Zum Inhalt springen
EU-Richtlinie

NIS2 zwischen Stillstand und Umsetzung – Wo steht Deutschland?

Die EU-Richtlinie NIS2 soll die Cybersicherheit in Europa stärken und betrifft erstmals auch viele mittelständische Unternehmen. Die EU hat sie ins Leben gerufen, weil viele Betriebe erst auf rechtliche Vorgaben reagieren. Ohne Druck bleibt IT-Sicherheit für viele ein Schreckgespenst: teuer und scheinbar ohne direkten Nutzen. Doch wer genauer hinsieht, erkennt schnell die Vorteile.

Autor: Jürgen Ebner / Redaktion: Diana Künstler • 14.10.2025 • ca. 3:35 Min

Ampel
© Blue Traffic Light – shutterstock.com

NIS2 erweitert den Geltungsbereich der Vorgängerrichtlinie NIS: Nicht nur kritische Infrastrukturen, sondern auch zahlreiche mittelständische Unternehmen – von Transportunternehmen bis zur Lebensmittelindustrie fallen darunter. Seit dem 18. Oktober 2024 gilt die Richtlinie EU-weit. Aber nur Belgien, Italien, Kroatien, Lettland Litauen und Ungarn haben die nationale Umsetzung fristgerecht abgeschlossen. Hierzulande war die Umsetzung auf einem guten Weg, kam aber im Zuge des Auseinanderbrechens der letzten Regierung nicht pünktlich durch die Zielgerade. Am 11. September hat der Bundestag ein leicht überarbeitetes Umsetzungsgesetz erstmals beraten. Es soll noch dieses Jahr verabschiedet werden und spätestens Anfang 2026 in Kraft treten.

Die Bundesregierung will die Anforderungen im NIS2-Umsetzungsgesetz leicht verschärfen. Unternehmen, die bislang untätig geblieben sind, stehen unter Zugzwang. Deutschland setzt auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Behörde. Die Zahl der betroffenen Unternehmen wird sich voraussichtlich verzehnfachen.

Was bringt NIS2 konkret?

Die Richtlinie verpflichtet Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz zu umfassenden Maßnahmen, mit denen ein IT-Risikomanagement sowie Notfall- und -Schwachstellenmanagement eingeführt werden sollen, genauso wie Zugangskontrollen (physisch und digital) und regelmäßige Mitarbeiterschulungen. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Geschäftsführer haften persönlich bei Verstößen. Strafen können bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes betragen.

Diese Vorgaben sind keine bürokratische Schikane, sondern sollen Schutz und Sicherheit wesentlicher und wichtiger IT-Infrastrukturen maßgeblich verbessern. NIS2 eröffnet aber auch Chancen für IT-Dienstleister. Denn viele Betriebe, insbesondere im Mittelstand, sind auf externe Unterstützung angewiesen, um die komplexen Anforderungen zu erfüllen. Ob Risikomanagement, Notfallpläne, Schulungen oder technische Sicherheitsmaßnahmen: IT-Dienstleister spielen eine Schlüsselrolle bei der Umsetzung.

Was bedeutet das für Unternehmen?

Die Umsetzung bringt umfangreiche Dokumentationspflichten mit sich. So müssen Sicherheitsstandards geprüft und dokumentiert werden, schriftlich erstellte Notfallpläne müssen, digital und im Ausdruck, festgehalten werden. Regelmäßig müssen Mitarbeiter mit Schulungen und Sensibilisierungen auf den neuesten Stand gebracht werden. Hierfür muss es auch Nachweise geben. Außerdem ist jetzt eine fundierte Risikobewertung Pflicht, einschließlich der Identifikation besonders kritischer Systeme. Gerade hier zeigt sich ein häufiges Defizit: Viele Unternehmen setzen zwar Sicherheitsmaßnahmen um, bewerten aber nicht systematisch, welche Systeme im Ernstfall existenzbedrohend wären.

Lieferkette nicht vergessen

Auch KMUs, die unter NIS2 fallen, können durch ihre Rolle in der Lieferkette in die Pflicht genommen werden. NIS2-pflichtige Betriebe müssen sicherstellen, dass ihre Dienstleister Mindeststandards erfüllen – unabhängig von deren Größe oder Umsatz.

Ein zentraler Baustein der Umsetzung ist der Notfallplan. Im Ernstfall entscheidet er über die Zukunftsfähigkeit eines Unternehmens.

Was gehört in einen Notfallplan?

Ein wirksamer Notfallplan umfasst mehr als eine technische Checkliste. Er ist Teil eines umfassenden IT-Sicherheitskonzepts und sollte folgende Punkte enthalten:

1. Betroffenheitsanalyse

    • Ist das eigene Unternehmen direkt oder indirekt von NIS2 betroffen? (Anm.d.Red.: einen ersten Überblick liefert die Betroffenheitsprüfung des BSI)
    • Gehört es zur Lieferkette eines NIS2-pflichtigen Betriebs?

2. Verantwortlichkeiten festlegen

    • Wer ist für IT-Sicherheit und NIS2-Compliance zuständig?

3. Gap-Analyse und erste Maßnahmen

    • Welche Sicherheitsstandards sind bereits erfüllt?
    • Wo bestehen Lücken?
    • Sofortmaßnahmen: Backups, Zugangskontrollen, Mitarbeitersensibilisierung

4. Externe Unterstützung einholen

    • Fehlt internes Know-how, sollten IT-Dienstleister hinzugezogen werden.

5. Dokumentation und Risikobewertung

    • Sicherheitsrichtlinien und Schulungen dokumentiert
    • Kritische Systeme identifizieren und bewerten – nicht alle Server sind gleich wichtig

NIS2 als Investition in die Zukunft

NIS2 mag zunächst wie eine bürokratische Pflicht wirken, bietet Unternehmen aber die Chance, ihre IT-Sicherheit nachhaltig zu verbessern. Ein gut umgesetzter Notfallplan schützt nicht nur vor Bußgeldern, sondern auch vor teuren Ausfällen, Datenverlusten und Reputationsschäden – etwa durch Ransomware-Angriffe.

Indirekt betroffen – und trotzdem verpflichtet

Besonders kritisch ist die Situation für Unternehmen, die nicht direkt unter NIS2 fallen, aber Teil der Lieferkette sind. Diese können von heute auf morgen mit Anforderungen konfrontiert werden, wenn ein Auftraggeber NIS2-konform werden muss. Dann heißt es: „Lieferst du nicht nach Standard, bist du raus.“

Selbst Kleinstunternehmen mit wenigen Mitarbeitenden können betroffen sein, etwa wenn sie spezialisierte Dienstleistungen für größere Betriebe erbringen. Die Größe schützt nicht vor der Pflicht zur Umsetzung. Der Notfallplan ist kein optionales Dokument, sondern ein zentrales Element der NIS2-Compliance. Unternehmen sollten ihn als strategisches Werkzeug begreifen

Jetzt handeln!

Die NIS2-Richtlinie ist bereits gültig und die nationale Umsetzung nimmt jetzt Fahrt auf. Deutschland muss das Umsetzungsgesetz noch verabschieden, dann tritt es rasch in Kraft. Unternehmen sollten jetzt handeln, um die Vorgaben rechtzeitig zu erfüllen und hohe Strafen zu vermeiden. Besonders mittelständische Betriebe müssen prüfen, ob sie betroffen sind und Maßnahmen einleiten. Denn wer jetzt handelt, sichert nicht nur die eigene IT-Infrastruktur, sondern auch die Wettbewerbsfähigkeit in einer digitalisierten Wirtschaft.

Anbieter zum Thema

Hier könnte auch Ihr Logo stehen.
zu Matchmaker+
Jürgen Ebner, ICTE
Der Autor Jürgen Ebner ist Mitglied der Global Technology Industry Association (GTIA) und Geschäftsführer der ICTE – Managed IT Services.
© ICTE

Noch mehr NIS2-Know-how entdecken: Kostenfreie Webinar-Inhalte on demand

Die neue EU-Richtlinie zur Netz- und Informationssicherheit wirft viele Fragen auf – und eröffnet gleichzeitig Chancen für eine nachhaltigere Cybersecurity-Strategie. Auf unserer Webseite finden Sie praxisnahe Einblicke und Hintergründe, unter anderem zu den Themen:

Weitere Webinare auf Abruf unter: https://spezial.connect-professional.de/webinare/ Einfach registrieren und reinschauen.

Das könnte Sie auch interessieren
Industrie, Digitalisierung, Robotik
NIS2, CRA & Co. OT unter Beschuss: Regulatorik, Risiken und Chancen für Partner
Bundesinnenminister Alexander Dobrindt und BSI-Präsidentin Claudia Plattner
Bundesregierung plant Cyber-Schutzschild BSI soll Cyberabwehr stärken und NIS2-Regeln durchsetzen
Check
DsiN Online-Tool FitNIS2-Navigator unterstützt KMU bei NIS2-Compliance
Keine Zeit, Time is running out
Priorisierung der Cybersicherheit NIS2 – Abwarten ist keine Option
Synergien, Datensicherheit, Security
Datensicherung und -sicherheit Synergien zwischen DSGVO und NIS2
Cybersecurity Plan, Strategie
Cybersicherheit im Public Sector Warum NIS2 mehr ist als Regulierungsdruck
Umsetzung Richtlinie, Zeitdruck
Fünf Schritte zur sicheren Vorbereitung NIS2: Trotz Verzögerung müssen Unternehmen jetzt handeln
Zertifikat
NIS2-Studie von connect professional NIS2 – ein Projekt mit Tücken
Mehr passende Artikel
rene-hofmann-securepoint
Ausbau des Security-Portfolios Securepoint übernimmt Whitelisting-Anbieter Seculution
Factorial-Studie Deutsche Fachkräfte nutzen KI intensiv, aber mit Bedacht 30.09.2025 09:57 von Jörg Schröper Fachkräfte in Deutschland setzen KI ein, vertrauen ihr aber nicht blind. Das zeigt der aktuelle KI-Report ’25 von Factorial.
Factorial-Studie Deutsche Fachkräfte nutzen KI intensiv, aber mit Bedacht
Barracuda Networks, Anbieter von Cybersicherheitslösungen für Unternehmen jeder Größe, launcht Barracuda Research, eine neue zentrale Ressource für Bedrohungsinformationen, Analysen realer Vorfälle, Daten zur Erkennung von E-Mail-Bedrohungen aus Barr
Barracuda launcht Barracuda Research Zentrale Ressource für globale Bedrohungsinformationen
Fortinet Partner Sync 2025
Zwischen Regulierung und Wachstum Spezialisierung und Beratungsstärke: Fortinets Fahrplan für den Channel
Mit der Verbreitung von KI in der Cybersicherheit machen sich Unternehmen zunehmend Sorgen: Können KI-Halluzinationen zum Super-GAU führen? Ontinue, der Experte für Managed Extended Detection and Response (MXDR), sagt nein – vorausgesetzt, ein Securi
KI und SOCs Keine Angst vor KI-Halluzinationen
Weiter zur Startseite