Die digitale Bedrohungslage wächst stetig, Cyberangriffe betreffen längst nicht mehr nur Großkonzerne, sondern auch mittelständische Unternehmen und Verwaltungen in Deutschland. Um dem entgegenzuwirken, hat die Europäische Union mit der NIS-2-Richtlinie neue, strengere Vorgaben zur Cybersicherheit verabschiedet – diese Richtlinie ist zentral für ein modernes Informationssicherheitsmanagement.
Die NIS-2-Richtlinie (Network and Information Security Directive) wurde am 28. November 2022 vom Europäischen Parlament und Rat beschlossen. Sie sollte ursprünglich bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. [1] Ziel ist es, das Sicherheitsniveau für kritische und wichtige Unternehmen EU-weit deutlich zu erhöhen. Dies umfasst strengere Sicherheitsanforderungen, Meldepflichten bei Sicherheitsvorfällen sowie Sanktionen für Verstöße. [2] [3]
Deutschland konnte die Frist aufgrund politischer Verzögerungen, unter anderem im Zusammenhang mit der Bundestagswahl, nicht einhalten. Am 30. Juli 2025 wurde jedoch der Gesetzentwurf zur NIS-2-Umsetzung durch das Bundeskabinett verabschiedet. Das Gesetz soll Ende 2025 oder Anfang 2026 in Kraft treten – dann gelten die neuen Pflichten für ca. 29.000 deutsche Unternehmen, ohne Übergangsfrist ab Verkündung. [4]
Der Gesetzgebungsprozess gliedert sich in fünf wesentliche Schritte: EU-Beschluss, Referentenentwurf, Regierungsentwurf (Kabinett), Beratungen in Bundesrat/Bundestag und die abschließende Verkündung. [1] Nach Inkrafttreten müssen betroffene Unternehmen sich binnen kurzer Zeit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und alle gesetzlichen Pflichten umsetzen.
Die Deutsche Industrie- und Handelskammer (DIHK) mahnt dabei, die Umsetzung praxistauglich und bürokratiearm zu gestalten, um insbesondere mittelständische Unternehmen nicht zu überfordern. Dennoch setzt die Richtlinie Cybersicherheit als Chefsache fest und unterstreicht deren wichtige Rolle im Unternehmensschutz.
Was Unternehmen jetzt tun sollten
Unternehmen sollten keine Zeit verlieren, um sich auf die NIS-2-Richtlinie vorzubereiten. Auch wenn das nationale Gesetz erst Ende 2025 oder Anfang 2026 greift, ist jetzt der richtige Zeitpunkt, um Strukturen und Prozesse anzupassen. Zunächst gilt es zu prüfen, ob das eigene Unternehmen unter die neuen Regelungen fällt – also als „wichtige“ oder „kritische“ Einrichtung eingestuft wird. Danach sollte eine Bestandsaufnahme der bestehenden Sicherheitsmaßnahmen erfolgen.
Im nächsten Schritt empfiehlt es sich, ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen oder zu aktualisieren. Dieses sollte technische, organisatorische und personelle Maßnahmen umfassen, die sowohl den Schutz sensibler Daten als auch die Meldepflichten bei Sicherheitsvorfällen sicherstellen. Sensibilisierung und Schulung der Geschäftsleitung und Mitarbeitenden sind zentrale Erfolgsfaktoren.
Zudem lohnt es sich, frühzeitig den Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und zuverlässigen Beratungspartnern zu suchen. Ein strukturierter Fahrplan hilft, die Anforderungen effizient umzusetzen – ohne operative Risiken einzugehen. Wer jetzt handelt, stärkt nicht nur seine Compliance, sondern auch das Vertrauen von Kunden und Partnern.
Beginnen Sie jetzt mit der gezielten Vorbereitung, um die Anforderungen der NIS-2-Richtlinie rechtzeitig zu erfüllen. Die B3-Unternehmensgruppe steht Ihnen dabei mit kompetenter und persönlicher Beratung zur Seite. Nehmen Sie gerne Kontakt mit uns auf – oder informieren Sie sich zusätzlich über das Unterstützungsangebot auf www.nis2-lotse.de.
