Während es rund um die europäische NIS2-Direktive noch Rätselraten um eventuelle Übergangsfristen, die Befugnisse des BSI im Schadensfall sowie die Zuständigkeit in einigen Worst-Case-Szenarien herrscht, steht eines bereits fest: die Deadline.
Wer sich jetzt schon mit den neuen Vorgaben der NIS2 auseinandersetzt und handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert damit auch in deren Zukunftsfähigkeit.
(Bild: Gorodenkoff - stock.adobe.com)
Bis zum 17. Oktober 2024 müssen die Vorgaben der NIS2-Direktive durch die EU-Mitgliedsstaaten in nationales Recht umgesetzt sein. In Deutschland gibt es dazu das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG). Wohlgemerkt: Zu diesem Datum muss alles geklärt und spruchreif sein. Ob es eine Übergangsfrist gibt, während der Unternehmen die Gelegenheit bekommen, die Vorgaben umzusetzen, ist nicht sicher. Vermutlich wird es aber keine geben. Diese Deadline ist schon für die gesetzgebenden Organe in Deutschland ziemlich sportlich. Und dabei regelt das Gesetz „nur“ das, was auf der Bundesebene gilt. Von landesspezifischen Regelungen ist hier noch gar nicht die Rede. So oder so, die Zeit ist knapp.
Umso dringender müssen potenziell betroffene Unternehmen sich nun darum kümmern, die Vorgaben der NIS2 umzusetzen. Nachfolgend finden Sie fünf Tipps, um schnellstmöglich NIS2-konform zu werden.
1. Identifizieren: Bin ich betroffen?
Die erste Frage im Prozess muss lauten: Ist mein Unternehmen überhaupt von der NIS2 betroffen? Manche Unternehmen fallen nach der erweiterten Definition für kritische Infrastrukturen nämlich darunter, obwohl sie es bisher nicht taten. Insgesamt existieren 18 Industriesektoren, auf die die NIS2 direkt anwendbar ist. Wer unter die Direktive fällt, muss sich entsprechend registrieren und auch eine Kontaktmöglichkeit angeben.
Zu den unter die NIS-2 fallenden Unternehmen gehören nicht nur die „Klassiker“ wie Strom-, Gas- und Wasserversorgung. Ein interessantes Detail ist, dass die NIS2 keinen Unterschied zwischen einer Anlage und deren Betreiber macht. Praktisch bedeutet das, dass nicht nur etwa eine Wasseraufbereitungsanlage zu den kritischen Infrastrukturen der Kategorie „Essenziell“ gehört und in der IT-Sicherheit entsprechend aufgestellt sein muss, sondern auch das gesamte Unternehmen mit all seinen Unterabteilungen – auch, wenn diese vielleicht gar keine Berührungspunkte mit der eigentlichen Anlage haben. Da auch Lieferketten durch die NIS2 gestärkt werden sollen, fallen potenziell auch Lieferanten und Servicebetreiber unter diese Direktive.
2. Bestandsaufnahme
Steht fest, dass die NIS2-Direktive für das eigene Unternehmen zur Anwendung kommt, gilt es zunächst, den aktuellen Stand zur internen IT-Sicherheit zu erheben. Hierbei können externe Dienstleister unterstützen, die auf IT-Sicherheit spezialisiert sind. Denn diese sind mit den häufigsten Einfallswegen von Angreifergruppen vertraut und wissen, welche Maßnahmen zu ergreifen sind, um bestehende Mängel zu beseitigen. Das Spektrum der Möglichkeiten reicht von unnötig exponierten IT-Systemen bis hin zum veralteten Patchstatus einzelner Systeme.
Die IT-Sicherheit besteht jedoch nicht nur aus technischen Maßnahmen, sondern auch zu einem großen Teil aus Prozessen. Daher lohnt sich bei der Bestandsaufnahme ein Blick auf die aktuell bestehenden Prozesse innerhalb des Unternehmens. Wie funktionieren Meldeketten für Sicherheitsvorfälle? Sind die Listen mit Ansprechpartnern noch korrekt und aktuell? Wie sieht es mit dem Notfall- und dem Back-up-Plan aus?
Artikel 21 Absatz 2 der NIS2 sieht vor, dass betroffene Unternehmen in allen Bereichen der Cybersicherheit deutlich aufrüsten müssen – gegenüber dem Stand, der vielerorts noch herrscht. Neben der Einführung von Zwei-Faktor-Authentisierung und unternehmensweiten Sicherheitstrainings, gehören auch Risiko- und Notfallmanagement explizit dazu. All diese Maßnahmen beschreiben die Mindestanforderungen. Hier liegt eine der großen Stärken der NIS-2 und damit auch für einige Unternehmen die größten Herausforderungen – und auch Chancen.
3. Übersicht herstellen
Einer der Bereiche, in denen gerade kleine und mittelständische Unternehmen großen Nachholbedarf haben, ist die Überwachung des eigenen Netzwerkes auf verdächtige Aktivitäten. Viele Angriffe, die in der Vergangenheit große Schäden angerichtet haben, hätten rückwirkend betrachtet verhindert werden können, wenn die in Logdateien gespeicherten Informationen sinnvoll ausgewertet worden wären. Technische Möglichkeiten gibt es am Markt in großer Zahl und die meisten können nutzbringend eingesetzt werden – doch für viele Unternehmen ist ein „großes“ SIEM wirtschaftlich nicht tragbar. Externe Unterstützung ist daher unumgänglich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Einzelne Teile der IT, vor allem den Bereich der IT-Sicherheit, an einen externen Dienstleister auszulagern, birgt zahlreiche Vorteile: Zum einen kann ein Unternehmen von der Expertise des Dienstleisters profitieren. Zum anderen bleibt die Skalierbarkeit erhalten. Voraussetzung dafür ist jedoch, dass die von einem Dienstleister übersandten Berichte und Daten verständlich und auswertbar sind. Hier muss intern die entsprechende Personaldecke geschaffen oder Mitarbeitende entsprechend qualifiziert werden. Mit bloßer Auslagerung ist es also nicht getan.
4. Wirksamkeit der Sicherheitsmaßnahmen prüfen
Gehen wir einmal davon aus, dass nach einem extern durchgeführten initialen Assessment die wesentlichen Einfallstore für Angriffe geschlossen worden sind. Anschließend sollte ein Test dieser Maßnahmen erfolgen, um sicherzustellen, dass sie auch tatsächlich wirksam sind. NIS2 sieht hier übrigens eine solche Überprüfung in regelmäßigen Abständen vor und trägt damit der Tatsache Rechnung, dass IT-Sicherheit niemals statisch sein kann, sondern sich immer den aktuellen Erfordernissen anpassen muss.
Penetrationstests sind neben Red-Teaming eines der wirksamsten Mittel, um das eigene Sicherheitslevel zu überprüfen. Hier treten die Schwachstellen in der eigenen Verteidigung zutage, die nicht auf den ersten Blick auffallen. Da jedoch das Konzept „Penetrationstest“ nicht einheitlich geregelt ist, lohnt es sich, in den Dialog mit entsprechenden Anbietern zu gehen, und dabei die eigenen Anforderungen auf der einen und den Leistungsumfang des jeweiligen Anbieters auf der anderen Seite klar zu umreißen.
5. Incident Response stärken
Kurze Meldepflichten kennen wir bereits aus der EU-Datenschutzgrundverordnung. Dort sind 72 Stunden angesetzt. NIS2 zieht die Daumenschrauben noch ein paar Umdrehungen fester: Eine erste Meldung muss bei besonders wichtigen Einrichtungen innerhalb von maximal 24 Stunden nach Kenntniserlangung erfolgen. Ein zweiter Timer läuft gleich mit – 72 Stunden nach Kenntniserlangung eines Sicherheitsvorfalls muss ein erster Bericht vorliegen, der eine Bewertung der Indicators of Compromise sowie der Schwere des Vorfalls beziehungsweise des Angriffs enthält. Spätestens einen Monat nach Meldung des Vorfalls muss ein ausführlicher Abschlussbericht vorliegen.
Gerade der letzte Punkt ist entscheidend für den Erfolg der NIS2 und enthält bereits den Kern der Direktive: Die Stärkung der Resilienz kritischer Infrastrukturen gegenüber Angriffen. Das können die wenigsten Unternehmen derzeit mit Bordmitteln bewerkstelligen, weshalb es nun praktisch unumgänglich ist, sich mit einem vertrauenswürdigen und kompetenten Dienstleister an einen Tisch zu setzen und sich an die Arbeit zu machen.
Wer sich jetzt schon mit den neuen Vorgaben auseinandersetzt und handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert damit auch in deren Zukunftsfähigkeit.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/da/e1dae6f55425d75714079fffad8e4ad1/0129247479v2.jpeg "Exclusive Networks nimmt Zero Networks ins DACH-Portfolio auf. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/17/fd1778d08449fea134998137a6b60297/0129245350v1.jpeg "Nur 1.034 Gramm bringt das Acer Travelmate P6 14 AI in der von uns getesteten Version auf die Waage. In dem Chassis aus Aluminium-Magnesium-Legierung sitzt ein Mainboard mit einem Intel Core Ultra 7 258V. Das 14-Zoll-IPS-Display liefert die Full-HD+-Auflösung, allerdings nur mit 60 Hz. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/61900/61906/65.jpg "HDIT_LOGO RZ_130920_F_RGB.jpg ()")
:quality(80)/p7i.vogel.de/wcms/b7/02/b702a78a60a2be9c8bae1d8c4608661f/0125297112v2.jpeg "Viele Unternehmen müssen sich infolge der NIS2-Richtlinie intensiver als bisher mit Cyberrisiken und einer Stärkung ihrer Resilienz befassen. (Bild: © Egor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")