NIS2 ist am 6.12.2025 in Kraft getreten und für viele Unternehmen ein verspäteter Weckruf. Zurücklehnen ist keine Option mehr. Anforderungen der Richtlinie, Meldepflichten und Strafzahlung gelten und müssen strategisch wie operativ umgesetzt werden.
Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen.
(Bild: Midjourney / KI-generiert)
Anders als eine direkte Verordnung ist NIS2 eine EU-Richtlinie und richtet sich damit an die Mitgliedsstaaten der Europäischen Union. Diese müssen aus der Richtlinie eine entsprechende Verordnung für ihr eigenes Land festlegen. In Deutschland hat sich die Umsetzung von NIS2 lange verzögert. Doch seit dem 6. Dezember 2025 ist die Verordnung in Kraft. Das heißt, dass die Vorbereitungszeit für betroffene Unternehmen vorbei ist. Diese sollten sich bereits auf Audits und Überprüfungen einstellen.
Wen betrifft NIS2?
Wer fällt unter die NIS2-Richtlinie?
Unternehmensgröße: Öffentliche und private Einrichtungen mit mindestens 50 Beschäftigten oder mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme
Sektorzugehörigkeit: Einrichtungen aus den 14 Sektoren Energie, Transport und Verkehr (Luft-, Schienen-, Straßenverkehr, Schifffahrt), Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum, Transport und Verkehr (Post- und Kurierdienste), Abfallwirtschaft, Produktion/Herstellung/Handel mit chemischen Stoffen, Produktion/Verarbeitung/Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste, Forschung
„NIS2 ist bei vielen unserer Kunden inzwischen angekommen – allerdings mit unterschiedlicher Intensität“, beschreibt Andreas Weyert, Senior Architect Information Security bei PCO, die Situation. Die Richtlinie gilt bereits ab 50 Mitarbeitenden oder einem Jahresumsatz von zehn Millionen Euro und umfasst damit rund 30.000 Unternehmen.
Sie betrifft jedoch nicht nur große Unternehmen, sondern auch viele KMU sowie Dienstleister in verschiedenen kritischen Sektoren. Dazu gehören die Gesundheitsversorgung, Energieversorgung, Wasserwirtschaft, Transport und Informationstechnologie. IT-Lösungsanbieter sind häufig sowohl selbst als auch als Dienstleister betroffen. Und: „Auch IT-Dienstleister, die selbst nicht unter die Richtlinie fallen, müssen sich fundiertes Wissen aneignen, um ihre Kunden kompetent zu begleiten“, weiß Johannes Ulbrich, Senior Pre-Sales Manager Cybersecurity bei Elovade.
Wir sehen wachsendes Interesse bei mittelständischen Unternehmen, die zunehmend erkennen, dass sie ebenfalls unter die erweiterten NIS2-Kategorien fallen.
Patrick Scholl, Director OT CoE bei Infinigate
Grundsätzlich sind Großunternehmen und KRITIS-nahe branchenführend bei der Umsetzung. Doch auch die Sektoren und die Motivation des Managements haben großen Einfluss auf den Fortschritt. Patrick Scholl, Director OT CoE bei Infinigate, sieht beispielsweise „wachsendes Interesse bei mittelständischen Unternehmen, die zunehmend erkennen, dass sie ebenfalls unter die erweiterten NIS2-Kategorien fallen. Darüber hinaus steigt die Nachfrage in OT-nahen Branchen, in denen die enge Verzahnung von IT- und Produktionsnetzwerken neue Risiken schafft und die geschäftskritische Wertschöpfungskette bedrohen kann“.
Florian Ender, IT-Security-Manager bei SecTepe, erklärt, dass „dort, wo Betroffenheit als wichtiges oder sehr wichtiges Unternehmen herrscht, haben wir bisher sehr positive Erfahrungen dahingehend gemacht, dass das Management sehr hinter der Erfüllung der NIS2-Vorgaben steht und dafür auch die entsprechenden Ressourcen bereitstellt“. „Wir haben sehr früh begonnen, unsere Kunden und Partner zu informieren und zu unterstützen, beispielsweise mit Webinaren, Whitepapers, Vorträgen und Leitfäden. Viele Unternehmen haben sich rechtzeitig mit den Anforderungen beschäftigt und erste Maßnahmen umgesetzt. Trotzdem sehen wir noch immer viele, die das Thema unterschätzt haben und jetzt unter Zeitdruck geraten“, erzählt Maik Wetzel, Strategic Business Development Director DACH bei Eset Deutschland.
Was ist das Ziel von NIS2?
Das Ziel von NIS2 ist es, das Sicherheitsniveau aller EU-Staaten zu erhöhen und damit die digitale Umgebung in Europa abzusichern. Für den kritischen Bereich soll eine fortlaufende Versorgung mit konsistenten Standards erreicht werden. Um dies zu erreichen, muss die gesamte Lieferkette mit den Standards versehen werden, um Angriffe und Cyberbedrohungen erfolgreich zu bewältigen und mögliche Ausbreitungen zu Partnern und Kunden zu vermeiden. Eine erfolgreiche Umsetzung von NIS2 kann nur dann erfolgen, wenn „Menschen, Prozesse und Technologien gleichermaßen berücksichtigt werden“, wie Dirk Müller-Niessner, CTO bei Bechtle, weiß. Thomas Kress, Gründer und CEO beim Systemhaus Deutsche Cyberkom ist zudem überzeugt: „Gerade Organisationen, die sich bisher nur oberflächlich oder gar nicht mit Informationssicherheit beschäftigt haben, profitieren massiv: Sie erhalten einen klaren Orientierungsrahmen, der ihnen hilft, Risiken endlich strukturiert zu adressieren und bestehende Schwachstellen gezielt abzuarbeiten.“
Der Gesetzgeber schreibt kein starres Korsett vor. Diese Flexibilität macht NIS2 zu einem praxisnahen Instrument, das nicht bremst, sondern befähigt.
Thomas Kress, Gründer und CEO beim Systemhaus Deutsche Cyberkom
Auch die Sorge vor übermäßiger Regulierung sieht er als nicht begründet. „Der Gesetzgeber schreibt kein starres Korsett vor, sondern setzt bewusst auf risikobasierte Gestaltungsspielräume. Unternehmen können die Maßnahmen so ausprägen, dass sie zu ihrer Größe, ihrer Branche und ihrem Risiko-Exposure passen. Genau diese Flexibilität macht NIS2 zu einem praxisnahen Instrument, das nicht bremst, sondern befähigt.“
Im Jahr 2025 entstanden in Deutschland rund 290 Milliarden Euro Gesamtschäden durch Angriffe. Dazu zählen auch viele Folgeschäden, wie Kosten für Rechtsstreitigkeiten, Umsatzeinbußen und Imageschäden.
(Bild: Statista)
Ein wesentlicher Aspekt dabei ist die Resilienz der Unternehmen: Auf Zwischenfälle muss schnell und effektiv reagiert werden, um potenzielle Schäden zu vermeiden. Wetzel sieht darin, dass Organisationen jetzt gezwungen sind, sich systematisch mit Risiken auseinanderzusetzen, eine Stärkung der „Resilienz jedes einzelnen Unternehmens und damit auch der digitalen Stabilität in Europa insgesamt“. Scholl empfiehlt den Betroffenen im Rahmen der NIS2-Umsetzung, „ein ganzheitliches und dauerhaft verankertes Sicherheitsniveau zu etablieren, das die Resilienz gegenüber Cyberangriffen deutlich stärkt“. Müller-Niessner betont: „Security als fortlaufenden, risikobasierten Managementprozess zu verstehen und als festen Bestandteil der Geschäftstätigkeit zu verankern – statt als Produkt oder einmaliges Projekt – ist wichtig und richtig.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Was ist die erweiterte Eingriffsbefugnis des BMI?
Zudem gibt es Änderungen bezüglich der Eingriffsbefugnis für kritische Komponenten (§ 41 BSIG-E). Mit einer erweiterten Befugnis kann das Bundesinnenministerium aktiv werden, um kritische Komponenten zu verbieten, ohne dass diese zuvor von den betroffenen Unternehmen gemeldet werden müssen. Als kritische Komponenten gelten essentielle Teile der Infrastruktur, die für grundlegende Dienstleistungen, wie zum Beispiel in den Bereichen Wasser, Telekommunikation und Energie unerlässlich sind, wie man am Beispiel „Berlin“ aktuell gut sehen konnte. Aus der Wirtschaft gab es dazu eine deutliche Warnung: „Für Unternehmen bedeutet das: Einschätzungen des Innenministeriums können kostspielige Austauschpflichten nach sich ziehen“, so Ulrich Plate, Senior Information Security Consultant beim Eco-Verband.
Welche Pflichten haben NIS2-Betroffene?
NIS2-Pflichten
Registrierungspflicht
Meldepflicht
Risikomanagement implementieren und dokumentieren
Im Zuge dieser Umsetzung ergeben sich für betroffene Unternehmen bestimmte Pflichten, wie beispielsweise die Implementierung von Risikomanagementmaßnahmen, die Einrichtung eines Informationssicherheitsmanagementsystems (ISMS) und die Durchführung regelmäßiger Schulungen. Unternehmen sind auch verpflichtet, sicherheitsrelevante Vorfälle unverzüglich an die zuständigen Behörden zu melden und regelmäßige Sicherheitsüberprüfungen sowie Audits durchzuführen. „Die Umsetzung der NIS2-Richtlinie ist zwingend erforderlich, damit wir uns auf unsere digitalisierten Prozesse verlassen können, damit vertrauliche Daten vertraulich bleiben, damit IT-gestützte Prozesse zuverlässig funktionieren“, hebt Dr. Timo Hauschild, Fachbereichsleiter Cyber-Sicherheit für Kritische Infrastrukturen des BSI, hervor.
Registrier- und Meldepflicht
„Besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ sind verpflichtet, sich in einem zweistufigen Prozess zu registrieren. Betroffene müssen sich spätestens drei Monate, nachdem sie erstmals oder erneut NIS2-betroffen sind, registrieren. Gesonderte Registrierungspflichten gibt es laut BSI ggf. für Betreiber kritischer Anlagen und für Einrichtungen der Sektoren digitale Dienste und digitale Infrastrukturen. Einen potenziellen Sicherheitsvorfall muss ein Unternehmen innerhalb von 24 Stunden melden. Regelmäßige Updates zu der Benachrichtigung nach 72 Stunden und nach 30 Tagen sowie ein Abschlussbericht innerhalb eines Monats gehören zum Pflichtprogramm.
Geschäftsführerhaftung
Mit der Einführung von NIS2 wird die Verantwortung bezüglich IT-Sicherheit nicht nur verstärkt, sondern direkt auf die oberste Leitungsebene übertragen. Geschäftsführer haften persönlich bei sicherheitsrelevanten Fehlern oder Versäumnissen. Persönliche Haftung entsteht, wenn grundlegende Aufgaben wie die Priorisierung von Sicherheitsmaßnahmen, das Risikomanagement, die Ressourcensteuerung oder die Definition klarer Verantwortlichkeiten vernachlässigt werden.
Laut Kress, ist der ausschlaggebende Punkt, dass Entscheidungen 2026 anders getroffen werden müssen: „Sicherheits- und Risikoaspekte gehören systematisch in die strategische Planung, Investitionen in Resilienz dürfen nicht länger als reine Kostenposition betrachtet werden.“ Lieferantenbewertungen, Modernisierungspläne und Notfallpläne müssen auf einer sorgfältigen und dokumentierten Risikobewertung basieren. Operative Aufgaben können an die entsprechende Abteilung abgegeben werden, jedoch bleibt die Steuerungsverantwortung eindeutig bei der Geschäftsführung.
Um Haftungsrisiken zu reduzieren, sollten sich Geschäftsführer aktiv über notwendige Maßnahmen informieren, die die Cybersicherheit in Unternehmen steigert. Dazu gehört unter anderem die Einrichtung eines dokumentierten ISMS oder regelmäßige Berichte an die Geschäftsleitung.
Des Weiteren ist es unerlässlich, der nach §38 Abs. 3 BSIG-E festgelegten Schulungspflicht nachzukommen und sich auch kontinuierlich weiterzubilden. Schließlich müssen Unternehmen sicherstellen, dass sie allen gesetzlichen Meldepflichten bei sicherheitsrelevanten Vorfällen nachkommen.
Bei Nichteinhaltung der NIS2-Vorgaben drohen hohe behördliche Bußgelder, was den Druck auf betroffene Unternehmen deutlich erhöht. OpenKritis nennt Bußgelder bis zu 2 Millionen Euro. Als juristische Person oder Organisation können sogar bis zu 20 Millionen Euro anfallen. Daher ist es wichtig, dass alle Ebenen in einem Unternehmen Pflichten und Vorgaben der Richtlinie ernst nehmen und aktiv zu einer wirksamen Umsetzung beitragen.
Was sind die Herausforderungen bei der NIS2-Umsetzung?
Schwierigkeiten bei der Umsetzung von NIS2
Akzeptanz im Management
Budget
Organisatorische Befähigung (Governance)
Mangel an Ressourcen (Knowhow, Personal)
Unsicherheit
Fehlende Umsetzungszeit
Eine Umfrage von G Data im Rahmen der Studie „Cybersicherheit in Zahlen 2025/2026“ ergab, dass lediglich 12,1 Prozent die Richtlinie vollständig umgesetzt haben. „In der finalen Umsetzungsphase“ befinden sich 20 Prozent, knapp ein Drittel (31 %) ist „mitten in der Umsetzung“. Von den restlichen Befragten haben 18 Prozent „erste Planungen gestartet“, 7 Prozent sich noch nicht mit dem Thema beschäftigt und 11 Prozent sind nicht betroffen oder haben keine Angabe gemacht.
Die NIS2-Umsetzung in Deutschland lässt noch zu wünschen übrig.
(Bild: G Data)
„Generell scheint die Awareness, dass es sich bei NIS2 um ein Gesetz handelt, nicht überall verbreitet zu sein“, mutmaßt Ender. Doch wo liegen die Probleme? „Die größten Hürden bei der NIS2-Umsetzung liegen weniger in der Technik, sondern in der organisatorischen Befähigung“, bringt es Kress auf den Punkt. Auch Weyert von der PCO, sieht Probleme in der „organisatorischen und strategischen Umsetzung“ sowie der „fehlenden Klarheit und Priorisierung“. Beide Manager sind sich einig, dass es neben Budget an klarer Governance, Transparenz, Ressourcen und Kompetenzen fehle. „Die größte Herausforderung liegt darin, jahrelange Versäumnisse in der Cybersicherheit aufzuholen, besonders im Mittelstand, der seine Angriffsfläche oft unterschätzt. Wo jahrelang an Technologie und Fachpersonal gespart wurde, wird die Umsetzung der breiten Anforderungen und strikten Meldepflichten nun schmerzhaft anstrengend, zumal die Geschäftsleitung persönlich für Fehler haftet“, fasst Hena Kless, Mitglied im Executive Council, GTIA, zusammen.
IT-Verantwortliche sind oft unsicher, wo sie am besten anfangen sollten, selbst wenn bereits klar ist, wo genau Handlungsbedarf besteht.
Nikolas Schran, VP Sales & Marketing bei G Data Cyberdefense
Doch es gibt auch andere Meinungen, bezüglich der größten Herausforderungen bei der Umsetzung. Durch die Überschreitung der Frist liegt für Benedikt Kind, Leiter Recht und Regulierungsgrundsätze beim Breko, ein Problem „in fehlender Umsetzungszeit und mangelnder Rechtssicherheit. Viele kleinere und mittlere Unternehmen werden erstmals mit einem derart anspruchsvollen Sicherheitsniveau konfrontiert, sodass die praktische Umsetzung der Anforderungen nicht in jedem Fall sofort reibungslos funktionieren wird“. Das sieht auch Felix Kuhlenkamp, Leiter Sicherheit beim Bitkom so: „Die Verzögerungen beim Umsetzungsgesetz haben in vielen Unternehmen zu erheblicher Unsicherheit geführt, insbesondere weil kleinere Betriebe häufig externe Unterstützung benötigen, um ihre Betroffenheit sowie notwendige Maßnahmen zu klären.“
Doch auch Konzerne wie Bechtle sehen Probleme in den Verzögerungen sowie „sowie in den weiterhin unklaren Regelungen für international agierende Unternehmen“, bestätigt Müller-Niessner. „Kommunikativ haben wir das Thema in den vergangenen zwei Jahren sowohl intern als auch gegenüber unseren Partnern und Kunden sehr deutlich adressiert. Viele Prozesse und Grundlagen für NIS2 sind bereits geschaffen. Nach dem Inkrafttreten geht es darum, die erforderlichen Aktualisierungen gezielt vorzunehmen.“ Doch: „IT-Verantwortliche sind oft unsicher, wo sie am besten anfangen sollten, selbst wenn bereits klar ist, wo genau Handlungsbedarf besteht“, meint Nikolas Schran, VP Sales & Marketing bei G Data Cyberdefense.
Erhan Oezmen, VP Sales Germany and Austria bei SentinelOne, und Maik Wetzel glauben, dass die europäische Dimension der Richtlinie mit national voneinander abweichenden Umsetzungsregeln die größte Challenge ist.
Die Akzeptanz im Management, dass in Cybersicherheit investiert werden muss, ist eine essentielle Voraussetzung. „Bei KMU besteht noch Verbesserungsbedarf. Ich denke, es ist wichtig, gerade in den kleineren Bereichen (ohne Legal oder Compliance-Abteilung), Awareness zu betreiben“, kommentiert Benjamin Richter, Geschäftsführender Gesellschafter bei der Cyber Complete Corporation. Auch Ulbrich von Elovade sieht Nachholbedarf im Mittelstand: „Gerade für Organisationen, die bisher keinen Berührungspunkt mit regulatorischen Vorgaben zur IT- und Informationssicherheit hatten, beginnt eine neue Reise – mit vielen offenen Fragen: Was ist zu tun? Wer trägt die Verantwortung?“
Chance für Systemhäuser?
Wo besteht Bedarf?
Gap-Analysen, NIS2-Checks
Beratung
Managed Services (MDR/SOC)
Identitätsmanagement und Zero Trust
Schulungen und Awareness
Peter Schneider, Channel Account Manager bei Sysob, sieht darin die Chance für Systemhäuser: „Je kleiner das Unternehmen, desto größer der Umsetzungs- und Beratungsbedarf.“ Hersteller und Distributoren erwarten 2026 positive Effekte und daraus resultierend ein spürbares Wachstum. Richter vergleicht: „Wir erwarten einen ähnlichen Einfluss wie die DSGVO im Frühjahr 2018. Daher gehen wir 2026 von einem deutlichen Wachstum aus.“
Bechtle-CTO Müller-Niessner merkt an, dass „Security seit Jahren zu unserem Unternehmenserfolg beiträgt“. Auch Schran von G Data baut auf „deutliche Einflüsse auf unseren Umsatz und den unserer Partner“, ebenso wie Weyert von PCO: „Wir erwarten für 2026 einen deutlichen Einfluss auf unsere Umsätze. Viele Unternehmen starten erst jetzt mit konkreten Projekten, weil die Rechtslage klar ist und im Falle von Versäumnissen Sanktionen greifen.“ Scholl rechnet mit einem „klar spürbaren und nachhaltigen Umsatzimpuls, wenn die Rechtslage bei den Leitungsorganen der Unternehmen angekommen ist“. Wachstum sehen die Experten neben dem reinen Vertrieb von Lösungen vor allem bei Consulting und Enablement, in den Bereichen Identity, OT-Security und Managed Services, Automatisierung und Threat Detection sowie bei Security Awareness Trainings.
Das Geschäftsfeld Security trägt seit Jahren zunehmend zu unserem Unternehmenserfolg bei.
Dirk Müller-Niessner, CTO bei Bechtle
Doch es gibt auch kritische Stimmen. „NIS2 wird einen positiven Einfluss auf die Umsätze haben, dies wird aber konterkariert von der gesamtwirtschaftlichen Situation. Wenn kein Geld vorhanden ist, kann nichts investiert werden, weshalb eine stabile Wirtschaft notwendig ist, damit Unternehmen agieren können“, fordert Schneider von Sysob. Ender von SecTepe meint, dass der spürbare Einfluss auf die Umsätze „derzeit noch schwer vorhersehbar“ ist. „Viele Unternehmen haben bereits IT-Dienstleister und wenden sich in der Regel zuerst an diese, egal ob der IT-Dienstleister sich explizit mit den Anforderungen aus NIS2 auskennt oder nicht. Oft sind Umsetzungen dadurch sehr technisch und operativ getrieben; Management- und Prozesskomponenten bleiben auf der Strecke. Diese sind langfristig aber notwendig, um die von NIS2- geforderten Anforderungen dauerhaft einzuhalten.“
So geht die Umsetzung
Umsetzung in Stichpunkten
Prüfung der Betroffenheit und Ressourcenplanung
Sensibilisierung der Geschäftsführung
Bestandsaufnahme und Gap-Analyse
Aufbau eines Managementsystems (ISMS)
Umsetzung technischer Mindeststandards
Schulung und kontinuierliche Verbesserung
Wie sollten Unternehmen am besten vorgehen? Der erste notwendige Schritt ist die Klärung, ob das Unternehmen überhaupt unter die Richtlinie fällt. Da diese Prüfung für kleinere Betriebe oft komplex ist, sollten sie frühzeitig externe Unterstützung durch spezialisierte Systemhäuser oder Berater hinzuzuziehen. Unternehmen sollten zudem rechtzeitig finanzielle und personelle Kapazitäten einplanen, da die Umsetzung oft kurzfristig nicht allein leistbar ist. Bevor technische Details angegangen werden, muss die Akzeptanz im Management geschaffen werden, dass in Cybersicherheit investiert werden muss. Es ist entscheidend, dass die Geschäftsleitung ihre persönliche Haftung versteht.
Die Bedrohungslage entwickelt sich stetig weiter. Gerade KI-gesteuerte Angriffe verschärfen die Risiken, insbesondere für Unternehmen mit veralteten Systemen und komplexen Lieferketten.
Steve Bradford, Senior Vice President EMEA bei Sailpoint
Ein bewährter praktischer Einstieg ist die Durchführung eines sogenannten NIS2-Checks, den u.a. das BSI kostenfrei anbietet. Auch eine Gap-Analyse, bei der das aktuelle Sicherheitsniveau mit den Anforderungen verglichen wird, um Lücken zu identifizieren, kann sinnvoll sein. Parallel dazu sollten Unternehmen eine Inventur ihrer kritischen Assets und eine Analyse der Lieferkettenabhängigkeiten vornehmen, da Transparenz die Basis für jedes Risikomanagement ist. Zudem sollte ein ISMS, beispielsweise auf Basis der ISO 27001, etabliert werden.
Da NIS2 verbindliche Security-Awareness-Trainings für alle Mitarbeitenden und die Geschäftsführung vorschreibt, sollten diese fest in den Fahrplan integriert werden. Wichtig ist zudem das Verständnis, dass Compliance kein einmaliges Projekt, sondern eine kontinuierliche strategische Priorität ist, die regelmäßige Überprüfungen erfordert. Denn schließlich ist „NIS2 keine Option“, bringt es Scholl auf den Punkt.
„Die Bedrohungslage entwickelt sich stetig weiter. Gerade KI-gesteuerte Angriffe verschärfen die Risiken, insbesondere für Unternehmen mit veralteten Systemen und komplexen Lieferketten“, warnt Steve Bradford, Senior Vice President EMEA bei Sailpoint. Er sieht in der Compliance einen strategischen Vorteil. „Jetzt ist der richtige Zeitpunkt, die eigenen Schutzmaßnahmen zu überprüfen, Schwachstellen zu schließen und neuen Bedrohungen einen Schritt voraus zu sein.“
Ulbrich von Elovade konkretisiert die Perspektiven für Dienstleister: „Der nächste logische Schritt führt viele Unternehmen zum Systemhaus ihres Vertrauens – in der Hoffnung, dort auf Expertise zu stoßen. Wer hier gut aufgestellt ist, kann echten Mehrwert bieten – und aus der Herausforderung eine Chance machen.“ Und auch wenn die Hürden aktuell groß scheinen, passt der Vergleich von Peter Schneider von Sysob mit der Einführung von Sicherheitsgurten und Kopfstützen im Auto: „Anfangs hat sich jeder darüber beschwert und nicht verstanden, warum man jetzt einen Gurt anlegen sollte – heute gehört es einfach dazu.“
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/42/07/4207a6ae481716e03ae4ec1b66b3743d/0129161840v1.jpeg "Patrick van Tent wird zum neuen Vorstand der Verbundgruppe berufen. (Bild: ElectronicPartner)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/48/2a/482a0953bf55fcc497763f7dadb6c5d6/0129166170v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/58/9c/589c1ae4ba47109676e32d27326f4156/0129180939v1.jpeg "Omdia sagt für 2026 voraus, dass der Channel-Anteil der weltweiten IT-Ausgaben sinken wird, Partner aber weiterhin eine zentrale Rolle bei IT-Endscheidungen spielen werden. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/6f/736f9c78b66ca8749648733cd2abece8/0129110858v2.jpeg "Das Darknet ist wie ein weitverzweigtes Spinnennetz, das tief unter der Oberfläche des Internets lauert. In den schattigen Ecken und dunklen Fäden verbergen sich krumme Geschäfte und gefährliche Kontakte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/63/7d634afbaa49454d513a3567bdfeaae7/0129100796v1.jpeg "Microsoft hat einen neuen KI-Chip, Maia 200, vorgestellt. Der Spezialchip soll KI-Anwendungen schneller und günstiger machen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/53/4d530c341109cbb9fba633d62a24960d/0129077672v1.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/71/657178a510cf8/infinigate-logo-cmyk-postive-tagline-l.png "infinigate-logo-cmyk-postive-tagline-l (infinigate)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:quality(80)/p7i.vogel.de/wcms/80/d2/80d2f021fd7b857615cdc90ea6ec40ff/0128893725v1.jpeg "In dieser Folge von IT ImPuls sprechen Natalie Forell und Mihriban Dincel über das brisante Thema NIS2. (Bild: Carin Böhm )")
:quality(80)/p7i.vogel.de/wcms/32/6d/326dd043465bd81fdc34125b88b34f2a/0128518692v1.jpeg "Dirk Müller-Niessner, CTO, Bechtle: „Wir sind bereits seit Jahren mit den maßgeblichen Prozessen vertraut und haben entsprechende Zertifizierungen vorgenommen. Dazu zählen neben ISO 27001 und ISAE 3402 auch die aktuellen C5-Zertifizierungen. Was wir aus unserer Erfahrung dick unterstreichen möchten, ist die Wichtigkeit von Network Information Security für uns und unseren Service für unsere Kunden. Die kontinuierliche Auseinandersetzung über alle Ebenen hinweg hilft uns, das Thema stets auf dem aktuellen Stand zu halten.“(Bild: Bechtle)")
:quality(80)/p7i.vogel.de/wcms/20/62/20628d5df0a40c11628f42d067979ddd/0128519035v1.jpeg "Felix Kuhlenkamp, Leiter Sicherheit beim Digitalverband Bitkom: „Die Verzögerungen beim Umsetzungsgesetz haben in vielen Unternehmen zu erheblicher Unsicherheit geführt, insbesondere weil kleinere Betriebe häufig externe Unterstützung benötigen, um ihre Betroffenheit sowie notwendige Maßnahmen zu klären.“(Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/34/1e/341e1dec1badffe927d627045464511f/0128518703v1.jpeg "Benedikt Kind, Leiter Recht und Regulierungsgrundsätze beim Bundesverband Breitbandkommunikation e.V. (BREKO): „Die Umsetzung der NIS2-Regeln birgt aktuell für betroffene Unternehmen vor allem zwei Herausforderungen: Fehlende Umsetzungszeit und mangelnde Rechtssicherheit. Viele kleinere und mittlere Unternehmen werden erstmals mit einem derart anspruchsvollen Sicherheitsniveau konfrontiert, sodass die praktische Umsetzung der Anforderungen nicht in jedem Fall sofort reibungslos funktionieren wird.“(Bild: Henning Hattendorf/BREKO)")
:quality(80)/p7i.vogel.de/wcms/d8/a0/d8a0830a6c4ccea0c22ff3ef8e2fca6d/0128518880v1.jpeg "Dr. Timo Hauschild, Leiter der Abteilung Cybersicherheit in der Wirtschaft, BSI: „Die Umsetzung der NIS2-Richtlinie ist zwingend erforderlich, damit wir uns auf unsere digitalisierten Prozesse verlassen können, damit vertrauliche Daten vertraulich bleiben, damit IT-gestützte Prozesse zuverlässig funktionieren.“(Bild: BSI)")
:quality(80)/p7i.vogel.de/wcms/fb/c6/fbc66db9d7f25dca8098c71c51d9e15d/0129168715v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/88/43881382e370753b1702199f83f8002d/0128155533v2.jpeg "NIS2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")