Blog
Keine Panik wegen NIS 2
Die Uhr tickt – denn NIS 2 ist bereits in Kraft. Was bedeutet das jetzt konkret für Sie? Und müssen Sie überhaupt aktiv werden? Eines ist sicher: Wer NIS 2 ignoriert, riskiert empfindliche Strafen und zusätzliche Auflagen durch die Behörden. Mit unserem schnellen Überblick wissen Sie in drei Minuten, ob Sie betroffen sind – und welche nächsten Schritte Sie jetzt umsetzen sollten, um die Anforderungen sicher zu erfüllen:
1. NIS 2 betrifft mehr Unternehmen als bisher
Die EU-Richtlinien zur Netzwerk- & Informationssicherheit 2 (NIS 2) sind eine Erweiterung von NIS 1. Aber Achtung: Sie betreffen mehr Unternehmen als bisher! Denn die Kriterien wie Unternehmensgröße, Mitarbeiterzahl und Umsatz wurden angepasst. Auch Dienstleister und Zulieferer von KRITIS-Unternehmen können betroffen sein. Prüfen Sie also auf jeden Fall, ob Ihr Unternehmen meldepflichtig ist! Das geht über die Seite des Bundesamts für Sicherheit in der Informationstechnologie (BSI).
2. NIS 2 ist nicht nur eine Aufgabe der IT
NIS 2 betrifft die generelle Sicherheit von Netzwerken und Informationen – und ist damit nicht allein Aufgabe der IT. Auch die physische und personenbezogene Sicherheit müssen mitgedacht werden. Dazu dient ein Informationssicherheitsmanagementsystem (ISMS). Mehr Informationen dazu, was ein ISMS ist und worauf es dabei ankommt, lesen Sie in unserem Blogpost zum Thema.
3. Einfach ignorieren? Besser nicht!
Sich wegducken und Unwissenheit vorschützen, klappt bei NIS 2 nicht, denn das kann schnell sehr teuer werden: Kommt ein Unternehmen seinen Meldepflichten nicht nach, muss es mit hohen Geldstrafen von bis zu 2 % des weltweiten Jahresumsatzes oder 10 Millionen Euro – je nachdem, welcher Betrag höher ist – rechnen. Unternehmen müssen also selbst aktiv werden und sich bis Juli 2026 anmelden, wenn sie von NIS 2 betroffen sind. Dabei muss die Meldekette klar sein, also wer Sicherheitsvorfälle in welchem Zeitraum wohin meldet.
4. Was Sie jetzt tun können
Da NIS2 bereits in Kraft getreten ist, geht es jetzt nicht mehr um die „Vorbereitung“, sondern um eine zügige Umsetzung und belastbare Nachweise. Ein sinnvoller erster Schritt ist eine strukturierte Gap-Analyse gegenüber den NIS-2-Anforderungen – idealerweise gemeinsam mit einem auf Informationssicherheit spezialisierten IT-/Security-Partner. Auf dieser Basis können Sie Ihr bestehendes ISMS gezielt weiterentwickeln oder – falls noch nicht vorhanden – pragmatisch aufsetzen, sodass Verantwortlichkeiten, Prozesse und Kontrollen die NIS-2-Pflichten abdecken.
Damit die Analyse schnell und wirksam startet, können Sie vorab bereits zentrale Punkte klären:
- System- und Patch-Stand: Sind alle Systeme aktuell? Gibt es veraltete oder nicht mehr unterstützte Komponenten (EOL/EOS), die ein besonderes Risiko darstellen?
- Update- und Change-Prozesse: Sind sicherheitsrelevante Updates vollständig umgesetzt? Lassen sich ausstehende Updates strukturiert einplanen, ohne den Betrieb zu gefährden?
- Risikomanagement & Notfallorganisation: Wie sind Risiko-, Incident- und Krisenmanagement geregelt? Wer ist wofür verantwortlich – auch außerhalb der Kernarbeitszeiten (Wochenenden/Feiertage)? Welche Eskalations- und Kommunikationswege gelten? Gibt es belastbare Alternativen (z. B. Wiederanlauf-/Fallback-Szenarien), falls ein Angriff erfolgreich ist?
- Dokumentation: Welche Prozesse sind bereits dokumentiert (z. B. Betrieb, Berechtigungen, Changes, Incident Response)? Wo bestehen Lücken?
- Lieferkette & Dienstleister: Welche Zulieferer und Dienstleister sind eingebunden – und zu welchen Systemen, Daten oder Infrastrukturkomponenten haben sie Zugriff? Wie wird dieser Zugriff gesteuert und überwacht?
- Schutz sensibler Daten: Wo werden sensible Daten physisch gelagert bzw. digital gespeichert? Wie sind diese Daten derzeit geschützt (z. B. Verschlüsselung, Backup, Zugriffskontrollen, Logging)?
- Zugriffsrechte & Identity Management: Welche Richtlinien und technischen Kontrollen für Zugriffe existieren bereits (Least Privilege, MFA, Rezertifizierung)? Wie wird die Umsetzung nachweisbar sichergestellt?
Ein ISMS entsteht nicht über Nacht – aber eine gute Gap-Analyse hilft, die richtigen Prioritäten zu setzen und Maßnahmen in eine realistische Roadmap zu überführen. Besonders wichtig im NIS-2-Kontext sind dabei klar definierte Melde- und Eskalationsketten bei Sicherheitsvorfällen sowie eine saubere, nachvollziehbare Dokumentation der Verantwortlichkeiten und Maßnahmen.
NIS 2 ist daher kein Grund zur Panik – aber ein klarer Handlungsauftrag. Wenn Sie strukturiert vorgehen, erhöhen Sie Ihre Resilienz nachhaltig und profitieren auch bei Audits, Kundenanforderungen und möglichen Zertifizierungen. Unsere Security-Expert*innen unterstützen Sie gern dabei, die NIS-2-Anforderungen effizient umzusetzen – melden Sie sich einfach bei uns.