NIS 2-Umsetzungsgesetz – Das gilt jetzt für Unternehmen

NIS 2 (Network and Information Security Directive 2) – die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit – dehnt die Pflicht zur Stärkung der Cyber-Resilienz & Verbesserung der Cybersicherheit auf deutlich mehr Unternehmen aus als NIS1. Mit dem NIS 2-Umsetzungsgesetz (NIS 2UmsuCG) wird die Richtlinie in deutsches Recht überführt. Stand September 2025 befindet sich das Gesetz noch im parlamentarischen Verfahren; ein Inkrafttreten wird für Ende 2025 bzw. Anfang 2026 erwartet. Dennoch sollten betroffene Unternehmen bereits jetzt handeln, denn nach der Verabschiedung greifen Pflichten und Meldefristen von NIS 2 ohne nenneswerte Übergangszeiten.

Was ist NIS 2 und welche Unternehmen betrifft die Richtlinie?

Die Network and Information Security Directive 2 (NIS 2) erweitert den Geltungsbereich der vorherigen Richtlinie NIS1 erheblich und unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen. Erfasst werden 18 Sektoren, darunter Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur sowie Teile der öffentlichen Verwaltung. Die Einstufung richtet sich nach Unternehmensgröße und gesellschaftlicher Bedeutung. Für eine detaillierte Liste der betroffenen Branchen und Schwellenwerte verweisen wir auf unseren ausführlichen Überblicksartikel zum Thema NIS 2. [LINK ZUM ARTIKEL “Wer ist von NIS 2 betroffen”]

Ziele des NIS 2-Umsetzungsgesetzes

Mit dem NIS 2UmsuCG wird NIS 2 in ein nationales Gesetz überführt. Das ist notwendig, da es sich bei NIS 2 um eine EU-Richtlinie und nicht um eine EU-Verordnung handelt, sodass sie ohne ein entsprechendes nationales Gesetz für die Unternehmen nicht bindend wäre. Das Gesetz verfolgt vier zentrale Ziele: die Schaffung EU-weiter Mindeststandards für Cybersicherheit, eine Verbesserung der Reaktionsfähigkeit bei Cyberangriffen, effektive Meldewege für Sicherheitsvorfälle sowie eine engere Kooperation zwischen den Mitgliedstaaten. Unternehmen, die unter die Richtlinie fallen, müssen ein umfassendes Sicherheitskonzept etablieren.

Dazu gehören ein systematisches Cybersicherheits-Risikomanagement, klar definierte Meldeprozesse, belastbare Business-Continuity- und Incident-Response-Pläne, die Einbeziehung von Lieferkettenrisiken – denn echte Cyber-Resilienz entsteht erst, wenn auch die Risiken aus der Zusammenarbeit mit externen Partnern und Dienstleistern in die Analyse einbezogen werden – sowie Verschlüsselung und differenzierte Zugriffskontrollen. Die Tiefe der Anforderungen richtet sich danach, ob die Organisation als „wesentliche" oder „wichtige" Einrichtung eingestuft wird.

Haben wir Ihr Interesse geweckt? Holen Sie sich jetzt ein Angebot ein!

Wir unterstützen Sie bei der Analyse und der Entwicklung einer durchgehend sicheren IT-Infrastruktur und sorgen dank modernster Sicherheitstechnik für ein Höchstmaß an Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten.

Kontakt

Fristen und Termine im NIS 2-Umsetzungsgesetz

Nach aktuellem Stand des NIS 2-Umsetzungsgesetzes (Stand: August 2025) beginnt ab dem Tag des Inkrafttretens (T₀) ein straffer Zeitplan:</p>

  • Registrierung bei der zuständigen Behörde innerhalb von drei Monaten. Sie müssen selbst erkennen, ob Sie betroffen sind. Eine externe Aufforderung gibt es nicht!
  • Sofortige Umsetzung der Sicherheitsmaßnahmen – eine Übergangsfrist ist nicht vorgesehen
  • Erster Nachweis der ergriffenen Maßnahmen frühestens drei Jahre nach Inkrafttreten (T₀)

Bei Sicherheitsvorfällen gilt zusätzlich ein dreistufiges Melde-Schema: eine Erstmeldung binnen 24 Stunden, ein Zwischenbericht mit Details innerhalb von 72 Stunden und ein Abschlussbericht spätestens nach einem Monat.

Unternehmen sollten bereits jetzt interne Prozesse und Technologien auf die kommenden Anforderungen ausrichten, um nach Verabschiedung des nationalen NIS 2-Gesetzes handlungsfähig zu sein, da die Fristen unter NIS 2 bei fehlender Vorbereitung sonst schwer haltbar sind!

Gesetzliche Pflichten und Konsequenzen

Die gesetzlichen Pflichten unter NIS 2 sind umfangreich. Der Gesetzgeber verlangt angemessene technische und organisatorische Maßnahmen, regelmäßige Sicherheitsaudits und Penetrationstests, kontinuierliche Schulungen sowie einen dokumentierten PDCA-Zyklus (Plan-Do-Check-Act). Sämtliche Schritte sind nachvollziehbar zu dokumentieren, damit Behörden bei Bedarf einen lückenlosen Nachweis erhalten.

Verstöße können teuer werden. Bei wesentlichen Einrichtungen drohen bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio. € bzw. 1,4%. Darüber hinaus sind behördliche Nachbesserungsanordnungen, die öffentliche Bekanntmachung von Verstößen, Einschränkungen von Managementfunktionen oder – im Extremfall – der Entzug von Betriebsgenehmigungen möglich. Die Strafen sind damit ähnlich empfindlich wie die der DSGVO! Eine persönliche Haftung der Geschäftsführung bei Nichteinhaltung der Pflichten ist möglich. Damit wird Cyberresilienz zur Chefsache!

Jetzt handeln für NIS 2-Compliance

Obwohl das NIS 2-Umsetzungsgesetz noch nicht verabschiedet ist, stehen die wesentlichen Anforderungen bereits fest. Unternehmen sollten die verbleibende Zeit bis zur Verabschiedung nutzen, um Prozesse, Technik und Governance an die kommenden Vorgaben anzupassen. So vermeiden sie hektische Nachbesserungen, hohe Bußgelder und potenzielle Reputationsschäden.

Die Investition in Cybersicherheit ist damit nicht nur eine regulatorische Pflicht, sondern auch ein wichtiger Baustein für die Zukunftsfähigkeit Ihres Unternehmens.

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Bitte addieren Sie 5 und 1.

Copyright 2025. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung