logo ntadmins

NIS2 offiziell in Kraft – was „die IT“ jetzt tun sollte

11. Dezember 2025
man nt pixa geralt
Quelle: Gerd Altmann, Pixabay

Am 13. November wurde das Maßnahmenpaket final im Bundestag beschlossen. Und seit dem 6. Dezember 2025 gilt die NIS2-Richtinie nun offiziell, ohne jegliche Übergangsfristen. Das hat massive Auswirkungen auf die IT im Unternehmen und somit auf die IT-Verantwortlichen und die Systembetreuer.

Die Verabschiedung und das Inkrafttreten der NIS2-Richtinie stellen einen Wendepunkt für den deutschen Mittelstand dar. Endlich erhalten Unternehmen Rechtssicherheit, während die Cyber-Sicherheit entscheidend gestärkt wird. Denn die Vorgabe verpflichtet deutlich mehr Unternehmen und Branchen zur Einhaltung einheitlicher europäischer Sicherheitsstandards und schreibt strengere Vorgaben für die IT-Sicherheit vor. Zudem erweitert sie die Meldepflichten bei Sicherheitsvorfällen und verschärft die Sanktionen bei Verstößen.

Darüber hinaus soll die Zusammenarbeit der EU-Mitgliedstaaten bei der Abwehr von Cyber-Angriffen gestärkt werden. NIS2 gilt für Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Somit sind je nach Schätzung etwa 30.000 bis 40.000 deutsche Betriebe aus 18 festgelegten Sektoren ganz konkret betroffen. Bedenkt man die Wertschöpfungsketten, könnte sich laut dem Institut der deutschen Wirtschaft (IW) für über 200.000 weitere Firmen eine indirekte Verpflichtung ergeben.

Der Zeitpunkt zu handeln ist also jetzt. Doch was können Betriebe tun, um so schnell wie möglich compliant zu werden? Die folgende Übersicht verdeutlicht die wichtigsten ersten Schritte, die Unternehmen dringend angehen sollten:

  • Die Durchführung einer Risikobewertung: Von NI2 betroffene Firmen müssen jetzt ihre Netz- und Informationssysteme auf Schwachstellen und Bedrohungen hin analysieren sowie die bestehenden Risiken klassifizieren und bewerten.
  • Implementierung eines Sicherheitsplans: Basierend auf den Ergebnissen dieser Analyse sollte ein Sicherheitsplan entwickelt werden, der spezifische NIS2-Maßnahmen zur Risikominimierung enthält. Dazu gehören technische und organisatorische Sicherheitsmaßnahmen (TOM), genauso wie die Schaffung von Sicherheitsprotokollen, der regelmäßigen Überprüfung und Aktualisierung der Systeme sowie kontinuierliche Mitarbeiterschulungen.
  • Etablierung von Meldeverfahren: Ein nächster Schritt besteht darin, sicherzugehen, dass transparente und effiziente Meldeverfahren für den Fall eines Vorfalls bestehen. Dadurch werden Vorfälle schneller erkannt, gemeldet und Maßnahmen zur Eindämmung eingeleitet.
  • Zusammenarbeit mit Behörden und anderen Betrieben: Unternehmen sind gut beraten, enge Beziehungen zu den zuständigen Behörden sowie anderen Einrichtungen in ihrer Branche aufzubauen und zu pflegen. Der Austausch, zum Beispiel bezüglich bewährter Verfahren und Prozesse, hilft, das allgemeine Cyber-Sicherheitslevel zu steigern.
  • Regelmäßige Prüfung und Anpassung aller NIS2-Maßnahmen: Generell gilt: die Schaffung einer guten Grundlage in Sachen IT-Sicherheit ist ein fortlaufender Prozess. Langfristig gesehen sollten Betriebe ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungsszenarien sowie technologische Entwicklungen anpassen. Dazu gehört kontinuierliches Monitoring aller Prozesse und die Flexibilität, auf neue Herausforderungen schnell zu reagieren.

Um diese Maßnahmen konkret umzusetzen, bietet sich die Etablierung eines spezialisierten Cyber-Sicherheitsteams an, falls noch nicht vorhanden. Dies ist einer der wichtigsten Schritte, um schnell in die Handlung zu kommen.

Auch sollten Betriebe über die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach aktuellen Standards wie ISO 27001 oder dem BSI-Grundschutz nachdenken. Im Idealfall hilft die Lösung bei der systematischen Verwaltung von Sicherheitsrisiken und kontinuierlichen Verbesserung der etablierten Maßnahmen.

Dass die Einführung eines Regelwerks wie NIS2 längst überfällig war, zeigen aktuelle Zahlen aus der Praxis. Während Unternehmen ihren Reifegrad in der Informationssicherheit kurz vor der Abstimmung im Bundestag durchschnittlich mit 4,1 von 5 Punkten bewerteten, meldete fast jedes dritte mindestens einen schwerwiegenden Sicherheitsvorfall in den vergangenen drei Jahren. Diese Selbstwahrnehmung steht hier in eklatantem Widerspruch zur Realität. Für unsere Studie wurden 122 mittelständische Entscheider befragt.

Auch wenn die Richtlinie und Ihre Umsetzung zeitweise für Verunsicherung gesorgt hat: Gerade für den Mittelstand wird NIS2 dazu führen, die Cyber-Resilienz deutlich zu stärken. Schließlich helfen vorab definierte Notfall- und Wiederanlaufprozesse im Rahmen des Business Continuity Managements Unternehmen dabei, nach Cyber-Attacken schnell wieder arbeitsfähig zu werden.

Außerdem schützt ein hohes Level an Informationssicherheit personenbezogene wie auch vertrauliche Daten und beugt Pannen in Sachen Datensicherheit vor.  Sogar die Effizienz steigt, denn die Umsetzung des Regelwerks schafft Prozessklarheit, verschlankt Abläufe, macht Risiken sichtbar und somit besser beherrschbar.

Zuletzt senken Geschäftsführer und Führungskräfte ihr eigenes, ganz persönliches Risiko, denn eine lückenlose Umsetzung vermindert deutlich das Haftungsrisiko, welches im Zuge von NIS2 auch für sie als Einzelpersonen gilt. Mithilfe der oben erwähnten Schritte, idealerweise in Kombination mit einer Lösung, die beim Monitoring und Management von Fallstricken in Sachen Informationssicherheit hilft, erreichen Unternehmen schnell und unkompliziert Compliance in Sachen NIS2.

Alexander Ingelheim ist CEO und Mitgründer von Proliance.

Proliance

Lesen Sie auch

code NT Pixa Pexels Barracuda

GhostFrame – ein schwer erkennbares Phishing-Kit

hacker NT Pixa PeteLinforth knowbe

Revolution der Agentic AI verändert Cyber-Sicherheit in 2026

ai generated Pixa NT kp yamu Jayanath

Cyber-Sicherheit: KI und Komplexität stehen 2026 im Fokus