienste dürfen nur verwendet werden, wenn sie über eine Zertifizierung gemäß europäischer Schemata verfügen (z.B. Common Criteria). Das bildet die Grundlage für Compliance, Auditfähigkeit und schnelle Reaktionsfähigkeit im Ernstfall.

Nummer 2

Klare Verantwortlichkeiten und Governance-Strukturen

Das Management trägt die Gesamtverantwortung für die Umsetzung der NIS-2-Vorgaben. Sicherheitsstrategien, Entscheidungswege und Kontrollmechanismen müssen transparent definiert sein. Eine klare Governance-Struktur unterstützt die nachhaltige Umsetzung und Überwachung aller Sicherheitsmaßnahmen.

Nummer 3

Einführung eines Melde- und Incident-Response-Prozesses

Unternehmen sind verpflichtet, Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde zu melden. Ein definierter Incident-Response-Prozess ermöglicht eine schnelle und koordinierte Reaktion, um Schäden zu begrenzen und Ursachen nachhaltig zu beheben. Regelmäßige Tests erhöhen die Wirksamkeit der Abläufe.

Nummer 4

Management von Lieferketten- und Dienstleisterrisiken

Die NIS-2-Richtlinie verlangt auch, die Cybersicherheit in der Lieferkette zu berücksichtigen. Verträge, Prüfprozesse und Sicherheitsanforderungen müssen so gestaltet sein, dass Risiken externer Partner transparent und kontrollierbar bleiben. Nur so lassen sich Schwachstellen entlang der Wertschöpfungskette vermeiden.

Nummer 5

Sensibilisierung und Schulung der Mitarbeitenden

Mitarbeitende sind die wichtigste Verteidigungslinie in der IT-Sicherheit. Regelmäßige Schulungen und Awareness-Programme sind Pflicht, um das Bewusstsein für Cyberrisiken, Meldewege und Sicherheitsrichtlinien zu stärken. Eine gelebte Sicherheitskultur schützt das Unternehmen langfristig.​

Europa-Flagge

Um kritische Infrastruktur besser vor Cyberangriffen und Störungen zu schützen, hat die Europäische Union die NIS-2-Richtlinie eingeführt

NIS-2-Umsetzung schützt Unternehmen vor wirtschaftlichen Risiken

Die Nicht-Einhaltung der NIS-2-Vorgaben kann technische, wirtschaftliche und rechtliche Folgen haben. In kritischen Infrastrukturen betreffen Angriffe nicht nur das eigene Unternehmen, sie sind auch ein Risiko für gesellschaftliche Stabilität und öffentliche Sicherheit.

Mögliche Risiken bei Nichteinhaltung der NIS-2-Richtlinie:

  • Versorgungsausfälle und Betriebsunterbrechungen​
  • Bußgelder in Millionenhöhe bei Verstößen gegen Melde- und Sicherheitsanforderungen ​
  • Persönliche Haftung von Geschäftsführenden und Vorständen ​
  • Reputationsverlust durch öffentlich gewordene Sicherheitsvorfälle ​

  • Ausschluss von Ausschreibungen oder regulatorische Sanktionen


     

NIS-2-Check: Wie gut ist Ihr Unternehmen vorbereitet? Jetzt Beratung anfordern.

NIS-2 implementieren: Unsere Experten begleiten Sie

Wie können Sie die Sicherheit und Widerstandsfähigkeit ihrer Netzwerke und Informationssysteme, wie von NIS 2 gefordert, gewährleisten? Eine Lösungen bietet die Umsetzung eines Informations-Sicherheits-Management-Systems (ISMS), das die Informationssicherheit und eine wirksame Risikobehandlung durch Sicherheitskonzepte gewährleistet.

Mit unseren Consulting-Angeboten unterstützen wir Sie dabei, die Einrichtung eines Informations-Sicherheits-Management-Systems (ISMS) professionell vorzubereiten. Darüber hinaus bieten wir Ihnen zur Erfüllung der Normvorgaben im Bereich Schulung und Awareness eine entsprechende Maßnahme für betroffene Mitarbeiter an.

Jetzt zu ISMS beraten lassen

Produkte

Digitale Souveränität durch Lösungen "Made in Germany"

High Resistance Firewall genugate

Vollständige Datenanalyse für höchste Netzwerksicherheit
Zertifiziert Zugelassen

Datendiode cyber-diode

Hochsicheres Industrial Monitoring

Industrial Firewall genuwall

Starker Schutz für Produktionsnetze

Fernwartungslösung genubox

Sicherer Wartungszugriff in sensible Netze unterstützt Zero-Trust-Konzepte

Zero Trust Application Access genusphere

Sicherer, browserbasierter Zugriff auf freigegebene Applikationen
Visual genusphere

Secure E-Mail Gateway genumail

Sichere E-Mail-Kommunikation mit dem KI-gestützten Secure E-Mail Gateway zur zuverlässigen Echtzeitabwehr von Spam, Phishing, Viren & Co.
Visual genumail
Beratungssituation

Bestens vorbereitet für NIS 2: Mit unserem Reifegrad-Check zur Bewertung Ihrer IT-Sicherheitsmaßnahmen

IT Security Assessment

Der Reifegrad-Check zur Bewertung Ihrer IT-Sicherheitsmaßnahmen

Mit dem IT Security Assessment werden existierende IT-Sicherheitsmaßnahmen auf ihre Vollständigkeit und Wirksamkeit geprüft. Damit bereiten Sie die geplante Einrichtung eines Informations-Sicherheits-Management-Systems (ISMS) professionell vor. Die Bewertung Ihrer Organisation erfolgt dabei anhand eines Fragen­katalogs nach DIN ISO/IEC 27001. Zu den Ergebnissen erhalten Sie einen detaillierten Abschlussbericht.

Jetzt IT Security Assessment ISMS kennenlernen

Schulungssituation

Steigerung der Kenntnisse zur Informationssicherheit: Mit unserer Awareness-Schulung Informationssicherheit (ISMS)

Awareness-Schulung Informationssicherheit (ISMS)

Steigerung der Kenntnisse zur Informationssicherheit

Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen zur Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung eines dokumentierten Informations-Sicherheits-Management-Systems (ISMS). Zur Erfüllung der Vorgaben im Bereich Schulung und Awareness bieten wir eine entsprechende Maßnahme für Mitarbeiter im Geltungsbereich der Norm an.

Jetzt Awareness-Schulung ISMS kennenlernen

FAQs zur NIS-2-Richtlinie der EU

1.

Ab wann ist die NIS-2-Richtlinie in Deutschland gültig?

>

NIS 2, die verbindliche Cybersicherheits-Richtlinie der EU, ist am 16.01.2023 offiziell in Kraft getreten. Im November 2025 wurde das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) im Bundestag und Bundesrat verabschiedet. Anfang Dezember 2025 trat das Gesetz offiziell in Kraft.

2.

Ist die Unternehmensgröße relevant für NIS-2?

>

§28 des Gesetzesentwurfs zur Umsetzung der NIS-2-Richtlinie definiert die Anwendungsbereiche des Gesetzes. Hierbei wird unterschieden zwischen “besonders wichtigen Einrichtungen” und “wichtigen Einrichtungen”.  

Zu besonders wichtigen Einrichtungen zählen:​

  1. Betreiber kritischer Anlagen
  2. Qualifizierte Vertrauensdiensteanbieter, Top Level Domain Registries oder DNS-Provider  
  3. Telekommunikationsanbieter / Netzbetreiber, wenn sie mindestens 50 Mitarbeitende beschäftigen oder einen Umsatz oder eine Bilanzsumme von über 10 Mio. Euro aufweisen
  4. Unternehmen, die mindestens 250 Mitarbeitende beschäftigen oder einen Jahresumsatz von über 50 Millionen und eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen. 

Als wichtige Einrichtung ist definiert: 

  1. Vertrauensdiensteanbieter
  2. Telekommunikationsanbieter / Netzbetreiber, wenn sie weniger als 50 Mitarbeitende beschäftigen oder einen Umsatz oder eine Bilanzsumme von 10 Mio. Euro oder weniger aufweisen.  
  3. Unternehmen, die mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

Insgesamt steigt die Zahl der durch das BSI zu regulierenden Unternehmen mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz von 4.500 auf rund 29.500 Unternehmen.  

Darüber hinaus regelt §29, dass auch bestimmte Einrichtungen der Bundesverwaltung unter die Bestimmungen dieses Gesetzes fallen.

Weiterführende Informationen finden Sie hier: https://www.openkritis.de/it-sicherheitsgesetz/einrichtungen-unternehmensgroesse-nis2.html#essential 

3.

Welche Branchen sind von NIS-2 betroffen?

>

NIS-2 betrifft eine breite Palette an kritischen und wichtigen Sektoren. Dazu gehören unter anderem:  

  • Energie und Wasserwirtschaft  
  • Verkehr und Logistik  
  • Gesundheitswesen und Pharma  
  • Finanz- und Versicherungswesen  
  • Informations- und Kommunikationstechnologie (IKT)  
  • Verwaltung und öffentliche Einrichtungen  
  • Abfallwirtschaft und Lebensmittelproduktion  
  • Digitale Dienste (z. B. Cloud-Provider, Rechenzentren, Online-Marktplätze, Managed Service Provider)  

Zudem wurden mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz auch nachgelagerte Bundesbehörden in die Gesetzgebung aufgenommen. 

4.

Welche Meldefristen ergeben sich aus der NIS-2-Richtlinie?

>

Bei erheblichen Sicherheitsvorfällen gelten strenge Meldepflichten gemäß §32 des Gesetzes an die zuständige nationale Behörde:  

Erstmeldung: unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls.

Zweitmeldung: unverzüglich, spätestens nach 72 Stunden muss eine Meldung eingehen, die eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren aufzuweisen haben.

Abschlussbericht: spätestens nach einem Monat mit allen Details und ergriffenen Maßnahmen.

5.

Wie hoch können Bußgelder bei Nichteinhaltung von NIS-2 ausfallen?

>

Das NIS2UmsuCG sieht deutlich höhere Bußgelder als noch NIS-1 vor:  

  • Für besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
  • Für wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Zudem kann die Aufsichtsbehörde organisatorische Maßnahmen anordnen oder verantwortliche Führungskräfte persönlich haftbar machen, wenn sie ihren Pflichten nicht nachkommen.

Weiterführende Infomationen finden Sie hier: https://www.openkritis.de/betreiber/bussgelder-kritis-bsig.html 

Lassen Sie sich jetzt beraten und machen Sie sich bereit für NIS 2!

Sie interessieren sich für eine NIS-2-spezifische Beratung von unseren Experten, um Datenverlust, Manipulation, regulatorische Probleme und Reputationsschäden zu vermeiden? Gerne erstellen wir Ihnen ein unverbindliches Angebot!

*
*
*
*
*

Weitere Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie in unseren Datenschutzhinweisen.

KRITIS

genuas Lösungen für Unternehmen und Organisationen mit kritischen Infrastrukturen

IT Security Consulting