Nach dem Regierungswechsel muss die NIS2-Richtlinie in Deutschland erneut das Gesetzgebungsverfahren durchlaufen. Der Umsetzungsstichtag wird für das letzte Jahresdrittel erwartet. Eine Galgenfrist für deutsche Unternehmen.
Was das Thema NIS2 angeht, trägt Deutschland in Europa die rote Laterne.
(Bild: Dall-E / KI-generiert)
Deutschland hat es nicht geschafft, die NIS2-Richtlinie fristgemäß zum 17. Oktober 2024 umzusetzen. Deshalb läuft jetzt ein Vertragsverletzungsverfahren der EU-Kommission gegen Deutschland. Voraussichtlich im letzten Jahresdrittel will die neue Bundesregierung das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) endlich unter Dach und Fach bringen. Doch klar ist: NIS2 wird kommen und muss dann auch von jedem betroffenen Unternehmen bis spätestens zum Stichtag umgesetzt werden.
Mindestens 30.000 Unternehmen fallen unter die NIS2-Richtlinie und unterliegen künftig einer Meldepflicht. Die Betroffenheit muss selbst ermittelt werden. Dazu finden sich als Hilfestellung sogenannte NIS2-Checker im Internet. Deutsche Unternehmen müssen sich nach Inkrafttreten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Unternehmensbezeichnung, Anschrift, Kontaktdaten sowie einer Liste aller EU-Mitgliedsstaaten, in denen eine Tätigkeit erfolgt, registrieren. Das BSI plant dafür eine digitalisierte Online-Portallösung. Weiterhin muss Cybersecurity künftig auch über Unternehmensgrenzen hinaus in der gesamten Lieferkette berücksichtigt werden.
Unter die Pflichten für die betroffenen Unternehmen fällt zudem, dass Risikomanagementmaßnahmen zu ergreifen sind, das heißt, sie müssen geeignete technische, operative und organisatorische Maßnahmen implementieren, um Risiken zu minimieren und die Auswirkungen von Sicherheitsvorfällen zu reduzieren. Dazu zählen beispielsweise Risikoanalyse und -bewertung, die Überwachung und Kontrolle der Sicherheitsmaßnahmen, Incident Response, Dokumentation und Nachweis, sowie die regelmäßige Schulung und Sensibilisierung der Mitarbeiter. Betreiber kritischer Anlagen werden vermutlich weitere Auflagen bekommen. Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der europäischen NIS2-Richtlinie wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.
International tätige Unternehmen müssen sich in allen EU-Ländern registrieren, in denen sie tätig sind und die dort geltenden, eventuell von der deutschen Umsetzung abweichenden Pflichten erfüllen, sofern die nationalen Gesetze dies erfordern. Ausnahmen sind hier beispielsweise vorgesehen für DNS-Diensteanbieter, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Managed Service Provider und Managed Security Service Provider. Für diese soll eine zentrale Registrierung und Meldepflicht in dem EU-Mitgliedsstaat gelten, in dem das betroffene Unternehmen seine Hauptniederlassung hat.
NIS2-Umsetzung in Europa
Der 17. Oktober 2024 war die Deadline für die EU-Mitgliedsstaaten, die NIS2-Richtlinie in nationales Recht umzusetzen. Fristgerecht geschafft haben dies lediglich Belgien, Italien, Kroatien und Litauen. Dieses Jahr zogen bis Redaktionsschluss Finnland, Griechenland, Lettland, die Slowakei und Ungarn nach. Teilweise umgesetzt wurde die Richtlinie in Dänemark und Rumänien.
In Bulgarien, Estland, Frankreich, Irland, Luxemburg, Malta, den Niederlanden, Norwegen, Österreich, Polen, Portugal, Schweden, Slowenien, Spanien, der Tschechischen Republik und Zypern läuft noch das Gesetzgebungsverfahren.
Da sich in Deutschland nach dem Ende der Ampelkoalition keine politische Mehrheit für das Gesetz gefunden hatte, muss der Prozess von der neuen Regierung nochmal neu aufgerollt werden. Welche zeitlichen Verzögerungen sich dadurch für die Umsetzung ergeben, kann derzeit noch nicht abgesehen werden.
Einen potenziellen Sicherheitsvorfall muss ein Unternehmen „unverzüglich“, auf jeden Fall aber innerhalb von 24 Stunden melden – auch an Feiertagen und Wochenenden. Für das BSI gilt hier „Schnelligkeit vor Vollständigkeit“. Regelmäßige Updates zu der Benachrichtigung nach 72 Stunden und nach 30 Tagen sowie ein Abschlussbericht innerhalb eines Monats gehören nun ebenfalls zum Pflichtprogramm. Einen „Sicherheitsvorfall“ definiert Artikel 6 der NIS2-Richtlinie als „ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt“. Weiterhin gibt es noch den „erheblichen Sicherheitsvorfall“, der darüber hinausgehend entweder „schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann“ oder „andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann“, so das BSI.
Das NIS2UmsuCG muss zwar nach dem Regierungswechsel nochmals Bundestag und Bundesrat durchlaufen. Doch sind betroffene Unternehmen gut beraten, wenn sie sich – falls noch nicht geschehen – an den IT-Dienstleister ihres Vertrauens wenden. Dieser unterstützt bei der Risikoanalyse und -bewertung, hilft mit der Implementierung technischer Maßnahmen NIS2-ready zu werden, kann die Mitarbeitenden schulen und die Dokumentation der Maßnahmen übernehmen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/42/07/4207a6ae481716e03ae4ec1b66b3743d/0129161840v1.jpeg "Patrick van Tent wird zum neuen Vorstand der Verbundgruppe berufen. (Bild: ElectronicPartner)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/48/2a/482a0953bf55fcc497763f7dadb6c5d6/0129166170v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/58/9c/589c1ae4ba47109676e32d27326f4156/0129180939v1.jpeg "Omdia sagt für 2026 voraus, dass der Channel-Anteil der weltweiten IT-Ausgaben sinken wird, Partner aber weiterhin eine zentrale Rolle bei IT-Endscheidungen spielen werden. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a0/be/a0beed8f2d60f30d7d59cd2291afbc86/0129137168v1.jpeg "Die AKI PrinTaurus Security Suite soll Drucker und MFPs durch eine regelbasierte und automatisierte Absicherung der gesamten Systemflotte von digitalen Angriffen schützen. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/63/7d634afbaa49454d513a3567bdfeaae7/0129100796v1.jpeg "Microsoft hat einen neuen KI-Chip, Maia 200, vorgestellt. Der Spezialchip soll KI-Anwendungen schneller und günstiger machen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/6f/736f9c78b66ca8749648733cd2abece8/0129110858v2.jpeg "Das Darknet ist wie ein weitverzweigtes Spinnennetz, das tief unter der Oberfläche des Internets lauert. In den schattigen Ecken und dunklen Fäden verbergen sich krumme Geschäfte und gefährliche Kontakte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/53/4d530c341109cbb9fba633d62a24960d/0129077672v1.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/61900/61906/65.jpg "HDIT_LOGO RZ_130920_F_RGB.jpg ()")
:quality(80)/p7i.vogel.de/wcms/6b/a5/6ba5c08c2ebd9bfb527fca2e9af1b05a/0121288842v1.jpeg "Die NIS2-Richtlinie soll die Cybersicherheit in Europa verbessern. Unsere „Checkliste zur Umsetzung der NIS2-Anforderungen“ soll einen ersten Überblick über relevante Themenfelder bieten. Sie erhebt keinen Anspruch auf Vollständigkeit, berücksichtigt auch nicht alle Aspekte, bietet jedoch einen guten Einstieg in das Thema! (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/a3/dea39938f6956cb809273dcc9608334a/0121141120v1.jpeg "NIS2 und DORA mögen zunächst wie zusätzliche Compliance-Hürden erscheinen, bieten jedoch eine Chance, Informationssicherheit als integralen Bestandteil der Unternehmensstrategie zu etablieren. (Bild: Firefly / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b7/02/b702a78a60a2be9c8bae1d8c4608661f/0125297112v2.jpeg "Viele Unternehmen müssen sich infolge der NIS2-Richtlinie intensiver als bisher mit Cyberrisiken und einer Stärkung ihrer Resilienz befassen. (Bild: © Egor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/c6/fbc66db9d7f25dca8098c71c51d9e15d/0129168715v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")