Gespräch vereinbaren

NIS-2: Dringender Handlungsbedarf für Unternehmen – Prokrastination wird teuer!

Entwicklung Dezember 2025

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 besteht für viele Unternehmen dringender Handlungsbedarf. Übergangsfristen gibt es nicht – die neuen Anforderungen gelten ab sofort. Besonders die Geschäftsleitung ist gefordert, denn bei mangelnder Sorgfalt kann sie auch persönlich haftbar gemacht werden.

Die europäische NIS-2-Richtlinie wurde nun vollständig in nationales Recht überführt. Neu ist vor allem der deutlich erweiterte Anwendungsbereich: Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind nun rund 29.500 Unternehmen in Deutschland betroffen – statt bislang nur wenige Betreiber Kritischer Infrastrukturen (KRITIS).

Wir zeigen auf, worauf es jetzt ankommt, welche Schritte erforderlich sind und geben konkrete Handlungsempfehlungen für die Umsetzung.

Betroffenheit und Registrierung

Zunächst ist zu prüfen, ob das eigene Unternehmen unter die Regelungen fällt. Die Einstufung als „wesentliche“ oder „wichtige“ Einrichtung beeinflusst sowohl die Intensität der Aufsicht durch das BSI als auch mögliche Sanktionen. Maßgeblich sind dabei der Tätigkeitssektor und die Unternehmensgröße. Betroffen sind Unternehmen, die als mittlere oder große Unternehmen gelten und in einem relevanten Sektor tätig sind.

Die Einstufung orientiert sich an der EU-KMU-Definition:

  • Mittlere Unternehmen beschäftigen 50 bis 249 Mitarbeitende und erfüllen entweder ein Jahresumsatzkriterium von 10 bis 50 Mio. EUR oder eine Bilanzsumme von bis zu 43 Mio. EUR.
  • Große Unternehmen haben mindestens 250 Mitarbeitende und erzielen entweder mehr als 50 Mio. EUR Jahresumsatz oder weisen eine Bilanzsumme von über 43 Mio. EUR auf.

Wesentliche Einrichtungen sind große Unternehmen aus besonders kritischen Sektoren wie Energie, Verkehr oder Finanzwesen. Wichtige Einrichtungen umfassen mittlere Unternehmen aus diesen Sektoren sowie mittlere und große Unternehmen aus weiteren kritischen Bereichen, etwa Post- und Kurierdienste oder die Abfallwirtschaft.

Die Geschäftsführung ist verpflichtet, die Betroffenheit eigenständig festzustellen und das Unternehmen innerhalb von drei Monaten beim BSI zu registrieren. Dafür ist zunächst eine Anmeldung bei „Mein Unternehmenskonto“ (MUK) erforderlich, idealerweise bis Ende 2025. Ab dem 6. Januar 2026 erfolgt anschließend die Registrierung über das neue BSI-Portal, welches unter anderem zur Meldung erheblicher Sicherheitsvorfälle dient.

Die Maßnahmen

Gemäß § 30 des BSI-Gesetzes lassen sich für betroffene Unternehmen mindestens zehn zentrale Maßnahmenfelder ableiten, die verbindlich umzusetzen sind:


1. Risikoanalyse und Sicherheitsrichtlinien

2. Incident Management

3. Betriebskontinuität und Krisenmanagement (BCM)

4. Sicherheit der Lieferkette (Supply Chain Security)

5. Sicherheit in der Systementwicklung und -wartung (inkl. Schwachstellenmanagement)

6. Verfahren zur Bewertung der Wirksamkeit von Maßnahmen

7. Cyberhygiene und Schulungen

8. Einsatz von Kryptografie und Verschlüsselung werden.

9. Personalsicherheit und Zugriffskontrollkonzepte

10. Einsatz von Multi-Faktor-Authentifizierung (MFA) und sicherer Kommunikation

Wichtig:
Unternehmen, die unter die NIS-2-Regelungen fallen, tragen auch Verantwortung für die Cybersicherheit ihrer unmittelbaren Zulieferer und Dienstleister. Die Unternehmensleitung hat sicherzustellen, dass Sicherheitsanforderungen vertraglich verbindlich festgelegt werden und die Sorgfaltspflichten bei Auswahl, Bewertung und Überwachung kritischer Lieferanten nachweislich erfüllt sind.

Als Experten für Cybersicherheit und Compliance beraten wir Sie gerne in den jeweiligen Bereichen und entwickeln gemeinsam mit Ihnen praktikable Lösungen für eine effektive Umsetzung.

Meldepflicht: Ohne Vorbereitung kaum umsetzbar

Die Meldepflicht tritt in Kraft, sobald ein „erheblicher Sicherheitsvorfall“ eintritt. Sie erfolgt in einer dreistufiges Meldesystem:

  1. Innerhalb von 24 Stunden: Erste Frühwarnmeldung mit vorläufiger Einschätzung der Störung (Art, Ursache, Auswirkungen, betroffenen Bereichen, Verdacht auf böswillige Handlungen etc.).
  2. Innerhalb von 72 Stunden: Meldung mit einer ersten Bewertung des Vorfalls, seines Schweregrads, seiner Ursachen und der Auswirkungen, einschließlich – falls verfügbar – Kompromittierungsindikatoren (IOCs).
  3. Spätestens nach einem Monat: Abschluss- oder Folgemeldung mit einer detaillierten Beschreibung des Vorfalls, der ursächlichen Hintergründe, der ergriffenen und laufenden Gegenmaßnahmen sowie der endgültigen Folgen.

Dieser enge zeitliche Rahmen macht es für Unternehmen unerlässlich, geprüfte Reaktionspläne und forensische Kompetenzen zu implementieren.

Sanktionen

Das NIS‑2-Umsetzungsgesetz macht die Verantwortung für Cybersicherheit klar und persönlich verbindlich für jedes Mitglied der Unternehmensleitung. Nach § 38 BSIG müssen die Leitungsorgane die Risikomanagementmaßnahmen genehmigen und deren Umsetzung aktiv überwachen. Zudem schreibt das Gesetz vor, dass sie mindestens alle drei Jahre an Schulungen zur Cybersicherheit teilnehmen, um ihre Überwachungspflicht erfüllen zu können.

Verstöße können zu erheblichen Bußgeldern führen, die sich am Niveau der DSGVO orientieren:

  • Wesentliche Einrichtungen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.
  • Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.

Was Unternehmen jetzt tun sollten

  1. Betroffenheit prüfen und registrieren: Klären Sie, ob Ihr Unternehmen unter die NIS‑2-Regelungen fällt, und nehmen Sie gegebenenfalls die Registrierung beim BSI vor.
  2. Maßnahmen überprüfen: Führen Sie eine Gap-Analyse durch, indem Sie Ihre bestehenden Sicherheitsmaßnahmen systematisch mit den 10 Mindestanforderungen aus § 30 BSIG abgleichen, um kritische Lücken zu erkennen.
  3. Meldeprozesse anpassen: Richten Sie Ihre internen Prozesse an den 24‑Stunden-, 72‑Stunden- und 1‑Monats-Fristen aus und führen Sie Simulationen durch, um die Abläufe zu testen.
  4. Governance sicherstellen: Verankern Sie die Cybersicherheitsmaßnahmen offiziell in der Geschäftsführung, planen Sie die gesetzlich vorgeschriebenen Schulungen der Leitungsebene und adressieren Sie damit die persönliche Verantwortung.

Die Umsetzung des NIS‑2-Gesetzes ist eine erhebliche regulatorische Herausforderung, aber auch ein entscheidender Hebel zur Stärkung der digitalen Resilienz, die für Wettbewerbsfähigkeit und langfristiges Überleben im modernen Markt entscheidend ist.

Wir bei der TWINSOFT unterstützen Sie dabei, die erforderlichen Maßnahmen effektiv und praxisnah umzusetzen – sprechen Sie uns gerne an.

Weitere news

NIS-2: Dringender Handlungsbedarf für Unternehmen – Prokrastination wird teuer!
EU-Daten in Gefahr? Was das neue Rechtsgutachten über US-Behördenzugriffe verrät.
Jahresrückblick: Firmenzeitung TWINFO
Digitale Souveränität aktiv gestalten: Praxisstrategien für Unternehmen
Digitale Souveränität: Realer Status Quo: Risiken, Abhängigkeiten & aktuelle Fälle aus Europa
Digitale Souveränität: Warum sie heute zur strategischen Säule moderner IT-Security wird
Alles entdecken
SIEM​
SOC
Privileged Access Management
Darknet Monitoring
Lagebilderstellung
Incident Response​
Vulnerability Management
Blue Teaming Beratung​
Identity Access Management
Biometrie Beratung​
KRITIS Beratung​
Penetration Test
AD Schwachstellen-Management
Alles entdecken
Monitoring
Back-up and Recovery
System Architektur
Alles entdecken
Projektorganisation
Projektmanagement
Produktevaluation
Anwendungsentwicklung
Betriebsunterstützung
Arbeitnehmerüberlassung
Freiberufler

Link

Unsere TWINStory
Unsere Partner
Unsere Referenzen
Unser Team
Unsere News
Unsere Pressearbeit
Icon-facebook Youtube Icon-instagram Icon-linkedin
IT/OT - Security
Hochverfügbarkeit
IT Services

BioShare

Identity Management Suite
TWINJobs
TWINSOFT
Icon-facebook Youtube Icon-instagram Icon-linkedin

Gespräch vereinbaren

Vereinbaren Sie ein unverbindliches Gespräch mit uns. Lernen Sie unseren Service und unsere Dienstleistungen kennen. Wir stehen Ihnen gerne mit Rat und Tat zur Seite.

Oder kontaktieren Sie uns unter

Tel. +49 2101 – 300 40

Email info@twinsoft.de

Icon-facebook Icon-youtube Icon-instagram Icon-linkedin

Ihre Daten werden bei uns vertraulich behandelt. Wir verwenden Ihre Daten ausschließlich zur Kontaktaufnahme

Bleiben Sie immer auf dem neuesten Stand!

Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig Neuigkeiten rund um TWINSOFT – unsere Dienstleistungen, Produkte, Events und exklusive Einblicke.