NIS-2 in Deutschland: Was Unternehmen jetzt tun müssen – kompakter Leitfaden für Entscheider
25.11.2025
Zusammenfassung
Das deutsche NIS-2-Umsetzungsgesetz verpflichtet zahlreiche Unternehmen zur Umsetzung eines angemessenen Cyber-Sicherheitsniveaus, das ein vollständig dokumentiertes Management, wirksame technische/organisatorische Maßnahmen, etablierte Melde- und Notfallprozesse sowie die prüffähige Nachweisführung gegenüber der Aufsicht umfasst.
4 Minuten Lesezeit
Am 13. November 2025 hat der Bundestag das NIS-2-Umsetzungsgesetz verabschiedet. Damit steht fest: Für tausende Unternehmen entstehen neue, verbindliche Pflichten in der Cybersicherheit – und die Geschäftsleitung haftet persönlich.
In diesem Artikel fassen wir die wichtigsten Auswirkungen für Ihr Unternehmen zusammen und zeigen Ihren auf, wie Sie die NIS-2 Vorgaben effizient und prüffähig in Ihrem Unternehmen implementieren können.
1. Warum NIS-2? Die Bedrohungslage wächst rasant
Die Zahl der Cyberangriffe auf europäische Unternehmen steigt jährlich. Besonders betroffen sind mittelständische Betriebe, bei denen Attacken zunehmend zu Produktionsstillständen, erheblichen finanziellen Schäden und Reputationsverlust führen.
Die EU reagiert darauf mit der NIS-2-Richtlinie, die in Deutschland nun verbindlich umgesetzt wurde. Ziel ist es, die digitale Resilienz von Unternehmen zu erhöhen und bundesweit ein einheitliches Sicherheitsniveau sicherzustellen.
Für Unternehmen bedeutet das:
Cybersecurity wird zur gesetzlich durchsetzbaren Pflicht.
2. Wer fällt künftig unter NIS-2?
Das deutsche Umsetzungsgesetz unterscheidet zwei Kategorien:
– Besonders wichtige Einrichtungen (BWE)
– Wichtige Einrichtungen (WE)
Betroffen sind Unternehmen aus Energie, Verkehr, Gesundheit, Trink- und Abwasser, digitaler Infrastruktur, Chemie, Abfallwirtschaft, Lebensmittel und Teilen des verarbeitenden Gewerbes.
Die meisten Unternehmen werden größenabhängig erfasst: Ab 50 Mitarbeitenden oder über 10 Mio. € Umsatz/Bilanzsumme. Einige Bereiche – z. B. DNS-Dienste oder bestimmte Cloud-/Hosting-Anbieter – sind sektorspezifisch unabhängig von der Größe betroffen.
3. Welche Pflichten gelten unter NIS-2?
Unternehmen müssen ein angemessenes dokumentiertes Sicherheitsniveau nachweisen.
3.1 Risikomanagement
Unternehmen müssen Risiken systematisch bewerten und steuern. Das erfordert eine regelmäßige Risikoanalyse, Risikobewertung und Risikobearbeitung.
3.2 Incident-Response und Krisenmanagement
Unternehmen müssen in der Lage sein, Sicherheitsvorfälle schnell zu erkennen, zu bewerten und darauf zu reagieren. Das erfordert dokumentierte Incident-Response-Prozesse, definierte Eskalationswege, funktionsfähige interne und externe Kommunikationsstrukturen sowie regelmäßige Tests der Notfallprozesse.
3.3 Technische Sicherheitsmaßnahmen
NIS-2 fordert verbindliche technische Mindestanforderungen:
– Zugriffs- und Identitätsmanagement (Least Privilege, MFA, Passwortregeln, Rollenmodelle)
– Patch- und Schwachstellenmanagement inklusive regelmäßiger Updates und Scans
– Protokollierung und Überwachung sicherheitsrelevanter Ereignisse
– Verschlüsselung von Daten bei Speicherung und Übertragung
– Netzwerk- und Systemhärtung (Firewalls, Segmentierung, EDR/XDR, sichere Konfigurationen)
3.4 Lieferketten- und Dienstleisterkontrolle
Unternehmen müssen die Sicherheit ihrer Dienstleister und Lieferanten einbeziehen. Das erfordert Bewertungen des Sicherheitsniveaus, vertragliche Sicherheitsanforderungen, regelmäßige Überprüfungen und die Dokumentation von Lieferkettenrisiken.
3.5 Mitarbeiterschulungen und Sensibilisierung
Beschäftigte müssen regelmäßig geschult werden, insbesondere zu Cybersecurity-Grundlagen, Erkennung von Angriffen und Meldewegen. Schulungen müssen nachweisbar dokumentiert werden. Für administratives Personal sind weitergehende Schulungen erforderlich.
3.6 Dokumentation und Nachweisführung
Alle Prozesse, Richtlinien und Maßnahmen müssen dokumentiert werden. Dazu gehören Risikobewertungen, Rollenbeschreibungen, Maßnahmenkataloge, Auditberichte und Schulungsnachweise. Diese Dokumentation dient als Prüfgrundlage gegenüber dem BSI. Ein dokumentiertes Informationssicherheits-Managementsystem (ISMS) stellt die Nachweisfähigkeit sicher.
3.7 Meldepflichten bei Sicherheitsvorfällen
Unternehmen müssen Sicherheitsvorfälle in einem gestaffelten Verfahren melden:
– 24 Stunden: Frühwarnung
– 72 Stunden: Erste Bewertung
– 30 Tage: Abschlussbericht
Ein klar definierter Meldeprozess ist erforderlich und muss im Unternehmen bekannt sein.
4. Fazit
Ein angemessenes Sicherheitsniveau nach NIS-2 umfasst ein vollständig dokumentiertes Sicherheitsmanagement, wirksame technische und organisatorische Maßnahmen, etablierte Melde- und Notfallprozesse sowie die Fähigkeit, alle Anforderungen gegenüber der Aufsicht prüffähig nachzuweisen.
Als IITR Datenschutz GmbH unterstützen wir Ihr Unternehmen mit unserem
- ISMS-Kit (Richtlinien, Prozesse, Vorlagen, Risikoanalysen und Auditnachweise)
- eLearning-System (Revisionssichere Pflichttainings)
- privASSIST (Audit- und Compliance-Tool)
- Beratung durch NIS-2-Spezialisten – Von Gap-Analyse bis Implementierung.
