München • Frankfurt
+49 89 61424400
Schlund Networks
NIS2-Richtlinie 2025: Was Unternehmen jetzt wissen müssen
IT-Security
8 Min. Lesezeit 8. Januar 2025

NIS2-Richtlinie 2025: Was Unternehmen jetzt wissen müssen

Schlund Networks Team

IT-Experten aus München & Frankfurt

Die NIS2-Richtlinie (Network and Information Security 2) ist in Kraft und betrifft deutlich mehr Unternehmen als die Vorgängerversion. Schätzungen zufolge sind in Deutschland rund 30.000 Unternehmen direkt betroffen. Ist Ihres dabei?

Was ist die NIS2-Richtlinie?

NIS2 ist eine EU-weite Richtlinie, die einheitliche Cybersicherheitsstandards festlegt. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich. Ziel ist es, die Widerstandsfähigkeit kritischer Infrastrukturen und wichtiger Unternehmen gegen Cyberangriffe zu stärken.

In Deutschland wird NIS2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Welche Unternehmen sind betroffen?

NIS2 unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Die Einstufung hängt von Branche und Größe ab.

Betroffene Sektoren

Wesentliche Einrichtungen (hohe Kritikalität):

  • Energie (Strom, Gas, Öl, Fernwärme)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, Rechenzentren, Cloud)
  • Öffentliche Verwaltung
  • Weltraum

Wichtige Einrichtungen (sonstige kritische Sektoren):

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie
  • Lebensmittel
  • Herstellung (Medizinprodukte, Computer, Elektronik, Maschinen, Kfz)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Größenschwellen

Die Richtlinie gilt grundsätzlich für Unternehmen ab:

  • Mittlere Unternehmen: 50-249 Mitarbeiter ODER 10-50 Mio. € Jahresumsatz
  • Große Unternehmen: 250+ Mitarbeiter ODER 50+ Mio. € Jahresumsatz

Achtung: Für bestimmte kritische Bereiche (z.B. digitale Infrastruktur, DNS-Dienste) gelten die Anforderungen unabhängig von der Unternehmensgröße!

Die wichtigsten Anforderungen

1. Risikomanagement

Unternehmen müssen ein umfassendes IT-Sicherheits-Risikomanagement implementieren mit:

  • Risikoanalyse und Sicherheitskonzepte
  • Maßnahmen zur Vorfallbewältigung
  • Business Continuity Management und Krisenmanagement
  • Sicherheit in der Lieferkette
  • Sicherheit bei Beschaffung, Entwicklung und Wartung

2. Meldepflichten

Bei erheblichen Sicherheitsvorfällen gelten strenge Fristen:

  • 24 Stunden: Erste Frühwarnung an die Behörde
  • 72 Stunden: Ausführliche Meldung mit Bewertung
  • 1 Monat: Abschlussbericht oder Zwischenbericht

3. Technische Maßnahmen

Mindestens erforderlich sind:

  • Zugriffskontrollen und Identity Management
  • Multi-Faktor-Authentifizierung
  • Verschlüsselung (in Transit und at Rest)
  • Regelmäßige Sicherheitsaudits und Penetrationstests
  • Backup-Strategien und Disaster Recovery

4. Governance

Die Geschäftsführung trägt persönliche Verantwortung:

  • Genehmigung der Cybersicherheitsmaßnahmen
  • Überwachung der Umsetzung
  • Schulungspflicht für die Geschäftsleitung

Strafen bei Verstößen

NIS2 bringt erhebliche Sanktionen mit sich:

Wesentliche Einrichtungen:

  • Bis zu 10 Millionen Euro ODER
  • Bis zu 2% des weltweiten Jahresumsatzes

Wichtige Einrichtungen:

  • Bis zu 7 Millionen Euro ODER
  • Bis zu 1,4% des weltweiten Jahresumsatzes

Zusätzlich können Geschäftsführer persönlich haftbar gemacht werden.

Zeitplan: Was Sie jetzt tun müssen

  1. Betroffenheitsprüfung: Fallen Sie unter NIS2?
  2. Gap-Analyse: Wo stehen Sie heute, wo müssen Sie hin?
  3. Maßnahmenplan: Priorisierte Umsetzungsroadmap erstellen
  4. Umsetzung: Technische und organisatorische Maßnahmen implementieren
  5. Dokumentation: Nachweis der Compliance sicherstellen
  6. Schulung: Mitarbeiter und Geschäftsleitung sensibilisieren

Wie wir Sie unterstützen

Als IT-Security-Experten mit Standorten in München und Frankfurt begleiten wir Unternehmen durch den NIS2-Compliance-Prozess:

  • Betroffenheitsanalyse: Wir prüfen, ob und wie NIS2 auf Sie zutrifft
  • Gap-Assessment: Vergleich Ist-Zustand mit NIS2-Anforderungen
  • Maßnahmenplanung: Pragmatische Roadmap zur Compliance
  • Implementierung: Technische und organisatorische Umsetzung
  • Managed Security: Laufende Überwachung und Incident Response
  • Schulungen: Awareness-Training für Mitarbeiter und Management

"NIS2 ist keine Bürde, sondern eine Chance. Unternehmen, die jetzt in Cybersicherheit investieren, sind besser gegen reale Bedrohungen gewappnet – und haben einen Wettbewerbsvorteil."

Fazit

NIS2 bringt erhebliche Compliance-Anforderungen mit sich, aber auch die Chance, Ihre IT-Sicherheit auf ein modernes Niveau zu heben. Die Zeit zum Handeln ist jetzt.

Unsicher, ob NIS2 auf Sie zutrifft? Kontaktieren Sie uns für eine kostenlose Ersteinschätzung. Unsere Experten in München und Frankfurt helfen Ihnen, Klarheit zu gewinnen und die richtigen Schritte einzuleiten.

Artikel teilen:

Haben Sie Fragen zu diesem Thema?

Wir beraten Sie gerne

Unsere IT-Experten in München und Frankfurt stehen Ihnen zur Verfügung. Kontaktieren Sie uns für ein unverbindliches Gespräch.

Kontakt aufnehmen +49 89 61424400
Alle Artikel Mehr zu IT-Security