Die NIS‑2‑Richtlinie ist seit dem 06.12.2025 in Deutschland rechtskräftig. Sie erweitert den Kreis der betroffenen Unternehmen massiv – von bisher rund 4.500 auf über 29.000 Einrichtungen. Es gibt keine generelle Übergangsfrist: Pflichten wie Registrierung, Meldewege und Risikomanagementmaßnahmen gelten bereits. Wer jetzt nicht handelt, riskiert Bußgelder, Aufsichtsmaßnahmen und Reputationsschäden.
NIS-2: Neue EU‑Richtlinie für Cybersicherheit
Betrifft es auch Ihr Unternehmen?
#nis2know
Das BSI stellt umfassende Informationen und praxisnahe Leitfäden zu den neuen Anforderungen bereit. Wir unterstützen Sie dabei, die notwendigen Schritte einfach und sicher umzusetzen.
Was ist NIS‑2?
NIS‑2 steht für „Network and Information Security Directive“ und ist die überarbeitete EU‑Richtlinie zur Netz- und Informationssicherheit. Sie soll das Cybersicherheitsniveau europaweit harmonisieren und reagiert auf die wachsende Bedrohung durch Cyberangriffe.
Kernpunkte:
- Erweiterter Geltungsbereich: Neben kritischen Infrastrukturen sind viele „wichtige Einrichtungen“ betroffen, wie Energie, Gesundheit, Verkehr, digitale Infrastruktur, Lebensmittelproduktion.
- Verbindliche Pflichten: Registrierung, Meldepflichten bei Sicherheitsvorfällen, sowie technische und organisatorische Maßnahmen wie Patchmanagement, Incident-Response und Lieferketten-Sicherheit.
- Management-Verantwortung: Geschäftsleitungen müssen die Umsetzung überwachen und können bei Verstößen haftbar gemacht werden.
Warum ist das wichtig?
NIS‑2 ist mehr als eine Formalität – sie hat direkte Auswirkungen auf Ihre Organisation. Unternehmen, die die Anforderungen ignorieren, setzen sich erheblichen Risiken aus.
Risiken bei Nichtbeachtung:
- Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes – je nach Einstufung.
- Persönliche Haftung der Geschäftsleitung.
- Lieferketten-Druck: Fehlende Nachweise führen zu Ausschluss aus Ausschreibungen und Verträgen.
- Operative Schäden: Sicherheitsvorfälle verursachen Produktionsausfälle, Datenverlust und Reputationsschäden.
- Aufsichtsmaßnahmen: Das BSI kann einschneidende Vorgaben erlassen.
Bin ich betroffen?
Die NIS‑2‑Richtlinie betrifft nicht nur klassische KRITIS-Unternehmen. Sie gilt für zahlreiche Organisationen in definierten Sektoren – darunter auch viele mittelständische Betriebe. Betroffenheit kann direkt oder indirekt über die Lieferkette entstehen.
Prüfen Sie diese Kriterien:
Sind Sie unsicher, ob Ihr Unternehmen unter die NIS‑2‑Richtlinie fällt? Gemeinsam mit unserem Partner prüfen wir Ihre Betroffenheit und begleiten Sie bei der Umsetzung der erforderlichen Maßnahmen.
Sektorzugehörigkeit
Gehören Sie zu einem der NIS‑2-Sektoren?
- Energie (Strom, Gas, Öl)
- Gesundheit (Krankenhäuser, Labore, Hersteller medizinischer Geräte)
- Verkehr (Straße, Schiene, Luft, See)
- Digitale Infrastruktur (Rechenzentren, Cloud-Dienste, DNS-Dienste)
- Trinkwasser und Abwasser
- Lebensmittelproduktion und -verarbeitung
- Abfallwirtschaft
- Chemische Industrie
- Post- und Kurierdienste
Unternehmensgröße
- Haben Sie mehr als 50 Mitarbeitende? (abhängig von Branche und/oder Tätigkeitsfeld)
- Liegt Ihr Jahresumsatz bzw. Ihre Bilanzsumme bei mindestens 10 Mio. €?
(Bei Konzernen zählt die gesamte Unternehmensgruppe.)
Art der Tätigkeit
- Erbringen Sie kritische Dienste oder betreiben Systeme, die für die Versorgung oder Sicherheit relevant sind?
- Unterstützen Sie andere regulierte Unternehmen als Zulieferer oder Dienstleister?
Compliance-Anforderungen
- Fordern Ihre Kunden oder Partner NIS‑2-konforme Nachweise (z. B. ISMS, Notfallkonzepte, Lieferketten-Sicherheit)?
- Sind Sie Teil einer kritischen Lieferkette und müssen Compliance nachweisen, um Verträge zu behalten?
Hinweis: Auch ohne direkte Einstufung können Sie verpflichtet sein – durch vertragliche Anforderungen oder Audits.
Erste Einschätzung leicht gemacht
Mit diesem Überblick können Sie eine erste Einschätzung vornehmen für eine mögliche Betroffenheit von NIS-2. Das Schaubild zeigt die wichtigsten Prüfpunkte – von Sektorzugehörigkeit über Unternehmensgröße bis hin zu Compliance-Anforderungen. Für eine verlässliche Analyse empfehlen wir Ihnen eine Anfrage zur Betroffenheitsprüfung zu stellen.
Roadmap zur NIS‑2-Konformität
Die Einhaltung der NIS‑2-Richtlinie ist entscheidend für die Sicherheit und Zukunftsfähigkeit Ihres Unternehmens. Damit Sie den Überblick behalten, haben wir die wichtigsten Schritte für Sie strukturiert.
Nutzen Sie die Roadmap als Leitfaden: Erkennen Sie, was bereits umgesetzt ist und definieren Sie die nächsten Schritte zur NIS‑2-Konformität.
#nis2know
Die Umsetzung der NIS‑2 ist nicht nur Pflicht, sondern auch Chance: Wer jetzt investiert, stärkt seine IT-Sicherheit und Wettbewerbsfähigkeit langfristig. Gleichzeitig sollten Unternehmen den Aufwand nicht unterschätzen, planen Sie ausreichend Zeit für Risikoanalysen, Dokumentation und technische Maßnahmen ein.
Betroffenheitsprüfung
Warum? Sie müssen wissen, ob Ihr Unternehmen direkt oder indirekt unter die Richtlinie fällt.
Was passiert? Analyse von Sektor, Unternehmensgröße, Tätigkeit und Lieferkettenbezug.
Mehrwert: Vermeidet unnötige Maßnahmen und schafft Klarheit für die nächsten Schritte.
Gap-Analyse (Ist-Stand vs. Anforderungen)
Warum? NIS‑2 fordert konkrete technische und organisatorische Maßnahmen.
Was passiert? Vergleich Ihrer aktuellen Sicherheitsprozesse mit den gesetzlichen Vorgaben.
Mehrwert: Identifiziert Schwachstellen und priorisiert Handlungsbedarf.
Priorisierte Roadmap erstellen
Warum? Maßnahmen müssen planbar und wirtschaftlich umsetzbar sein.
Was passiert? Erstellung eines Zeitplans mit klaren Meilensteinen, Verantwortlichkeiten und Budgetrahmen.
Mehrwert: Struktur statt Aktionismus – Sie wissen, was wann zu tun ist.
Umsetzung technischer und organisatorischer Maßnahmen
Warum? NIS‑2 verlangt nachweisbare Sicherheitsmaßnahmen.
Was passiert? Einführung von Patch- und Schwachstellenmanagement, Incident-Response-Prozessen, Lieferketten-Sicherheit und Awareness-Programmen.
Mehrwert: Reduziert Risiken und erfüllt Compliance-Anforderungen.
Unser Service: Wir sind Ihr Ansprechpartner für die technische Umsetzung – gemeinsam mit bis.alert by F24 bieten wir eine leistungsstarke Lösung für Incident-Management und Krisenkommunikation.
Schulungen & Awareness
Warum? Menschen sind oft das größte Sicherheitsrisiko.
Was passiert? Sensibilisierung der Mitarbeitenden, Management-Schulungen zu Cyberrisiken.
Mehrwert: Stärkt die Sicherheitskultur und reduziert die Gefahr von Angriffen.
Unser Service: Wir bieten ein breites Portfolio an Schulungen und Awareness-Programmen – von Grundlagen bis zu spezialisierten Themen – um Ihre Mitarbeitenden für Cyberrisiken zu sensibilisieren und die Sicherheitskultur nachhaltig zu stärken.
bis.alert by F24-Integration für Alarm- & Krisenmanagement
Als erfahrenes ITK‑Systemhaus integriert bis.itk die bewährte Lösung bis.alert by F24 nahtlos in Ihre bestehende Infrastruktur. Wir konfigurieren die Plattform individuell, richten Schnittstellen (z. B. API, WebHooks) zu Ihren Systemen ein und sorgen dafür, dass alle relevanten Sicherheits- und Alarmprozesse automatisiert ablaufen. So ermöglichen wir Ihnen eine schnelle Erkennung, Zuordnung und Eskalation von IT-Sicherheitsvorfällen – genau wie es die NIS‑2-Anforderungen vorsehen.
Monitoring & Alarmierung mit FACT24 ENS+
Mit FACT24 ENS+ (ehemals Alarmierungssoftware von F24) stellen wir sicher, dass im Krisenfall rechtzeitig und zuverlässig reagiert wird – auch wenn interne Kommunikationswege ausfallen. Unser Team richtet die Lösung so ein, dass Nutzer im Web-Dashboard jederzeit alle Vorfälle sehen, automatisierte Nachrichten versendet werden und die Koordination zwischen Verantwortlichen reibungslos funktioniert. Vollständig hochverfügbar und zertifiziert, erfüllt FACT24 ENS+ damit die strengen Reporting- und Meldepflichten gemäß NIS‑2.