NIS-2: Die neue IT-Sicherheitspflicht betrifft über 30.000 Unternehmen
Die NIS-2-Richtlinie ist 2026 in deutsches Recht umgesetzt. Erstmals müssen auch mittlere Unternehmen verbindliche Cybersecurity-Standards erfüllen. Was Sie jetzt tun müssen.
Was ist NIS-2?
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie, die Ende 2025 in deutsches Recht umgesetzt wurde und 2026 vollumfänglich in Kraft tritt. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen massiv.
Während die erste NIS-Richtlinie nur kritische Infrastrukturen wie Energieversorger und Krankenhäuser betraf, gilt NIS-2 für über 30.000 Unternehmen in Deutschland, viele davon zum ersten Mal.
Wer ist betroffen?
NIS-2 unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz in folgenden Sektoren:
| Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|
| Energie (Strom, Gas, Öl) | Post und Kurierdienste |
| Transport (Luft, Schiene, Wasser, Strasse) | Abfallwirtschaft |
| Bankwesen und Finanzmarkt | Lebensmittelproduktion und -handel |
| Gesundheitswesen | Chemische Industrie |
| Trinkwasser und Abwasser | Forschungseinrichtungen |
| Digitale Infrastruktur (Cloud, DNS, Rechenzentren) | Herstellung (Medizinprodukte, Elektronik, Fahrzeuge) |
| ICT-Service-Management (B2B) | Digitale Dienste (Marktplätze, Suchmaschinen, Social Media) |
| Öffentliche Verwaltung |
Was müssen betroffene Unternehmen tun?
- Risikomanagement: Systematische Identifikation und Bewertung von Cyberrisiken
- Incident Response: Plan für den Umgang mit Sicherheitsvorfällen, Meldepflicht innerhalb von 24 Stunden
- Supply-Chain-Sicherheit: Sicherheitsanforderungen an Zulieferer und Dienstleister
- Verschlüsselung: Einsatz geeigneter Verschlüsselungsverfahren
- Schulungen: Regelmässige Cybersecurity-Schulungen für alle Mitarbeiter
- Geschäftsführerhaftung: Neu: Geschäftsführer haften persönlich für die Umsetzung
Strafen bei Nicht-Einhaltung
Die Strafen sind empfindlich: Für wesentliche Einrichtungen drohen bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4% des Umsatzes. Die Geschäftsführerhaftung ist dabei besonders brisant.
Praxis-Tipps für die Umsetzung
- Prüfen Sie ob Ihr Unternehmen betroffen ist (Branche + Grösse)
- Erstellen Sie eine Gap-Analyse: Was haben Sie schon, was fehlt?
- Etablieren Sie ein Information Security Management System (ISMS)
- Definieren Sie einen Incident-Response-Plan
- Schulen Sie Ihre Mitarbeiter regelmässig
- Dokumentieren Sie alle Massnahmen sorgfältig
Professionelle Softwarelösungen aus Magdeburg. Sicherheit, Datenschutz und Qualität.