NIS 2: Steigerung der EU-weiten Cybersicherheit
Mit der Cyber-Security-Richtlinie NIS 2, die eine Weiterentwicklung der EU-weit bereits bestehenden NIS-Richtlinie aus dem Jahr 2016 ist, will die Europäische Union ein gemeinsames hohes Sicherheitsniveau erreichen, um die
- Cyber-Resilienz besonders schützenswerter Netz- und Informationssysteme zu erhöhen und
- mögliche Auswirkungen auf das wirtschaftliche und gesellschaftliche Leben innerhalb der Mitgliedsstaaten zu minimieren.
Damit einhergehen erhöhte Anforderungen an die Cyber-Security der betroffenen Einrichtungen.
Weiterführende Informationen
Aktueller Stand zur NIS-2-Umsetzung in Deutschland (Februar 2026)
Die NIS-2-Richtlinie wurde Mitte November 2025 vom Deutschen Bundestag als Gesetz in das nationale IT-Sicherheitsrecht überführt – und ist damit nach der Verkündung im Bundesgesetzblatt seit dem 5.12.2025 für betroffene Unternehmen verpflichtend!
Vorab wurden die Mitgliedsstaaten von der EU verpflichtet, die Umsetzung bis Oktober 2024 durchzuführen. Da dies in Deutschland und einigen weiteren Mitgliedsstaaten nicht erfolgte, wurde im Mai 2025 ein Vertragsverletzungsverfahren eingeleitet. Im Juni 2025 hatte die deutsche Umsetzung der NIS 2 wieder Fahrt aufgenommen: Am 30.07.2025 wurde ein Regierungsentwurf verabschiedet.
Übrigens: Die nationale Umsetzung der NIS-2-Richtlinie wurde als Artikelgesetz durchgeführt. Dies bedeutet, dass nicht nur ein Gesetz, sondern mehr als 25 Gesetze angepasst wurden.
Mit dem Inkrafttreten gilt: Betroffene Unternehmen sollten spätestens jetzt ihre Cyber-Security umgehend prüfen.
Erweiterter Geltungsbereich: Wer ist betroffen?
Dadurch, dass als Entscheidungs- und Bewertungskriterium die zwei neuen Kategorien „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ vorgesehen sind, betrifft NIS 2 in Deutschland jetzt nicht mehr nur die KRITIS-Betreiber und einige andere besonders wichtige Einrichtungen mit zentraler Bedeutung z.B. aus den Bereichen Energie, Logistik, Chemie und Gesundheitswesen, sondern Schätzungen zufolge ca. 30.000 Unternehmen. Deshalb sind nun auch mittelständische Unternehmen betroffen, wenn sie unter die erweiterten Sektoren fallen (siehe dazu Anlage 1 und Anlage 2 des Regierungsentwurfs).
Für Unternehmen, die zu diesen Sektoren gehören, gelten bestimmte Schwellenwerte. Werden diese Schwellenwerte überschritten, zählen sie zu den von NIS 2 betroffenen Unternehmen:
- Wichtige Einrichtungen, 50 Beschäftigte oder mehr als 10 Mio. Euro Jahresumsatz Jahresbilanzsumme
- Besonders wichtige Einrichtungen, 250 Beschäftigte oder mehr als 50 Mio. Euro Jahresumsatz oder 43 Mio. Euro Jahresbilanzsumme
Für eine erste Einschätzung kann Ihnen die Betroffenheitsprüfung des BSI helfen. Für eine weitere, detaillierte Analyse sollten Sie Ihren Rechtsberater kontaktieren. Wenn Sie zu dem Entschluss kommen, dass Sie von der NIS-2-Richtlinie betroffen sind, müssen Sie Ihr Unternehmen registrieren.
Hier finden Sie die Anleitung, wie dies erfolgen muss.
Wenn Sie als Unternehmen sich nicht in den Sektoren wiederfinden oder unter den Schwellenwerten liegen, sollten Sie sich dennoch nicht zurücklehnen, sondern sich trotzdem mit Ihrer Cyber-Security befassen. Denn wenn Sie z.B. als Teil der Lieferkette für ein betroffenes Unternehmen tätig sind, können Sie zur Sicherstellung der Versorgung zur Verantwortung gezogen werden, da von Ihnen als Lieferant oder Dienstleister die Erfüllung gewisser Auflagen und Anforderungen erwartet wird.
Was erwartet Sie bzw. kommt auf Sie zu?
NIS 2 sieht zur Erreichung einer ganzheitlichen Cyber-Resilienz einen umfangreichen Maßnahmenkatalog vor, der nicht nur aus technischen, sondern auch aus organisatorischen und rechtlichen Bestimmungen besteht. Auf der einen Seite werden die Geschäftsführungen mehr in die Pflicht und Verantwortung genommen, auf der anderen Seite wird von den Unternehmen auch eine verstärkte Umsetzung technischer und organisatorischer Maßnahmen erwartet.
Einige Beispiele für verpflichtende Maßnahmen im Zuge der erhöhten NIS-2-Anforderungen (Stand: Februar 2026):
- Verankerung und aktive Übernahme von Verantwortlichkeiten innerhalb der Organisation
- Konzepte für das Risikomanagement und regelmäßige Analyse der Cyber-Security-Risiken
- Konsequente Zugangskontrollen und Multi-Faktor-Authentifizierung
- Backup- und Wiederanlaufkonzepte
- Incident-Response- und Notfallmanagement
- Schwachstellenmanagement
- Segmentierte Netzwerke
- Mitarbeiter-Schulungen und -Sensibilisierung
- Ende-zu-Ende-Verschlüsselung für die Übertragung sensibler Daten
Unser Tipp: Unternehmen sollten die neue Richtlinie und deren Konsequenzen ernst nehmen und ihre IT-Strukturen und -Prozesse entsprechend anpassen. Nur durch gesetzeskonformes Handeln können die eigene Cyber-Resilienz nachhaltig gestärkt und hohe Sanktionen vermieden werden!
SIEVERS-GROUP: Ihr NIS-2-Partner
Sie wollen wissen, welche Anforderungen Sie bereits erfüllen und wo noch Handlungsbedarf besteht? Dann lassen Sie uns gemeinsam die Anforderungen der neuen NIS-2-Richtlinie prüfen! Mit uns als Partner erhalten Sie eine professionelle Hilfestellung bei der Prüfung des Anwendungsbereichs und bei allen weiteren Schritten der Umsetzung.
NIS-2-Kompass
Ihr Unternehmen ist von der NIS-2-Richtlinie betroffen, doch es fehlt Ihnen eine Sicherheitsstrategie? Lassen Sie uns gemeinsam durch die zahlreichen Aspekte der Richtlinie navigieren: In unserem Workshop NIS-2 Kompass ermitteln wir gemeinsam und individuell den Status quo Ihrer Organisation – sowie sinnvolle und maßgeschneiderte Maßnahmenpakete, die sowohl den Schutz vor Cyber-Bedrohungen erhöhen als auch die NIS-2-Anforderungen erfüllen.
