NIS-2: Neue Pflichten und Maßnahmen für Unternehmen 

Die NIS-2-Richtlinie verpflichtet künftig deutlich mehr Unternehmen zu konkreten Cybersicherheits-Maßnahmen. Erfahren Sie, wer betroffen ist, welche Pflichten gelten und wie Sie NIS-2-fit werden. 

Die Cybersicherheitslage in Deutschland bleibt angespannt. Insbesondere schlecht geschützte Angriffspunkte machen Unternehmen verwundbar und sind Einfallstore für Ransomware und Cyberattacken. Mit dem im Bundestag am 13. November 2025 beschlossenen Gesetz zur Umsetzung der NIS-2-Richtlinie werden die Anforderungen an Cybersicherheit und konkrete NIS-2-Maßnahmen für Unternehmen neu definiert. Ziel ist es, die digitale Angriffsfläche deutlich zu verkleinern und Unternehmen resilienter gegenüber Cyberangriffen zu machen. 

NIS2: Erweiterter Anwendungsbereich und neue Maßnahmen für Unternehmen 

Bisher waren vor allem Betreiber Kritischer Infrastrukturen (KRITIS) betroffen, etwa aus Bereichen wie Energieversorgung, Gesundheitswesen oder Wasser- und Abwasserwirtschaft. 

Mit NIS2 wird der Kreis deutlich ausgeweitet. Künftig fallen auch mittelgroße und große Unternehmen aus vielen Branchen unter die Regulierung, darunter: 

• Industrie- und Produktionsbetriebe 
• Logistik- und Verkehrsunternehmen 
• IT-Dienstleister und Managed Service Provider 
• Lebensmittelhersteller 
• digitale Dienste und Plattformbetreiber 

Maßgeblich sind Kriterien wie Mitarbeitendenzahl, Umsatz und die wirtschaftliche Relevanz. 

Selbstverantwortung: Unternehmen müssen aktiv handeln 

Mit der Einführung von NIS-2 ergeben sich für Unternehmen neue Pflichten. Eine der wichtigsten Neuerungen der NIS-2-Richtlinie: Unternehmen müssen eigenständig prüfen, ob sie unter die NIS-2-Regelung fallen und entsprechende Maßnahmen zur Umsetzung einleiten. Wird die Betroffenheit festgestellt, sind sie verpflichtet, sich selbst beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. 

Zusätzlich gelten verbindliche Meldefristen als Teil der verpflichtenden NIS-2-Maßnahmen bei Sicherheitsvorfällen: 

• Erstmeldung innerhalb von 24 Stunden 
• Zwischenbericht nach 72 Stunden 
• Abschlussbericht spätestens nach einem Monat 

Cybersicherheit wird Chefinnen- und Chefsache 

Claudia Plattner, Präsidentin des Bundesamtes für Informationssicherheit (BSI), betont. „Die NIS2-Richtlinie macht Cybersecurity zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen.“ Mit NIS-2 wird Informationssicherheit also zur Führungsaufgabe. Die Geschäftsleitung trägt künftig persönliche Verantwortung für die Umsetzung der Sicherheitsmaßnahmen. Dazu gehören verpflichtende Schulungen, damit Führungskräfte Risiken, Angriffsmethoden und Schutzmechanismen verstehen und fundierte Entscheidungen treffen können.  

Was bedeutet das konkret? Die wichtigsten NIS-2-Maßnahmen 

Ein zentraler erster Schritt ist die sogenannte Gap-Analyse. Sie beschreibt den systematischen Vergleich zwischen dem aktuellen Sicherheitsniveau und den Anforderungen der NIS-2-Richtlinie, um die Lücken (Gaps) aufzudecken. Dabei wird geprüft 

• welche Maßnahmen bereits bestehen, 
• welche Anforderungen fehlen und 
• wo konkrete Sicherheitslücken bestehen. 

Das Ergebnis ist eine strukturierte Handlungsempfehlung mit klaren Prioritäten für die Umsetzung. 

Weitere zentrale NIS-2-Maßnahmen für Unternehmen sind: 

• Einführung strukturierter Risikomanagement-Prozesse 
• Dokumentation von Lieferkettenrisiken 
• Anpassung technischer und organisatorischer Schutzmaßnahmen 
• Aufbau eines Melde- und Incident-Response-Prozesses 

Mit fly-tech zur NIS-2-Compliance 

Mit unserem Produkt ITQ NIS-2 unterstützen wir Unternehmen dabei, ihre Betroffenheit zu prüfen, eine fundierte Gap-Analyse durchzuführen und konkrete NIS-2-Maßnahmen umzusetzen. Unser Ziel: NIS-2 nicht als Belastung, sondern als Chance für nachhaltige Cybersicherheit zu nutzen. Lernen Sie unser Angebot rund um Datenschutz und Informationssicherheit kennen.