In der Vergangenheit herrschten große Unterschiede zwischen den EU-Mitgliedsstaaten, wenn es um den Umgang mit Cybersicherheit ging. Die NIS2-Richtlinie schreibt nun einheitliche Standards für viele Unternehmen vor. Wenn Unternehmen Compliance garantieren wollen, müssen sie dabei vor allem ihre Daten richtig managen.
(Bild: NetApp)
Die zunehmende Bedrohung durch Cyberangriffe ist heute ein immer größeres Risiko für Unternehmen. Hinzu kommt, dass sich auch Angriffsmethoden dynamisch entwickeln und immer neue Abwehrstrategien erfordern. Der Gesetzgeber reagiert darauf mit verschärften regulatorischen Anforderungen wie der neuen NIS2-Richtlinie. Diese tritt am 17. Oktober 2024 in Kraft und soll die Sicherheit kritischer Infrastrukturen gewährleisten. Strafen.Was mit der NIS2-Richtlinie auf die Unternehmen zukommt
Die Überarbeitung tat dringend Not: NIS1 hatte zwar bereits für eine bessere Cyber-Resilienz von Unternehmen gesorgt, gleichzeitig aber auch die großen Unterschiede zwischen den rechtlichen Rahmenbedingungen der Mitgliedstaaten im Bereich der Cybersicherheit aufgezeigt. Dies soll sich mit der neuen NIS2-Richtlinie ändern. Für Unternehmen im europäischen Raum heißt es nun, sich auf die neuen Regelungen einzustellen, sonst drohen empfindliche Strafen.
Was mit der NIS2-Richtlinie auf Unternehmen zukommt
Die NIS2-Richtlinie erweitert die Anzahl der betroffenen Sektoren massiv. So fallen nun auch die Raumfahrt, Abwasseranlagen, die öffentliche Verwaltung und B2B IKT-Dienstleister konkret unter die wesentlichen Einrichtungen. Insgesamt steigt die Zahl der Sektoren auf 18, sieben neue „Important Entities“ kommen hinzu und die Schwellenwerte werden gesenkt. Darüber hinaus sind Unternehmen nun verpflichtet, das Risiko eines Cyber-Angriffs über ihre Lieferkette zu bewerten und ein Cyber-Risikomanagement zu implementieren.
Diese Anforderung ist nicht trivial, gehört dazu doch eine erarbeitete Umsetzung – idealerweise auf Basis eines Information Security Management System (ISMS) mit Reaktionsplänen, Mitarbeiterschulungen, Tests und regelmäßigen Audits, die je nach Branche auch unangekündigt erfolgen können. Werden diese Regelungen nicht eingehalten, haften die Geschäftsführer nun persönlich für eventuelle Schäden. Die Strafen können sehr hoch ausfallen – bei „wesentlichen Entitäten“ bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes.
Strengere Meldepflichten bei Sicherheitsvorfällen
Zudem gelten nun deutlich strengere Meldepflichten, wobei das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Aufsichtsbehörde fungiert. So muss innerhalb von 24 Stunden nach einem signifikanten Vorfall eine Frühwarnmeldung erfolgen, wenn der Verdacht auf gezielte Kriminalität besteht oder es zu weiteren Auswirkungen kommen könnte. Spätestens nach 72 Stunden ist ein Update erforderlich, das über die Schwere des Vorfalls und Anzeichen einer Kompromittierung informiert. Auf Anfrage sind weitere Zwischenberichte zu liefern. Der Abschlussbericht, der eine genaue Beschreibung des Vorfalls enthält, muss innerhalb von einem Monat geliefert werden. Dieser umfasst Art und Ursache der Bedrohung, Gegenmaßnahmen sowie etwaige grenzüberschreitende Auswirkungen auf andere Unternehmen und Sektoren.
Um die Kommunikation und Vorgehensweisen innerhalb der EU zu organisieren, richten die Mitgliedstaaten ein nationales CSIRT (Computer Security Incident Response Team) ein. In Deutschland wird diese Rolle das BSI übernehmen. Die CSIRTs arbeiten EU-weit zusammen und berichten an die übergreifende und koordinierende Cyber-Sicherheitsbehörde ENISA (European Union Agency for Cybersecurity). NIS2 erweitert die Sicherheitsanforderungen in der EU und sieht die Verantwortung für sichere Lieferketten, klarere Meldepflichten sowie strengere Sanktionen bei Verstößen vor.
Beispiele für praktische Auswirkungen der NIS2-Richtlinie
Case Study zu Transportfirma: Um die NIS2-Richtlinie umzusetzen, musste ein transeuropäisches Transportunternehmen seine Cybersicherheits-Infrastruktur neu bewerten. Eine detaillierte Risikobewertung brachte mehrere Schwachstellen in den Altsystemen ans Licht. Das Unternehmen rüstete in der Folge sein System auf, führte eine strengere Zugangsverwaltung ein und erstellte einen soliden Reaktionsplan gegen potenzielle Cybersicherheits-Bedrohungen. Diese und weitere Änderungen stellten die Einhaltung der NIS2-Richtlinie sicher und stärkten die betriebliche Widerstandsfähigkeit des Unternehmens.
Case Study zu Energiedienstleister: Ein regionaler Energiedienstleister in der EU wurde gemäß der NIS2-Richtlinie als Operator of Essential Services (OES) eingestuft. Eine Lückenanalyse zeigte auf, in welchen Bereichen die Vorschriften nicht eingehalten wurden. Daraufhin wurden die Systeme zur Erkennung von Datenschutzverletzungen aufgestockt, die IT-Infrastruktur verstärkt und die Mitarbeiter regelmäßig in den neuesten Methoden zur Abwehr von Cyber-Bedrohungen geschult. Dank seiner proaktiven Vorgehensweise kann der Energiedienstleister die Richtlinie einhalten und sich gleichzeitig besser gegen potenzielle Cyber-Angriffe wappnen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Diese Fälle verdeutlichen, wie Lieferanten und Unternehmen, die von der NIS2-Richtlinie betroffen sind, sich an die veränderte Regulierungslandschaft anpassen, ihre Geschäftskontinuität sicherstellen und dabei das Vertrauen ihrer Interessengruppen bewahren.
Compliance mit intelligentem Datenmanagement erfüllen
Intelligente Datenmanagement- und Sicherheitslösungen unterstützen Unternehmen dabei, ihre Cybersicherheit zu verbessern und die Anforderungen der NIS2-Richtlinie zu erfüllen. Gute Datenmanagementlösungen bieten beispielsweise Analysen, automatisierte Gefahrenerkennung und Maßnahmen zur Eindämmung von Cyber-Angriffen auf Basis von Machine Learning und KI, sowie robuste Datensicherungsfunktionen, einschließlich Backup, Replikation und Wiederherstellung. Diese Funktionen gewährleisten die Verfügbarkeit und Ausfallsicherheit kritischer Systeme und Daten, was eine der Hauptanforderungen von NIS2 ist.
Darüber hinaus sind sichere Speicherlösungen erforderlich, die Daten im Ruhezustand und während der Übertragung schützen können. Verschlüsselung, Zugriffskontrollen und sichere Protokolle verhindern unberechtigten Zugriff und Datenverletzungen und entsprechen damit dem Sicherheitsfokus von NIS2. Ein wichtiger Faktor ist dabei die intelligente Erkennung sowie automatisierte Handhabung von ungewöhnlichen Datenaktivitäten im tagtäglichen Betrieb – dies vermeidet eine Mehrbelastung der Mitarbeiter.
Erfüllung der Compliance-Anforderungen von NIS2
Die Compliance muss laufend überprüft werden. Einheitliche Plattformen stellen dafür die benötigten Überwachungs- und Reporting-Tools zur Verfügung. Mit ihrer Hilfe können Unternehmen ihren Compliance-Status verfolgen, potenzielle Schwachstellen identifizieren und proaktive Maßnahmen ergreifen, um die Sicherheit aufrechtzuerhalten.Im Falle eines Angriffs schreibt die NIS2-Richtlinie schnelle Gegenmaßnahmen und Berichterstattung vor. Intelligente Datenmanagement-Lösungen erleichtern die Reaktion auf Vorfälle, indem sie die Erkennung von Gefahren automatisieren, nicht veränderbare Daten-Snapshots erstellen, optional Daten in Compliance-konformen, gesicherten Speicherbereichen oder DataVaults speichern sowie mit Wiederherstellungsmethoden eine schnelle Betriebsbereitschaft unterstützen.
Auf diese Weise können Unternehmen im Falle eines Cybersicherheits-Vorgangs Dienste und Daten wiederherstellen. Automatisierungs- und Orchestrierungstools tragen dazu bei, Compliance-Prozesse effizienter zu gestalten, das Risiko menschlicher Fehler zu verringern und die konsistente Anwendung von Sicherheitsrichtlinien zu gewährleisten. Ein intelligentes Datenmanagement unterstützt durch Analysen, Reportings, Testmöglichkeiten und Erkennung sowie Handhabung kann damit ein entscheidender Faktor sein, um die Compliance-Anforderungen von NIS2 zu erfüllen.
Ingo Kraft ist Senior Strategic Partner Technical Lead bei NetApp. Das Unternehmen ist auf Unified-Datenspeicher, integrierte Data Services und CloudOps-Lösungen spezialisiert.
:quality(80)/p7i.vogel.de/wcms/c4/0f/c40fc27b3ba9f4cb8921429a81e9fe88/deutsche-20telekom-t-20cloud-20public-16-9-1308x735v1.jpeg "Die Deutsche Telekom baut die T Cloud Public zur souveränen Cloud-Alternative aus. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/26/7f/267fe7086a35a99a8746d5328bc34387/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e2/fe/e2fecc72262f24cdac5e7d269cbc19af/it-trends-imageflow-adobestock-1767411415-neu-1200x675v1.jpeg "(Bild: © ImageFlow/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/06/7306fe7290414df91b2a4f5a89eee7ee/easy-20software-dms-teaser-16-9-1133x637v1.jpeg "(Bild: Easy Software)")
:quality(80)/p7i.vogel.de/wcms/ed/a3/eda36bff4eab74b47f38ae9c2f5962f8/cloud-erp-mahat-adobestock-835645806-mitkiv1.jpeg "(Bild: © mahat/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/a3/faa35b3be508b1bafeae8e481dad808c/hr-ipopba-adobestock-451361135-neu-780x439v1.jpeg "(Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/10/851074900a9e0eabf32944642cc2272f/adobestock-1270513612-vectorwin-colocation-996x560v1.jpeg "(Bild: © vectorwin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/c3/4ac353ac9ecdfc9c07cb9cd559a578a0/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/35/af35b7a70474e8d447c57993e0146b38/kit-quantentechnologien-karlsruhe-1230x691v1.jpeg "Die optische Schnittstelle für einen Quantenspeicher wird ein wichtiger Bestandteil von künftigen Quantennetzwerken sein. Der erste Teil davon wurde Anfang 2025 am KIT gebaut. (Bild: Markus Breig/KIT)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/e7/5c/e75c19a6fe17a3f6808c488cca304bd6/ki-security-igor-nazlo-adobestock-642102009-neu-997x561v1.jpeg "(Bild: © igor.nazlo/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/06/3e064c6104f3b0e5e74f8d5f06fbec86/kritis-leowolfert-adobestock-227539102-neu-878x494v1.jpeg "(Bild: © leowolfert/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/43/5843c738a7f9e1643d5b6a125a538e5e/akamai-nocc-pano-16-9-1200x674v1.jpeg "Akamai betreibt ein eigenes Network Operations Command Center. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fa6c8604a36abf5a0bf7679e44c1b/genua-genuline-bild-3390x1908v1.jpeg "Mit einer FPGA-Hardwarebeschleunigung verbindet das BSI-zugelassene VPN-Gateway genuline von genua Standorte mit quantensicherer Verschlüsselung. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/83/a8/83a862276bac51b761c5f27fe0d9e86b/ifs-cadillac-formel-1-team-bild2v1.png "Die Software von IFS unterstützt die Prozesse beim neuen Cadillac Formula 1-Team. (Bild: IFS)")
:quality(80)/p7i.vogel.de/wcms/9e/88/9e884cac1f5ea1b21159ac7c3bf73b76/flexera-it-management-2026-freepik-7360x4142v1.jpeg "(Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/8e/b6/8eb6d3ea6cb30a574a210867044222ac/ki-sutthiphong-adobestock-657414716-neu-841x473v1.jpeg "KI Strategie AI Agents (Bild: © Sutthiphong/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/8f/ab8ffbe890be3a99c5ab224c8a75768a/ai-20agent-looker-studio-adobestock-1490521906-neu-1200x674v1.jpeg "(Bild: © Looker_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/64/9664881a9782156c29ff3e6c4ca1f620/westwell-q-truck-qomolo-1080x607v1.jpeg "Autonome Q-Trucks des Modells Qomolo im Hafen von Laem Chabang. (Bild: Westwell )")
:quality(80)/p7i.vogel.de/wcms/f0/f0/f0f0feec71fb8ec1d2f3d343e327f829/ki-2rogan-adobestock-717342439-mitki-932x524v1.jpeg "(Bild: © 2rogan/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/77/d4/77d4aa1f8a50822209edc6b443190333/telekonnekt-bild3-4128x2321v1.jpeg "Das Service-Team der Telekonnekt unterstützt Arztpraxen und Apotheken bei der Umstellung auf die neue Telematikinfrastruktur. (Bild: Stefan Prager)")
:quality(80)/p7i.vogel.de/wcms/62/1a/621a89cd2d07f631880e43cda889118b/adobestock-1644426553-karina-digital-health-969x545v1.jpeg "(Bild: © KARINA/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/cd/30cd86fcb5d329cc823b8a6114db8189/dmea-20berlin-202025-16-9-2000x1124v1.jpeg "Die diesjährige DMEA findet vom 21. bis 23. April 2026 in der Messe Berlin statt. (Bild: © Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/37/0c3795d561b32378f5a1728f3efcedaa/esker-scott-20mcdermott-16-9-1200x674v1.jpeg "Scott McDermott ist neuer Chief Financial Officer von Esker. (Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b9165fa3dff/logo-kendox.jpeg "logo-kendox (Kendox AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/53/ad/53ad077d337f8d333df5729882747903/risk-20management-xilon-adobestock-584174168-neu-900x506v1.jpeg "risk-20management-xilon-adobestock-584174168-neu-900x506v1 (Bild: Xilon/Adobe Stock)")
:quality(80)/p7i.vogel.de/wcms/9f/2a/9f2a3502c54a540fa0bd37cad207a258/adobestock-1834271706-zerbor-compliance-2026-686x386v1.jpeg "adobestock-1834271706-zerbor-compliance-2026-686x386v1 (Bild: © Zerbor/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/3f/c33f4dc2fb0523d9ab41241a124908af/adobestock-1123283066-md-nazmul-nis-2-992x558v1.jpeg "adobestock-1123283066-md-nazmul-nis-2-992x558v1 (Bild: © MD NAZMUL/stock.adobe.com)")