Die NIS-2-Richtlinie bringt die größte Veränderung im europäischen Cybersicherheitsrecht seit Jahren – und sie betrifft deutlich mehr Unternehmen, als viele Geschäftsführer in Hessen aktuell annehmen. Wer bislang davon ausging, dass IT-Sicherheitsvorgaben nur für Konzerne und Betreiber kritischer Infrastrukturen relevant sind, muss umdenken. Mit dem deutschen NIS2UmsuCG werden künftig tausende mittelständische Betriebe in die Pflicht genommen – inklusive persönlicher Haftung der Geschäftsleitung.
Dieser Beitrag fasst zusammen, was jetzt wichtig ist, wen es betrifft und mit welchen konkreten Lösungen Sie die Anforderungen wirtschaftlich umsetzen.
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die Nachfolgerin der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Ziel der EU ist es, ein einheitlich hohes Cybersicherheitsniveau in allen Mitgliedstaaten zu schaffen und die Widerstandsfähigkeit gegen Cyberangriffe, Ransomware und Lieferketten-Attacken deutlich zu verbessern. Die Richtlinie verpflichtet Unternehmen zu technischen und organisatorischen Mindestmaßnahmen, zu strukturiertem Risikomanagement und zu einem verbindlichen Meldewesen bei Sicherheitsvorfällen.
In Deutschland wird NIS-2 durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht übersetzt. Anders als bisher gilt kein Alles-oder-nichts-Prinzip mehr: Betroffene Unternehmen werden automatisch erfasst, eine freiwillige Meldung oder Einstufung als KRITIS ist nicht mehr nötig. Wer die Schwellenwerte erreicht, muss die Anforderungen erfüllen – Punkt.
Welche Unternehmen sind betroffen?
NIS-2 erfasst insgesamt 18 Sektoren und unterscheidet zwischen wesentlichen und wichtigen Einrichtungen.
Zu den betroffenen Branchen zählen unter anderem Energie, Verkehr, Banken und Finanzmärkte, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IT-Dienstleister, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe und Hersteller bestimmter Produktkategorien sowie Anbieter digitaler Dienste und Forschungseinrichtungen.
Die Einstufung erfolgt grundsätzlich über Mitarbeiterzahl und Umsatz:
| Kategorie | Mitarbeiter | Jahresumsatz / Bilanzsumme |
|---|---|---|
| Wesentliche Einrichtung | ab 250 | ab 50 Mio. Euro Umsatz oder 43 Mio. Euro Bilanzsumme |
| Wichtige Einrichtung | ab 50 | ab 10 Mio. Euro Umsatz oder 10 Mio. Euro Bilanzsumme |
Für bestimmte Sektoren – etwa digitale Infrastruktur, qualifizierte Vertrauensdiensteanbieter oder Domain-Registries – gelten die Pflichten unabhängig von der Größe. Unser Tipp: Prüfen Sie frühzeitig, ob Sie oder Ihre Tochtergesellschaften betroffen sind. Auch eine Holdingstruktur schützt nicht automatisch, und Zulieferer größerer betroffener Unternehmen werden über die Lieferkettenanforderungen faktisch ebenfalls in die Pflicht genommen.
Welche Pflichten ergeben sich aus NIS-2?
NIS-2 verlangt einen risikobasierten Ansatz und konkrete Maßnahmen entlang der gesamten IT- und OT-Landschaft. Die wichtigsten Pflichten im Überblick:
- Risikomanagement: Dokumentierte Analyse aller Cyberrisiken mit regelmäßiger Überprüfung
- Technische und organisatorische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Multi-Faktor-Authentifizierung, Backup-Konzept, Notfallplanung
- Vorfallsmeldepflicht: Erstmeldung innerhalb von 24 Stunden, detaillierte Meldung nach 72 Stunden, Abschlussbericht nach einem Monat an das BSI
- Lieferkettensicherheit: Bewertung und vertragliche Absicherung von IT-Dienstleistern, Softwareanbietern und Cloud-Providern
- Business Continuity: Notfall- und Krisenmanagement, Wiederanlaufpläne, regelmäßige Tests
- Schulung der Geschäftsleitung: Verpflichtende Weiterbildung zu Cybersicherheit – nicht delegierbar
- Registrierungspflicht beim BSI: Selbstregistrierung über das BSI-Portal
Besonders weitreichend ist die Pflicht zur ganzheitlichen IT-Security-Strategie. Punktuelle Einzelmaßnahmen reichen nicht mehr aus – gefordert ist ein dokumentierter, auditierbarer Prozess, der sich jederzeit gegenüber dem BSI nachweisen lässt.
Strafen bei Nichteinhaltung
Der Gesetzgeber meint es ernst. Die Bußgelder erreichen DSGVO-Dimensionen:
- Wesentliche Einrichtungen: bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
- Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 Prozent des weltweiten Jahresumsatzes
Neu und besonders brisant: Die Geschäftsleitung haftet persönlich. Geschäftsführer und Vorstände können für Versäumnisse im Cybersicherheitsmanagement direkt in Anspruch genommen werden. Ein Verweis auf die IT-Abteilung oder einen externen Dienstleister entbindet nicht von der Verantwortung – die Pflicht zur Kontrolle bleibt bei der Leitungsebene.
NIS-2 Checkliste: Was Sie jetzt tun sollten
Wenn Sie noch nicht mit der Umsetzung begonnen haben, ist jetzt der richtige Zeitpunkt. Diese zehn Schritte bringen Sie strukturiert voran:
- Betroffenheit klären: Prüfen Sie anhand von Sektor, Mitarbeiterzahl und Umsatz, ob Sie als wichtige oder wesentliche Einrichtung gelten
- Ist-Analyse durchführen: Dokumentieren Sie den aktuellen Stand Ihrer IT-Sicherheit, inklusive Assets, Prozessen und bekannten Schwachstellen
- Gap-Analyse gegen NIS-2: Identifizieren Sie die Lücken zwischen Ist-Zustand und gesetzlichen Anforderungen
- Risikomanagement etablieren: Führen Sie ein systematisches, dokumentiertes Risikomanagement ein
- Technische Schutzmaßnahmen umsetzen: Moderne Firewall-Systeme, Endpoint Security, E-Mail-Sicherheit und zentrale Protokollierung per SIEM
- Incident-Response-Prozess definieren: Klare Verantwortlichkeiten, Meldewege und Zeitvorgaben für die 24/72-Stunden-Fristen
- Lieferkette absichern: Verträge mit Dienstleistern überprüfen und NIS-2-konforme Klauseln ergänzen
- Geschäftsleitung schulen: Verpflichtende Weiterbildung zu Cybersicherheit organisieren
- Notfall- und Wiederanlaufpläne testen: Mindestens einmal jährlich unter realistischen Bedingungen
- Registrierung beim BSI vorbereiten: Ansprechpartner benennen und Unterlagen bereithalten
Wie Denk IT Sie konkret bei NIS-2 unterstützt
Als erfahrenes IT-Systemhaus mit rund 3.000 Kunden begleitet Denk IT mittelständische Unternehmen in Hessen und deutschlandweit auf dem Weg zur NIS-2-Konformität. Wir übersetzen die abstrakten Vorgaben der Richtlinie in konkrete, umsetzbare Projekte – und setzen dabei bewusst auf erprobte Technologien führender Hersteller, mit denen wir seit Jahren als zertifizierter Partner zusammenarbeiten. Die folgende Übersicht zeigt, welche Bausteine typischerweise zum Einsatz kommen:
1. Perimeter- und Netzwerksicherheit
Als SonicWall Platinum Partner implementieren wir Next-Generation-Firewalls mit Intrusion Prevention, Deep Packet Inspection, Content Filtering und integriertem VPN. Damit erfüllen Sie zentrale technische Anforderungen aus Artikel 21 der NIS-2-Richtlinie zur Netzwerksegmentierung und Zugriffskontrolle. Details zu den Lösungen finden Sie auf unserer Firewall-Übersichtsseite.
2. Endpoint Protection
Für den Schutz von Clients, Servern und mobilen Geräten setzen wir je nach Anforderung auf Sophos oder Trend Micro. Beide Hersteller liefern moderne EDR- und XDR-Funktionen, zentrale Verwaltung und automatisierte Reaktion auf Bedrohungen – unverzichtbare Voraussetzungen für die in NIS-2 geforderte kontinuierliche Erkennung und Abwehr von Angriffen. Mehr dazu auf unserer Seite zur Endpoint Security.
3. E-Mail-Sicherheit und Archivierung
Rund 90 Prozent aller Cyberangriffe beginnen mit einer E-Mail. Mit Hornetsecurity schützen wir unsere Kunden vor Phishing, Spam, Ransomware und gezielten Angriffen über Advanced Threat Protection. Für die rechtssichere, GoBD-konforme E-Mail-Archivierung setzen wir auf REDDOXX – eine deutsche Lösung, die auch die dokumentarischen Pflichten aus NIS-2 zuverlässig abbildet. Alle Bausteine rund um sichere Kommunikation finden Sie auf unserer Seite zur E-Mail-Sicherheit.
4. Backup und Disaster Recovery
Rechtssichere Datensicherung ist das Rückgrat jedes Business-Continuity-Konzepts. Als Veeam-Partner realisieren wir unveränderliche Backups, Offsite-Replikation und getestete Wiederanlaufprozeduren nach dem 3-2-1-1-0-Prinzip. Damit decken wir die NIS-2-Anforderungen an Verfügbarkeit, Integrität und nachweisbare Wiederherstellbarkeit ab. Einen Überblick über unsere Lösungsportfolios erhalten Sie auf der Backup-Seite.
5. SIEM, Monitoring und Asset Management
Für die geforderte zentrale Protokollierung, Echtzeit-Erkennung und Auditierbarkeit nutzen wir Rapid7 sowie Paessler PRTG zur Netzwerk- und Infrastrukturüberwachung. Ergänzend sorgt eine Asset-Management-Lösung wie Lansweeper dafür, dass Sie jederzeit wissen, welche Systeme in Ihrem Netz aktiv sind – eine Grundvoraussetzung für jedes belastbare Risikomanagement. Mehr zum Thema finden Sie auf unserer SIEM-Seite.
6. Managed Services, Patch-Management und Awareness
NIS-2 ist kein Projekt mit Enddatum, sondern ein Dauerlauf. Über unsere Managed Services übernehmen wir laufendes Patch-Management, Monitoring, regelmäßige Schwachstellenscans und das Sicherheitsreporting an Ihre Geschäftsleitung. Ergänzend bieten wir Security-Awareness-Schulungen an, damit Ihre Mitarbeitenden zur ersten Verteidigungslinie werden – ein Punkt, den die Richtlinie ausdrücklich fordert.
7. Hardware-Basis: Server und Infrastruktur
Als Dell Gold Partner liefern wir auf Wunsch die passende Hardware-Basis gleich mit – von Servern und Storage bis zu Netzwerkkomponenten. So erhalten Sie Software, Hardware, Implementierung und Betrieb aus einer Hand, mit klaren Zuständigkeiten und einem Ansprechpartner für die gesamte NIS-2-Umsetzung.
Diese Bausteine lassen sich modular kombinieren. Sie müssen nicht alles auf einmal umsetzen – aber Sie sollten mit einer sauberen Priorisierung starten. Warten Sie nicht, bis das erste Bußgeldverfahren Schlagzeilen macht. Je früher Sie starten, desto strukturierter und kosteneffizienter lässt sich NIS-2 umsetzen.
Unverbindliche Erstberatung anfragen
Sie wollen wissen, ob Sie von NIS-2 betroffen sind und welche Maßnahmen in Ihrem Unternehmen den größten Hebel bringen? Schreiben Sie uns – wir melden uns kurzfristig zurück und vereinbaren ein vertrauliches Erstgespräch.
