06.August 2025 | Tanja | Thema: IT-Sicherheit

NIS-2: Neue Pflichten, mehr Cyberschutz für Unternehmen

Schlagwörter: Datenschutz | IT-Sicherheit | Tipps

NIS-2 unlimphoto

Durch die Umsetzung der neuen EU-Richtlinie NIS-2 in nationales Recht verschärfen sich die Anforderungen an den Schutz digitaler Infrastrukturen. Rund 29.500 Unternehmen in Deutschland fallen unter NIS-2 – darunter viele, die bisher keine gesetzliche Pflicht zur Cybersicherheit hatten.

Ziel ist ein einheitlich hohes Sicherheitsniveau in der EU. Denn die Bedrohung durch Cyberangriffe nimmt zu – nicht nur in kritischen Infrastrukturen, sondern quer durch alle Bereiche, in denen digitale Systeme eine Rolle spielen.

NIS-2: Diese Unternehmen sind jetzt verpflichtet

Im Zentrum der neuen Regelung steht eine deutlich ausgeweitete Pflichtenbasis für Unternehmen. Waren zuvor vor allem Betreibende sogenannter „Kritischer Infrastrukturen“ erfasst, richtet sich der Blick nun auch auf sogenannte „wichtige“ und „besonders wichtige Einrichtungen“.

Diese Einstufung basiert auf dem gesellschaftlichen oder wirtschaftlichen Einfluss eines Unternehmens – unabhängig davon, ob es in der Vergangenheit Sicherheitsvorfälle hatte oder nicht.

Betroffen sind unter anderem:

  • Energie- und Wasserversorger
  • Gesundheits- und Pflegeeinrichtungen
  • Transportunternehmen
  • Anbieter digitaler Dienste
  • IT- und Telekommunikationsanbietende
  • Post- und Abfallwirtschaft
  • Pharma- und Chemieunternehmen

Dabei ist die Einstufung nicht freiwillig: Unternehmen müssen selbst prüfen, ob sie unter die NIS-2-Regelung fallen. Für viele kleinere bis mittlere Unternehmen ist das eine neue Verantwortung, die bisher nicht auf ihrer Agenda stand.

NIS-2: Was konkret umzusetzen ist

Mit der Einordnung als wichtige oder besonders wichtige Einrichtung gehen klare Pflichten einher. Unternehmen müssen geeignete technische und organisatorische Maßnahmen zum Schutz ihrer Netz- und Informationssysteme ergreifen.

Konkret fordert NIS-2 unter anderem:

  • Durchführung von Risikoanalysen
  • Etablierung von Sicherheitsrichtlinien
  • Erstellung und Pflege von Notfallplänen
  • Einführung von Backup- und Recovery-Strategien
  • Nutzung starker Verschlüsselungstechnologien
  • Sicherstellung von Updates und Schwachstellenmanagement

Diese Maßnahmen sollen verhältnismäßig sein – das heißt, abhängig von Größe und Bedeutung des Unternehmens. Gleichzeitig ist auch der Umgang mit Sicherheitsvorfällen geregelt: Unternehmen müssen in mehreren Stufen Meldungen über Vorfälle abgeben – bei Verstößen drohen empfindliche Bußgelder.

Ein zusätzlicher Komplex entsteht durch Überschneidungen mit der Datenschutz-Grundverordnung (DSGVO). Viele Vorfälle betreffen sowohl Sicherheits- als auch Datenschutzaspekte. Derzeit sind zwei parallele Meldungen notwendig – einmal an das BSI (für NIS-2), einmal an die Datenschutzaufsicht (für DSGVO). Eine Vereinfachung durch einheitliche Meldewege wird aktuell diskutiert.

Im Juli 2025 haben die unabhängigen Datenschutzaufsichtsbehörden der Länder in einer gemeinsamen Stellungnahme gefordert, diese Doppelmeldung zu beenden. Ihr Vorschlag: ein einheitliches digitales Meldeverfahren, betrieben durch das BSI, das beide Anforderungen abdeckt. Die Datenschutzaufsichten sollen dabei strukturell eingebunden werden. Ziel ist weniger Bürokratie für Unternehmen und eine schnellere behördliche Reaktion bei Vorfällen.

NIS-2: Warum es wirtschaftlich entscheidend ist

Cyberangriffe sind längst keine Ausnahme mehr – sie gehören für viele Unternehmen zum Alltag. Laut Bitkom lag der Schaden durch Cyberangriffe allein in Deutschland zuletzt bei über 266 Milliarden Euro jährlich. Im Durchschnitt ergibt sich für Unternehmen mit mindestens zehn Beschäftigten ein rechnerischer Schaden von rund 500.000 Euro pro Jahr.

NIS-2 will genau hier ansetzen: Durch verbindliche Sicherheitsstandards sollen Schäden reduziert und Ausfallzeiten minimiert werden. Besonders kritisch sind Angriffe auf Einrichtungen mit unmittelbarer Wirkung auf die öffentliche Versorgung – zum Beispiel Krankenhäuser, Labore oder Energieanbietende. Hier kann ein Ausfall nicht nur finanzielle, sondern auch lebensbedrohliche Folgen haben. Daher ist NIS-2 mehr als nur ein IT-Projekt – es geht um die Resilienz ganzer Versorgungsstrukturen.

Fazit: Jetzt handeln

NIS-2 ist nicht nur ein weiteres Gesetz – es ist ein Weckruf an Unternehmen, Cybersicherheit als strategische Aufgabe zu begreifen. Wer rechtzeitig beginnt, kann Risiken senken und Bußgelder vermeiden – und gewinnt Vertrauen bei Kund*innen, Partner*innen und Aufsichtsbehörden.

procado

Wir unterstützen Sie gerne bei der Umsetzung von NIS-2 – mit einem klaren Fahrplan, praxistauglichen Lösungen und einem Blick auf das Wesentliche. Sie wollen wissen, ob Ihr Unternehmen betroffen ist oder wie Sie starten können? Melden Sie sich bei uns – wir helfen Ihnen gerne weiter.

Links und Hinweise:

zurück
Themen
procado BLOGt: rss-feed
Schlagwörter
AkademieDatenschutzTippsRechtsprechungKIIT-SicherheitMicrosoft 365NewsIT-Supportprocado-internDSGVOPhishingSocial MediaGirls-DayEU-RichtlinieRechtsgrundlagenkleine ReiheManaged Service ProviderSocial EngeneeringHistorischesJob
Cyberangriffe: Die Folgen sind längst keine Randnotiz mehrvodafone Banner Quelle unlimphotoPoLP – grundlegender Teil ganzheitlicher Sicherheitsstrategie