NIS-2 wird Gesetz: Was Unternehmen jetzt beachten müssen
Um ein einheitlich Cyber-Schutzniveau in der EU zu gewährleisten, hat die Europäische Union 2023 die NIS-2-Richtlinie in Kraft gesetzt. Ursprünglich sollten die Mitgliedstaaten sie bis Oktober 2024 umsetzen, doch in Deutschland verzögerte sich der Prozess erheblich. Am 13. November 2025 hat der Bundestag den Gesetzesentwurf zur nationalen Umsetzung der NIS-2-Richtlinie nun verabschiedet. Einige Unternehmen haben sich bereits vorbereitet, doch viele müssen noch immer dringend ihre Cybersecurity-Strategie anpassen, um die neuen Anforderungen einzuhalten. Im Folgenden erfahren Sie, wie Sie die Vorgaben der NIS-2-Richtlinie umsetzen können.
Was ist die NIS-2-Richtlinie?
Mit fortschreitender Digitalisierung steigt auch das Risiko von Cyberangriffen –insbesondere für Organisationen, die für Wirtschaft und Gesellschaft relevante, digitale Dienste bereitstellen. Cyberangriffe führen nicht nur zu hohen finanziellen Verlusten, sondern können auch kritische Versorgungsstrukturen beeinträchtigen. Die NIS-2-Richtlinie der Europäischen Union (NIS = Network and Information Security Directive) ist die überarbeitete Fassung der 2016 eingeführten NIS-Richtlinie und bildet den zentralen europäischen Rechtsrahmen für Cybersicherheit.
Die Richtlinie verpflichtet die EU-Mitgliedstaaten, ein entsprechendes Aufsichts- und Meldeverfahren einzurichten und legt verbindliche Mindestanforderungen an die IT-Sicherheit fest – insbesondere für Betreiber kritischer Infrastrukturen und digitale Dienstleister. Diese Organisationen müssen geeignete Sicherheitsmaßnahmen ergreifen und Sicherheitsvorfälle unverzüglich melden.
Darüber hinaus sieht NIS-2 eine verschärfte Aufsicht und Durchsetzung vor: Die Mitgliedstaaten müssen zuständige Behörden benennen, nationale Durchsetzungsmechanismen aufsetzen und regelmäßige Kontrollen einführen, um die Einhaltung der Vorgaben zu gewährleisten.
Welche Unternehmen & Sektoren sind von NIS-2 betroffen?
Die NIS-2-Richtlinie gilt für Unternehmen aus zwei Kategorien: „Wesentliche“ (essential) und „wichtige“ (important) Einrichtungen. Wesentliche Organisationen sind solche, deren Ausfall erhebliche Auswirkungen auf das öffentliche Leben oder die Wirtschaft hätte – etwa in der Energie-, Wasser-, Transport-, Finanz- oder Gesundheitsversorgung. Wichtige Einrichtungen umfassen Unternehmen, die zwar keine kritischen Infrastrukturen betreiben, aber dennoch von zentraler Bedeutung sind, zum Beispiel Post- und Kurierdienste, digitale Anbieter oder Teile der Industrie und Lebensmittelversorgung.
Angreifer kompromittieren Systeme typischerweise über Phishing-E-Mails, manipulierte Dateianhänge oder unsichere Downloads. In 34 % der betroffenen Unternehmen verursachten solche Angriffe direkte Schäden. 15 % der betroffenen Betriebe gaben an, ein Lösegeld gezahlt zu haben, um wieder Zugriff auf ihre Daten zu erhalten.
Bedeutung von NIS-2 für die Cybersecurity-Strategie von Unternehmen
Mit der verpflichtenden Umsetzung der NIS-2-Richtlinie müssen Organisationen ihre bestehende Cybersecurity-Strategie überarbeiten. Im Mittelpunkt stehen künftig ein strukturiertes Risikomanagement, klare Verantwortlichkeiten auf Leitungsebene sowie technische und organisatorische Schutzmaßnahmen. Dabei helfen zentrale Lösungen zur Verwaltung und Überwachung von Endgeräten – etwa über Unified Endpoint Management (UEM) – ebenso wie kontinuierliche Risikoanalysen und Sicherheitsprüfungen auf allen Ebenen.
Welche Vortele bietet ein UEM?
Ein Unified Endpoint Management (UEM)-System ermöglicht die zentrale Verwaltung und Absicherung aller im Unternehmen genutzten Endgeräte – von stationären Rechnern bis hin zu mobilen Geräten wie Smartphones und Tablets. Im Hinblick auf die NIS-2-Richtlinie unterstützt das UEM dabei, Sicherheitsvorfälle zu erkennen und auf diese zu reagieren. Besonders mobile Endgeräte gelten weiterhin als kritische Schwachstelle und beliebtes Einfallstor, da sie dezentral genutzt und über Apps häufig Angriffen ausgesetzt sind. Daher sollten App-Sicherheitsprüfungen und kontinuierliches Monitoring als Teil der UEM-Strategie fest verankert werden, um die Anforderungen der NIS-2 wirksam zu erfüllen und die Cyber-Resilienz zu stärken. Lesen Sie hier, was Unternehmen beim Einsatz eines UEM beachten müssen!
Fazit
Mit der Verabschiedung des deutschen NIS-2-Umsetzungsgesetzes wird klar: Unternehmen müssen ihre Cybersicherheitsstrukturen jetzt schnellstmöglich anpassen. Dazu gehören regelmäßige Risikoanalysen, die Einführung technischer und organisatorischer Schutzmaßnahmen sowie ein definierter Incident-Response-Plan. Ebenso wichtig sind regelmäßige Schulungen der Mitarbeitenden und die Einbindung der Führungsebene in alle Sicherheitsentscheidungen. Eine hilfreiche Checkliste zur Vorbereitung auf NIS-2 finden Sie hier.
