German English Slovak Swedish
background image
Adobe Stock ©

Das NIS2-Umsetzungsgesetz ist in Kraft

Wissenswertes zur EU-weiten Cyber-Sicherheit.

Materna IT-Dienstleister  |  Services  |  Cyber Resilience Manageme...  |  Cyber Security und Compli...  |  NIS2

NIS2 – alles Wissenswerte zur EU-weiten Cyber-Sicherheit

Seit dem 6. Dezember 2025 gilt das deutsche Umsetzungsgesetz verbindlich. Damit sind Unternehmen aus kritischen und wichtigen Sektoren verpflichtet, umfassende Sicherheitsmaßnahmen und Meldepflichten einzuhalten. Wenn Unternehmen und Institutionen, die für das Funktionieren von wirtschaftlichen und gesellschaftlichen Systemen relevant sind, Opfer von Cyberkriminalität werden, kann das schnell weitreichende Folgen haben – sowohl auf nationaler als auch auf internationaler Ebene. Die EU-weite Richtlinie NIS2 soll sicherstellen, dass ein hohes harmonisiertes Sicherheitsniveau von Netz- und Informationssystemen in der Europäischen Union gewährleistet wird. Die NIS2-Richtlinie enthält strenge Anforderungen für verschiedene Sektoren. Im Fokus stehen die Themen Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität. 

Was bedeutet das für Unternehmen, jetzt da NIS2 verbindlich gilt?

Unternehmen müssen die neuen Anforderungen ab sofort umsetzen. Hier kommen viele Veränderungen auf Unternehmen zu. Die wichtigsten sind:

  • NIS2 umfasst deutlich mehr Sektoren und Organisationen als bisher. Neben klassischen KRITIS-Betreibern sind auch „wichtige“ und „besonders wichtige Einrichtungen“ betroffen, z. B. öffentliche Verwaltung, digitale Dienste, Gesundheitswesen, Transport und Energie.
  • Die neuen Schwellenwerte definieren mit Blick auf Mitarbeiter, Umsatz und Bilanz, wer unter die Regelungen fällt.
  • Betroffene Unternehmen müssen sich als sogenannte „NIS2‑Unternehmen“ bis zum 6. März 2026 beim BSI registrieren. Ab 6. Januar 2026 wird das neue BSI-Portal über „Mein Unternehmenskonto“ (ELSTER-basiert) nutzbar sein.

  • Leitungsorgane (Vorstand, Geschäftsführung) sind persönlich verantwortlich für die Umsetzung der Risikomanagementmaßnahmen.
  • Verstöße können zu privater Haftung und hohen Bußgeldern führen.
  • Sanktionen:
    • Besonders wichtige Einrichtungen: bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes
    • Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 Prozent des weltweiten Jahresumsatzes
  • Die Organisation darf auf Ersatzansprüche gegenüber Leitungsorganen nicht verzichten. Die Haftungsregeln sind potenziell existenzgefährdend.

  • Die Bundesregierung setzt die Vorgaben streng um und kombiniert sie mit Regelungen zur physischen Sicherheit (KRITIS-Dachgesetz, EU-RCE).
  • Unternehmen müssen umfassende Cyber-Sicherheitsmaßnahmen implementieren: u. a. Risikoanalyse, Incident Response, Lieferketten-Sicherheit, Multi-Faktor-Authentifizierung.
  • Angesichts geopolitischer Risiken sind Betreiber kritischer Infrastrukturen besonders gefährdet. Die Umsetzung von NIS2 ist daher essenziell.

Ob ein Unternehmen von der NIS2-Richtlinie betroffen ist, hängt vom Tätigkeitsbereich sowie von der Unternehmensgröße ab. Es ist wichtig zu wissen, dass die NIS2-Richtlinie für deutlich mehr Bereiche relevant ist als die erste NIS-Richtlinie. Es wird grundsätzlich unterschieden zwischen Sektoren mit hoher Kritikalität und sonstigen kritischen Sektoren. Zusätzlich wird zwischen den Kategorien „wesentliche Einrichtungen“ und „wichtige Einrichtungen“ unterschieden. Die Unterteilung der Kategorien spielt hauptsächlich bei der staatlichen Aufsichts- und den Sanktionsmöglichkeiten eine Rolle. 

Zuerst wird in zwei Sektoren unterschieden. Einerseits werden Sektoren mit hoher Kritikalität definiert und andererseits jene mit sonstiger Kritikalität. Die Sektoren mit hoher Kritikalität decken sich großenteils mit jenen, die bereits in Deutschland unter KRITIS fallen.

  • Sektoren mit hoher Kritikalität ( Anhang 1 / NIS2)

    Energie / Verkehr / Bankwesen / Finanzmarktinfrastrukturen / Gesundheitswesen / Trinkwasser / Abwasser / Digitale Infrastruktur / Verwaltung von IKT-Diensten / Öffentliche Verwaltung / Weltraum 

  • Sonstige kritische Sektoren (Anhang 2 / NIS2)

    Post- und Kurierdienste / Abfallbewirtschaftung / Produktion, Herstellung und Handel mit chemischen Stoffen / Produktion, Verarbeitung und Vertrieb von Lebensmitteln / Verarbeitendes Gewerbe (Herstellung von Waren - Herstellung von Medizinprodukten - Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen - Herstellung von elektrischen Ausrüstungen – Maschinenbau - Herstellung von Kraftwagen und Kraftwagenteilen - Sonstiger Fahrzeugbau) / Anbieter digitaler Dienste / Forschung 

Zuordnung der Sektoren im Vergleich „KRITIS & NIS2“

HINWEIS: Gem. dem Referentenentwurfs des Bundesinnenministeriums zur Umsetzung der NIS-Richtlinie ist vorgesehen, dass die Regelungen im BSIG zu den UBI aufgehoben werden sollen. UBI werden gem. des Entwurfs in der neuen Einrichtungskategorie „Wesentlichen Einrichtungen & wichtigen Einrichtungen“ aufgehen. 

Betroffenheit nach Unternehmensgröße 

In einem zweiten Schritt muss die Größe des Unternehmens herangezogen werden, um zu definieren, ob es sich um eine wesentliche oder eine wichtige Einrichtung handelt. Unternehmen, die weniger als 50 Beschäftigte haben und weniger als 10 Millionen Euro Jahresumsatz aufweisen, fallen nicht unter die NIS2-Richtlinie. 

Sonderfälle 

Folgende Unternehmen sind unabhängig von ihrer Größe von NIS2 betroffen (Artikel 3, Absatz 1, Ziffer a / NIS2):

  • Anbieter von Vertrauensdiensten
  • Domänennamenregister der Domäne oberster Stufe
  • DNS-Diensteanbieter
  • Anbieter öffentlicher elektronischer Kommunikationsnetze mit mittlerer Unternehmensgröße
  • Öffentliche Verwaltung
  • Unternehmen, die als einziger Anbieter eines Dienstes in einem EU-Mitgliedsstaat gesehen werden, der kritisch ist für das öffentliche Leben ist
  • Unternehmen, deren Störung einen wesentlichen Effekt auf die öffentliche Ordnung, Sicherheit oder Gesundheit haben
  • Unternehmen, die laut der Resilienz-Richtlinie der EU als kritisch einzustufen sind
  • Unternehmen, die vor dem 16. Januar 2023 schon als kritisch eingestuft wurden (Artikel 3, Absatz 1 / NIS2)

Eine Ausnahme bilden Anbieter öffentlicher elektronischer Kommunikationsnetze – hier sind nur Unternehmen von mindestens mittlerer Unternehmensgröße betroffen. Hierunter werden Organisationen verstanden, die zwischen 50 und 250 Beschäftigte haben und entweder einen Jahresumsatz zwischen 10 und 50 Millionen Euro oder eine Jahresbilanz von mindestens 43 Millionen Euro aufweisen. 

In der Praxis

Eine der großen Pflichten für Unternehmen laut NIS2-Richtlinie ist das Thema Risiko-Management. NIS2 verlangt, dass Maßnahmen im Rahmen des Risikomanagements getroffen werden, um die kritische Dienstleistung zu schützen. Die damit verbundenen Aufgabenstellungen, regulatorische Anforderungen in die Unternehmens-Governance einfließen zu lassen und diese zu managen, ist für viele dieser Unternehmen neu und somit eine maximale Herausforderung.  

Im Kern geht es bei der regulatorischen Betrachtung immer um gesetzliche, aufsichtsrechtliche oder behördliche Vorgaben, die sicherstellen sollen, dass Unternehmen angemessene Maßnahmen ergreifen, um die Sicherheit und Integrität von Netz- und Informationssystemen zu gewährleisten. 

Hierzu bedarf es in Unternehmen eine umfassende Governance, in der Rahmenbedingungen für die Einhaltung regulatorischer Anforderungen überwacht, gemessen und dokumentiert werden. Viele regulatorische Anforderungen beziehen sich u. a. auf die Sicherstellung und Gewährleistung von Sicherheit, Integrität und Vertraulichkeit von Daten, die oft in IT-Systemen gespeichert und verarbeitet werden. Für das Managen dieser regulatorischen Definitionen ist ein IT-Governance-Modell Voraussetzung. Es ist wesentlicher Bestandteil für die effektive Umsetzung regulatorischer Definitionen im IT-Bereich und bildet auch gleichzeitig das Fundament, um das Sicherheitsniveau und die Cyber-Resilienz in der Unternehmensorganisation zu stärken. 

Mit einem IT-Governance-Modell legen Unternehmen u. a. die Richtlinien, Prozesse und Kontrollen fest, die erforderlich sind, um sicherzustellen, dass IT-Systeme den regulatorischen Anforderungen entsprechen. Für die Risikobetrachtung ist es wichtig, dass ein IT-Governance-Modell bei der Identifizierung, Bewertung und Bewältigung von Risiken im Zusammenhang mit IT-Systemen und -Prozessen unterstützt. Dies beinhaltet die Implementierung von Mechanismen zur automatisierten Überwachung von Systemen, die Erstellung von Compliance-Berichten und die Bereitstellung von Nachweisen für Aufsichtsbehörden oder Auditoren. Dieses Zusammenwirken ist wichtig, da Sicherheitsverletzungen schwerwiegende und weitreichende Folgen haben können, sowohl rechtlich als auch finanziell. 

Es geht bei einem IT-Governance-Modell im Wesentlichen um: 

  • Schaffen von Richtlinien im Umgang mit unternehmensweiter IT-Infrastruktur und Prozessen
  • Überwachung und Kontrolle von IT-Systemen und -Prozessen
  • Risikomanagement im IT-Bereich
  • Compliance-Methoden, Monitoring und Berichterstattung
  • Change-Management und Anpassungsfähigkeit an sich ändernde regulatorische Bedingungen

Für Unternehmen heißt das, sie brauchen eine umfassende IT-Governance, in der auch die sich stetig ändernden Anforderungen der Gesetzeslage und der Regulatorik abgebildet werden können. 

Ein gebräuchliches und weltweit anerkanntes Referenzmodell ist das IT-Governance-Framework COBIT (Control Objectives for Information and related Technology), welches als Basis für die Einführung und die Optimierung von IT-Governance dienen kann. Es wird vom IT-Governance-Institute und der Information Systems Audit and Control Association (ISACA) veröffentlicht. Bei COBIT handelt es sich um ein sehr umfassendes Framework, das auch Beschreibungen zu Überwachungsaktivitäten sowie eine Vielzahl an Kontrollzielen und Aktivitäten zur Überprüfung der Compliance-Einhaltung aufweist. 

Materna unterstützt Unternehmen bei der Awareness und Einordnung regulatorischer Definitionen im Kontext der IT-Governance in Unternehmen. 

Die Themen NIS2, Regulatorik, Governance, Risk & Compliance sind also eng miteinander verbunden. In unserem Ansatz betrachten wir das Zusammenwirken regulatorischer Definitionen, die Umsetzung und das Managen dieser Aspekte auf Grundlage von Best-Practices, die damit großen Einfluss auf das Risikomanagement und die damit verbundene Informationssicherheit haben. Die Erfahrung in diesem Bereich entstammt unserem langjährigen Engagement im regulierten Sektor und die damit erreichbaren Sicherheitsstandards. Sie sind jedoch auch eine ideale Blaupause für jede Unternehmens-IT, da dieser Ansatz Effizienz gewährleistet. 

Beratung, Implementierung, Betrieb und Schulung

  • Beratung im Kontext der Regulatorik mit Fokus auf Security und Compliance
  • Projektbezogene Beratung mit Analyse und Konzeption
  • Betrieb hochverfügbarer und sicherer Infrastrukturen (Maßnahmen zur Aufrechterhaltung der Informationssicherheit im Betrieb, dazu gehört auch die Überwachung und Erfolgskontrolle),
  • Unternehmensweite Change-Kommunikation über alle Ebenen hinweg
  • Schulungen und Workshops, u.  für die Sensibilisierung der Mitarbeitenden

Absicherung von IT-Infrastruktur

  • Risikoanalysen und Reifegrad-Checks (Readiness, Awareness) 
  • Technisch-organisatorische Lösungen (Infrastructure as Code, SIEM, -SOC-,)
  • Überwachungslösungen und Monitoring
  • Unternehmensweite IT-Service-Management-Lösung
  • Security- und Vulnerability-Management
  • ISMS-Beratung
  • GDPR/DSGVO-konforme IT-Infrastruktur nach Zero-Trust-Prinzip (Analyse, Maßnahmen, Umsetzung)
  • Cloud Security im Rahmen von Cloud Migrationen (Analyse, Maßnahmen und Umsetzung)
  • Komplexe Security-Architekturen (Design, Implementierung & Management)

Sprechen Sie uns gerne an

Portrait von Ansprechpartner Robert Stricker

Robert Stricker
Abteilungsleiter Security Consulting

Das bewegt uns aktuell

Event
Cyber Security
25.06.2026
Webcast “Security by Design. Not by Accident.”

Sichere Software entsteht nicht durch Zufall und auch nicht allein durch einzelne technische Maßnahmen. Gerade vor dem Hintergrund des Cyber Resilience Act steigt der Druck auf Hersteller und Betreiber digitaler Produkte, Security-Anforderungen nicht…

Weiterlesen
Adobe Stock ©
Blog
Cyber Security
13.05.2026
KRITIS-Dachgesetz: Diese neuen Anforderungen kommen jetzt auf KRITIS-Betreiber zu

Der Schutz kritischer Infrastrukturen ist für viele Unternehmen und Behörden bereits seit Jahren ein zentrales Thema. Mit dem neuen KRITIS-Dachgesetz

Weiterlesen
Adobe Stock ©
Blog
Cyber Security
24.03.2026
Cyberresilienz im Mittelstand: Warum Cyber-Sicherheit heute über die Zukunft entscheidet

Cyberresilienz im Mittelstand ist längst kein optionales IT-Thema mehr, sondern eine strategische Notwendigkeit. Während große Konzerne seit Jahren…

Weiterlesen
Adobe Stock © Mitarbeiter im Live-Chat-Support, der auf der Tastatur tippt und einen KI-Chatbot nutzt, um Kundenbeschwerden zu bearbeiten. Callcenter-Mitarbeiter, der sich mithilfe von künstlicher Intelligenz (LLM) und einer Kamera um unzufriedene Kunden kümmert
Monitor
Cyber Security
25.11.2025
Prompt Injection

Über die Sicherheit von Sprachmodellen.

Weiterlesen
Adobe Stock ©
Monitor
Data & AI
Cyber Security
21.11.2025
SecurePIM

Daten-Souveränität heißt, dass keine Information das Gerät verlässt, ohne dass die Organisation das will oder weiß.

Weiterlesen
Frau liest am Laptop eine Phishing-Mail
Monitor
Cyber Security
21.11.2025
Human Firewall

Ein Gespräch über die Human Firewall, KI, Live-Hacking und die Kunst, Sicherheit mit Humor zu vermitteln

Weiterlesen
Blog
Cyber Security
30.10.2025
Informationssicherheit systematisch gestalten: Warum ein ISMS unverzichtbar ist

In Zeiten zunehmender Cyberbedrohungen und komplexer digitaler Abhängigkeiten ist Informationssicherheit längst zu einem strategischen Erfolgsfaktor…

Weiterlesen
Adobe Stock ©
Blog
Data & AI
Cyber Security
28.10.2025
Prompt Injection – Wie KI durch versteckte Befehle fehlgeleitet werden kann

Stellen Sie sich vor: Sie bitten einen Chatbot darum, eine Webseite zusammenzufassen. Auf den ersten Blick wirkt der Text völlig harmlos, doch…

Weiterlesen
Adobe Stock ©
Blog
Cyber Security
19.08.2025
Human Firewall: Der Faktor Mensch als Schlüssel zur Resilienz

In einer zunehmend volatilen und digitalisierten Welt ist Resilienz keine Option mehr, sondern eine Notwendigkeit – vor allem im öffentlichen Sektor.…

Weiterlesen

Materna Information & Communications SE

Wir digitalisieren Ihre Welt

Wir sind gerne für Sie da

Robert-Schuman-Straße 20 44263 Dortmund
+49 231 559 9 - 00
Kontakt aufnehmen
Kundenservice

Quick Links

Karriere Events Materna-Gruppe Services Presse Trainingscenter WIKI - Deep Dive

IT mit Vertrauen

Materna Trust Center Zertifizierungen Lieferantenkodex Lieferantenbewerbung Datenschutz für Lieferanten Datenschutz für Kunden

Materna Newsletter

Erfahren Sie monatlich die wichtigsten News rund um das Unternehmen, Kundenprojekte, Produkte und Services.

Jetzt abonnieren
© Materna 2026
Impressum
| Datenschutz
| Datenschutzeinstellungen