Anruf

E-Mail

Kontaktformular

TeamViewer

Teamviewer

Was können wir für Sie tun?

4 + 1 =

Bitte beachten Sie unsere Datenschutzerklaerung.

NIS-2 in Deutschland: Was auf Unternehmen 2025 zukommt – und wie Sie jetzt richtig handeln

26.05.25 | anyWARE

NIS-2 Richtlinie

Die EU-Richtlinie NIS-2 (Network and Information Security Directive) ist bereits im Oktober 2024 in Kraft getreten. Ihr Ziel: die Cybersicherheit in der Europäischen Union auf ein einheitlich höheres Niveau zu heben. Deutschland hinkt aktuell mit der Umsetzung noch hinterher – das entsprechende Gesetz, das sogenannte NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), wird voraussichtlich erst im zweiten Halbjahr 2025 verabschiedet. Für viele Unternehmen ist das jedoch kein Grund zur Entwarnung – im Gegenteil: Wer abwartet, riskiert hohe Bußgelder, Haftung und Reputationsverluste. Dieser Beitrag beleuchtet den aktuellen Stand der Umsetzung, den erweiterten Anwendungsbereich und die Pflichten, die auf Unternehmen zukommen. Außerdem geben wir Empfehlungen, wie Sie sich schon jetzt vorbereiten können.

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (EU) 2022/2555 ist die überarbeitete Version der ursprünglichen NIS-Richtlinie von 2016. Sie erweitert den Kreis der verpflichteten Unternehmen deutlich, erhöht die Anforderungen an IT-Sicherheit und verschärft die Meldepflichten. Ziel ist es, kritische und wichtige Infrastrukturen gegen Cyberangriffe und Ausfälle zu schützen – angesichts der zunehmenden Bedrohungslage ist das mehr als notwendig.

Verzögerte Umsetzung in Deutschland – und warum das trotzdem zählt

Deutschland hätte die Richtlinie bis Oktober 2024 in nationales Recht überführen müssen. Der Gesetzesentwurf liegt seit Juli 2024 vor, konnte jedoch vor der vorgezogenen Bundestagswahl nicht beschlossen werden. Damit verschiebt sich das Inkrafttreten des NIS2UmsuCG voraussichtlich auf die zweite Jahreshälfte 2025. Das Problem: Die Richtlinie gilt dennoch – und die EU-Kommission hat bereits angekündigt, Verstöße von Mitgliedstaaten sanktionieren zu wollen.

Auch ohne nationales Gesetz ist es für betroffene Unternehmen daher Pflicht, sich auf die Anforderungen vorzubereiten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ruft explizit dazu auf, nicht auf das Inkrafttreten zu warten, sondern bereits jetzt mit der Umsetzung zu beginnen.

Wer ist betroffen?

Der Anwendungsbereich wurde gegenüber NIS-1 massiv erweitert. Es wird zwischen wesentlichen Einrichtungen, wichtigen Einrichtungen und KRITIS-Betreibern unterschieden. Betroffen sind künftig:

  • Unternehmen mit mehr als 250 Mitarbeitenden oder mehr als 50 Mio. Euro Jahresumsatz
  • Unternehmen ab 50 Mitarbeitenden und mindestens 10 Mio. Euro Jahresumsatz in bestimmten Sektoren
  • Betreiber digitaler Dienste und Rechenzentren
  • Öffentliche Verwaltungen und Forschungseinrichtungen

Zu den Sektoren zählen unter anderem:

  • Energieversorgung
  • Gesundheit und Medizin
  • Transport und Verkehr
  • Wasserversorgung und Abwasserentsorgung
  • Lebensmittelproduktion
  • Digitale Infrastruktur und IT-Dienstleistungen
  • Forschung, Medien, Postwesen, Chemie

In Deutschland werden über 30.000 Unternehmen in den Anwendungsbereich fallen – ein Großteil davon sind Mittelständler.

Pflichten und Anforderungen aus NIS-2

Unternehmen, die unter die Richtlinie fallen, müssen künftig folgende Anforderungen erfüllen:

  • Einführung eines Informationssicherheits-Managementsystems (ISMS): Die Sicherheit der Systeme muss strukturiert geplant, umgesetzt und regelmäßig geprüft werden.
  • Risikomanagement und Schutzmaßnahmen: Identifikation, Bewertung und Minimierung von Risiken für Netz- und Informationssysteme.
  • Meldepflichten bei Sicherheitsvorfällen: Meldepflicht innerhalb von 24 Stunden an das BSI, einschließlich Zwischenbericht nach 72 Stunden und Abschlussbericht nach einem Monat.
  • Technische und organisatorische Maßnahmen (TOM): Etablierung geeigneter Schutzmechanismen nach dem Stand der Technik.
  • Verantwortung der Geschäftsleitung: Unternehmensleitung haftet persönlich, wenn die Vorgaben nicht eingehalten werden.
  • Schulungen für Leitungsebene: Management muss regelmäßig zum Thema Cybersicherheit geschult werden.

Neue Aufsicht und hohe Bußgelder

Das BSI wird künftig die zentrale Aufsicht über die betroffenen Einrichtungen haben – mit umfangreichen Prüf-, Ermittlungs- und Eingriffsbefugnissen.

Bei Verstößen drohen empfindliche Strafen:

  • Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsführung bei grober Fahrlässigkeit
  • Veröffentlichung der Verstöße auf einer öffentlich zugänglichen Plattform

Was Unternehmen jetzt tun sollten

Auch ohne formale Gesetzesgrundlage empfiehlt sich eine zeitnahe Vorbereitung:

  1. Betroffenheitsanalyse durchführen: Gehört Ihr Unternehmen zu den relevanten Einrichtungen?
  2. ISMS einführen oder bestehende Strukturen prüfen: Nach ISO 27001 oder branchenspezifischen Standards.
  3. Verantwortlichkeiten klären: Wer trägt die Verantwortung, wer ist operativ zuständig?
  4. Notfall- und Meldeprozesse etablieren: Schnelle Reaktion bei Vorfällen muss geübt sein.
  5. Schulungen starten: Besonders für Führungskräfte und Administratoren.
  6. Beratung einholen: Ein erfahrener IT-Dienstleister kann Sie effizient unterstützen.

Fazit

Die NIS-2-Richtlinie bringt tiefgreifende Veränderungen für die deutsche Unternehmenslandschaft mit sich – gerade für Mittelständler, die bisher nicht in die KRITIS-Regulierung fielen. Die Anforderungen sind hoch, die Umsetzung komplex und die Strafen bei Verstößen empfindlich. Dennoch bietet NIS-2 auch eine Chance: Sie zwingt Unternehmen dazu, Cybersicherheit endlich als strategische Notwendigkeit zu verstehen.

Wer rechtzeitig handelt, senkt nicht nur das Risiko von Angriffen, sondern stärkt auch die Resilienz und Wettbewerbsfähigkeit des eigenen Unternehmens. Warten ist keine Option.

Über uns

Die anyWARE AG ist Ihr kompetenter IT-Partner für die Region Mainz und das gesamte Rhein-Main-Gebiet. Als erfahrener Managed Service Provider unterstützen wir kleine und mittlere Unternehmen bei allen Fragen rund um IT-Sicherheit, Compliance und digitale Resilienz.

Mit unserem praxiserprobten IT-Betriebskonzept anyCARE sorgen wir für einen sicheren, strukturierten und gesetzeskonformen IT-Betrieb. Vom ISMS über Monitoring bis hin zur Schulung Ihrer Mitarbeitenden begleiten wir Sie auf dem Weg zur NIS-2-Readiness.

Vereinbaren Sie noch heute ein unverbindliches Beratungsgespräch – bevor der Gesetzgeber Sie dazu zwingt.