28. August 2025

NIS 2 Richtlinie: Was Unternehmen berücksichtigen müssen

Ingo Rill

Ingo Rill

Strategic Communications

Die NIS 2-Richtlinie („Network and Information Security“) der EU setzt neue Standards für Cybersicherheit, um Unternehmen widerstandsfähiger gegen Cyberangriffe zu machen. Sie soll die europaweite Harmonisierung der Standards für Cyber-Sicherheit vorantreiben und ein proaktives Risikomanagement fördern. Dieser Beitrag bietet eine Übersicht über die Richtlinie, ihre Ziele und betroffene Unternehmen. Außerdem werden die wichtigsten Anforderungen und praktische Ansätze zur Umsetzung vorgestellt.

Umsetzung der NIS 2 Richtlinie in Deutschland

Die NIS 2 Richtlinie trat EU-weit am 16. Januar 2023 in Kraft und verpflichtete die Mitgliedstaaten, die Vorgaben bis spätestens 17. Oktober 2024 in nationales Recht umzusetzen. Deutschland hat diese Frist verpasst.  Am 30. Juli 2025 hat das Bundeskabinett das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) auf den Weg gebracht. Die endgültige Verabschiedung und das Inkrafttreten des Gesetzes werden noch im Jahr 2025 erwartet.

Ziele der NIS 2-Richtlinie

Die NIS 2 Richtlinie erweitert die Vorgaben der ursprünglichen Regelung von 2016 und verfolgt insbesondere zwei Ziele:

  • Harmonisierung der Cybersicherheitsstandards in Europa: Einheitliche Vorgaben garantieren mehr Transparenz und Sicherheit in einer immer stärker vernetzten Welt.
  • Proaktives Risikomanagement: Unternehmen sollen Schwachstellen frühzeitig identifizieren und gezielt Maßnahmen ergreifen.

Betroffene Sektoren und Unternehmen unter NIS 2

Mit der Einführung der NIS 2 Richtlinie erweitert sich der Kreis der betroffenen Unternehmen erheblich. Neben Betreibern kritischer Dienste („kritische Infrastrukturen“) sind auch „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ erfasst, darunter Sektoren wie Energie, Transport, Gesundheitsversorgung und digitale Infrastruktur. Die Einstufung erfolgt anhand spezifischer Kriterien wie Unternehmensgröße, Jahresumsatz oder der Bedeutung für kritische Dienstleistungen. Auch kleinere Unternehmen können betroffen sein, wenn sie in systemrelevanten Bereichen tätig sind. Unternehmen wird dringend empfohlen, ihre Einstufung zu prüfen, da die Anforderungen umfangreicher sind und neue Verpflichtungen umfassen.

Auswirkungen auf die Lieferkette

Ein Schwerpunkt der NIS 2 Richtlinie ist die Sicherheit entlang der gesamten Lieferkette. Unternehmen sind dazu angehalten, die Cybersicherheitsstandards ihrer Zulieferer zu überprüfen.  Schwachstellen bei SaaS- und Drittanbieterlösungen können als Einfallstor für Angriffe dienen und kritische Systeme gefährden. Deshalb sind Unternehmen verpflichtet, die Cyberrisiken ihrer Lieferanten systematisch zu bewerten, entsprechende Sicherheitsanforderungen vertraglich zu verankern und regelmäßige Überprüfungen durchzuführen. 

Welche Anforderungen müssen Unternehmen erfüllen?

Die NIS 2 Richtlinie fordert Unternehmen dazu auf, umfassende organisatorische und technische Maßnahmen zu ergreifen. Die Vorgaben sind risikobasiert, das heißt, Unternehmen müssen ihre spezifischen Bedrohungen analysieren und darauf abgestimmte Maßnahmen entwickeln.

Nachfolgend die wichtigsten Punkte im Überblick:

  • Risikomanagement und Sicherheit der IT-Infrastruktur: Entwicklung und Umsetzung wirksamer Konzepte zur Risikoanalyse sowie technischer Schutzmaßnahmen.
  • Bewältigung von Sicherheitsvorfällen: Reaktionsverfahren für die Identifikation, Meldung und Lösung von Cyberangriffen.
  • Betriebsfortführung und Krisenmanagement: Backup-Systeme, Notfallwiederherstellung und klare Prozesse zur Organisation bei Krisensituationen.
  • Sicherheit in der Lieferkette: Überprüfung der Sicherheitsstandards von unmittelbaren Lieferanten und Drittanbietern sowie vertragliche Absicherung von Anforderungen.
  • Sicherheitsmaßnahmen für IT-Systeme: Berücksichtigung von Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Komponenten und Prozessen, inklusive Schwachstellenmanagement.
  • Wirksamkeit von Schutzmaßnahmen: Regelmäßige Bewertung der bestehenden Risikomanagementverfahren.
  • Schulungen und Sensibilisierung: Durchführung grundlegender Cybersecurity-Schulungen, um Mitarbeitende auf Risiken und richtige Verhaltensweisen vorzubereiten.
  • Einsatz kryptographischer Verfahren: Entwicklung und Umsetzung von Konzepten zur Nutzung von Verschlüsselungstechnologien.
  • Sicherheit des Personals und Zugriffskontrollen: Planung und Einführung sicherer Verwaltungsprozesse für IT-Systeme, Produkte und Prozesse.
  • Authentifizierung und gesicherte Kommunikation: Nutzung von Multi-Faktor-Authentifizierung sowie gesicherter Sprach-, Video- und Textkommunikation, inklusive Notfallkommunikationslösungen bei Cybervorfällen.

Diese Anforderungen bilden die Grundlage für eine robuste Sicherheitsstrategie und müssen individuell auf die Risiken und Bedürfnisse jeder Einrichtung abgestimmt werden. 

Konsequenzen bei Nicht-Einhaltung

Die NIS 2-Richtlinie sieht schärfere Kontrollen und Sanktionen vor. Unternehmen müssen mit empfindlichen Strafen rechnen, wenn sie die Vorgaben nicht umsetzen:

  • Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für „wichtige Einrichtungen“ gelten reduzierte Höchstgrenzen von bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes.
  • Die Einhaltung der Vorgaben wird durch regelmäßige Audits und Prüfungen gewährleistet, in Deutschland ist hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.
  • Das Management betroffener Unternehmen ist verpflichtet, die Cybersicherheitsanforderungen umzusetzen und trägt dafür die oberste Verantwortung. Bei Verstößen können Führungspersonen persönlich haftbar gemacht werden.

Neben finanziellen Sanktionen können Cyberangriffe auch erhebliche Schäden für das Unternehmensimage verursachen. Verstöße gegen die NIS 2 können das Vertrauen von Kunden, Partnern und Investoren beeinträchtigen.

Praktische Schritte zur Umsetzung

Die NIS 2 Richtlinie stellt Unternehmen vor vielfältige Herausforderungen, die über technische Sicherheitsmaßnahmen hinausgehen. Die folgenden Schritte bieten Orientierung für eine praxisnahe und effektive Umsetzung:

  1. Analyse des Status Quo: Identifizieren von Schwachstellen und Sicherheitslücken in der Infrastruktur.
  2. Risiko-Strategie erstellen: Entwicklung von individuellen Sicherheitskonzepten auf Basis der Risikobewertung.
  3. Technische Schutzmaßnahmen: Implementierung von Sicherheitslösungen und kontinuierliches Monitoring.
  4. Meldeprozesse etablieren: Erarbeitung von klaren Richtlinien zur Dokumentation und Meldung von Sicherheitsvorfällen.
  5. Schulungen durchführen: Sensibilisierung von Mitarbeitenden für Cyberrisiken und Notfallverfahren.

Durch die konsequente Umsetzung dieser Maßnahmen legen Unternehmen nicht nur die Basis für die Einhaltung der NIS 2-Richtlinie, sondern stärken dauerhaft ihre Widerstandsfähigkeit gegenüber zunehmend komplexen Cyberbedrohungen. Wer Cybersicherheit als kontinuierlichen Prozess begreift, ist langfristig besser geschützt und kann die Potenziale der Digitalisierung sicher und erfolgreich nutzen.

Unterstützung durch Claranet 

Claranet kennt die Anforderungen der NIS 2 Richtlinie und setzt diese konsequent in seinen Services um. Als Managed Services Provider mit umfassender Hosting- und Cloud-Expertise vereinen wir langjährige Erfahrung in der Cyber-Security mit höchsten Standards für Sicherheit, Stabilität und Compliance. Mit umfassenden Zertifizierungen, einer leistungsstarken Security-Infrastruktur und klar definierten Prozessen verfügen wir über eine starke Basis, um Unternehmen gezielt bei der Erfüllung der NIS 2 Vorgaben zu unterstützen.

Kontaktieren Sie uns, um zu erfahren, wie wir Ihre digitale Infrastruktur nachhaltig schützen und Ihre Cybersicherheit stärken können.

Weitere Artikel