Thumbnail NIS2

NIS2 – wer ist betroffen? Alles, was du wissen musst

1. NIS2 verstehen: Ist mein Unternehmen betroffen?

Wer ist betroffen, warum ist das wichtig, und welche Fristen gelten? Kontext & Einordnung.

2. NIS2 umsetzen: Was ist jetzt zu tun?

Was konkret zu tun ist, wenn man betroffen ist: organisatorisch, technisch, strategisch.

3. Mit uns umsetzen: So unterstützen wir euch bei NIS2

Welche Vorteile entstehen eurem Unternehmen, wenn ihr mit uns zusammenarbeitet. Und wir erläutern, wie genau wir unterstützten.

1. NIS2 verstehen: Ist mein Unternehmen betroffen?

Die neue NIS2-Richtlinie (Network and Information Security 2) der Europäischen Union markiert einen bedeutenden Schritt in Richtung einer höheren Cybersicherheit innerhalb der EU. Sie ersetzt die bisherige NIS-Richtlinie (2016) und erweitert sowohl deren Geltungsbereich als auch die Anforderungen – mit direkten Auswirkungen auf tausende Unternehmen in Deutschland.

Was ist NIS2?

Mit der NIS2-Richtlinie hat die EU einen neuen Rechtsrahmen geschaffen, um auf die steigende Zahl und zunehmende Komplexität von Cyberangriffen zu reagieren, insbesondere auf kritische Infrastrukturen und digital abhängige Branchen. Der wirtschaftliche Schaden durch Cyberangriffe wächst kontinuierlich. Unternehmen sehen sich zunehmend gezwungen, Cybersicherheit nicht nur als IT-Thema, sondern als integralen Bestandteil ihrer Unternehmensverantwortung zu behandeln.

Die ursprüngliche NIS-Richtlinie von 2016 hatte Schwächen in der praktischen Umsetzung: nationale Alleingänge, unklare Meldepflichten und unvollständige Schutzmaßnahmen führten zu einem inkonsistenten Sicherheitsniveau innerhalb der EU. NIS2 adressiert diese Probleme, mit strengeren, verbindlichen Vorgaben und einem deutlich erweiterten Kreis betroffener Unternehmen.

Zukünftig sind neben klassischen KRITIS-Sektoren auch Branchen wie die Lebensmittelproduktion, Abfallwirtschaft, digitale Dienste, Forschung und Hersteller kritischer Produkte (z. B. Medizinprodukte, Netzwerktechnik) verpflichtet, nachweisbare Maßnahmen zur Cybersicherheit umzusetzen. Allein in Deutschland betrifft das etwa 30.000 zusätzliche Unternehmen.

NIS2 Wer ist betroffen?

Die Anhänge der EU-Richtlinie benennen ausdrücklich die betroffenen Wirtschaftszweige. Die Zuordnung erfolgt nach der NACEv2-Systematik. Die Richtlinie unterscheidet zwischen:

Sektoren mit hoher Kritikalität
  • Energieversorgung
  • Verkehr & Logistik
  • Bankwesen & Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser / Abwasser
  • Digitale Infrastruktur & IKT-Dienste
  • Öffentliche Verwaltung
  • Weltraum
Sonstige kritische Sektoren
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemieproduktion und -handel
  • Lebensmittelverarbeitung und -vertrieb
  • Verarbeitendes Gewerbe / industrielle Produktion
  • Digitale Dienste (z. B. Hosting, Cloud)
  • Forschungseinrichtungen

Gerade der Bereich „Verarbeitendes Gewerbe“ umfasst eine große Zahl von Unternehmen – darunter viele deutsche Mittelständler, die bislang keine vergleichbare Regulierung beachtet haben. Die Einordnung muss hier genau geprüft werden.

NIS2 betrifft nicht nur „die großen Player“. Auch viele mittelständische Unternehmen fallen neu unter die Pflichten. Entscheidend ist: Frühzeitig prüfen, ob Handlungsbedarf besteht und dann strukturiert vorgehen.

NIS2 ist jetzt Gesetz in Deutschland

Nach über einem Jahr Verzögerung ist es soweit: Am 5. Dezember 2025 wurde das NIS2-Umsetzungsgesetz im Bundesgesetzblatt verkündet und trat am 6. Dezember 2025 in Kraft. Damit gelten die Cybersicherheitspflichten für rund 30.000 Unternehmen in Deutschland ab sofort. Es gibt keine Übergangsfrist – die Zeit zum Handeln ist jetzt.

Wie prüfe ich, ob mein Unternehmen von NIS2 betroffen ist?

Die Betroffenheitsprüfung kann auf drei Wegen erfolgen:

01
Eigenrecherche anhand der EU-Richtlinie und NACEv2-Systematik
Die Zuordnung erfolgt anhand Ihrer wirtschaftlichen Tätigkeit. Eine Schritt-für-Schritt-Anleitung mit konkretem Blick in den Anhang der Richtlinie und die NACE-Klassifikation hilft hier weiter.
03
Direkte Unterstützung durch unsere Expertise
Wir unterstützen euch dabei, die Relevanz der NIS2-Richtlinie für euer Unternehmen zuverlässig zu bewerten. Im Ergebnis erhaltet ihr eine Entscheidungsvorlage für die Geschäftsführung – inklusive Empfehlungen für die nächsten Schritte.

Nis2 - Fristen im Überblick

  • Dezember 2022 – Inkrafttreten der EU-Richtlinie NIS2
  • Oktober 2024 – Ursprünglicher EU-weiter Stichtag für die Umsetzung (Deutschland mit Verzögerung)
  • November 2025 – Bundestag verabschiedet das NIS2-Umsetzungsgesetz
  • November 2025 – Bundesrat stimmt zu
  • Dezember 2025 – Verkündung im Bundesgesetzblatt
  • Dezember 2025Inkrafttreten des Gesetzes – Die Anforderungen gelten ab heute!
  • Ab sofort – Registrierungspflicht beim BSI und Meldefristen für erhebliche Sicherheitsvorfälle
  • Ab 2027 – Erste Nachweispflichten für umgesetzte

2. NIS2 umsetzen: Was ist jetzt zu tun?

Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025 beginnt für betroffene Unternehmen die Uhr zu ticken. Sobald die Betroffenheit festgestellt wurde, muss unverzüglich mit der strukturierten und rechtskonformen Umsetzung begonnen werden. Dabei geht es nicht nur um einzelne technische Maßnahmen, sondern um den Aufbau eines belastbaren, dokumentierten und nachweisbaren Systems zur Cybersicherheit – idealerweise in Form eines Informationssicherheitsmanagementsystems (ISMS).

Die rechtliche Verantwortung liegt bei der Geschäftsführung

Ein zentrales Element der NIS2-Richtlinie ist die persönliche Verantwortlichkeit der Geschäftsleitung. Geschäftsführerinnen und Geschäftsführer müssen künftig nicht nur die Umsetzung geeigneter Maßnahmen sicherstellen, sondern sind auch rechtlich dafür verantwortlich. Die Richtlinie fordert, dass sie aktiv beaufsichtigen, verstehen und verantworten, wie Risiken im Unternehmen identifiziert, bewertet und behandelt werden.

Pflicht zur Schulung:
Führungskräfte müssen nachweislich geschult werden, um ihre Verantwortung im Bereich der Cybersicherheit kompetent ausüben zu können

Die Kernanforderungen der NIS2-Richtlinie im Überblick

Betroffene Unternehmen sind verpflichtet, folgende Anforderungen zu erfüllen:

  • Benennung von Verantwortlichkeiten:

Es muss eine verantwortliche Person für Informationssicherheit benannt werden – häufig als Informationssicherheitsbeauftragter (ISB). Diese Rolle ist zentral für die Koordination aller Sicherheitsmaßnahmen.

  • Technische und organisatorische Maßnahmen (TOMs):
Es müssen nachweisbare Maßnahmen zum Schutz der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen umgesetzt werden – entsprechend dem Stand der Technik.
  • Risikoanalyse und Risikomanagement:
Unternehmen müssen regelmäßig Risiken identifizieren, analysieren und bewerten. Dabei sind Eintrittswahrscheinlichkeit, Schadensausmaß sowie gesellschaftliche und wirtschaftliche Auswirkungen zu berücksichtigen. Daraus ergeben sich verbindliche Maßnahmen zur Risikobehandlung.
  • Sicherheitsvorfall-Management:

Prozesse zur Erkennung, Bewertung und Bewältigung von Sicherheitsvorfällen müssen etabliert werden. Hierzu zählen auch klare Kommunikations- und Entscheidungswege.

  • Sicherheit in der Lieferkette:
Die Absicherung von Zulieferern, Dienstleistern und Partnern wird explizit gefordert. Risiken aus der Supply Chain müssen aktiv gemanagt werden.
  • Technische Schutzmaßnahmen:
Dazu gehören u.a. Kryptografieverfahren, Multi-Faktor-Authentifizierung (MFA) und die Härtung von Systemen.
  • Awareness und Schulung:
Mitarbeitende auf allen Ebenen – insbesondere aber die Geschäftsleitung – müssen regelmäßig zu Cyberrisiken und sicherem Verhalten geschult werden.
  • Business Continuity Management (BCM):

Pläne zur Sicherstellung des Geschäftsbetriebs im Krisenfall (Notfallmanagement, Wiederanlaufkonzepte) sind verpflichtend.

  • Registrierung bei der Aufsichtsbehörde (BSI):
Betroffene Unternehmen müssen sich beim BSI registrieren und regelmäßig aktualisierte Angaben zur Informationssicherheit machen.
  • Meldepflicht bei erheblichen Sicherheitsvorfällen:
Cybervorfälle mit wesentlichen Auswirkungen müssen unverzüglich an die zuständige Behörde gemeldet werden – inkl. technischer Details, Auswirkungen und ergriffener Maßnahmen.

NIS2 Umsetzung in der Praxis: Vom Ist-Zustand zum sicheren Unternehmen

Ein effektiver Umsetzungsprozess beginnt mit einer systematischen Bestandsaufnahme:

1

Kontext verstehen:

In welchem Umfeld sind wir tätig, was ist unseren Geschäftspartnern wichtig, wie erbringen wir unsere Dienstleistung, was sind unsere wichtigsten Geschäftsprozesse?
2

Assets identifizieren:

Welche Systeme, Daten, Infrastrukturen und Dienstleistungen sind kritisch?
3

Lieferanten identifizieren:

Welche externen Abhängigkeiten bestehen? Welche davon sind sicherheitsrelevant?
4

Risikoanalyse durchführen:

Welche Bedrohungen und Schwachstellen existieren, wie wahrscheinlich ist ein Risiko, und wie hoch wäre ihr potenzieller Schaden?
5

Risikobehandlung und Maßnahmen:

Welche Sicherheitsmaßnahmen sind geeignet und notwendig? Was schreibt der Stand der Technik vor?

Tipp: All diese Schritte lassen sich ideal innerhalb eines Informationssicherheitsmanagementsystems (ISMS)abbilden. Ein ISMS integriert Prozesse, Dokumentation, Nachweispflichten und kontinuierliche Verbesserung in einem strukturierten Rahmen.

Die Umsetzung der NIS2-Richtlinie erfordert mehr als punktuelle Maßnahmen – sie verlangt strukturiertes, dokumentiertes und verantwortbares Sicherheitsmanagement. Unternehmen, die frühzeitig mit der Umsetzung beginnen, senken nicht nur das Risiko regulatorischer Sanktionen, sondern stärken auch ihre digitale Resilienz und Marktposition.

Im nächsten Teil zeigen wir euch, wie ihr diesen Weg nicht allein gehen müsst – sondern wie wir euch dabei gezielt entlasten können.

Grafik, die den Prozess beschreibt, um NIS2 zu erfüllen - schrittweise mit Hilfe eines ISMS (Informations-Sicherheits-Management-System)

3. NIS2 Beratung: So unterstützen wir euch bei NIS2

Die NIS2-Richtlinie fordert nicht nur technische Schutzmaßnahmen, sondern ein strukturiertes Sicherheitsmanagement – von der Risikoanalyse über organisatorische Verantwortlichkeiten bis zur Meldefähigkeit. Wir begleiten euch dabei umfassend – mit drei aufeinander abgestimmten Lösungen, die exakt auf die gesetzlichen Anforderungen einzahlen.

NIS2: Kontext verstehen, Assets identifizieren – mit dem Security Concept Canvas

Ein zentrales Element der NIS2-Richtlinie ist die systematische Bestandsaufnahme: Unternehmen müssen ihren

  • betrieblichen Kontext verstehen,
  • kritische Assets identifizieren und
  • Abhängigkeiten, insbesondere in der Lieferkette, erfassen.

Mit dem Security Concept Canvas analysieren wir gemeinsam die für eure Informationssicherheit relevanten Prozesse, Systeme, Datenflüsse und externen Partner. Das Ergebnis: eine strukturierte Grundlage zur Umsetzung eurer Risikoanalyse, Maßnahmenplanung und Nachweisdokumentation gemäß Art. 21 NIS2.

Risiken bewerten und Maßnahmen ableiten – mit dem Risiko-Radar

Die NIS2-Richtlinie verlangt eine dokumentierte und nachvollziehbare Risikoanalyse: Risiken müssen systematisch bewertet und priorisiert werden – unter Berücksichtigung von Eintrittswahrscheinlichkeit, Schadenshöhe sowie gesellschaftlicher und wirtschaftlicher Folgen.
Unser Risiko-Radar hilft euch, diese Anforderungen präzise zu erfüllen. Wir führen mit euch eine strukturierte Risikoermittlung durch, bewerten die Risikoexposition eures Unternehmens und zeigen auf, welche Maßnahmen technisch und organisatorisch erforderlich sind – immer im Abgleich mit dem „Stand der Technik“.

Risk balance

Komplettumsetzung & Begleitung #nis2ready in 30 Tagen – mit dem Seculotse

Die Umsetzung der NIS2-Richtlinie erfordert mehr als punktuelle Maßnahmen. Sie verlangt einen dokumentierten Sicherheitsprozess, klare Verantwortlichkeiten und Meldefähigkeit gegenüber Behörden. Die Lösung: unser SecuLotse Programm.
Grafik Produkt

Fazit: Mit Generation Secure kannst du in kürzester Zeit NIS2-compliant werden und dein wirksames ISMS selst aufbauen.

Mit dem Seculotse Programm begleiten wir euch bei der Umsetzung Ihrer gesetzlichen Pflichten: Wir unterstützen bei der Benennung eines Informationssicherheitsbeauftragten, führen Pflichtschulungen für die Geschäftsleitung durch, setzen gemeinsam ein ISMS auf und bereiten euch auf die Registrierung beim BSI sowie auf Meldepflichten vor. Wir liefern nicht nur Beratung, sondern begleiten euch bei der Umsetzung von Anfang an. Mit uns habt ihr einen verlässlichen Partner an eurer Seite.

Fazit: Mit Generation Secure kannst du in kürzester Zeit NIS2-compliant werden und dein wirksames ISMS selbst aufbauen.

Statt Einzellösungen erhaltet ihr bei uns eine ganzheitliche Umsetzungsstrategie, die nicht nur den gesetzlichen Anforderungen genügt, sondern auch euer Unternehmen in seiner digitalen Resilienz stärkt.

Jetzt unverbindlichen Beratungstermin vereinbaren

Wichtige Quellen und Links

Teile diesen Artikel:

a woman sitting in a chair

Du suchst Beratung für die Informations-Sicherheit deines Unternehmens? Oder hast weitere Fragen rund um das Thema Cyber Security?

Kontaktiere mich gerne unverbindlich – ich freue mich, wenn ich dir helfen kann.

Kostenfreies Erstgespräch