Die NIS-2-Richtlinie stellt hohe Anforderungen an die Cybersicherheitsstrategie von Unternehmen in ihrem Geltungsbereich. Eine aktuelle Umfrage zeigt jedoch, dass viele Unternehmen noch nicht vollständig auf die Umsetzung vorbereitet sind. Was jetzt zu tun ist.
(Bild: Hikmet/Adobe Stock - generiert mit KI)
Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 zielte darauf ab, ein hohes gemeinsames Niveau der Cybersicherheit in der EU zu gewährleisten. Immer öfter erwiesen sich die bisherigen Auflagen jedoch als ungenügend für die IT-Risiken einer immer stärker vernetzten Welt und immer raffinierterer Cyberangriffe. NIS-2 verpflichtet Unternehmen, robuste Sicherheitsstrategien umzusetzen, die der veränderten Bedrohungslage entsprechen. Dazu zählen auch neue technische und organisatorische Maßnahmen. Durch die Ausweitung des Geltungsbereichs fallen jetzt mehr Unternehmen unter die strengen Auflagen, und die Haftung der Geschäftsführung macht Cybersicherheit zur Chefsache.
Das ändert sich durch die NIS-2-Richtlinie
Für betroffene Unternehmen bringt NIS-2 einige Herausforderungen mit sich. Im Gegensatz zur ersten NIS-Richtlinie, die nur für eine begrenzte Anzahl von Sektoren galt, umfasst NIS-2 eine größere Bandbreite an Branchen. Betroffen sind neben Betreibern wesentlicher Dienste (Essential Service Operators) nun auch Anbieter digitaler Dienste, die zuvor nicht unter die Regelungen fielen. Dazu zählen zum Beispiel auch Anbieter von Cloud-Diensten, Rechenzentren und Online-Marktplätzen.Neben der Erweiterung des Geltungsbereichs bringt NIS-2 auch strengere Cybersicherheitsanforderungen mit sich. Unternehmen müssen nicht nur technische, sondern auch organisatorische Maßnahmen ergreifen, um den Schutz ihrer IT-Infrastruktur sicherzustellen. Dazu gehören unter anderem:
Risikoanalysen und Risikomanagement: Unternehmen müssen regelmäßige Risikoanalysen durchführen und Maßnahmen zur Risikominderung implementieren.
Incident Response: Unternehmen müssen Prozesse zur schnellen Erkennung von und Reaktion auf Cybersicherheitsvorfälle etablieren.
Business Continuity: Unternehmen müssen sicherstellen, dass ihre Dienstleistungen auch im Fall eines Cyberangriffs aufrechterhalten werden können.
Berichtspflichten: Sicherheitsvorfälle sind innerhalb kurzer Fristen an die zuständigen Behörden zu melden.
Sanktionen und erweiterte Haftung
NIS-2 sieht auch deutlich schärfere Sanktionsmechanismen vor. Im Fall von Verstößen drohen hohe Geldstrafen. Besonders brisant ist die persönliche Haftbarkeit der Geschäftsführung: Hochrangige Manager können nun direkt zur Verantwortung gezogen werden, wenn sie den NIS-2-Verpflichtungen in ihrem Unternehmen nicht nachgekommen sind. Diese Haftungserweiterung soll sicherstellen, dass das Thema Cybersicherheit auf der Führungsebene die notwendige Priorität erhält. Einer aktuellen Umfrage zufolge, die die Computerwoche in Zusammenarbeit mit Mimecast durchführte, kennt allerdings nur jeder fünfte der Befragten die entsprechenden Sanktionen bei Verstößen.
NIS-2: Auf dem Weg zur Compliance
Für die Umfrage NIS2, weshalb, warum? wurden im Juli 2024 100 Unternehmensentscheider und IT-Verantwortliche befragt. Die Erkenntnisse geben Anlass zur Besorgnis: So sind 88 % der Befragten noch nicht ausreichend über die spezifischen Anforderungen von NIS-2 informiert. Nur zehn Prozent konnten mindestens vier von fünf grundlegenden Fragen zur NIS-2 korrekt beantworten. Das weist auf ein ernstes Informationsdefizit der Verantwortlichen hin.
Trotz der vorhandenen Defizite schätzen 81 Prozent der Unternehmen ihre Fähigkeit zur fristgerechten Umsetzung der NIS-2-Anforderungen weiterhin positiv ein. Die Ergebnisse zeigen allerdings auch, dass bei 92 Prozent der Unternehmen die vorhandenen Security-Infrastrukturen und -Maßnahmen nicht für die NIS-2-Compliance ausreichen und (zum Teil erheblicher) Investitionsbedarf besteht. 24 Prozent planen Investitionen in der Größenordnung bis 50.000 Euro, 37 Prozent haben vor, bis zu 100.000 Euro auszugeben, und 31 Prozent gehen von einem Investitionsbedarf über 100.000 Euro aus. Diese Zahlen verdeutlichen den Aufwand, den Unternehmen für die Umsetzung der NIS-2-Richtlinie betreiben müssen.
Herausforderungen und Risiken bei der Umsetzung
Die Umsetzung der NIS-2-Richtlinie stellt vor allem kleine und mittlere Unternehmen (KMU), die erstmals in den Geltungsbereich fallen, vor Herausforderungen. Sie verfügen in der Regel nicht über die finanziellen und personellen Ressourcen großer Unternehmen. Viele Verantwortliche kennen die genauen Anforderungen der Richtlinie nicht oder sind sich der Tragweite der notwendigen Maßnahmen nicht bewusst. Diese Unsicherheiten führen dazu, dass die Umsetzung vielerorts schleppend voranschreitet. Es besteht Bedarf an externer Expertise sowie an Schulungen und Sensibilisierungsmaßnahmen, um das nötige Know-how langfristig in den Unternehmen zu verankern.Häufig hapert es auch an technischen und organisatorischen Voraussetzungen wie einer geeigneten IT-Architektur für die Nutzung automatisierter Dienste zur Bedrohungserkennung oder ausreichender Expertise im Haus. Auch hier sind vor allem KMU betroffen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
NIS-2: Was Verantwortliche jetzt tun können
Eine umfassende Bestandsaufnahme der vorhandenen IT-Infrastruktur und der bereits implementierten Sicherheitsmaßnahmen schafft die Grundlage für eine Risikoanalyse und die Entwicklung einer Roadmap, die sowohl technische als auch organisatorische Aspekte berücksichtigt. Neben der Implementierung bekannter technischer Sicherheitsmaßnahmen wie Firewalls, Verschlüsselung von Kommunikation, Multi Factor-Authentication (MFA) und sicheren Netzwerkarchitekturen ist es auch entscheidend, dass Mitarbeiter auf allen Ebenen des Unternehmens für das Thema Cybersicherheit sensibilisiert werden. Regelmäßige Schulungen und und ein konsequentes Human Risk Management sind unerlässlich.
Um Reaktionszeiten bei Vorfällen zu verkürzen und dadurch sowohl den Auflagen zur Incident Response als auch den Berichtspflichten gerecht zu werden, gibt es spezialisierte, cloudbasierte Lösungen, die Datenabfluss schnell erkennen. Das kann die Verantwortlichen und ihre Teams erheblich entlasten und hilft, die strengen Vorgaben besser einzuhalten.Die NIS-2-Richtlinie stellt Unternehmen vor erhebliche Herausforderungen, bietet aber auch die Chance, die eigenen Cybersicherheitsstrategien an die aktuelle Bedrohungslage anzupassen. Denn die Konsequenzen von Sicherheitsvorfällen sind bereits heute erheblich. Sie reichen von hohen Strafzahlungen bei Datenverlust bis hin zu Reputationsschäden und verlorenem Kundenvertrauen.
Die Investitionen, die zur Einhaltung der NIS-2-Richtlinie erforderlich sind, sollten deshalb eine zukunftssichere IT-Infrastruktur im Blick haben. Sie müssen Teil einer robusten Cybersicherheitsstrategie sein, die nicht nur Angriffe abwehrt, sondern auch das Vertrauen von Kunden, potenziellen Kunden sowie Partnern stärkt und so zum Wachstumstreiber wird.
Alexander Peters verantwortet als Senior Manager Sales Engineering die Region Continental Europe bei Mimecast. Davor verantwortete er bei Symantec das Presales-Team in Deutschland und zuletzt auch das Team für EMEA Endpoint Security Specialist. Er verfügt über mehr als 15 Jahre Erfahrung im Bereich Cybersecurity und Cloud Security. Er ist Certified Information Security Manager (ISACA) und Certified Information Systems Security Professional (ISC2).
:quality(80)/p7i.vogel.de/wcms/c4/0f/c40fc27b3ba9f4cb8921429a81e9fe88/deutsche-20telekom-t-20cloud-20public-16-9-1308x735v1.jpeg "Die Deutsche Telekom baut die T Cloud Public zur souveränen Cloud-Alternative aus. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/26/7f/267fe7086a35a99a8746d5328bc34387/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e2/fe/e2fecc72262f24cdac5e7d269cbc19af/it-trends-imageflow-adobestock-1767411415-neu-1200x675v1.jpeg "(Bild: © ImageFlow/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/06/7306fe7290414df91b2a4f5a89eee7ee/easy-20software-dms-teaser-16-9-1133x637v1.jpeg "(Bild: Easy Software)")
:quality(80)/p7i.vogel.de/wcms/ed/a3/eda36bff4eab74b47f38ae9c2f5962f8/cloud-erp-mahat-adobestock-835645806-mitkiv1.jpeg "(Bild: © mahat/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/a3/faa35b3be508b1bafeae8e481dad808c/hr-ipopba-adobestock-451361135-neu-780x439v1.jpeg "(Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/10/851074900a9e0eabf32944642cc2272f/adobestock-1270513612-vectorwin-colocation-996x560v1.jpeg "(Bild: © vectorwin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/c3/4ac353ac9ecdfc9c07cb9cd559a578a0/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/35/af35b7a70474e8d447c57993e0146b38/kit-quantentechnologien-karlsruhe-1230x691v1.jpeg "Die optische Schnittstelle für einen Quantenspeicher wird ein wichtiger Bestandteil von künftigen Quantennetzwerken sein. Der erste Teil davon wurde Anfang 2025 am KIT gebaut. (Bild: Markus Breig/KIT)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/3e/06/3e064c6104f3b0e5e74f8d5f06fbec86/kritis-leowolfert-adobestock-227539102-neu-878x494v1.jpeg "(Bild: © leowolfert/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/43/5843c738a7f9e1643d5b6a125a538e5e/akamai-nocc-pano-16-9-1200x674v1.jpeg "Akamai betreibt ein eigenes Network Operations Command Center. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fa6c8604a36abf5a0bf7679e44c1b/genua-genuline-bild-3390x1908v1.jpeg "Mit einer FPGA-Hardwarebeschleunigung verbindet das BSI-zugelassene VPN-Gateway genuline von genua Standorte mit quantensicherer Verschlüsselung. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/77/167784e2707d79bd104241764b3c370d/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/a8/83a862276bac51b761c5f27fe0d9e86b/ifs-cadillac-formel-1-team-bild2v1.png "Die Software von IFS unterstützt die Prozesse beim neuen Cadillac Formula 1-Team. (Bild: IFS)")
:quality(80)/p7i.vogel.de/wcms/9e/88/9e884cac1f5ea1b21159ac7c3bf73b76/flexera-it-management-2026-freepik-7360x4142v1.jpeg "(Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/96/64/9664881a9782156c29ff3e6c4ca1f620/westwell-q-truck-qomolo-1080x607v1.jpeg "Autonome Q-Trucks des Modells Qomolo im Hafen von Laem Chabang. (Bild: Westwell )")
:quality(80)/p7i.vogel.de/wcms/f0/f0/f0f0feec71fb8ec1d2f3d343e327f829/ki-2rogan-adobestock-717342439-mitki-932x524v1.jpeg "(Bild: © 2rogan/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/22/dd/22dd3877ab935747f146a760d14315d6/ki-agent-thapana-studio-adobestock-1281084264-neu-1200x675v1.jpeg "(© Thapana_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/d4/77d4aa1f8a50822209edc6b443190333/telekonnekt-bild3-4128x2321v1.jpeg "Das Service-Team der Telekonnekt unterstützt Arztpraxen und Apotheken bei der Umstellung auf die neue Telematikinfrastruktur. (Bild: Stefan Prager)")
:quality(80)/p7i.vogel.de/wcms/62/1a/621a89cd2d07f631880e43cda889118b/adobestock-1644426553-karina-digital-health-969x545v1.jpeg "(Bild: © KARINA/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/cd/30cd86fcb5d329cc823b8a6114db8189/dmea-20berlin-202025-16-9-2000x1124v1.jpeg "Die diesjährige DMEA findet vom 21. bis 23. April 2026 in der Messe Berlin statt. (Bild: © Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/37/0c3795d561b32378f5a1728f3efcedaa/esker-scott-20mcdermott-16-9-1200x674v1.jpeg "Scott McDermott ist neuer Chief Financial Officer von Esker. (Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b9165fa3dff/logo-kendox.jpeg "logo-kendox (Kendox AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/bc/ea/bcead72d88580d8337bd25067c51fc41/cyberangriff-karl-adobestock-608787811-neu-1000x563v1.jpeg "cyberangriff-karl-adobestock-608787811-neu-1000x563v1 (Bild: Karl/Adobe Stock)")
:quality(80)/p7i.vogel.de/wcms/c3/3f/c33f4dc2fb0523d9ab41241a124908af/adobestock-1123283066-md-nazmul-nis-2-992x558v1.jpeg "adobestock-1123283066-md-nazmul-nis-2-992x558v1 (Bild: © MD NAZMUL/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/76/1676c85dca04e1b238230c4425925ea1/g-20data-cybersicherheit-20in-20zahlen-teaser-1175x660v1.jpeg "g-20data-cybersicherheit-20in-20zahlen-teaser-1175x660v1 (Bild: G Data CyberDefense)")