menü.

NIS-2-Beratung.

Individuelle NIS-2-Beratung

Mit rund 13 Monaten Verzögerung gegenüber der EU-Frist wurde das deutsche NIS-2-Umsetzungsgesetz am 5. Dezember 2025 verkündet und ist am 6. Dezember 2025 in Kraft getreten.

Die Novelle des BSI-Gesetzes erweitert den Kreis der regulierten Organisationen von bisher ca. 4.500 auf rund 30.000 Unternehmen und Einrichtungen. Unternehmen, die unter die NIS-2-Regelungen fallen, müssen ab sofort alle Anforderungen erfüllen.

Was ist die NIS-2-Richtlinie?

Seit dem 6. Dezember 2025 gilt das deutsche NIS-2-Umsetzungsgesetz. NIS-2- zielt darauf ab, die Cybersicherheitsmaßnahmen innerhalb der EU zu harmonisieren und zu verstärken.

Beim NIS-2-Umsetzungsgesetz handelt es sich um eine strukturelle Neujustierung von Governance und Informationssicherheit. Das Gesetz verschärft die Anforderungen an die Sicherheitsmaßnahmen und an die Meldung von Sicherheitsvorfällen in Unternehmen.

Welche Unternehmen betrifft es?

Einfach erklärt:

Unternehmen mit‍ mindestens

  • 50 Mitarbeitern oder
  • einem Jahresumsatz und einer Jahresbilanz von über 10 Mio. Euro

können von der NIS-2-Richtlinie betroffen sein.

Selbstcheck starten – betrifft die NIS-2 Richtlinie Ihr Unternehmen?

Finden Sie es in wenigen Klicks heraus – einfach und schnell.

Übersicht aller betroffenen Sektoren

Die NIS2-Richtlinie betrifft Organisationen aus 18 spezifischen Sektoren (Anhang I/II). Einrichtungen in diesen Sektoren werden – je nach Größe/Kritikalität – als besonders wichtig (essential) oder wichtig (important) eingestuft.

Besonders wichtige Sektoren

  1. Elektrizität
  2. Fernwärme
  3. Erdöl
  4. Erdgas
  5. Wasserstoff
  1. Luftverkehr
  2. Schienenverkehr
  3. Schifffahrt
  4. Straßenverkehr
  1. Kreditinstitute
  1. Handelsplätze
  2. Zentrale Gegenpartien
  1. Gesundheits­dienstleister
  2. EU Labore
  3. Medizinforschung
  4. Pharmazeutik
  5. Medizingeräte
  1. Wasserversorgung
  1. Abwasserentsorgung
  1. Internet-Knoten (IXP)
  2. DNS (ohne Root)*
  3. TLD Registries*
  4. Cloud Provider
  5. Rechenzentren
  6. CDNs
  7. Vertrauensdienste (TSP)*
  8. Elektronische Kommunikation*
  1. Managed Service Providers
  2. Managed Security Service Providers
  1. Zentralregierung*
  2. Regionale Regierung*
  1. Bodeninfrastruktur

Wichtige Sektoren

  1. Postdienste
  1. Abfallbewirtschaftung
  1. Produzierende Unternehmen
  2. Herstellung
  3. Handel
  1. Produktion
  2. Verarbeitung
  3. Vertrieb
  1. Medizinprodukte und In-vitro
  2. DV (Computer), Elektronik, Optik
  3. Elektrische Ausrüstung
  4. Maschinenbau
  5. Kraftwagen und Teile
  6. Fahrzeugbau
  1. Marktplätze
  2. Suchmaschinen
  3. Soziale Netzwerke
  1. Forschende Institute

Die Unterschiede zwischen "besonders wichtigen" und "wichtigen" Sektoren Einrichtungen:

  1. Besonders wichtige Einrichtungen werden proaktiv durch die Behörden beaufsichtigt (ohne Anlass).
    Bußgeldrahmen: bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist)
  2. Wichtige Einrichtungen müssen grds. nur anlassbezogen einer Aufsicht unterzogen.
    Bußgeldrahmen: bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Sonderfälle und Ausschlüsse

Unabhängig von der Größe oder dem Umsatz eines Unternehmens gibt es bestimmte Ausnahmen. Zum Beispiel können Unternehmen, die kritische Tätigkeiten ausführen, Auswirkungen auf die öffentliche Ordnung haben oder vom Staat als "wichtig" eingestuft werden, unter die NIS2-Richtlinie fallen. Dies gilt auch, wenn sie weniger als 50 Mitarbeiter haben oder ihr Jahresumsatz unter 10 Millionen Euro liegt.

Verteidigung oder Geheimdienste können teilweise oder ganz von den Regelungen ausgenommen sein. KRITIS-Unternehmen gelten automatisch als „besonders wichtig“. Das Gesetz schreibt zudem ein verbindliches IT-Risikomanagement nach BSI-IT-Grundschutz und die Anwendung der BSI-Mindeststandards für die Bundesverwaltung vor.

Wichtige Anforderungen der NIS-2-Richtlinie

  • Risikomanagement und Sicherheitsmaßnahmen:

Unternehmen müssen ein Risikomanagementsystem einführen und angemessene Sicherheitsmaßnahmen implementieren, um sich wirksam gegen Cyberbedrohungen zu schützen. Dazu gehören eine Risikoanalyse mit Sicherheitskonzepten, Business Continuity Management einschließlich Backups, Incident-Handling und Forensik, Patch- und Schwachstellenmanagement, Logging, Monitoring und Anomalieerkennung, ein Zugriffs- und Identitätsmanagement, Kryptomanagement, Maßnahmen zur Absicherung der Lieferkette sowie regelmäßige Schulungen und Awareness-Maßnahmen für Mitarbeitende.

  • Meldung von Sicherheitsvorfällen:

Sicherheitsvorfälle müssen unverzüglich an die zuständigen Behörden gemeldet werden. Dies soll eine schnelle Reaktion und Minimierung der Auswirkungen ermöglichen. Hierbei sind klare Meldefristen definiert.

  • Sanktionen bei
    Nichteinhaltung:

Die NIS-2-Richtlinie sieht erhebliche Sanktionen für Unternehmen vor, die ihre Verpflichtungen nicht erfüllen. Dies umfasst finanzielle Strafen und andere regulatorische Maßnahmen.

Schritte zur Umsetzung der NIS-2-Richtlinie

Für betroffene Unternehmen ist es entscheidend, frühzeitig Maßnahmen zu ergreifen, um die Anforderungen der NIS-2-Richtlinie zu erfüllen. Wir empfehlen ein mehrstufiges Vorgehen:

  1. Bewertung des aktuellen Sicherheitsniveaus: Führen Sie eine umfassende Bewertung Ihrer aktuellen Sicherheitsmaßnahmen und -protokolle durch, um Schwachstellen zu identifizieren.

  2. Entwicklung eines Risikomanagementplans: Erstellen Sie einen detaillierten Risikomanagementplan, der spezifische Maßnahmen zur Verbesserung der Cybersicherheit beinhaltet. Es gilt klare Richtlinien und Verfahren für den Umgang mit Sicherheitsvorfällen zu definieren.

  3. Schulung und Sensibilisierung: Stellen Sie sicher, dass Ihre Mitarbeiter regelmäßig geschult werden und sich der Bedeutung der Cybersicherheit bewusst sind. Die größte Schwachstelle bei Cyberangriffen ist nach wie vor der Mensch.

  4. Implementierung von Sicherheitsmaßnahmen: Implementieren Sie die erforderlichen Sicherheitsmaßnahmen, einschließlich technologischer Lösungen und organisatorischer Prozesse. Ein Informationssicherheitskonzept kann dabei hilfreich sein.

  5. Regelmäßige Überprüfung und Aktualisierung: Überprüfen und aktualisieren Sie regelmäßig Ihre Sicherheitsmaßnahmen, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.

Mögliche Maßnahmen zur Umsetzung in der Praxis

Schutz der Vertraulichkeit und Integrität von Daten während der Übertragung und Speicherung.

Zur Erhöhung der Sicherheit durch eine zusätzliche Sicherheitsebene beim Zugriff auf sensible Systeme und Daten ist eine Zweifaktor (2FA)- oder Mehrfaktor-Authentifizierung (MFA) über Ihr zentrales Identity- & Access-Management (z. B. Entra ID/Azure AD, Okta) – für alle privilegierten und externen Zugriffe verpflichtend.

Evaluierung von Sicherheitsrichtlinien, Prozessen und Technologien zur Identifizierung von Schwachstellen und Implementierung von Verbesserungen.

Regelmäßige Awareness-Schulungen sensibilisieren Mitarbeitende für Cyber-Bedrohungen und vermitteln Best Practices (z. B. Phishing-Prävention, sichere Passwortverwendung, Erkennung verdächtiger Aktivitäten); darüber hinaus verpflichtet NIS-2 die Unternehmensleitung, die Cybersicherheits-Maßnahmen zu genehmigen und zu überwachen, selbst an Schulungen teilzunehmen und persönliche Verantwortung zu tragen.

Simulationen von Cyberangriffen durch Sicherheitsexperten zur Aufdeckung von Schwachstellen in Systemen und Netzwerken, um potenzielle Sicherheitslücken zu identifizieren und zu beheben.

Regelmäßige Aktualisierung von Software und Betriebssystemen, um bekannte Schwachstellen zu schließen und die Angriffsfläche zu reduzieren.

Grundlegende Schutzmechanismen zum Blockieren unerlaubten Zugriffs und schädlicher Software.

Mit Tools wie zum Beispiel WEBCON BPS können Unternehmen ihre Sicherheits- und Compliance-Prozesse im Rahmen der NIS2-Richtlinie schnell digitalisieren, transparent steuern und flexibel an neue Anforderungen anpassen.

Was gilt bei Verstößen?

Verstöße gegen die Vorgaben der NIS-2-Anforderungen können mit deutlich verschärften Sanktionen verbunden sein. Unternehmen müssen, in Abhängigkeit Ihrer Einstufung als wesentliche oder besonders wichtige Einrichtung, mit erheblichen Bußgeldern rechnen. Dabei kommen sowohl feste Höchstbeträge als auch umsatzbezogene Bußgeldrahmen auf Basis des weltweiten Jahresumsatzes in Betracht.

Das BSI ist zudem befugt, bei erheblichen oder wiederholten Mängeln aufsichtsrechtliche Maßnahmen zu ergreifen, etwa in Form von Prüfungen, verbindlichen Anordnungen zur Umsetzung von Sicherheitsmaßnahmen oder weiteren organisatorischen Vorgaben. Ein unzureichendes Risikomanagement, verspätete oder unterlassene Meldungen von Sicherheitsvorfällen oder eine fehlende Registrierung können damit schnell zu spürbaren finanziellen und organisatorischen Konsequenzen führen.

Es ist daher sinnvoll, die eigenen Prozesse frühzeitig an die neuen NIS-2-Anforderungen anzupassen und so Risiken zu minimieren.

  • kompetente Beratung
  • intuitive Bedienung
  • rechtskonform
  • zertifiziert

Fazit

Die NIS-2-Richtlinie kann einen bedeutenden Schritt zur Verbesserung der Cybersicherheit in der EU darstellen, wiewohl die Umsetzung gerade für den Mittelstand entsprechende Ressourcen erfordert.

Durch eine frühzeitige Vorbereitung und kann die fristgerechte Umsetzung robuster Sicherheitsmaßnahmen gewährleistet werden.Unternehmen stelle somit nicht nur die Compliance sicher, sondern stärken auch ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen.

Bei Fragen zur praktischen Umsetzung stehen wir Ihnen jederzeit gerne unterstützend zur Seite

Für weitere Informationen nehmen Sie gerne Kontakt mit uns auf.

Profitieren Sie vom Know-how unserer Experten.

Felix Hofstetter

Business Development Manager

E-Mail: felix.hofstetter@sp-it.de

Alle Neuigkeiten auf einen Blick.

Read more +09 Dezember 2025 By sebastianbaars in news., Termine.

NIS-2 im Fokus: Sind Sie bereit für die neuen Sicherheitsanforderungen?

Read more +28 November 2025 By sebastianbaars in news., Termine.

EU AI Act: KI-Schulungen jetzt Pflicht

Read more +27 November 2025 By sebastianbaars in news., Termine.

ISO 27001: Das Upgrade für belastbare und auditfähige Informationssicherheit

Sonntag & Partner
Partnerschaftsgesellschaft mbB
Wirtschaftsprüfer, Steuerberater, Rechtsanwälte
Schertlinstraße 23
86159 Augsburg

Telefon: +49 821 57058-0
Telefax: +49 821 57058-153

www.sonntag-partner.de

Aktuelles

Expertise

Services

Mitgliedschaften

Support

Support

TOP