mac it Illustration

NIS-2 kommt – Seid ihr ready?

Die Anforderungen an Unternehmen in Deutschland haben sich im Bereich Cybersicherheit deutlich erhöht.
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes gelten für Unternehmen aus bestimmten kritischen Sektoren verbindliche Vorgaben zur IT- und Informationssicherheit.  

Was bisher oft auf Empfehlungen beruhte, ist nun gesetzlich geregelt. IT-Sicherheit wird damit zu einer klaren unternehmerischen Pflicht. In diesem Beitrag zeigen wir, welche Unternehmen NIS-2 betrifft, welche Pflichten daraus entstehen und warum es sinnvoll ist, sich jetzt mit dem Thema auseinanderzusetzen.  

Gerne unterstützen wir Sie bei der strukturierten Umsetzung und nachhaltigen Sicherstellung der technischen NIS-2-Compliance. 

Was ist NIS-2 überhaupt?

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite gesetzliche Vorgabe, die darauf abzielt, das allgemeine Niveau der Cybersicherheit innerhalb der Europäischen Union signifikant zu erhöhen.  

Sie ersetzt die ältere NIS-1-Richtlinie, von der deutlich weniger Unternehmen erfasst wurden. Ziel ist es, kritische Infrastrukturen und wichtige digitale Dienste widerstandsfähiger gegen Cyberangriffe wie Ransomware, Datenlecks und Sabotage zu machen. 

NIS2 Symbol mit EU-Sternenkreis und der Aufschrift NIS 2

Wer ist betroffen?

Grafische Übersicht zu NIS2 mit den Kriterien Standort, Größe und Industrie

Der Fokus liegt auf „besonders wichtigen“ und „wichtigen“ Einrichtungen. NIS-2 weitet den Kreis der betroffenen Branchen massiv aus.
Früher betraf es hauptsächlich die Betreiber kritischer Infrastrukturen (KRITIS), wie bspw. Energieversorger oder Krankenhäuser.  

Jetzt sind auch Sektoren wie:
  

  • Digitale Infrastruktur (Cloud-Anbieter, Online-Marktplätze)  
  • Anbieter digitaler Dienste (Anbieter von Online Suchmaschinen) 
  • Produktion, Herstellung und Handel mit chemischen Stoffen 
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln 
  • Bestimmte Bereiche des verarbeitenden Gewerbes/Herstellung von Waren 

…eingeschlossen. 

Die Einstufung erfolgt, neben der von NIS-2 erfassten Branchenzugehörigkeit, meist anhand folgender Kennzahlen: Unternehmen mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz/Jahresbilanzsumme fallen oft in den Anwendungsbereich. 

Sind Sie sich nicht sicher, ob Sie unter die Richtlinie fallen? 

Wir unterstützen Sie dabei.
Kontaktieren Sie uns gerne: vertrieb@mars-solutions.de 

Zeitdruck und schnelle Reaktionsfähigkeit in der ITIllustration einer Person, die vor einer großen Stoppuhr läuft, umgeben von Dokumenten. Das Bild steht für Zeitdruck, schnelle Reaktionszeiten, effiziente Prozesse und die Bedeutung zügiger Entscheidungen im IT- und Projektumfeld.

Der aktuelle Stand in Deutschland

Das Warten auf das deutsche Umsetzungsgesetz ist vorbei. Die Zeit der Vorbereitung ist abgelaufen.  
Das NIS-2-Umsetzungsgesetz ist am 06. Dezember 2025 in Kraft getreten.  

Mit der Verkündung im Bundesgesetzblatt am 05. Dezember 2025 gilt die Richtlinie nun verbindlich als nationales Recht. Eine weitere Übergangsfrist existiert nicht. Unternehmen sind verpflichtet, die Anforderungen ab sofort umzusetzen und nachweislich einzuhalten. 

Was bedeutet das Inkrafttreten konkret für Unternehmen?

  1. Verbindliche Pflichten: Die im Gesetz definierten Sorgfaltspflichten sind rechtskräftig.
  2. Keine Schonfrist: Die Aufsichtsbehörden können theoretisch ab sofort die Einhaltung prüfen.
  3. Haftung der Geschäftsführung: Ein wesentlicher Punkt ist die direkte Haftung der Geschäftsführung für die Umsetzung und Einhaltung angemessener Sicherheitsmaßnahmen. Cybersicherheit ist Chefsache geworden.
  4. Meldepflichten: Bei schwerwiegenden Cybervorfällen gelten sehr straffe Meldefristen (z.B. eine Erstmeldung innerhalb von 24 Stunden an das BSI).

Zuständige Behörde und Anlaufstelle In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), die eine gemeinsame Meldestelle beim BSI eingerichtet haben.  

Für die Erst-Registrierung steht das Portal „Mein Unternehmenskonto – MUK“ ab sofort zur Verfügung. Für die Zweit-Registrierung und Meldung von Vorfällen wird das BSI ab dem 06. Januar 2026 ein spezifisches BSI-Portal freischalten, das Unternehmen nutzen müssen.  

BSI – Regulierte Unternehmen

Schutz von Benutzerkonten und ZugriffssicherheitIllustration eines Laptops mit Benutzersymbol, Schutzschild und Schlüssel. Das Bild steht für sicheren Benutzerzugang, Schutz von Konten, Zugriffskontrollen und die Absicherung digitaler Identitäten vor unbefugtem Zugriff.

Fazit

Die NIS-2-Richtlinie verpflichtet Unternehmen zu einem kontinuierlichen Risikomanagement. Cybersicherheit ist damit Chefsache, bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.  

BSI – CyberRisikoCheck 

Als IT-Dienstleister führen wir den CyberRisikoCheck nach BSI-Standard für Sie durch und begleiten Sie von der Analyse bis zu konkreten Maßnahmen:  

  • Prüfung des NIS-2-Geltungsbereichs  
  • Strukturierte Analyse Ihrer Cyberrisiken
  • Klare Handlungsempfehlungen zur NIS-2-konformen Umsetzung der technischen Anforderungen


Der CyberRisikoCheck schafft Transparenz über Ihren aktuellen Sicherheitsstatus und bildet die fachliche Grundlage für ein nachhaltiges Risikomanagement gemäß NIS-2-Richtlinien. 

Haben Sie Fragen?

Wir unterstützen Sie gerne dabei, die Anforderungen der NIS-2-Richtlinie präzise zu verstehen und in Ihrem Unternehmen rechtssicher und revisionsfest umzusetzen.

Kontaktieren Sie uns gerne für eine unverbindliche Erstberatung.
vertrieb@mars-solutions.de