NIS2

NIS2 ist in Kraft: Was Unternehmen ab sofort beachten müssen

, Proliance | Autor: Alexander Ingelheim

NIS2 ist in Kraft: Was Unternehmen ab sofort beachten müssen

Diese Schritte sind jetzt entscheidend

Von Alexander Ingelheim, CEO und Mitgründer, proliance

Seit dem 6. Dezember ist es offiziell: Die NIS2-Richtlinie gilt jetzt – ohne Übergangsfristen, ohne Schonzeit. Bereits am 13. November hat der Bundestag das Maßnahmenpaket endgültig verabschiedet. Damit beginnt für viele mittelständische Unternehmen eine neue Phase. Einerseits gibt es nun die lang ersehnte Rechtssicherheit, andererseits wird die Cybersicherheit in Deutschland auf ein neues Niveau gehoben.

Alexander Ingelheim
Alexander Ingelheim, CEO und Mitgründer

Die Richtlinie weitet den Kreis der verpflichteten Unternehmen massiv aus, schreibt einheitliche europäische Sicherheitsstandards vor und verlangt höhere Anforderungen an die IT-Sicherheit. Zudem verschärft sie Meldepflichten bei Sicherheitsvorfällen und erhöht die möglichen Sanktionen bei Verstößen. Ein weiterer zentraler Punkt: Die Zusammenarbeit zwischen den EU-Staaten bei der Abwehr von Cyberangriffen soll deutlich enger werden.

Betroffen sind Unternehmen ab 50 Mitarbeitenden oder ab 10 Millionen Euro Jahresumsatz – rund 30.000 bis 40.000 Betriebe aus 18 Sektoren. Rechnet man die Auswirkungen auf Lieferketten mit ein, könnten laut Institut der deutschen Wirtschaft sogar mehr als 200.000 weitere Firmen indirekt in die Pflicht geraten.

Jetzt zählt jede Woche – was Unternehmen konkret tun sollten

Um schnell handlungsfähig zu werden und NIS2-Compliance zu erreichen, sollten Unternehmen folgende Schritte priorisieren:

1. Risiken systematisch analysieren

Zunächst braucht es eine gründliche Bestandsaufnahme: Welche Schwachstellen gibt es in den Netz- und Informationssystemen? Welche Bedrohungen könnten kritisch werden? Diese Bewertung ist das Fundament für alle weiteren Maßnahmen.

2. Einen klar strukturierten Sicherheitsplan entwickeln

Auf Basis der Analyse sollten Unternehmen einen konkreten Maßnahmenplan aufsetzen: technische und organisatorische Sicherheitsmaßnahmen (TOM), definierte Sicherheitsprozesse, regelmäßige Systemupdates sowie kontinuierliche Schulungen für Mitarbeitende gehören zwingend dazu.

3. Klare Meldewege für Vorfälle etablieren

Damit Sicherheitsvorfälle schnell erkannt und gemeldet werden, braucht es nachvollziehbare und geübte Meldeprozesse. Nur so lassen sich Schäden effektiv begrenzen.

4. Austausch mit Behörden und Branchenpartnern

Der Dialog mit Aufsichtsbehörden und anderen Unternehmen stärkt das eigene Sicherheitsniveau. Best Practices und Erfahrungen aus der Praxis helfen, Risiken frühzeitig zu erkennen und Lösungen schneller umzusetzen.

5. Maßnahmen regelmäßig prüfen und anpassen

Cybersicherheit ist kein Projekt, sondern ein Dauerprozess. Sicherheitsmaßnahmen müssen regelmäßig überprüft, an neue Bedrohungen angepasst und technisch weiterentwickelt werden. Für all das lohnt es sich, ein spezialisiertes Cybersicherheitsteam aufzubauen oder externes Know-how einzubinden. Ebenfalls sinnvoll: ein Informationssicherheitsmanagementsystem (ISMS) wie ISO 27001 oder BSI-Grundschutz. Ein ISMS schafft Struktur, Transparenz und unterstützt Unternehmen bei der kontinuierlichen Verbesserung ihrer Sicherheitsprozesse.

Was die Zahlen zeigen – und warum NIS2 überfällig war

Die Praxis belegt, dass die Richtlinie zur richtigen Zeit kommt. Trotz einer selbstbewussten Selbsteinschätzung (durchschnittlich 4,1 von 5 Punkten beim Sicherheitsreifegrad) meldete fast ein Drittel der mittelständischen Unternehmen mindestens einen gravierenden Sicherheitsvorfall in den letzten drei Jahren. Dieses Missverhältnis zwischen gefühlter Sicherheit und tatsächlicher Lage zeigt, wie dringend verbindliche Vorgaben nötig waren. Grundlage dieser Erkenntnisse ist eine Befragung von 122 mittelständischen Entscheidern.

Fazit: Mehr Resilienz, mehr Klarheit – und weniger persönliches Risiko

Auch wenn die Einführung von NIS2 zeitweise für Unsicherheit sorgte: Für den Mittelstand ist die Richtlinie eine Chance. Sie erhöht die Cyberresilienz, sorgt für klare Prozesse und hilft Unternehmen, nach einem Angriff schneller wieder arbeitsfähig zu sein – etwa durch definierte Notfall- und Wiederanlaufprozesse im Rahmen des Business Continuity Managements.

Ein hohes Sicherheitsniveau schützt Daten, verhindert Pannen und steigert oft sogar die betriebliche Effizienz. Gleichzeitig sinkt das persönliche Haftungsrisiko von Geschäftsführern und Führungskräften, wenn die Vorgaben konsequent umgesetzt werden – ein Aspekt, der selten erwähnt, aber äußerst relevant ist. Mit den beschriebenen Schritten und der Unterstützung geeigneter Lösungen für Monitoring und Risikomanagement können Unternehmen NIS2-Compliance schnell und unkompliziert erreichen.