NIS 2 Richtlinie sinnvoll umsetzen

NIS2 (Network and Information Security Directive 2, Richtlinie (EU) 2022/2555) ist eine EU-Richtlinie, die Unternehmen in kritischen und wichtigen Sektoren zu einem systematischen Umgang mit Cyberrisiken verpflichtet.

NIS2 erweitert den Anwendungsbereich der bisherigen NIS-Richtlinie deutlich und legt den Fokus auf wirksame technische und organisatorische Sicherheitsmaßnahmen, funktionierende Incident-Response-Prozesse sowie klare Verantwortlichkeiten bis auf Management-Ebene. Ziel ist es, die Cybersicherheit und Widerstandsfähigkeit von Unternehmen in der EU nachhaltig zu stärken. In Deutschland ist NIS2 seit Ende 2025 durch ein nationales Umsetzungsgesetz rechtsverbindlich.

Die NIS2-Richtlinie wurde in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt.

Das Gesetz wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet und ist damit in Kraft getreten. NIS2 ist damit kein angekündigtes Vorhaben mehr, sondern rechtsverbindlich geltendes Recht für betroffene Unternehmen.

Seit Inkrafttreten des NIS2UmsuCG im Dezember 2025 gelten die NIS2-Anforderungen verbindlich. Betroffene Unternehmen sind verpflichtet, sich aktiv mit ihrer Betroffenheit auseinanderzusetzen und geeignete technische und organisatorische Sicherheitsmaßnahmen umzusetzen. Dazu zählen insbesondere Risikomanagement, Incident-Response-Strukturen sowie Meldeprozesse.

Auch wenn die Umsetzung in der Praxis schrittweise erfolgen kann, erwartet der Gesetzgeber, dass Unternehmen konkrete Maßnahmen eingeleitet haben und ihre Fortschritte nachvollziehbar dokumentieren. Ein Abwarten ohne erkennbare Umsetzung ist nicht vorgesehen.

Die NIS2-Richtlinie gilt grundsätzlich für mittlere und große Unternehmen, die sicherheitsrelevante Dienstleistungen erbringen oder eine wichtige Rolle für die Funktionsfähigkeit anderer Unternehmen einnehmen.

In vielen Fällen greift NIS2, wenn mindestens eines der folgenden Kriterien erfüllt ist:

• 50 oder mehr Mitarbeitende
• 10 Mio. Euro oder mehr Jahresumsatz
• Für einzelne besonders relevante Tätigkeiten kann die Betroffenheit auch unabhängig von der Unternehmensgröße bestehen.

Neben Größe und Umsatz spielen weitere Aspekte eine wichtige Rolle:

• Art der angebotenen Leistungen, insbesondere bei IT-, Betriebs- oder sicherheitskritischen Services
• Bedeutung für andere Unternehmen, die selbst unter NIS2 fallen
• Rolle in der Liefer- oder Wertschöpfungskette, etwa als externer Dienstleister oder Betreiber zentraler Systeme

In der Praxis sind daher auch Unternehmen betroffen, die sich selbst nicht als kritisch einschätzen. Ob NIS2 konkret greift, lässt sich meist nur durch eine individuelle Einordnung sicher beurteilen.

Sprechen Sie uns an für eine individuelle Beurteilung Ihrer Situation.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine offizielle NIS2-Betroffenheitsprüfung zur Verfügung, mit der Sie in wenigen Schritten eine erste Orientierung erhalten können, ob Ihr Unternehmen nach den Vorgaben des NIS2-Umsetzungsrechts potenziell betroffen ist. Dabei beantworten Sie konkrete Fragen zur Branche, Größe und Art Ihrer Dienstleistungen – das Tool liefert anschließend eine automatisierte Ersteinschätzung.

➡️ Betroffenheitscheck des BSI: https://betroffenheitspruefung-nis-2.bsi.de/ (offizielles Online-Tool zur ersten Einschätzung)

⚠️ Wichtig: Dieses Ergebnis dient ausschließlich der Erstorientierung und ersetzt keine individuelle rechtliche oder organisatorische Bewertung; es ist rechtlich nicht bindend und erhebt keinen Anspruch auf Vollständigkeit.

Wenn Sie eine individuelle, praxisnahe Prüfung Ihrer Betroffenheit, Einordnung Ihrer Risiken oder konkrete Handlungsempfehlungen zur NIS2-Umsetzung brauchen, unterstützen wir Sie gerne:

➡️ Kontakt für individuelle Beratung: https://www.prosec-networks.com/kontakt/

NIS2 sieht bei Verstößen spürbare Sanktionen vor. Dazu gehören insbesondere Bußgelder, die sich an der Unternehmensgröße orientieren und je nach Einstufung als „wichtige“ oder „besonders wichtige Einrichtung“ bis in den zweistelligen Millionenbereich reichen können oder sich am weltweiten Jahresumsatz bemessen.

Darüber hinaus stärkt NIS2 ausdrücklich die Verantwortung der Geschäftsleitung. Die Unternehmensführung muss sicherstellen, dass angemessene Maßnahmen zur Cybersicherheit umgesetzt werden, und kann bei schwerwiegenden Versäumnissen persönlich in die Pflicht genommen werden – etwa durch aufsichtsrechtliche Maßnahmen oder Haftungsrisiken.

Entscheidend ist dabei: NIS2 verlangt keinen perfekten Sicherheitszustand, sondern ein nachvollziehbares, risikobasiertes Vorgehen. Unternehmen müssen zeigen können,

• dass sie ihre Betroffenheit geprüft haben,
• Risiken systematisch bewerten,
• Maßnahmen priorisieren und umsetzen
• und Fortschritte dokumentieren.

Unternehmen, die aktiv handeln und ihre Sicherheitsstrategie strukturiert weiterentwickeln, sind deutlich besser aufgestellt als solche, die NIS2 ignorieren oder nur formal behandeln.

Wenn Sie hierfür einen Partner auf Augenhöhe suchen, melden Sie sich gerne für ein unverbindliches persönliches Gespräch!

Ein bestehendes Zertifikat ist eine sehr gute Ausgangsbasis, ersetzt die NIS2-Anforderungen jedoch nicht automatisch.

Typische Punkte, die zusätzlich geprüft werden sollten:

• Abdeckung aller NIS2-relevanten Themenfelder (z. B. Incident Handling, Lieferkette, Meldeprozesse)
• tatsächliche Wirksamkeit der definierten Maßnahmen im operativen Betrieb
• Aktualität von Risikoanalysen und Schutzbedarfseinstufungen
• Einbindung und Verantwortung der Geschäftsleitung
• Nachweisfähigkeit über Dokumentation und gelebte Praxis

Ein Zertifikat verkürzt den Weg, macht eine individuelle Einordnung aber nicht überflüssig.

Kurze Antwort: Nein, nicht als alleinige Maßnahme.

Schwachstellen-Scanning ist ein wichtiger Bestandteil technischer Sicherheitsmaßnahmen, kann allein jedoch keine NIS2-Konformität gewährleisten. NIS2 verlangt einen risikobasierten Ansatz und den Nachweis, dass Maßnahmen wirksam sind.

Was Schwachstellen-Scanning leistet:

• automatisierte Identifikation bekannter Schwachstellen
• Erkennung typischer Konfigurationsfehler
• regelmäßige, skalierbare Basisprüfung von Systemen

Was Schwachstellen-Scanning nicht abdeckt:

• Bewertung der tatsächlichen Ausnutzbarkeit von Schwachstellen
• komplexe Angriffspfade und Kombination mehrerer Lücken
• individuelle Systemarchitekturen und Geschäftslogik
• organisatorische Aspekte wie Prozesse und Incident Response

Für NIS2 ist Schwachstellen-Scanning daher sinnvoll als ergänzender Baustein, ersetzt jedoch keine weitergehenden Prüfungen wie Penetrationstests oder organisatorische Bewertungen.

NIS2 schreibt keine festen Penetrationstest-Formate oder -Intervalle vor. Gefordert ist vielmehr, dass Unternehmen geeignete technische Maßnahmen umsetzen und deren Wirksamkeit risikobasiert und nachvollziehbar überprüfen.

Penetrationstests sind im NIS2-Kontext besonders relevant, weil sie:

• reale Angriffsszenarien abbilden
• die Wirksamkeit technischer Schutzmaßnahmen praktisch überprüfen
• komplexe Angriffspfade über mehrere Systeme hinweg aufdecken
• eine belastbare Grundlage für Risiko- und Maßnahmenentscheidungen liefern

Für NIS2 entscheidend ist jedoch nicht der einzelne Test, sondern ein ganzheitlicher Blick auf Sicherheit.

Viele Unternehmen stehen vor der Frage, wo sie sinnvoll starten, welche Maßnahmen tatsächlich notwendig sind und wie technische Ergebnisse in fundierte Entscheidungen übersetzt werden können.

ProSec begleitet Unternehmen in dieser Situation als Beratungs- und Sparringspartner. Technische Prüfungen wie Penetrationstests werden gezielt dort eingesetzt, wo sie Orientierung schaffen, Prioritäten klären und Entscheidungen absichern. Ziel ist nicht mehr Komplexität, sondern ein nachvollziehbarer, tragfähiger Weg zur NIS2-Umsetzung.