NIS2 in Deutschland: Was jetzt gilt, wen es betrifft und warum Unternehmen sofort starten müssen

Am 13. November 2025 hat der Deutsche Bundestag das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz verabschiedet. Damit wird Informationssicherheit für viele Unternehmen erstmals zur gesetzlichen Pflicht. Die neuen Anforderungen gelten voraussichtlich Ende 2025 oder Anfang 2026 und müssen ab diesem Zeitpunkt unmittelbar erfüllt werden. Übergangsfristen sind nicht vorgesehen. Viele Unternehmen wissen jedoch nicht, dass sie betroffen sind und wie tief die Veränderungen reichen. Dieser Artikel zeigt, woher NIS2 kommt, wen es betrifft und warum die Vorbereitung schon jetzt beginnen sollte.

NIS2 in Deutschland: Was jetzt gilt, wen es betrifft und warum Unternehmen sofort starten müssen

Die Einführung von NIS2 bedeutet einen tiefgreifenden Wandel in der deutschen Cybersicherheitslandschaft. Die Richtlinie erweitert den Geltungsbereich deutlich und macht Informationssicherheit in vielen Unternehmen zu einer verbindlichen Pflicht. Dieser Artikel erläutert die Hintergründe, die wichtigsten Anforderungen und die Schritte, die Unternehmen jetzt einleiten sollten.

Von KRITIS zu NIS2: Warum sich das System grundlegend verändert hat

Bislang galten für viele Regelungsbereiche die Vorgaben des BSI-Gesetzes und des KRITIS-Modells. Diese Regelungen richteten sich jedoch nur an einige wenige Sektoren, zum Beispiel Energie, Wasser, Transport, Ernährung oder Gesundheit. Der überwiegende Teil der Unternehmen war nicht betroffen.

Das hat sich in den letzten Jahren als unzureichend erwiesen. Cyberangriffe betreffen zunehmend auch Unternehmen aus der Produktion, dem Maschinenbau, der Logistik und der IT-Branche. Zudem haben Lieferketten an Bedeutung gewonnen und gleichzeitig neue Risiken geschaffen. Die EU hat deshalb die NIS2-Richtlinie entwickelt, die den Geltungsbereich deutlich erweitert und ein höheres Sicherheitsniveau verlangt.

Wer von NIS2 betroffen ist

NIS2 unterteilt betroffene Organisationen in wesentliche und wichtige Einrichtungen. Diese Kategorien umfassen zahlreiche Branchen und Dienstleistungsbereiche, darunter Produktion, Maschinenbau, IT-Dienstleistungen, digitale Dienste, Transport, Abfallwirtschaft, Forschung und Laborumgebungen.

Ein Unternehmen fällt in der Regel unter NIS2, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

• mindestens 50 Mitarbeitende
• Jahresumsatz von mehr als 10 Millionen Euro

Damit sind viele mittelständische Unternehmen betroffen, auch wenn sie bisher nicht unter KRITIS fielen. Besonders relevant ist dies für Zulieferer, Softwareanbieter, Logistikunternehmen und Betriebe, die zentrale Dienstleistungen für andere Unternehmen erbringen.

Welche Anforderungen NIS2 stellt

NIS2 verlangt ein nachvollziehbares und strukturiertes Sicherheitsniveau. Zu den wesentlichen Anforderungen gehören:

• Einführung eines Informationssicherheitsmanagementsystems, zum Beispiel nach ISO 27001
• regelmäßige Risikoanalysen mit dokumentierten Ergebnissen
• Maßnahmen zur Erkennung und Behandlung von Sicherheitsvorfällen
• definierte Notfall- und Kontinuitätsprozesse
• Meldefähigkeit innerhalb von 24 und 72 Stunden sowie ein Abschlussbericht nach etwa einem Monat
• Sicherheitsanforderungen für Dienstleister und Lieferanten
• Schulungs- und Sensibilisierungsmaßnahmen
• vollständige Dokumentation der Sicherheitsmaßnahmen

Diese Vorgaben betreffen sowohl organisatorische als auch technische Prozesse.

Die wichtigsten NIS2-Pflichten im Überblick

1. Risikoanalyse und Risikobehandlung
2. Einführung und Betrieb eines Informationssicherheitsmanagementsystems
3. Schwachstellen- und Patchmanagement
4. Zugriffskontrollen und Netzwerksicherheit
5. Notfall- und Wiederanlaufplanung
6. Strukturierte Prozesse zur Behandlung von Sicherheitsvorfällen
7. Meldepflichten an zuständige Behörden
8. Kontrolle und Bewertung der Lieferkette
9. Regelmäßige Schulungen der Mitarbeitenden
10. Umfassende Dokumentation und Nachweise

Warum Unternehmen jetzt handeln müssen

Ein ISMS lässt sich nicht kurzfristig einführen. Rollen, Verantwortlichkeiten, Prozesse, Risikoanalysen und Sicherheitsmaßnahmen benötigen Zeit, Abstimmung und Ressourcen. Unternehmen, die erst kurz vor der gesetzlichen Verpflichtung beginnen, riskieren Fehlentscheidungen, kritische Sicherheitslücken, organisatorische Engpässe und höhere Kosten.

Da keine Übergangsfristen vorgesehen sind, müssen Unternehmen ab Inkrafttreten der Regelungen vollständig compliant sein. Die persönliche Haftung der Geschäftsführung erhöht den Druck zusätzlich. Ein frühzeitiger Start reduziert Risiken und ermöglicht eine strukturierte Umsetzung.

Was Unternehmen jetzt tun sollten

1. Klären, ob das Unternehmen unter die NIS2-Kategorien fällt
2. Durchführung einer Gap-Analyse zu den NIS2-Anforderungen
3. Planung und Start eines Projektes zur Einführung oder Erweiterung eines ISMS
4. Definition von Rollen und Verantwortlichkeiten, zum Beispiel eines Informationssicherheitsbeauftragten
5. Aufbau oder Optimierung von Melde- und Notfallprozessen
6. Bewertung der Lieferkette und Anpassung von Verträgen und Prüfprozessen
7. Schulungen und Sensibilisierungsmaßnahmen starten

Diese Maßnahmen schaffen die Grundlage für eine erfolgreiche Umsetzung.

Fazit

NIS2 wird in Deutschland voraussichtlich Ende 2025 oder Anfang 2026 verbindlich. Für viele Unternehmen bedeutet dies grundlegende Veränderungen. Die Anforderungen sind umfangreich und erfordern eine systematische Herangehensweise. Unternehmen, die frühzeitig starten, können strukturiert planen, Risiken reduzieren und die gesetzlichen Vorgaben fristgerecht erfüllen.

Ein rechtzeitiger Beginn ermöglicht es, Prozesse sauber aufzubauen und kostspielige Fehler zu vermeiden. Daher sollten Unternehmen jetzt aktiv werden und die Umsetzung von NIS2 in ihre strategische Planung aufnehmen.

‍

Photo: Carlos Muza auf Unsplash