NIS2 Header

Wann kommt NIS2 in Deutschland – wen betrifft die neue Regelung eigentlich und was ist zu tun?

NIS2 Umsetzung – wie ist die aktuelle Lage?

21. Mai 2025Die Umsetzung der EU-NIS2-Richtlinie in deutsches Recht verzögert sich. Eigentlich sollte das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bis zum 17. Oktober 2024 in Kraft treten.

Im Februar 2025 kam es zu einer vorgezogenen Bundestagswahl und aufgrund des Diskontinuitätsprinzips verloren alle vorherigen Entwürfe ihre Gültigkeit (Quelle: Deutscher Bundestag, Grundsätze der Diskontinuität).

Nach der Wahl hat sich eine Große Koalition aus CDU und SPD gebildet. Im Koalitionsvertrag wird die Cybersicherheit mehrfach betont, insbesondere die Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die zügige Umsetzung der NIS2-Richtlinie.

„100-Tage-Plan“ zur NIS2 Umsetzung

Das Bundesministerium des Inneren und für Heimat (BMI) arbeitet derzeit an einem neuen Gesetzesentwurf, dieser ist Teil eines „100-Tage-Plans“ der Bundesregierung. Ziel: Abschluss des Gesetzgebungsverfahrens bis Ende August 2025 (Stand Mai 2025).

Was ist NIS2 eigentlich?
Die NIS2-Richtlinie (Network and Information Security) der EU stärkt den Schutz kritischer Infrastrukturen gegen Cyberangriffe. Mit der neuen Richtlinie wird der Geltungsbereich erweitert. Mit NIS2 sind mehr Unternehmen betroffen. Sektoren, wie das Gesundheitswesen und digitale Dienstleistungen müssen zudem strengere Maßnahmen zur Cybersicherheit umsetzen. Verstöße ziehen hohe Strafen nach sich. Die Richtlinie zielt auf die Erhöhung der Widerstandsfähigkeit (Resilienz) und die Verbesserung der Zusammenarbeit in der EU bei Cyberbedrohungen ab.

📌 Was bedeutet NIS2 für Unternehmen?

Die Anforderungen von NIS2 sind bekannt und werden voraussichtlich ohne große Änderungen in nationales Recht umgesetzt. Unternehmen sollten daher nicht auf das Gesetz warten, sondern jetzt aktiv werden.

🔍 Betroffenheitsprüfung -Ist mein Unternehmen betroffen?

Das BSI bietet eine NIS2-Betroffenheitsprüfung an, mit der Unternehmen feststellen können, ob sie unter die Regelungen fallen werden.

🔗 Zur Betroffenheitsprüfung beim BSI

Einbezogen werden unter anderem:

Branche & Tätigkeitsfeld – Mitarbeiteranzahl (ab 50 MA) – Umsatz (>10 Mio. €) – Kritische Dienstleistungen (auch Dienstleister & Lieferanten betroffener Unternehmen)

🛡️ Vorbereitung auf NIS2

Einführung eines ISMS

Ein ISMS (Informationssicherheitsmanagementsystem) nach ISO/IEC 27001 wird aufgebaut oder bestehende Strukturen werden überarbeitet. Wichtig ist, auch Zuständigkeiten klar zu regeln und Mitarbeitende für IT-Sicherheit zu sensibilisieren.

Risikoanalyse und Sicherheitskonzepte

Unternehmen führen regelmäßige Risikoanalysen durch und entwickeln darauf aufbauend flexible Sicherheitskonzepte. Geschäftsprozesse werden dokumentiert, mit der IT-Infrastruktur abgeglichen und auf Sicherheitslücken geprüft.

Bewältigung von Sicherheitsvorfällen

Für den Ernstfall braucht es klare Abläufe: Früherkennung, Reaktion und Kommunikation müssen definiert sein. Notfallübungen und Fortschrittsdokumentation stärken die Sicherheit nachhaltig.

Sicherheit der Lieferkette

Ein wichtiger Aspekt der Cybersicherheit ist die Absicherung der gesamten Lieferkette. Das umfasst nicht nur Netz- und Informationssysteme, sondern auch die gespeicherten, übermittelten und verarbeiteten Daten – auch bei den Lieferanten.

Regelmäßige Schulungen und Awareness-Programme

Gut informierte und aufmerksame Mitarbeiter sind ein entscheidender Schutz gegen Cyberangriffe. Regelmäßige Schulungen, idealerweise alle 14 Tage in Form von kurzen Trainingsclips, sind hier sehr effektiv.

Relevanz der ISO/IEC 27001

Die Norm ISO/IEC 27001 bietet einen bewährten Rahmen für Informationssicherheits-Managementsysteme (ISMS) und unterstützt die Erfüllung von NIS2. Physische und logische Schutzmaßnahmen sowie die Umsetzung des IT-Grundschutzes des BSI helfen dabei, die Anforderungen eines ISMS nach ISO 27001 zu erfüllen. Die Umsetzung dieser Richtlinie in die Praxis benötigt in der Regel 1-2 Jahre – wir sind derzeit in den finalen Zügen unserer Zertifizierung und empfehlen aus eigener Erfahrung, den tatsächlichen Aufwand nicht zu unterschätzen.

Ein ISMS ist ein System für Informationssicherheit. Es hilft Unternehmen dabei, ihre Daten und IT-Systeme zu schützen, Risiken zu erkennen und besser vorbereitet zu sein, wenn mal etwas schiefläuft.

Folge einem manuell hinzugefügten Link
NIS 2 Umsetzung - unverbindliches Erstgeapräch sichern
SYSTAG GmbH Info Info

⏱️ Umsetzung NIS2 -Herausforderungen für KMUs

Kleine und mittlere Unternehmen (KMUs) stehen oft vor großen Herausforderungen bei der Umsetzung der NIS2-Richtlinien. Mangelnde Security-Expertise und fehlendes IT-Fachpersonal machen die Umsetzung ohne externe Unterstützung schwierig. Hier kann zum Beispiel der CyberRisikoCheck oder IT-Quick-Check erste Hinweise geben.

Lösungen und Ansätze

Mit maßgeschneiderten Lösungen wie einer Worry-Free XDR Suite (Extended Detection & Response =XDR) und der Expertise spezialisierter Dienstleister können viele technische NIS2-Anforderungen erfüllt werden. Technologien wie fortschrittliches Machine Learning, automatische Datenkorrelation mit Extended Detection & Response (XDR) und die Integration globaler Bedrohungsinformationen sorgen für eine marktführende Angriffserkennung.
Für viele KMUs stellen Managed Security Service Provider (MSSPs) eine wertvolle Unterstützung dar. Die Gesamtkosten für die Umsetzung der NIS2-Anforderungen sind signifikant, insbesondere in Bereichen wie Angriffserkennung, Risikomanagement und Meldepflichten bei Vorfällen. Managed Service Provider können helfen, diese Herausforderungen zu bewältigen

Datenschutzanforderungen und Risikomanagementkultur

Bei der Umsetzung von Cybersicherheitsmaßnahmen müssen auch Datenschutzanforderungen berücksichtigt werden, wie sie in der NIS2-Richtlinie und der DSGVO beschrieben sind. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sind essenzielle Bestandteile der Risikomanagement-Maßnahmen. Darüber hinaus ist eine Kultur des Risikomanagements sinnvoll. Regelmäßige Schulungen und klare Kommunikation helfen, das Bewusstsein im Unternehmen zu schärfen. Die Unternehmensleitung spielt eine Schlüsselrolle und sollte proaktiv handeln.

Ein weiterer wichtiger Schritt besteht darin, verfügbare Tools und Dienstleistungen wie den kostenlosen Quick-Check zu nutzen, um herauszufinden, ob und in welchem Ausmaß Ihr Unternehmen betroffen ist.

Keine Zeit verschenken.

Die nationale Gesetzgebung kommt. Wir empfehlen Ihnen, Ihre Cybersicherheitsstrategie frühzeitig zu überdenken und anzupassen, um rechtlichen und wirtschaftlichen Konsequenzen zuvorzukommen.
Die Zertifizierung nach DIN 27001 braucht gerne 12 Monate oder länger bis zur praktischen Umsetzung und die notwendigen Audits brauchen auch Vorlauf – denn es wird u.a. vor Ort geprüft. Es ist jetzt schon abzusehen, dass die dafür zuständigen Stellen aus- bzw. überlastet sein werden.

Zeitaufwand im Detail (Beispiel für KMU)

Phase Dauer (typisch)
Gap-Analyse & Planung 2–4 Wochen
Aufbau ISMS & Umsetzung 3–6 Monate
Interne Audits & Review 1–2 Monate
Zertifizierungsaudit 2–4 Wochen (inkl. Vorbereitungszeit)

Unsere Webcasts

Keine Veranstaltungen

Franka Theis
Strategic Account Managerin Cyber Security

E-Mail: Franka.Theis@systag.com
Telefon: +49 7123 / 92 02 – 16

Nachricht senden
Green IT – was CO2-Effizienz in der IT wirklich bedeutetGreen ITPromon_Lookout_SYSTAGIT Projektleiter Software m/w/x
Skip to content