Am 13.11.2025, hat der Deutsche Bundestag das finale „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) verabschiedet.Damit endet die Ungewissheit: Die EU-Richtlinie NIS2 wird nun verbindliches deutsches Recht.

Die 3 wichtigsten Game-Changer des heutigen Beschlusses:

1. Erweiterter Anwendungsbereich:

Nicht mehr nur die klassischen rund 2000 „KRITIS“-Betreiber sind im Fokus. Die Kategorien „Wichtige“ (z.B. Maschinenbau, Lebensmittelproduktion, Chemie) und „Besonders Wichtige“ (z.B. Energie, Banken, Gesundheit) Einrichtungen bedeuten: Die Wahrscheinlichkeit, dass Ihr Unternehmen (als eines von insgesamt rund 40.000) jetzt betroffen ist, ist damit nun massiv gestiegen.

2. Persönliche Haftung der Geschäftsführung:

Die Leitungsorgane (Geschäftsführer, Vorstände) sind jetzt persönlich für die Umsetzung (und Nichteinhaltung!) der Cybersicherheits-Maßnahmen verantwortlich. Sie müssen die Maßnahmen akzeptieren und ihre Umsetzung überwachen. Bei Verstößen drohen empfindliche Bußgelder, die nicht mehr einfach auf das Unternehmen abgewälzt werden können.

3. Verschärfte Anforderungen & Fristen:

Es geht nicht mehr nur darum, eine Firewall zu haben. NIS2 fordert ein umfassendes Risikomanagement, das die gesamte Lieferkette einschließt. Zudem werden die Meldepflichten für Sicherheitsvorfälle drastisch verkürzt (oft auf 24h für eine Erstmeldung).

Was Sie jetzt tun sollten:

Wer bisher lediglich analysiert hat, muss jetzt in die Umsetzung kommen. NIS2 ist kein reines IT-Thema, es ist ein strategisches Management-Thema, das über die Resilienz und Zukunftsfähigkeit von Unternehmen entscheidet.

Betroffenheit final klären: Fällt Ihr Unternehmen unter die neuen Regelungen? Ggfs werden Sie die Anforderungen auch durch die Kunden/Lieferketten treffen.

Gap-Analyse durchführen: Wo stehen Sie? Welche der geforderten Maßnahmen fehlen?

Geschäftsführung einbinden: Das Top-Management muss die neuen persönlichen Haftungsrisiken verstehen und die notwendigen Ressourcen freigeben.

Roadmap erstellen: Entwickeln Sie einen klaren, priorisierten Plan zur Schließung der Sicherheitslücken und zur Implementierung der Management-Prozesse.

Noch etwas unsicher, was genau zu tun ist? Dann empfehlen wir unseren NIS2 Readiness Check:

In den Räumen des IT-Kombinats fand gestern ein spannendes Seminar zum Thema Network & Information Security Directive2 (NIS2) statt. Vielen Dank an Herrn Herbert Schulte, Direktor des Wirtschaftssenats, für die Organisation der Veranstaltung in Zusammenarbeit mit IT Kombinat!

NIS2 erweitert den Anwendungsbereich von NIS1 und zielt darauf ab, kritische Infrastrukturen und wesentliche Dienste innerhalb der EU weiter zu stärken. Dies soll dadurch erreicht werden, dass Unternehmen, die diese Dienste anbieten, verpflichtet werden, geeignete Sicherheitsmaßnahmen zu ergreifen und etwaige Vorfälle schnell an die zuständigen Behörden (in Deutschland das BSI) zu melden.

Bernhard Borsch, unser Spezialist für Informationssicherheit und Mitbegründer, gab einen Überblick über die NIS2, ihren Anwendungsbereich und ihre Durchsetzungsrichtlinien. Er erläuterte auch die Vorteile eines geschäftsorientierten Ansatzes für die Informationssicherheit und den Nutzen eines allgemeinen Informationssicherheitsmanagementsystems(ISMS) , das viele der NIS2-Anforderungen umfasst.

Es folgte eine aktive und informative Fragerunde, in der die Teilnehmer ihre Erfahrungen mit dem Umgang mit Sicherheitsvorschriften austauschten und über die Schwierigkeiten bei der Einstellung und Bindung guter Informationssicherheitsexperten sprachen. KMUs haben selten die Ressourcen, um große Sicherheitsinitiativen zu starten, wie es einige größere Unternehmen tun, und die Herausforderung, Systeme zu überwachen, Probleme zu diagnostizieren, Protokolle zu analysieren, Probleme zu beheben und Behörden zu informieren, kann entmutigend erscheinen. Dank seiner langjährigen Erfahrung im Bereich der IT- und OT-Sicherheit konnte Bernhard Borsch pragmatische und angemessene Ratschläge geben.

Ein wichtiger Diskussionspunkt war die Sicherheit der Betriebstechnik (OT-Sicherheit), die ein Schwerpunkt der NIS2 ist. OT fiel traditionell nicht in den Zuständigkeitsbereich von Informationssicherheitsteams, da diese Systeme (z. B. Produktionslinien) nur innerhalb ihrer eigenen Netzwerke betrieben wurden. Mit dem Wachstum von Industrie 4.0 und anderen Anwendungen für operative Systemdaten sind OT-Systeme zunehmend mit anderen Netzwerken verbunden und somit anfällig für Angriffe.

Wir hoffen, dass alle Teilnehmer die Veranstaltung gut erfrischt und gut informiert verlassen haben. Wir freuen uns auf die nächste Veranstaltung mit unserem Partner BVMW und danken allen Beteiligten für ihre Zeit und Aufmerksamkeit.


Sehen Sie sich den Teaser-Slidesatz unten an oder kontaktieren Sie uns für weitere Informationen!