Angebot Innovation – NIS-2: Was Unternehmen jetzt wissen müssen
Es ist notwendig und wichtig, hohe IT-Sicherheitsstandards zu vereinheitlichen. Cyber-Angriffe auf Unternehmen, Behörden und kritische Infrastrukturen nehmen stetig zu und verursachen jedes Jahr erhebliche wirtschaftliche Schäden.
Mit der Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS-2, hat die Europäische Union einen verbindlichen Rahmen für höhere Cybersicherheit in allen EU-Mitgliedstaaten geschaffen. Ziel der Richtlinie ist der Aufbau eines europaweit vergleichbaren Schutzniveaus durch verbindliche Vorgaben für Unternehmen und Organisationen unterschiedlicher Größen und Branchen. Das Gesetz der Bundesregierung zur Umsetzung der NIS-2-Richtlinie ist am 6. Dezember 2025 in Kraft getreten. Unternehmen, die unter die Regelungen fallen, müssen ab sofort alle Anforderungen erfüllen. Doch welche sind das?
Unter NIS-2 fallen neben den bereits regulierten Betreibern kritischer Infrastrukturen jetzt auch Unternehmen, die nicht KRITIS-relevant sind. Die Novelle des BSI-Gesetzes erweitert den Kreis der regulierten Organisationen von bisher rund 4.500 auf nun etwa 30.000 Unternehmen und Einrichtungen.
Wer von NIS-2 betroffen ist
Ob ein Unternehmen von NIS-2 betroffen ist, hängt von mehreren Faktoren ab. Ausschlaggebend sind unter anderem die Unternehmensgröße, gemessen an Mitarbeiterzahlen sowie Umsatz- oder Bilanzwerten, als auch die Zugehörigkeit zu einem bestimmten Sektor. Die Sektoren sind vorgegeben und beinhalten unter anderem folgende Branchen: Energie, Verkehr, Gesundheit, Lebensmittelproduktion, Abfallbewirtschaftung, digitale Dienste oder auch die öffentliche Verwaltung. Erst wenn beide Faktoren erfüllt sind, besteht eine Verpflichtung zur Umsetzung der NIS-2-Anforderungen.
Die Pflichten, die sich aus NIS-2 ergeben, sind umfangreich. Neben der Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) müssen Unternehmen sich auch bis 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) im BSI-Portal registrieren. Ist diese Frist verstrichen, hat die Registrierung umgehend zu erfolgen. Zudem gilt es, ein systematisches Risikomanagement zu etablieren,
Risikoanalysen durchführen und angemessene technische sowie organisatorische Maßnahmen zur Minimierung der Risiken implementieren.
Und auch für den Fall, dass der Ernstfall eintritt, gibt es nun klare Regelungen. Sicherheitsvorfälle müssen im BSI-Portal unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnis von einem "erheblichen Sicherheitsvorfall" eine "frühe Erstmeldung" gemeldet werden. Spätestens nach 30 Tagen ist dazu ein Abschlussbericht bzw. ein Fortschrittsmeldung einzureichen, wenn der Vorfall andauert.
Verantwortung, Schulung und Haftung
Weitere zentrale Komponente ist die Verpflichtung zu regelmäßigen Schulungen. Sowohl die Geschäftsleitung als auch Mitarbeitende müssen im Bereich der Cybersicherheit geschult werden, um Kenntnisse und Fähigkeiten kontinuierlich zu vertiefen. Besonders hervorzuheben ist dabei die persönliche Verantwortung der Unternehmensleitung. Geschäftsführungen haften künftig direkt, wenn sie ihren Schulungspflichten nicht nachkommen.
Um die Vorgaben schnellstmöglich umzusetzen, empfiehlt das BSI ein strukturiertes Vorgehen. Unternehmen sollten zunächst prüfen, ob sie überhaupt von der Richtlinie betroffen sind.
Die gründliche Bestandsaufnahme ihres aktuellen IT-Sicherheitsniveaus ist für Unternehmen unerlässlich, um vorhandene Schwachstellen zu identifizieren. Darauf aufbauend können sie Maßnahmen zur Verbesserung der Cybersicherheit einführen oder bestehende Strukturen ausbauen.
Fachkundige Unterstützung und Einordnung
Die SONNTAG IT Solutions unterstützt Unternehmen ganzheitlich im Kontext NIS-2. Von der Betroffenheitsprüfung, über die detaillierte Bestandsaufnahme bis hin zur Ermittlung von Lücken im aktuellen Sicherheitsniveau und der Umsetzung von Optimierungsmaßnahmen.
NIS-2 markiert einen entscheidenden Schritt hin zu einer europaweit gestärkten Cybersicherheitskultur. Für Unternehmen ist IT-Sicherheit nicht länger eine Option, sondern nun gesetzliche Pflicht und zumindest aus Haftungssicht eine zentrale Führungsaufgabe. Felix Hofstetter, Teamleiter Business Development & Marketing bei SONNTAG IT Solutions und Prokurist bei SONNTAG
Es ist notwendig und wichtig, hohe IT-Sicherheitsstandards zu vereinheitlichen. Cyber-Angriffe auf Unternehmen, Behörden und kritische Infrastrukturen nehmen stetig zu und verursachen jedes Jahr erhebliche wirtschaftliche Schäden.
Mit der Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS-2, hat die Europäische Union einen verbindlichen Rahmen für höhere Cybersicherheit in allen EU-Mitgliedstaaten geschaffen. Ziel der Richtlinie ist der Aufbau eines europaweit vergleichbaren Schutzniveaus durch verbindliche Vorgaben für Unternehmen und Organisationen unterschiedlicher Größen und Branchen. Das Gesetz der Bundesregierung zur Umsetzung der NIS-2-Richtlinie ist am 6. Dezember 2025 in Kraft getreten. Unternehmen, die unter die Regelungen fallen, müssen ab sofort alle Anforderungen erfüllen. Doch welche sind das?
Unter NIS-2 fallen neben den bereits regulierten Betreibern kritischer Infrastrukturen jetzt auch Unternehmen, die nicht KRITIS-relevant sind. Die Novelle des BSI-Gesetzes erweitert den Kreis der regulierten Organisationen von bisher rund 4.500 auf nun etwa 30.000 Unternehmen und Einrichtungen.
Wer von NIS-2 betroffen ist
Ob ein Unternehmen von NIS-2 betroffen ist, hängt von mehreren Faktoren ab. Ausschlaggebend sind unter anderem die Unternehmensgröße, gemessen an Mitarbeiterzahlen sowie Umsatz- oder Bilanzwerten, als auch die Zugehörigkeit zu einem bestimmten Sektor. Die Sektoren sind vorgegeben und beinhalten unter anderem folgende Branchen: Energie, Verkehr, Gesundheit, Lebensmittelproduktion, Abfallbewirtschaftung, digitale Dienste oder auch die öffentliche Verwaltung. Erst wenn beide Faktoren erfüllt sind, besteht eine Verpflichtung zur Umsetzung der NIS-2-Anforderungen.
Die Pflichten, die sich aus NIS-2 ergeben, sind umfangreich. Neben der Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) müssen Unternehmen sich auch bis 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) im BSI-Portal registrieren. Ist diese Frist verstrichen, hat die Registrierung umgehend zu erfolgen. Zudem gilt es, ein systematisches Risikomanagement zu etablieren,
Risikoanalysen durchführen und angemessene technische sowie organisatorische Maßnahmen zur Minimierung der Risiken implementieren.
Und auch für den Fall, dass der Ernstfall eintritt, gibt es nun klare Regelungen. Sicherheitsvorfälle müssen im BSI-Portal unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnis von einem "erheblichen Sicherheitsvorfall" eine "frühe Erstmeldung" gemeldet werden. Spätestens nach 30 Tagen ist dazu ein Abschlussbericht bzw. ein Fortschrittsmeldung einzureichen, wenn der Vorfall andauert.
Verantwortung, Schulung und Haftung
Weitere zentrale Komponente ist die Verpflichtung zu regelmäßigen Schulungen. Sowohl die Geschäftsleitung als auch Mitarbeitende müssen im Bereich der Cybersicherheit geschult werden, um Kenntnisse und Fähigkeiten kontinuierlich zu vertiefen. Besonders hervorzuheben ist dabei die persönliche Verantwortung der Unternehmensleitung. Geschäftsführungen haften künftig direkt, wenn sie ihren Schulungspflichten nicht nachkommen.
Um die Vorgaben schnellstmöglich umzusetzen, empfiehlt das BSI ein strukturiertes Vorgehen. Unternehmen sollten zunächst prüfen, ob sie überhaupt von der Richtlinie betroffen sind.
Die gründliche Bestandsaufnahme ihres aktuellen IT-Sicherheitsniveaus ist für Unternehmen unerlässlich, um vorhandene Schwachstellen zu identifizieren. Darauf aufbauend können sie Maßnahmen zur Verbesserung der Cybersicherheit einführen oder bestehende Strukturen ausbauen.
Fachkundige Unterstützung und Einordnung
Die SONNTAG IT Solutions unterstützt Unternehmen ganzheitlich im Kontext NIS-2. Von der Betroffenheitsprüfung, über die detaillierte Bestandsaufnahme bis hin zur Ermittlung von Lücken im aktuellen Sicherheitsniveau und der Umsetzung von Optimierungsmaßnahmen.
NIS-2 markiert einen entscheidenden Schritt hin zu einer europaweit gestärkten Cybersicherheitskultur. Für Unternehmen ist IT-Sicherheit nicht länger eine Option, sondern nun gesetzliche Pflicht und zumindest aus Haftungssicht eine zentrale Führungsaufgabe. Felix Hofstetter, Teamleiter Business Development & Marketing bei SONNTAG IT Solutions und Prokurist bei SONNTAG