NIS2 ist in Kraft: Welche Unternehmen jetzt handeln müssen
Seit dem 6. Dezember 2025 gelten in Deutschland verbindlich die neuen Anforderungen der NIS2-Richtlinie zur Cybersicherheit.
Viele Unternehmen sind davon betroffen – auch solche, die bislang nicht unter gesetzliche IT-Sicherheitsvorgaben fielen.
Besonders wichtig:
Eine Übergangsfrist sieht das Gesetz nicht vor. Die neuen Anforderungen gelten unmittelbar seit Inkrafttreten.
Für viele Unternehmen stellt sich deshalb aktuell die Frage:
Bin ich von NIS2 betroffen – und welche Maßnahmen müssen jetzt umgesetzt werden?
Was ist NIS2?
Mit der NIS2-Richtlinie verfolgt die Europäische Union das Ziel, die Cybersicherheit und Widerstandsfähigkeit kritischer und wichtiger Unternehmen europaweit zu stärken.
In Deutschland erfolgte die Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
Die neuen Regelungen verschärfen die Anforderungen an Informations- und Cybersicherheit erheblich und erweitern den Kreis der betroffenen Unternehmen deutlich.
Während sich die bisherigen KRITIS-Regelungen nur auf vergleichsweise wenige Unternehmen bezogen, betrifft NIS2 inzwischen rund 30.000 Unternehmen in Deutschland.
Welche Unternehmen sind betroffen?
Von den neuen Vorgaben betroffen sein können insbesondere Unternehmen aus den Bereichen:
- IT und digitale Dienste
- Energie und Versorgung
- Gesundheitswesen
- Produktion und Industrie
- Transport und Logistik
- Lebensmittelwirtschaft
- Wasser- und Entsorgungswirtschaft
- Forschung und öffentliche Verwaltung
Entscheidend sind dabei insbesondere:
- Branche,
- Unternehmensgröße,
- Mitarbeiterzahl,
- sowie Umsatz.
⚠️ Besonders relevant:
Viele mittelständische Unternehmen wissen derzeit noch nicht, dass sie bereits unter die neuen gesetzlichen Vorgaben fallen.
Welche Pflichten ergeben sich aus NIS2?
- Risikomanagement für ihre IT- und Informationssicherheit etablieren
- Sicherheitsvorfälle innerhalb kurzer Fristen melden
- technische und organisatorische Schutzmaßnahmen nachweisen
- Risiken innerhalb der Lieferkette bewerten
- interne Prozesse und Verantwortlichkeiten dokumentieren
- Verantwortlichkeiten auf Geschäftsleitungsebene festlegen
Dabei geht es nicht nur um technische IT-Sicherheit, sondern auch um organisatorische Prozesse, Dokumentation und klare Zuständigkeiten innerhalb des Unternehmens.
Geschäftsführung in der Verantwortung
Ein zentraler Punkt der neuen Regelungen:
Die Verantwortung liegt ausdrücklich auch bei der Geschäftsleitung.
Geschäftsführer und Vorstände müssen sicherstellen, dass angemessene Maßnahmen zur Cybersicherheit umgesetzt werden.
Verstöße gegen die gesetzlichen Pflichten können zu:
- erheblichen Bußgeldern,
- aufsichtsrechtlichen Maßnahmen,
- und Reputationsschäden führen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verfügt inzwischen über deutlich erweiterte Kontroll- und Durchsetzungsbefugnisse.
Typische Herausforderungen in Unternehmen
Viele Unternehmen stehen aktuell vor ähnlichen Problemen:
- Unklarheit über die eigene Betroffenheit
- fehlende interne Zuständigkeiten
- unzureichende Dokumentation
- fehlende Risikoanalysen
- Unsicherheit bei Meldepflichten
- fehlende Prozesse innerhalb der Lieferkette
Gerade mittelständische Unternehmen verfügen häufig noch nicht über etablierte Strukturen für regulatorische Cybersicherheitsanforderungen.
Warum Unternehmen jetzt handeln sollten
Da keine Übergangsfrist vorgesehen ist, gelten die gesetzlichen Anforderungen bereits seit Dezember 2025 verbindlich.
Unternehmen sollten deshalb zeitnah prüfen:
- ob sie unter die NIS2-Regelungen fallen,
- welche Pflichten konkret bestehen,
- und welche Maßnahmen kurzfristig erforderlich sind.
Ein frühzeitiger Überblick hilft dabei, Risiken zu minimieren und notwendige Maßnahmen strukturiert umzusetzen.
Unser Angebot: Unverbindlicher NIS2-Schnellcheck
Sie sind unsicher, ob Ihr Unternehmen betroffen ist oder welche Schritte jetzt sinnvoll sind?
Gemeinsam mit unserem Schwesterunternehmen CompliWise bieten wir Ihnen einen unverbindlichen NIS2-Schnellcheck an.
In einem kurzen Gespräch prüfen wir gemeinsam:
✓ ob Ihr Unternehmen unter die gesetzlichen Vorgaben fällt
✓ welche konkreten Pflichten bestehen
✓ welche nächsten Schritte sinnvoll sind
📧 dsb@compliwise.de
📞 02162 / 36186-90
FAQ zur NIS2-Richtlinie
Was bedeutet NIS2?
NIS2 ist eine europäische Richtlinie zur Stärkung der Cybersicherheit von Unternehmen und Organisationen. Ziel ist es, die Widerstandsfähigkeit gegen Cyberangriffe europaweit zu erhöhen.
Seit wann gilt NIS2 in Deutschland?
Die gesetzlichen Regelungen gelten in Deutschland seit dem 6. Dezember 2025 verbindlich.
Betrifft NIS2 auch mittelständische Unternehmen?
Ja. Viele mittelständische Unternehmen fallen erstmals unter gesetzliche Cybersicherheitsanforderungen.
Welche Pflichten bestehen nach NIS2?
Zu den wichtigsten Pflichten gehören:
- Risikomanagement,
- technische und organisatorische Sicherheitsmaßnahmen,
- Meldepflichten bei Sicherheitsvorfällen,
- Lieferkettenbewertungen,
- sowie Verantwortlichkeiten auf Geschäftsleitungsebene.
Wer haftet bei Verstößen?
Die gesetzlichen Anforderungen richten sich ausdrücklich auch an die Geschäftsleitung. Verstöße können zu Bußgeldern und aufsichtsrechtlichen Maßnahmen führen.
Wie kann geprüft werden, ob ein Unternehmen betroffen ist?
Eine erste Einschätzung kann beispielsweise im Rahmen eines NIS2-Schnellchecks erfolgen. Dabei werden Branche, Unternehmensgröße und konkrete Tätigkeitsbereiche bewertet.
