Bis Oktober 2024 bleibt noch viel Zeit – diese Meinung hält sich hartnäckig in zahlreichen IT-Abteilungen deutscher Unternehmen. Spätestens bis dahin müssen alle EU-Staaten die neue EU-Richtlinie NIS2 in nationales Recht umgesetzt haben. Doch die vermeintlich großzügige Frist ist tückisch.
(Quelle: gremlin - istock)
Innerhalb der Ampel-Koalition wächst der Druck, das Gesetzgebungsverfahren für das zugrunde liegende KRITIS-Dachgesetz möglichst bald nach der Sommerpause in nationales Recht einzubetten. Das IT-Sicherheitsgesetz 3.0 soll bis Ende 2023 und unter der Berücksichtigung des erweiterten Geltungsbereichs von NIS2 angepasst werden. [Akima1] Sobald das geschehen ist, gilt es für Unternehmen hierzulande ihre Cybersecurity zu überdenken. Die bisherige KRITIS-Verordnung betraf lediglich größere Unternehmen mit bedeutendem Versorgungsgrad, doch mit den neuen Vorschriften werden die Schwellenwerte erheblich sinken.Die für kritische Infrastrukturen geltenden Mindestanforderungen an die Cybersecurity richten sich daher zukünftig an eine breite Masse deutscher Firmen.
Doch was auf den ersten Blick als Einschränkung anmutet, ist in Wahrheit eine günstige Gelegenheit, etablierte IT-Sicherheitsstrategien zu hinterfragen und diese zu erweitern – gerade im Hinblick auf die Sicherheit von Anwendungen in der Cloud. Dass hierfür genug Zeit bleibt, ist ein Trugschluss. Genau das Gegenteil ist der Fall. Nur wer jetzt vorausschauend plant, wird langfristig profitieren.
NIS2: „Wesentliche“ und „wichtige“ Einrichtungen
Die neue EU-Richtlinie NIS2 determiniert „wesentliche“ und „wichtige“ Unternehmen. Anstatt wie in der Vergangenheit nach Schwellenwerten zu unterscheiden, werden betroffene Betriebe nach Inkrafttreten der Verordnung anhand „uniformer Kriterien" ermittelt. Die Mindestanforderungen gelten für Organisationen mit 50 bis 250 Beschäftigten und einem Umsatz zwischen zehn und 50 Millionen Euro sowie einer Bilanz bis 43 Millionen Euro. Darüber hinaus müssen betroffene Unternehmen ihre Lieferketten absichern. Erforderliche Cybersecurity-Maßnahmen gelten damit auch für alle Zulieferbetriebe. Führungskräfte stehen in der Pflicht, sicherzustellen, dass die internen Maßnahmen den Sicherheitsanforderungen des KRITIS-Dachgesetzes und des IT-Sicherheitsgesetzes 3.0 entsprechen. Sollten sie das versäumen, drohen empfindliche Strafen: für „wesentliche“ Einrichtungen mehr als zehn Millionen Euro oder zwei Prozent des Jahresumsatzes, für „wichtige“ mindestens sieben Millionen oder 1,4 Prozent.
Cloud-Anwendungen im Fokus
Bei der Ausarbeitung der digitalen Sicherheitsarchitektur verdienen Cloud-Anwendungen besondere Aufmerksamkeit. Denn Cloud-Dienste kommen heute in einer Mehrheit der Unternehmen zum Einsatz und vergrößern die Angriffsfläche sowie die Anzahl der potenziellen Einfallstore. Vernachlässigen Unternehmen die Cloud, haben Hacker ein leichtes Spiel, Daten zu entwenden oder zu manipulieren. Betriebe, die in Cloud-Security investieren, erhöhen das Sicherheitsniveau und sind auch auf zukünftige Entwicklungen und strengere regulatorische Anforderungen vorbereitet. Ganzheitliche Sicherheitsmaßnahmen lassen sich nach Bedarf adaptieren – egal ob Private-, Public-, Hybrid- oder Multi-Cloud.
Für das richtige Cybersecurity-Konzept gilt es zunächst den Status quo zu überblicken. Die Analyse der Cloud-Umgebung und erhobene Daten können potenzielle Risiken offenlegen. Systeme wie ein Security Information and Event Management (SIEM) helfen unter anderem dabei herauszufinden, wie Anwendungen in der Cloud genutzt werden und wo die Sicherheit leidet. Daraus lässt sich ableiten, welche Maßnahmen sinnvoll sind.
Anforderungen an das Cybersecurity-Konzept
Es gibt vier wesentliche Anforderungen, die Unternehmen bei der Umsetzung eines Cybersecurity-Konzeptes berücksichtigen müssen:
Schutz am Netzwerk-Edge: Technologien wie unter anderem Firewalls sowie Intrusion Detection und Prevention Systeme (IDPS) bieten einen Schutz vor Bedrohungen aus dem Internet oder anderen externen Netzwerken.
SASE: Das Netzwerk-Edge ist nicht mehr nur On-Premises zu finden. Denn Anwendungen sind weiter verteilt als jemals zuvor. Das Sicherheitskonzept Secure Access Service Edge (SASE) stellt die Funktionen bereit, die eine sichere Konnektivität über verteilte Anwendungen, Geräte und User hinweg gewährleisten.
Kontrolle über den Datenverkehr: Cloud Access Security Broker (CASB) und Data Loss Prevention (DLP) schützen die Kommunikation innerhalb und außerhalb der Cloud-Umgebung.
Ihr ganzes Potenzial entfalten Lösungen erst, wenn Experten sie mit einer umfassenden Cloud-Security-Strategie sorgfältig konfigurieren und updaten. IT-Abteilungen in Unternehmen sind oft bereits mit dem Tagesgeschäft ausgelastet.Externe Dienstleister, sogenannte Managed Security Services Provider (MSSP), können hier wertvolle Unterstützung bieten. Spezialisten wie Axians überwachen Netzwerkgeräte, Cloud-Dienste und Endgeräte, prüfen Netzwerkverkehr und reagieren auf Risiken. Dessen Security Operation Center (SOC) nutzt Tools wie SIEM (Security Information and Event Management) und IDS/IPS (Intrusion Detection/Prevention) Systeme. Diese analysieren Daten und identifizieren Bedrohungen. Offenbart sich ein Risiko, reagiert das SOC und leitet konkrete Abwehrmaßnahmen ein.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
(In Zeiten des Fachkräftemangels bieten MSSPs vor allem Mittelständlern Unterstützung. Dennoch nutzen bisher nur knapp 30 Prozent ihre Dienste. (Quelle: Axians IT Security GmbH))
NIS2: Richtiger Zeitpunkt für Security-Maßnahmen
Vorausschauende und umfassende Investitionen in ganzheitliche Cloud-Security-Konzepte antworten effektiv auf zukünftige Cyberbedrohungen und strengere regulatorische Anforderungen wie NIS2. Sie schaffen eine resiliente sowie nachhaltige Sicherheitsarchitektur für kleine wie für große Betriebe. Unternehmen, die inhouse nicht über die nötigen Experten verfügen, können Cybersecurity auslagern – bestenfalls direkt zu Beginn der Umstrukturierungen mit externen Dienstleistern wie Managed Security Services Provider (MSSP) zusammenzuarbeiten. Diese entwickeln dann individuelle, maßgeschneiderte Cloud-Security-Strategien und unterstützen interne IT-Abteilungen bei der Umsetzung.
(Tobias Olgemöller ist Senior IT Security Consultant bei Axians IT Security. (Bild: Axians IT Security))
Über den Autor: Tobias Olgemöller ist Senior IT Security Consultant bei Axians IT Security. Diese gehört zur Unternehmensgruppe Axians in Deutschland, die Teil des Markennetzwerkes für ICT-Lösungen von Vinci Energies ist. Mit ihrem ICT-Portfolio unterstützt die Gruppe Unternehmen, Kommunen und öffentliche Einrichtungen, Netzbetreiber sowie Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. (sg)
:quality(80)/p7i.vogel.de/wcms/85/6d/856d85b787661e67159bda79b02f8ee5/inform-logimat-16-9-1297x729v1.jpeg "Inform zeigt auf der LogiMAT 2026 KI-Lösungen für Supply Chain, Produktion und Logistik. (Bild: Inform)")
:quality(80)/p7i.vogel.de/wcms/4e/33/4e33731b1a6b16b6eec99d05a4151c5c/adobestock-127444532-eva-bocek-digitalisierung-skigebiet-wine-oclock-1000x563v1.jpeg "(Bild: © Eva Bocek/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/96/8e9643920d40ef4c56b89ed9db46399e/vertragsmanagement-chaylek-adobestock-552515632-neu-900x506v1.jpeg "(Bild: © chaylek/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/ef/1def8868f8b42a11d18bd5e94167fd5e/adobestock-216443774-peterschreiber-media-hosting-plattformen-889x500v1.jpeg "(Bild: © peterschreiber.media/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/0e/860e222f7a06559b87d280c18d4a9132/cloud-kosten-zongyi-adobestock-1173924342-mitki-1200x675v1.jpeg "(Bild: © zongyi/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/62/d762f723c8f5836ff32165315e26529b/oracle-trends-oci-3-2-1400x788v1.jpeg "(Bild: © nurionstudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/8d/798d7510066a8b2838dd1555729f6353/rechenzentrum-real-adobestock-587469792-neu-900x506v1.jpeg "(Bild: © Real/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/90/1c/901c1c145f6408431c9d1ed47ae9a26d/quantencomputing-riverland-20studio-adobestock-829503049-mitki-1197x673v1.jpeg "(Bild: Riverland Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/b0/3ab031df7e7752b407e7228c769d3b3d/quantum-echoes-google-willow-999x562v1.jpeg "(Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/e6/ce/e6cecfa23e7a86aa1f4233bbf642a823/trend-20vision-20one-plattform-16-9-1287x724v1.jpeg "Die Konsole von Trend Vision One visualisiert die gesamte Ereigniskette über alle Sicherheitsstufen hinweg. (Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/f7/ad/f7adeaeebb22c641e8ac7223a4bc6b31/ki-nirusmee-adobestock-845057742-neu-1200x675v1.jpeg "(Bild: © Nirusmee/stock.adobe.com )")
:quality(80)/p7i.vogel.de/wcms/59/9c/599c1b87712102a3adafd071642dc39e/cybersecurity-janniklas-adobestock-593901574-16-9-1100x618v1.jpeg "(Bild: © JanNiklas/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/d2/6ed25e8d3b980b1560d45aaa3d816fec/soc-vadym-adobestock-1337750513-mitki-1200x675v1.jpeg "(Bild: © Vadym/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/01/dc/01dce703d7aa4721610687fe395fce7d/quadient-gettyimages-16-9-1200x675v1.jpeg "(Bild: GettyImages)")
:quality(80)/p7i.vogel.de/wcms/89/39/8939bc93a42d35c013fedfc22670cab7/db-deutsche-20telekom-zentrale-16-9-1200x674v1.jpeg "(Bild: Deutsche Telekom Quantum Systems)")
:quality(80)/p7i.vogel.de/wcms/a9/91/a9910a7fe66c44a729a92994d01334c9/ki-sam-20richter-adobestock-836690625-neu-1197x673v1.jpeg "(Bild: © sam richter/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/eb/94eb9f2fa3eda7c475bbc15ab0a37d7e/digital-20health-sdecoret-adobestock-178705480-neu-999x562v1.jpeg "(Bild: © sdecoret/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/b6/24b68cce7fa55a4602ba4e9fd2745640/telekom-fraunhofer-20iais-schockraum-16-9-1208x679v1.jpeg "Deutsche Telekom, Fraunhofer IAIS und Kliniken der Stadt Köln entwickeln einen KI-Agenten für Unterstützung im Schockraum. (Bild: Generiert mit GPT-5)")
:quality(80)/p7i.vogel.de/wcms/ac/6a/ac6a24bddb3ad60f9ebfaf7de90c571c/doctolib-gesundheitserinnerung-screenshot-2380x1338v1.jpeg "Doctolib unterstützt die Gesundheitserinnerung für Früherkennungs- und Vorsorgetermine. (Bild: Doctolib)")
:quality(80)/p7i.vogel.de/wcms/d4/7d/d47d4cd98fc5638a2130e5e6f23ba905/ki-sutthiphong-adobestock-657414716-neu-841x473v1.jpeg "(Bild: © Sutthiphong/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/3c/ae/3caedaaf36a91e48aaa438039a0d6ce4/the-20world-20of-20work-202026-204-1280x720v1.jpeg "(Bild: International Workplace Group)")
:quality(80)/p7i.vogel.de/wcms/a1/4b/a14ba6248cece276c72650e7b96590ec/arbeitsplatz-iftikhar-20alam-adobestock-1202424560-mitki-1200x675v1.jpeg "(Bild: © Iftikhar alam/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/4c/94/4c943f22c4957342715dff520ecd4205/retarus-adobestock-westend61-1904x1072v1.jpeg "Das Update von Retarus IDP beschleunigt komplexe Supply-Chain-Prozesse. (Bild: Retarus)")
:quality(80)/p7i.vogel.de/wcms/9f/2a/9f2a3502c54a540fa0bd37cad207a258/adobestock-1834271706-zerbor-compliance-2026-686x386v1.jpeg "(Bild: © Zerbor/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b9165fa3dff/logo-kendox.jpeg "logo-kendox (Kendox AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b918972f33e/logo-softeq.jpeg "logo-softeq (Softeq Development GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/c3/3f/c33f4dc2fb0523d9ab41241a124908af/adobestock-1123283066-md-nazmul-nis-2-992x558v1.jpeg "adobestock-1123283066-md-nazmul-nis-2-992x558v1 (Bild: © MD NAZMUL/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/3c/d43c208493c17758a3f49a429e8483d5/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1 (Bild: Looker_Studio/Adobe Stock)")