Aktualisiert im April 2026 mit NIS-2-Bezug. Dieser Beitrag wurde inhaltlich vollständig überarbeitet und berücksichtigt die aktuelle Rechtslage rund um die Umsetzung der NIS-2-Richtlinie in deutsches Recht.

Vom IT-Sicherheitsgesetz 2.0 zur NIS-2-Richtlinie: Was Unternehmen jetzt wissen müssen

Die Sicherheit der Informationstechnologie hat für Unternehmen in Deutschland eine neue Dimension erreicht. Wir von Denk IT in Großenlüder begleiten unsere Kunden seit Jahren dabei, die Anforderungen aus dem IT-Sicherheitsgesetz rechtssicher umzusetzen. Mit der europäischen NIS-2-Richtlinie, dem Nachfolger des bisherigen IT-Sicherheitsgesetzes 2.0, ändern sich die Spielregeln grundlegend. Deutlich mehr Unternehmen sind betroffen, die Strafen sind empfindlich erhöht und die Geschäftsleitung haftet künftig persönlich für die Einhaltung der Pflichten.

In diesem Beitrag erklären wir Ihnen, was NIS-2 für Ihr Unternehmen bedeutet und welche konkreten Schritte Sie jetzt einleiten sollten. Für eine vertiefte Darstellung der NIS-2-Richtlinie empfehlen wir unseren ausführlichen NIS-2-Artikel.

Was war das IT-Sicherheitsgesetz 2.0?

Das IT-Sicherheitsgesetz 2.0 trat 2021 in Kraft und richtete sich in erster Linie an Betreiber Kritischer Infrastrukturen (KRITIS). Es verpflichtete Unternehmen aus den Sektoren Energie, Wasser, Gesundheit, Finanzen, Transport, Ernährung sowie Informationstechnik und Telekommunikation zur Umsetzung angemessener Sicherheitsmaßnahmen und zur Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Mit der Einführung der Kategorie Unternehmen im besonderen öffentlichen Interesse (UBI) wurde der Kreis der Betroffenen bereits damals erweitert. Dazu zählten unter anderem Rüstungshersteller, Unternehmen mit volkswirtschaftlicher Bedeutung und Betreiber von Anlagen, die der Störfall-Verordnung unterliegen.

NIS-2: Die neue europäische Cybersicherheitsrichtlinie

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist das europäische Pendant und der inhaltliche Nachfolger des IT-Sicherheitsgesetzes 2.0. Sie verpflichtet die EU-Mitgliedstaaten, deutlich strengere und einheitlichere Cybersicherheitsstandards für Unternehmen einzuführen. In Deutschland wird NIS-2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Die wichtigsten Neuerungen im Überblick:

  • Deutlich mehr Sektoren betroffen: Statt bisher acht KRITIS-Sektoren umfasst NIS-2 insgesamt 18 Sektoren, unterteilt in wesentliche und wichtige Einrichtungen.
  • Mehr Unternehmen in der Pflicht: In Deutschland sind schätzungsweise rund 30.000 Unternehmen direkt von NIS-2 betroffen – ein Vielfaches gegenüber dem IT-Sicherheitsgesetz 2.0.
  • Erhoehte Strafen: Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen, bis zu 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen.
  • Persönliche Haftung der Geschäftsleitung: Geschäftsführer und Vorstände haften persönlich für die Einhaltung der Cybersicherheitspflichten und müssen verpflichtende Schulungen absolvieren.
  • Strengere Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Frühwarnung) bzw. 72 Stunden (detailliert) an das BSI gemeldet werden.

Welche Sektoren sind von NIS-2 betroffen?

NIS-2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Wesentliche Einrichtungen umfassen unter anderem Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienste, oeffentliche Verwaltung und Raumfahrt. Zu den wichtigen Einrichtungen zählen Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste sowie Forschungseinrichtungen.

Grundsätzlich gilt: Mittlere Unternehmen (ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz) und große Unternehmen aus den genannten Sektoren fallen unter NIS-2. Für bestimmte kritische Anbieter gilt die Pflicht unabhängig von der Unternehmensgröße.

Welche Pflichten kommen 2025/2026 auf Unternehmen zu?

Unternehmen, die unter NIS-2 fallen, müssen ein umfassendes Risikomanagement für Cybersicherheit einführen. Dazu gehören unter anderem:

  • Konzepte für Risikoanalyse und Informationssicherheit
  • Bewältigung von Sicherheitsvorfällen (Incident Response)
  • Business Continuity und Krisenmanagement inklusive Backup- und Wiederherstellungsstrategien
  • Sicherheit der Lieferkette und der Beziehungen zu Dienstleistern
  • Sicherheit bei Beschaffung, Entwicklung und Wartung von IT-Systemen
  • Konzepte zur Bewertung der Wirksamkeit der getroffenen Maßnahmen
  • Schulungen zu Cyberhygiene und Cybersicherheit – auch verpflichtend für die Geschäftsleitung
  • Einsatz von Kryptografie, Verschlüsselung und Multi-Faktor-Authentifizierung
  • Zugriffskontrollen und Asset-Management

Persönliche Haftung der Geschäftsleitung

Ein zentraler Paradigmenwechsel von NIS-2: Die Geschäftsleitung trägt die persönliche Verantwortung für die Umsetzung und Überwachung der Cybersicherheitsmassnahmen. Geschäftsführer und Vorstände müssen die eingesetzten Maßnahmen aktiv freigeben, überwachen und sich regelmäßig fortbilden. Bei Verstößen drohen nicht nur Bußgelder gegen das Unternehmen, sondern auch persönliche Haftung und das vorübergehende Verbot, Leitungsfunktionen auszuüben.

Was sollten Unternehmen jetzt tun?

Die ersten Schritte auf dem Weg zur NIS-2-Konformität sind klar:

  1. Betroffenheit prüfen: Fällt Ihr Unternehmen unter NIS-2? Wir führen mit Ihnen eine strukturierte Betroffenheitsanalyse durch.
  2. Gap-Analyse: Wo stehen Sie im Vergleich zu den Anforderungen? Welche Maßnahmen fehlen noch?
  3. Maßnahmenplan erstellen: Priorisierte Roadmap zur Umsetzung der technischen und organisatorischen Anforderungen.
  4. Schulung der Geschäftsleitung: Verpflichtende Cybersecurity-Schulungen für Entscheider.
  5. Incident-Response-Prozess etablieren: Klare Meldewege und Zuständigkeiten für Sicherheitsvorfälle.

Fristen und Umsetzungszeitpunkt

Die NIS-2-Richtlinie hätte eigentlich bereits bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. In Deutschland verzögerte sich die Verabschiedung des NIS2UmsuCG, die praktische Anwendung steht jedoch unmittelbar bevor. Betroffene Unternehmen sollten keinesfalls auf den finalen Inkrafttretenszeitpunkt warten, sondern die inhaltlichen Anforderungen bereits jetzt umsetzen. Die Aufsichtsbehörden werden ab dem Stichtag Kontrollen durchführen und bei Versäumnissen ohne lange Übergangsfristen sanktionieren.

Lieferkette und Drittdienstleister im Fokus

Ein oft unterschätzter Aspekt von NIS-2 ist die explizite Verantwortung für die eigene Lieferkette. Wer als betroffenes Unternehmen IT-Dienstleister, Cloudanbieter oder Softwarelieferanten einsetzt, muss deren Sicherheitsniveau bewerten und vertraglich absichern. Das bedeutet konkret: Verträge mit Dienstleistern müssen um Sicherheits-, Audit- und Meldepflichten ergänzt werden. Auch kleinere Dienstleister, die selbst nicht direkt unter NIS-2 fallen, werden durch ihre Kunden mittelbar in die Pflicht genommen – der sogenannte Kaskadeneffekt der Richtlinie.

Denk IT – Ihr Partner für NIS-2-Konformität

Als zertifizierter Dell Gold Partner und erfahrenes IT-Systemhaus mit über 3.000 Kunden unterstützen wir Sie ganzheitlich bei der Umsetzung der NIS-2-Anforderungen. Unsere Leistungen reichen von der Betroffenheitsanalyse über die technische Umsetzung bis zur Schulung Ihrer Mitarbeitenden und Geschäftsleitung. Wir bringen Ihre IT-Security auf das Niveau, das NIS-2 von Ihnen fordert – rechtssicher, wirtschaftlich und praxistauglich.

Sprechen Sie uns an, bevor die Aufsichtsbehörden es tun. Eine rechtzeitige Umsetzung schützt nicht nur Ihr Unternehmen vor hohen Bußgeldern, sondern auch Ihre Geschäftsleitung vor persönlicher Haftung. Weitere Details zur NIS-2-Richtlinie finden Sie in unserem ausführlichen NIS-2-Artikel.