NIS2 in 7 Minuten – Was Unternehmen 2025 wirklich wissen müssen

Die NIS2-Richtlinie ist der neue europäische Rahmen für Cybersicherheit. Sie erweitert den Kreis der betroffenen Unternehmen, macht verbindliche Mindeststandards zur Pflicht, führt strenge Meldefristen ein und sieht spürbare Sanktionen vor.

Wer heute noch nicht als Betreiber kritischer Infrastrukturen gilt, kann morgen trotzdem betroffen sein.
Für Geschäftsführung, IT-Leitung und Compliance ist NIS2 eine strategische Managementaufgabe, keine reine IT-Frage.

1. Worum geht es bei NIS2 wirklich?

Die NIS2-Richtlinie verfolgt ein klares Ziel:
Ein einheitlich hohes Niveau an Cybersicherheit in der gesamten Europäischen Union.

Sie greift dabei auf drei zentrale Hebel zurück:

• Erweiterung des Geltungsbereichs: Mehr Sektoren und Unternehmensgrößen werden einbezogen.

• Verbindliche Anforderungen: Klare Pflichten zu Risikomanagement, technischen und organisatorischen Maßnahmen sowie zum Meldewesen.

• Stärkere Aufsicht: Schärfere Kontrollen, Audits und höhere Bußgelder.

Neu ist vor allem die Breite. Neben klassischen Bereichen wie Energie, Verkehr, Gesundheit oder Wasser zählen nun auch:

• Post- und Kurierdienste

• Chemieindustrie

• Lebensmittelproduktion und -handel

• Abfallwirtschaft

• Hersteller ausgewählter Güter

• Digitale Dienste und Plattformen

Damit rückt erstmals auch der Mittelstand in den Fokus.

2. Bin ich betroffen?

Die Richtlinie unterscheidet zwischen zwei Gruppen:

• Besonders wichtige Einrichtungen (Essential Entities)

• Wichtige Einrichtungen (Important Entities)

Ob ein Unternehmen dazugehört, hängt ab von:

• Branche und Sektor

• Unternehmensgröße (z. B. Anzahl Mitarbeitender, Umsatz, Bilanzsumme)

• Bedeutung für Versorgung oder Lieferketten

Fragen für die schnelle Selbsteinschätzung:

• Sind wir in einem der betroffenen Sektoren tätig?

• Erbringen wir Leistungen, auf die andere Unternehmen oder öffentliche Einrichtungen angewiesen sind?

• Beschäftigen wir mehr als 50 Mitarbeitende oder überschreiten 10 Millionen Euro Umsatz oder Bilanzsumme?

• Gibt es Kundenanforderungen oder Vertragsverpflichtungen zur NIS2-Compliance?

Wenn mehrere dieser Punkte zutreffen, sollten Sie von einer Betroffenheit ausgehen.

Wichtig für Deutschland:
Nach der Feststellung der Betroffenheit besteht eine Registrierungspflicht innerhalb drei Monate nach Inkrafttreten des nationalen Gesetzes . Unternehmen müssen sich bei der zuständigen Behörde melden und Kontaktdaten sowie Ansprechpartner bereitstellen.
Planen Sie diesen Schritt rechtzeitig ein.

3. Was genau verlangt die Richtlinie?

Die Richtlinie fordert keine theoretischen Konzepte, sondern nachweisbare Sicherheitsmaßnahmen.
Die wichtigsten Handlungsfelder sind:

Governance und Verantwortung

• Die Geschäftsleitung trägt die Verantwortung für Cybersicherheit.

• Sie muss Ziele definieren, Mittel bereitstellen und Fortschritte regelmäßig bewerten.

• Schulungen und klare Entscheidungsstrukturen sind Pflicht.
  ➡️ Mehr dazu im kommenden Beitrag Governance und Verantwortung.

Risikomanagement

• Risiken müssen systematisch erkannt, bewertet und behandelt werden.

• Grundlage sind identifizierte Geschäftsprozesse, Systeme und Daten.

• Ergebnisse sollen dokumentiert und regelmäßig überprüft werden.
  ➡️ Vertieft im Beitrag Risikomanagement.

Technische und organisatorische Maßnahmen

• Die Richtlinie nennt eine Reihe konkreter Kontrollen, etwa:

  • Mehrfachbestätigung (MFA) für alle Zugänge

  • Verwaltung privilegierter Konten

  • Regelmäßiges Schwachstellen- und Patchmanagement

  • Netzwerksegmentierung und sichere Kommunikation

  • Protokollierung sicherheitsrelevanter Ereignisse

  • Verlässliche Datensicherung mit Wiederherstellungstests
    ➡️ Details folgen im Beitrag Technische und organisatorische Maßnahmen.

Meldewesen

• Sicherheitsvorfälle müssen schnell gemeldet werden:

  1. Frühwarnung innerhalb eines Tages (24 h)

  2. Qualifizierte Meldung innerhalb von drei Tagen (72 h)

  3. Abschlussbericht innerhalb eines Monats

• Dafür braucht es klare Kriterien, Zuständigkeiten und Vorlagen.
  ➡️ Umsetzung im Beitrag Meldewesen.

Lieferkette und Third Party

• Sicherheitsanforderungen müssen auch für Dienstleister und Partner gelten.

• Das betrifft Auswahl, Verträge, Nachweise und Bewertungen.
  ➡️ Praxisbeispiele im Beitrag Lieferkette und Third Party.

Awareness und Kultur

• Maßnahmen greifen nur, wenn Menschen richtig handeln.

• Schulungen, Kommunikation und gelebte Sicherheitskultur sind entscheidend.
  ➡️ Gestaltungshinweise im Beitrag Awareness und Kultur.

4. Was droht bei Verstößen?

Die NIS2-Richtlinie sieht spürbare Sanktionen vor:

• Für besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes

• Für wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes

Zusätzlich sind Aufsichtsmaßnahmen möglich:

• Audits und Inspektionen

• Verbindliche Anordnungen

• Berichts- und Nachweispflichten

Die Konsequenz:
Nicht nur technische Maßnahmen müssen umgesetzt sein – sie müssen auch nachweisbar wirksam sein.

5. Der 8-Wochen-Fahrplan zur NIS2-Readiness

Ein realistischer Einstieg braucht Struktur, keine Hektik.
Mit dem folgenden Plan erreichen Sie in zwei Monaten einen prüffähigen Mindeststandard.

Woche 1–2: Betroffenheit prüfen und Verantwortung klären

• Sektor, Größe und Relevanz prüfen

• Verantwortliche Person und Steuerungsgremium benennen

• Daten für mögliche Registrierung vorbereiten

• Kommunikationskanal zur Geschäftsleitung schaffen

Woche 2–3: Detaillierte Selbstprüfung

• Strukturierte Checkliste der Anforderungen verwenden

• Bestehende Kontrollen bewerten

• Lücken und Risiken dokumentieren

• Ergebnisse priorisieren:

  • Sofort umsetzbar

  • Kurzfristig, mit geringem Aufwand

  • Langfristig, als Projekt
    ➡️ Anleitung dazu im Beitrag Detaillierte Selbstprüfung

Woche 3–5: Priorisierte Maßnahmen starten

• Beginnen Sie mit schnellen Erfolgen:

  • Multi-Faktor-Authentifizierung aktivieren

  • Kritische Schwachstellen schließen 

  • E-Mail-Filter und Phishing-Schutz verbessern

  • Backups prüfen und Wiederherstellung testen

  • Protokollierung auf wichtigen Systemen aktivieren

• Ergänzen Sie Kennzahlen wie:

  • Anteil Systeme mit aktueller Version

  • Zeit bis zur Behebung kritischer Schwachstellen

Woche 4: Meldewesen aufsetzen und üben

• Handbuch mit Ablauf, Rollen und Vorlagen erstellen

• Szenarien für typische Vorfälle festlegen

• Tabletop-Übungen durchführen

• Verbesserungen dokumentieren
  ➡️ Vertiefung im Beitrag Meldewesen

Woche 5: Lieferkette überprüfen

• Liste aller Dienstleister erstellen

• Kritische Dritte markieren

• Verträge um Sicherheitsanforderungen ergänzen

• Bewertungsverfahren einführen
  ➡️ Weitere Beispiele im Beitrag Lieferkette und Third Party

Woche 6–8: Dokumentation und Nachweise

• Alle Richtlinien, Prozessbeschreibungen und Risikoübersichten bündeln

• Berichtsformat für Geschäftsleitung einführen

• Quartalsweise Reviews etablieren
  ➡️ Unterstützung bietet unser externes Security Office

6. Häufige Missverständnisse

„Wir sind kein KRITIS-Unternehmen, also nicht betroffen.“
Falsch. Der Geltungsbereich wurde deutlich erweitert – auch viele mittelständische Betriebe sind einbezogen.

„Unsere ISO- oder TISAX-Zertifizierung deckt alles ab.“
Nicht vollständig. NIS2 verlangt zusätzliche Prozesse, etwa im Meldewesen und bei der Lieferkette.

„Wir melden nur, wenn der Schaden groß ist.“
Meldungen sind zeitlich gestaffelt und verpflichtend. Frühwarnungen gehören ausdrücklich dazu.

„Das ist Aufgabe der IT-Abteilung.“
Cybersicherheit ist eine Führungsaufgabe. Entscheidungen zu Budget, Prioritäten und Kommunikation liegen bei der Geschäftsleitung.

7. Wie ein externes Security Office helfen kann

Viele Unternehmen verfügen über engagierte IT-Fachleute, aber nicht über die Kapazität für Programmsteuerung und Nachweisdokumentation.
Unser externes Security Office unterstützt dabei, diese Lücke zu schließen:

• Gesamtsteuerung der NIS2-Umsetzung

• Durchführung der Selbstprüfung und Priorisierung von Maßnahmen

• Aufbau des Meldewesens und Durchführung von Übungen

• Einbindung der Lieferkette und Vertragsprüfung

• Vorbereitung auf Audits und Inspektionen

• Berichterstattung an die Geschäftsleitung mit klaren Kennzahlen

Das verkürzt die Zeit bis zur Compliance, senkt Kosten und sorgt für klare Verantwortlichkeiten.

8. Die nächsten Schritte

1. Verantwortliche Person auf Leitungsebene benennen

2. Selbstprüfung durchführen und Lücken dokumentieren

3. Risikomanagement aufbauen

4. Technische und organisatorische Maßnahmen priorisieren

5. Meldewesen einführen und testen

6. Lieferkette bewerten und absichern

7. Awareness-Programme starten

8. Regelmäßige Berichterstattung etablieren

Fazit

Die NIS2-Richtlinie ist kein reines IT-Thema, sondern eine strategische Führungsaufgabe.
Wer jetzt strukturiert beginnt, kann in kurzer Zeit ein solides Sicherheitsniveau erreichen und Nachweise souverän erbringen.

Entscheidend sind:

• klare Verantwortlichkeiten,

• ein realistischer Fahrplan,

• Priorisierung der wichtigsten Maßnahmen,

• geübte Prozesse und

• eine Kultur, in der Sicherheit selbstverständlich ist.

Wenn Sie Unterstützung wünschen, begleitet Sie unser externes Security Office von der ersten Selbstprüfung bis zur auditfesten Umsetzung –
damit Sie NIS2 nicht als Last erleben, sondern als Chance für stabile und widerstandsfähige Geschäftsprozesse.