Cybersicherheit bleibt ein zentrales Thema – nicht nur für große Konzerne, sondern für die gesamte Gesellschaft. Angriffe wie der kürzliche Vorfall auf die sicheren Diensthandys der Polizei in Mecklenburg-Vorpommern zeigen einmal mehr, wie verwundbar selbst staatliche Einrichtungen sind.
Wie bekannt, konnte die gesetzliche Umsetzung der NIS-2-Richtlinie in Deutschland bislang nicht erfolgen – vor allem aufgrund des Bruchs der Regierungskoalition. Im Juni 2025 wurde nun ein neuer Referentenentwurf zur Umsetzung von NIS-2 vorgelegt, der Änderungen gegenüber dem Entwurf von 2023 enthält und für Unternehmen neue Anforderungen mit sich bringt.
Was ist neu?
Die NIS-2-Richtlinie der EU weitet den Kreis der Unternehmen, die verpflichtend Maßnahmen zur Cybersicherheit ergreifen müssen, aus. Betroffene Organisationen werden in zwei Hauptkategorien eingeteilt, wesentliche und wichtige Einrichtungen:
Wesentliche Einrichtungen sind solche, die dem Schutz kritische Infrastrukturen dienen. Dazu zählen die Energieversorgung, der Verkehr sowie das Gesundheitswesen. Auch Banken und Finanzmarktinfrastrukturen, die Trinkwasser- und Abwasserversorgung und digitale Infrastrukturen wie Kommunikationsnetze sind unverzichtbar. Weiterhin zählen die öffentliche Verwaltung, die Raumfahrt sowie IT-Dienstleistungen für Unternehmen (B2B) zu diesen kritischen Sektoren.
Als wichtige Einrichtungen gelten Sektoren, die zur Aufrechterhaltung des täglichen Lebens und der wirtschaftlichen Stabilität beitragen. Hierzu gehören Post- und Kurierdienste, die Abfallwirtschaft, die Chemieproduktion und der Chemievertrieb. Ebenfalls die Lebensmittelherstellung und der Lebensmittelhandel, die Herstellung von Medizinprodukten sowie der Maschinen- und Fahrzeugbau tragen dazu bei. Darüber hinaus werden im neuen Referentenentwurf auch digitale Dienste wie Cloud-Services und soziale Netzwerke sowie Forschungseinrichtungen genannt.
Lieferketten im Blick
Ein zentrales Element der neuen Anforderungen ist die stärkere Berücksichtigung von Risiken innerhalb der Lieferkette. Unternehmen, die unter NIS-2 fallen, müssen künftig auch beurteilen können, ob potenzielle Schwachstellen bei Dienstleistern, Zulieferern oder Partnern ein Einfallstor für Cyberangriffe darstellen könnten.
Das bedeutet: Auch kleinere Unternehmen, Start-ups und Handwerksbetriebe – also solche, die selbst nicht unter die NIS-2-Kategorisierung fallen – können indirekt betroffen sein.
Nordrhein-Westfalen, hat bereits auf die wachsenden Anforderungen reagiert und regionale Anlaufstellen für KMU eingerichtet.
Was bedeutet die NIS-2-Verordnung für Unternehmen?
Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen sich auf deutlich höhere Anforderungen einstellen. Künftig sind sie verpflichtet, umfassende Sicherheitsmaßnahmen für ihre Systeme umzusetzen. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, um schnell auf eine Bedrohung reagieren zu können. Die persönliche Verantwortung der Geschäftsführung sowie leitender Angestellter wird spürbar ausgeweitet. Darüber hinaus sind regelmäßige Risikobewertungen und Sicherheits-Audits vorgeschrieben, die auch durch externe Stellen erfolgen können. Sollte ein NIS-2-pflichtiges Unternehmen gegen diese Maßnahmen verstoßen, drohen strengere Sanktionen, verbunden mit hohen Bußgelder.
Wie können Unternehmen sich vorbereiten?
Prävention ist die wirksamste Lösung. Sowohl kleine als auch große Unternehmen sollten ihre Sicherheitsstrategien überdenken und bestehende Schutzmaßnahmen an die neuen Anforderungen anpassen. Ein zentraler Baustein dabei ist die regelmäßige Schulung der Mitarbeitenden. Wer für Cyberrisiken sensibilisiert ist, kann Bedrohungen frühzeitig erkennen und richtig reagieren. Ebenso unverzichtbar sind Notfall- und Reaktionspläne, die es ermöglichen, im Ernstfall schnell und wirkungsvoll zu handeln.
Jetzt handeln – mit einem starken Partner an Ihrer Seite
Die Umsetzung der NIS-2-Anforderungen stellt viele Unternehmen vor komplexe Herausforderungen – von der Risikoanalyse über die technische Umsetzung bis hin zur kontinuierlichen Schulung der Mitarbeitenden. Als erfahrene IT-Unternehmensberatung unterstützen wir Sie dabei, diese Aufgaben strukturiert und effizient zu meistern. Wir bieten individuelle Beratung, entwickeln maßgeschneiderte Sicherheitsstrategien und begleiten Sie bei der praktischen Umsetzung – technisch, organisatorisch und strategisch. Sprechen Sie uns an – gemeinsam machen wir Ihre Organisation widerstandsfähiger gegenüber Cyberbedrohungen.
Sprechen Sie uns an – die Zukunft wartet schon!