EN
Visual: KnowledgeRiver: Wolfgang Erlebach, Consultant und Autor

Wolfgang Erlebach

Themen

Internet & Digitalisierung
Frankfurt am Main, 15.12.2025

NIS2-Richtlinie verständlich erklärt

Verheerende Konsequenzen eines Cyberangriffs abwehren

Autor: Wolfgang Erlebach, Consultant

NIS2-Regelungen anzuwenden, kann helfen, ein sicheres Unternehmen aufzubauen.

Digitalisierung und Vernetzung schreiten rasant voran und mit ihr die Bedrohungen – für Unternehmen und die Gesellschaft! Die Konsequenzen eines Cyberangriffs können verheerend sein. Das Anwenden der Regelungen von NIS2 kann dabei helfen, ein sicheres Unternehmen aufzubauen.

Was ist NIS2?

NIS2 (Network and Information Security 2) ist die zweite EU-Richtlinie für Netz- und Informationssicherheit. Sie seit 27.12.2022 in Kraft und wird seit 6.12.2025 in Deutschland durch das NIS2-Umsetzungsgesetz (BGBl. 2025 I Nr. 301) umgesetzt. 

Ziel ist die Verbesserung und Harmonisierung der Sicherheitssysteme in der EU angesichts zunehmender Cyberbedrohungen.

Betroffene Unternehmen

Die Richtlinie gilt für Unternehmen der kritischen Infrastrukturen (KRITIS) sowie "besonders wichtige" und "wichtige Einrichtungen" Unternehmen gemäß Anhang I und II des Umsetzungsgesetzes. Besonders wichtige Einrichtungen sind z. B. Anbieter öffentlich zugänglicher Telekommunikationsdienste mit mindestens 50 Mitarbeitern oder einem Jahresumsatz über 10 Millionen Euro. Wichtige Einrichtungen haben weniger als 50 Mitarbeiter und Umsatz/Bilanzsumme von 10 Millionen Euro oder weniger. KRITIS gelten automatisch als besonders wichtige Einrichtungen.

Kernforderungen

Betroffene Unternehmen müssen drei Hauptanforderungen erfüllen:

  • Registrierung (zweistufiger Prozess) beim BSI bzw. Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
  • Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden
  • Implementierung und Dokumentation von Risikomanagementmaßnahmen


Es sind zehn Mindestmaßnahmen (§ 30) zu erfüllen:

  1. Risikoanalyse und IT-Sicherheit
  2. Bewältigung von Sicherheitsvorfällen
  3. Betriebsaufrechterhaltung (BCM)
  4. Lieferkettensicherheit
  5. Sicherheit bei Entwicklung, Wartung von IT
  6. Bewertung der Wirksamkeit von Maßnahmen
  7. Schulungen und Sensibilisierung
  8. Einsatz kryptographischer Verfahren
  9. Personalsicherheit und Zugriffskontrolle
  10. Multi-Faktor-Authentifizierung

Empfohlener Umsetzungsplan

Ein systematischer 10-Punkte-Plan für effiziente Umsetzung: Betroffenheitsanalyse → Statusanalyse → Anforderungsanalyse → Zielbilddefinition → GAP-Analyse → Verantwortlichkeiten definieren → Priorisierung → Umsetzungsplan erstellen → Budget bereitstellen → Implementierung mit GRC-Struktur und ISMS.
Etablierung einer gelebten Sicherheitskultur

„Technische“ Mindestmaßnahmen zu erfüllen, reicht nicht aus. Ein „sicheres“ Unternehmen bedingt eine ausgeprägte Sicherheitskultur.

Konsequenzen der Nichtumsetzung

Nichtumsetzung kann zu empfindlichen Bußgeldern führen: Bis zu 10 Millionen Euro oder 2 Prozent des Gesamtumsatzes (§ 65). Selbst Unternehmen, die nicht direkt betroffen sind, sollten Maßnahmen ergreifen, da 60 Prozent aller Cyberangriffe kleine und mittlere Unternehmen (KMUs) treffen.

Der ungekürzte Artikel mit Umsetzungshinweisen ist beim Autor erhältlich.

Kontakt
KnowledgeRiver, Mainz-Kostheim
Sven Bittlingmayer, CEO
Wolfgang Erlebach,Consultant
wolfgang.erlebach@knowledgeriver.com
+49 171 74 6 23 23
https://knowledgeriver.com/de

Zum Mitgliedseintrag: KnowledgeRiver
 

Verwandte Artikel

Modehaus Moses Gotha

Mode, Mut und Mittelstand

Ein Abend für starke Frauen im Gothaer Modehaus Moses

Unternehmertum
Defence Brockhaus

BROCKHAUS Stahl – Kaltbandkompetenz für sicherheitskritische Anwendungen

Stahl, der schützt. Präzision, die bleibt.

Unternehmertum