NIS2: Was Unternehmen jetzt wissen müssen
Die NIS2-Richtlinie betrifft deutlich mehr Unternehmen als viele vermuten. Was Pflichten, Fristen und erste Schritte für Betroffene bedeuten.
Die NIS2-Richtlinie (Network and Information Security Directive 2) erweitert den Kreis der regulierten Unternehmen in der EU erheblich. Wer bisher keine expliziten Cybersicherheitsvorgaben kannte, steht unter Umständen erstmals unter konkretem Handlungsdruck.
Wer ist betroffen?
NIS2 gilt für Unternehmen in 18 Sektoren – von Energie und Gesundheit bis Fertigung und digitale Dienstleistungen. Entscheidend sind in der Regel:
- der Sektor, in dem das Unternehmen tätig ist
- die Größe (ab ca. 50 Mitarbeitende oder 10 Mio. € Umsatz)
Eine pauschale Aussage „wir sind nicht betroffen“ ist riskant. Eine strukturierte Betroffenheitsanalyse ist der sinnvolle erste Schritt.
Was wird konkret gefordert?
Betroffene Unternehmen müssen unter anderem:
- Risikomanagement für IT und OT aufsetzen und dokumentieren
- Technische und organisatorische Maßnahmen umsetzen (Zugriffskontrolle, Patch-Management, Backup, Incident Response)
- Meldepflichten bei sicherheitsrelevanten Vorfällen einhalten
- die Geschäftsleitung in die Verantwortung einbinden – NIS2 macht Führungskräfte persönlich haftbar
NIS2 ist keine Checkliste zum Abhaken, sondern ein laufender Prozess: Risiken erkennen, Maßnahmen priorisieren, nachweisen und verbessern.
NIS2 und bestehende Standards
Wer bereits ISO 27001 oder BSI IT-Grundschutz umsetzt, hat einen Vorsprung. Viele NIS2-Anforderungen überschneiden sich mit diesen Standards. Die Gap-Analyse zeigt dann vor allem die verbleibenden Lücken – statt bei null anzufangen.
Erste Schritte für Unternehmen
- Betroffenheit prüfen – Sektor, Größe, kritische Dienste
- Ist-Zustand erfassen – vorhandene Prozesse, Technik, Verantwortlichkeiten
- Gap-Analyse gegen NIS2-Anforderungen
- Maßnahmenplan mit Prioritäten und Zeitachse
- Umsetzung und Nachweis – Dokumentation für Audits und Behörden
Fristen und Sanktionen
Die EU-Richtlinie musste bis Oktober 2024 in nationales Recht umgesetzt werden. Das deutsche NIS2-Umsetzungsgesetz ist in Arbeit – Warten ist keine Strategie. Bußgelder können bis in den siebenstelligen Bereich gehen; die Geschäftsleitung trägt persönliche Verantwortung.
Wie CruSec Solutions unterstützt
Wir begleiten Unternehmen von der Betroffenheitsanalyse bis zur praktischen Umsetzung: verständlich, ohne unnötigen Beraterdeutsch, mit Fokus auf das, was im Alltag wirklich wirkt.
Mehr zur Leistung: NIS2-Beratung – oder sprechen Sie uns direkt an.
IT-Sicherheit prüfen lassen
Schwachstellen erkennen und Risiken minimieren, schnell und unverbindlich.
