Startseite Blog

NIS2-Richtlinie: Pflichten, Chancen & Umsetzung für Unternehmen (2025)

Wurden Sie schon mal Opfer einer Cyber-Attacke? "Auf jeden Fall", "Eigentlich jeden Tag". Die NIS2-Richtlinie will dagegen angehen und bedeutet mit dem NIS2-Umsetzungsgesetz für einige Unternehmen Handlungsbedarf. Wer ist betroffen, was ist zu tun ... und was kostet's?

Bild zur NIS2-Richtlinie mit gelben Umschlag

Aktueller Stand

Die digitale Bedrohungslage nimmt stetig zu – mit steigenden Risiken für Unternehmen in ganz Europa. Um Cyberangriffe und IT-Ausfälle wirksamer abzuwehren, hat die EU die NIS2-Richtlinie eingeführt. Sie sollte ab Oktober 2024 mit dem NIS2-Umsetzungsgesetz auch in Deutschland verbindlich sein, doch verzögerte sich der Prozess (s. Beitrag zum aktuellen Stand). Am 30.07.2025 hat die Bundesregierung einen neuen Regierungsentwurf zur Umsetzung der NIS2-Richtlinie vorgelegt, der die Anforderungen und Abläufe spezifiziert.

In diesem Beitrag erfahren Sie, was die Richtlinie konkret bedeutet, wen sie betrifft und wie Sie Ihr Unternehmen effizient auf die neuen Sicherheitsanforderungen vorbereiten.

Das Bild zeigt den Umsetzungsstand der NIS2- Richtlinie. NIS2 Umsetzungsgesetz
Das Bild zeigt den Umsetzungsstand der NIS2- Richtlinie. NIS2 Umsetzungsgesetz

Was ist die NIS2-Richtlinie?

Mit Einführung der Richtlinie Netz- und Informationssystemsicherheit (NIS) hat die Europäische Union 2016 einen wichtigen Schritt gemacht, um die Cybersicherheit der Mitgliedstaaten zu stärken und Meldepflichten bei Sicherheitsvorfällen festzulegen. Doch die Umsetzung war nicht konsistent und offenbarte Schwachstellen.

Die jetzt überarbeitete Version schließt diese Lücken, indem sie klare Vorgaben macht, den Anwendungsbereich erweitert und die Zusammenarbeit zwischen den Mitgliedstaaten verbessert. Ziel dabei ist, ein hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten (NIS2-Richtlinie PDF). Oder mit anderen Worten: einen Mindeststandard setzt. Neben klassischer kritischer Infrastruktur (Energie, Wasser, Gesundheit) betrifft NIS2 auch Digitalwirtschaft, Transport, Verwaltung und Zulieferer.

In Deutschland wird die NIS2-Richtlinie durch das NIS2-Umsetzungsgesetz (Referententwurf Juni 2025) verbindlich umgesetzt. Laut ursprünglichem Plan sollten EU-Mitgliedsstaaten die NIS2-Richtlinie bis Oktober 2024 in lokale Gesetzgebung überführen (dazu: NIS2-Umsetzungsgesetz verzögert sich). Achtung: Mit der NIS2-Richtlinie steigt nicht nur die Zahl der betroffenen Unternehmen, sondern auch die Anforderungen. Ignoranz oder Unwissen werden mit hohen Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes bestraft.

E-Book NIS2-Richtlinie im Überblick

Was Sie jetzt wissen müssen!

Erfahren Sie in unserem kostenlosen E-Book:

  • Wen betrifft NIS2?
  • Was müssen betroffene Unternehmen tun?
  • 3 Punkte, die Sie jetzt angehen sollten

 

NIS2-Richtlinie: Wer ist betroffen?

Schätzungsweise sind allein in Deutschland zukünftig etwa 30.000 Unternehmen von der NIS2-Richtlinie betroffen. Nicht berücksichtigt sind dabei die Zulieferer solcher Unternehmen. Die NIS2-Richtlinie erweitert den Anwendungsbereich auf mehr Sektoren und Unternehmen.

Das NIS2-Umsetzungsgesetz gilt für Unternehmen mit:

  • mindestens 50 Beschäftigten oder
  • einem Jahresumsatz von über 10 Mio. €

Damit rückt auch ein großer Teil des Mittelstands in den Fokus der Cybersicherheitsregularien. Die Überwachung erfolgt durch das BSI und die Bundesnetzagentur.

Zu beachten: Verantwortung Geschäftsführung (Art. 20)

Geschäftsführung und andere Leitungsorgane von Unternehmen sind für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haftbar.

Die Geschäftsführung

  • muss die Umsetzung der Maßnahmen überwachen und haftet für Verstöße und
  • muss an Schulungen teilnehmen und diese den Beschäftigten anbieten

Anforderungen an Unternehmen

Betroffene Unternehmen müssen gemäß NIS2-Richtlinie bzw. NIS2-Umsetzungsgesetz verschiedene technische und organisatorische Maßnahmen ergreifen.

Notwendige Maßnahmen:

  • Richtlinien zur Cybersicherheit & Risiko-Management: Unternehmen müssen klare Richtlinien etablieren, um so ihre Cybersicherheitsrisiken zu identifizieren, zu bewerten und zu mindern.
  • Incident- und Business Continuity Management: Es müssen Prozesse vorhanden sein, um auf Sicherheitsvorfälle reagieren zu können sowie Strategien zur Aufrechterhaltung kritischer Geschäftsprozesse (s. Thema Notfallhandbuch).
  • Überwachung der Lieferketten: Unternehmen haben sicherzustellen, dass ihre Lieferanten ebenfalls angemessene Sicherheitsmaßnahmen treffen.
  • Bewertung der Maßnahmeneffektivität: Die Wirksamkeit der implementierten Sicherheitsmaßnahmen muss regelmäßig überprüft werden.
  • Maßnahmen zur personellen Sicherheit: Mitarbeiter*innen sollten hinsichtlich potenzieller Cyberbedrohungen geschult werden.
  • Umsetzung von kryptografischen Maßnahmen: Verschlüsselungstechnologien sollten zum Schutz sensibler Daten eingesetzt werden.
  • Zugangskontrollen: Der Zugriff auf Systeme sollte durch sichere Authentifizierungsverfahren streng reguliert werden.
  • Asset Management: Alle Vermögenswerte sollten genau dokumentiert sein, um eine effektive Überwachung zu ermöglichen.
  • Sichere Kommunikationsmöglichkeiten: Kommunikationssysteme müssen auch im Notfall funktionstüchtig bleiben.

Die genannten Maßnahmen sollen nach dem aktuellen Stand der Technik umgesetzt werden. Erwägungsgrund 89 (NIS2-Richtlinie PDF 89) enthält daher ergänzende Punkte, um die Netz- und Informationssysteme abzusichern. Zum Beispiel:

Hinzu kommen noch Melde- und Registrierungspflichten, für die im Unternehmen entsprechende Verfahren definiert werden müssen.

Zu beachten: Meldepflicht von Sicherheitsvorfällen (Art. 23)

Nach NIS2-Richtlinie müssen erhebliche Sicherheitsvorfälle der nationalen Behörde und gegebenenfalls den Empfänger*innen der eigenen Dienste gemeldet werden. So sieht die NIS2-Richtlinie folgende Fristen vor, um den Vorfall der Behörde zu melden:

  • Frühwarnungen innerhalb von 24 h ab Kenntnis
  • Qualifizierte Meldungen (ausführlicher Bericht) innerhalb von 72 h ab Kenntnis
  • Anlassbezogene Zwischenmeldungen und Abschlussbericht innerhalb eines Monats

Prognostizierte Kosten für betroffene Unternehmen

Insgesamt wird die Belastung der Wirtschaft mit 2,2 Mrd. € veranschlagt, von denen 2,1 Mrd. € auf die „Einführung und Anpassung digitaler Prozessabläufe“ entfallen. Wenn man das weiter aufschlüsselt, ergeben sich Kosten für ein durchschnittliches wichtiges Unternehmen von 86.900 €.

Davon entfallen

  • 81.500 € auf Aufwand und Sachkosten für die Einführung und Anpassung der Prozessabläufe und
  • 5.300 € auf Schulung von Führungskräften und Mitarbeiter*innen. Beim Durchschnitt wird davon ausgegangen, dass 5 von 10 Führungskräften und 100 von 200 Mitarbeitenden noch geschult werden müssen.

Die Kosten für die einmalige Registrierung und die Meldung von Vorfällen sind dabei zu vernachlässigen. Ich habe noch angenommen, dass das Unternehmen nicht zu den geplanten 24 Unternehmen zählt, die vom BSI jährlich von einer Sonderprüfung zur NIS2-Richtlinie betroffen sind.

Bei besonders wichtigen Unternehmen ergibt die analoge Rechnung durchschnittliche Kosten von 209.000 € aufgrund der höheren erwarteten Kosten bei den digitalen Prozessabläufen.

Anmerkungen zum Vorgehen der Analyse
Alle Zahlen und Abschätzungen (Stundensätze, Aufwand, Anzahl) im Text entstammen 1:1 dem Referentenentwurf. Sie werden zunächst nicht infrage gestellt, sondern als gegeben hingenommen. Es geht mir darum, diese Zahlen transparent zu machen und direkte Schlussfolgerungen daraus abzuleiten. Es ist allerdings davon auszugehen, dass diese Zahlen an vielen Stellen nicht realistisch sind und daher lediglich als Grundlage weiterer Überlegungen verstanden werden sollten.

Wichtige Erkenntnis: Personal- und Sachkosten einplanen

Die wichtigste Erkenntnis bei der Kostenbetrachtung des NIS2-Umsetzungsgesetzes ist, dass selbst bei wichtigen Unternehmen im Mittel von einem Personalaufwand von 138 Tagen und weiteren erheblichen Sachkosten ausgegangen wird. Dieses Personal sollte erfahren im Bereich der Informationssicherheit sein und jedem Unternehmen zur Verfügung stehen. Darüber hinaus wird mit den Budgets ausgedrückt, dass eine ganz erhebliche Erwartung an die Schulung der Führungskräfte gestellt wird. Dies sollten die Unternehmen in ihrer Planung auf jeden Fall berücksichtigen.

Was bringt’s? – Nutzen für Unternehmen

Nicht zuletzt soll auch auf den Nutzen an dieser Stelle eingegangen werden. Basierend auf Daten von Bitkom e. V. geht der Entwurf davon aus, dass die betrachteten Unternehmen im Mittel einen Schaden von 500.000 € durch Cybercrime erleiden, der mit der Umsetzung der Maßnahmen der NIS2-Richtlinie um 50%, d.h. 250.000 €, reduziert werden kann. Folglich hieße das: Wenn die Unternehmen heute im Mittel Rückstellungen von 500.000 € im Unternehmen einstellen, könnten sie demnach 50% davon auflösen, wenn sie alle Maßnahmen implementiert hätten.

Fazit: Sehen Sie es positiv!

Die neuen Anforderungen sind für Unternehmen ohne etabliertes Informationssicherheits-Management eine Herausforderung. Interne Prozesse im Unternehmen gilt es zu überprüfen und anzupassen. Das kann auch bedeuten, dass weitere Rollen (sogar Teams) definiert und etabliert werden müssen, etwa um Risiken bewerten und behandeln zu können. Systeme zur Angriffserkennung unterstützen dabei ergänzend mit wertvollen Informationen.

Und trotzdem sollten Unternehmen diese Notwendigkeit nicht nur als Belastung sehen. Sondern vielmehr auch als Chance, ihre eigene Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken. Die Umsetzung kann auch helfen, sich am Markt als vertrauenswürdiger Partner zu positionieren, denn Kunden legen zunehmend Wert auf Datenschutz und -sicherheit.

Und was passiert, wenn man die neue Richtlinie und das NIS2-Umsetzungsgesetz einfach nicht beachtet? Gar keine gute Idee! Unternehmen müssen mit rechtlichen Konsequenzen, einschließlich hoher Geldbußen, rechnen. Und nicht nur das! Da betroffene Unternehmen auch Einkaufsstrategie und Lieferketten prüfen müssen, bedeutet das unter Umständen den Verlust langjähriger Partnerschaften und Aufträge für Zulieferer.

Wie kann sich mein Unternehmen am besten auf die NIS2-Richtlinie vorbereiten?

  • Frühzeitige Bestandsaufnahme der IT-Sicherheit
  • Verantwortlichkeiten klar definieren
  • Maßnahmen planen – gemäß Risikoprofil individuell zuschneiden
  • Experten für Beratung und Prozessanpassung einsetzen
  • Förderprogramme prüfen zur Kostenentlastung

Speed-Dating NIS2: Starten Sie jetzt Ihre kostenlose NIS2-Erstanalyse – um die Compliance rechtzeitig zu sichern und finanzielle Risiken zu minimieren!

15 Minuten | erste Fragen | erste Antworten | kostenlos & unverbindlich

  • Sind Sie betroffen?
  • Was gilt es bei NIS2 zu beachten?
  • Wie bereiten Sie sich vor?