Zurück zum Blog
NIS2COMPLIANCE

NIS2 in der Praxis: Was müssen Unternehmen jetzt konkret tun?

Die NIS2-Richtlinie ist seit Oktober 2024 in deutsches Recht umgesetzt. Viele Unternehmen sind betroffen — und viele wissen noch nicht genau, was konkret zu tun ist. Wir erklären die 10 wichtigsten Maßnahmen, die Sie jetzt ergreifen müssen.

24. März 2026
8 min Lesezeit
Von Keep IT Fair

Was ist NIS2?

Die Network and Information Security Directive 2 (NIS2) ist eine EU-Richtlinie, die den Rahmen für Cybersicherheit in Europa auf ein neues Niveau hebt. Sie löst die ursprüngliche NIS-Richtlinie von 2016 ab und wurde im Oktober 2024 in deutsches Recht überführt — durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG).

NIS2 erweitert den Kreis der betroffenen Unternehmen erheblich und verschärft die Anforderungen an IT-Sicherheitsmaßnahmen, Meldepflichten und die persönliche Haftung von Geschäftsführern.

Wichtig: Seit Oktober 2024 können Behörden aktiv prüfen, ob Unternehmen die Anforderungen erfüllen. Wer jetzt noch nicht gehandelt hat, riskiert empfindliche Bußgelder und — im Schadensfall — persönliche Haftung der Geschäftsführung.

Wer ist betroffen?

NIS2 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen. Die Einordnung hängt von der Unternehmensgröße und dem Sektor ab:

Wesentliche Einrichtungen
  • Energie & Wasser
  • Digitale Infrastruktur
  • Gesundheitsversorgung
  • Transport & Logistik
  • Finanzmarkt
Wichtige Einrichtungen
  • Post & Kurier
  • Abfallwirtschaft
  • Chemie & Lebensmittel
  • Maschinenbau & Fertigung
  • Digitale Dienste

Als Faustregel gilt: Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz über 10 Mio. Euro in einem relevanten Sektor sind nahezu immer betroffen. Aber auch kleinere Unternehmen können erfasst sein — etwa als kritische Zulieferer.

Die 10 wichtigsten Maßnahmen

NIS2 schreibt in Artikel 21 konkrete technische und organisatorische Maßnahmen vor. Hier sind die zehn Bereiche, die Sie prioritär angehen müssen:

01

Risikoanalyse & Informationssicherheitspolitik

Erstellen Sie eine dokumentierte Risikoanalyse für Ihre IT-Systeme und definieren Sie eine schriftliche Informationssicherheitspolitik. Dies ist die Basis aller weiteren Maßnahmen.

Konkrete Maßnahme: Risikoregister anlegen, Richtlinie durch Geschäftsführung verabschieden lassen.
02

Incident-Response-Plan

Definieren Sie klare Prozesse für den Umgang mit Sicherheitsvorfällen: Wer wird wann informiert? Wie wird ein Angriff eingedämmt? Was passiert nach einem Vorfall?

Konkrete Maßnahme: IR-Plan dokumentieren, intern kommunizieren und mindestens jährlich testen.
03

Business Continuity & Backup-Management

Unternehmen müssen sicherstellen, dass kritische Geschäftsprozesse auch nach einem Cyberangriff oder Systemausfall weitergeführt werden können. Dazu gehören regelmäßige, getestete Backups.

Konkrete Maßnahme: 3-2-1-Backup-Strategie implementieren, Recovery-Tests dokumentieren.
04

Supply-Chain-Sicherheit

NIS2 verpflichtet Unternehmen, die Sicherheit ihrer Lieferkette aktiv zu managen. Das bedeutet: Dienstleister und Lieferanten auf IT-Sicherheitsstandards prüfen und vertraglich verpflichten.

Konkrete Maßnahme: Lieferantenbewertung einführen, IT-Sicherheitsanforderungen in Verträge aufnehmen.
05

Sicherheit bei Systembeschaffung & Entwicklung

Security-by-Design muss auch bei der Auswahl und Implementierung neuer IT-Systeme berücksichtigt werden. Sicherheitsanforderungen gehören in jede Ausschreibung.

Konkrete Maßnahme: IT-Sicherheitskriterien in den Beschaffungsprozess integrieren.
06

Schwachstellenmanagement & Patch-Management

Regelmäßiges Scannen auf Schwachstellen und zeitnahes Einspielen von Sicherheitsupdates sind Pflicht. Ungepatchte Systeme sind das häufigste Einfallstor für Angreifer.

Konkrete Maßnahme: Patch-Management-Prozess definieren, kritische Updates innerhalb von 72 Stunden einspielen.
07

Kryptografie & Verschlüsselung

Sensible Daten müssen sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt sein. Veraltete Verschlüsselungsstandards (z.B. TLS 1.0/1.1) müssen abgelöst werden.

Konkrete Maßnahme: Verschlüsselungskonzept erstellen, TLS 1.2/1.3 erzwingen, Festplattenverschlüsselung aktivieren.
08

Zugangs- & Identitätsverwaltung (IAM)

Das Least-Privilege-Prinzip muss konsequent umgesetzt sein: Jeder Nutzer erhält nur die Rechte, die er für seine Tätigkeit benötigt. Privilegierte Konten müssen besonders geschützt werden.

Konkrete Maßnahme: Berechtigungskonzept dokumentieren, regelmäßige Überprüfung der Zugriffsrechte einführen.
09

Multi-Faktor-Authentifizierung (MFA)

MFA ist für alle kritischen Systeme, VPN-Zugänge und administrativen Konten verpflichtend. Passwörter allein bieten keinen ausreichenden Schutz mehr.

Konkrete Maßnahme: MFA für alle externen Zugänge und Admin-Konten aktivieren — bevorzugt mit Authenticator-App.
10

Security Awareness & Schulungen

Technische Maßnahmen allein reichen nicht. Mitarbeitende müssen regelmäßig für aktuelle Bedrohungen wie Phishing, Social Engineering und Ransomware sensibilisiert werden.

Konkrete Maßnahme: Jährliche Pflichtschulung einführen, Phishing-Simulationen durchführen.

Meldepflichten & Fristen

Eine der einschneidendsten Neuerungen von NIS2 sind die verschärften Meldepflichten bei Sicherheitsvorfällen. Bei erheblichen Vorfällen gilt ein dreistufiges Meldeverfahren:

24 Stunden
Erstmeldung
Erste Meldung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls.
72 Stunden
Folgemeldung
Detailliertere Folgemeldung mit Informationen zur Art des Vorfalls, betroffenen Systemen und ergriffenen Sofortmaßnahmen.
1 Monat
Abschlussbericht
Vollständiger Abschlussbericht mit Ursachenanalyse, Schadensausmaß, eingeleiteten Maßnahmen und Präventivmaßnahmen für die Zukunft.

Hinweis: Nicht jeder Sicherheitsvorfall ist meldepflichtig — nur solche, die erhebliche Auswirkungen auf die Erbringung von Diensten haben. Dennoch empfehlen wir, alle Vorfälle intern zu dokumentieren, um im Zweifel nachweisen zu können, dass keine Meldepflicht bestand.

Sanktionen bei Verstößen

NIS2 hat erhebliche Konsequenzen bei Nichteinhaltung — sowohl für Unternehmen als auch für Führungspersonen:

Wesentliche Einrichtungen
bis zu 10 Mio. €
oder 2 % des globalen Jahresumsatzes
Wichtige Einrichtungen
bis zu 7 Mio. €
oder 1,4 % des globalen Jahresumsatzes

Besonders relevant: NIS2 führt eine persönliche Haftung der Geschäftsführung ein. Vorstände und Geschäftsführer können bei nachgewiesener Pflichtverletzung persönlich zur Verantwortung gezogen werden — das ist ein grundlegender Paradigmenwechsel gegenüber der alten NIS-Richtlinie.

Fazit & nächste Schritte

NIS2 ist keine bürokratische Hürde — es ist eine Chance, die IT-Sicherheit im Unternehmen auf ein belastbares Niveau zu heben. Die Richtlinie gibt einen klaren Rahmen vor, den viele Unternehmen auch ohne NIS2 hätten umsetzen sollen.

Der erste Schritt ist eine ehrliche Bestandsaufnahme: Was haben wir bereits, was fehlt uns noch? Eine strukturierte Gap-Analyse hilft, Prioritäten zu setzen und effizient vorzugehen — ohne unnötig Zeit und Budget zu verschwenden.

Ihr Fahrplan in 3 Schritten:

1

Gap-Analyse durchführen: Wo stehen Sie heute gegenüber den NIS2-Anforderungen?

2

Maßnahmenplan erstellen: Priorisieren Sie nach Risiko und Aufwand.

3

Umsetzen & dokumentieren: Technische und organisatorische Maßnahmen einführen und nachweisbar dokumentieren.

Kostenlose NIS2-Erstberatung anfragen
Keep IT Fair
Keep IT Fair
IT-Sicherheit & IT-Support für den Mittelstand · Norderstedt / Hamburg

Sind Sie NIS2-ready?

Lassen Sie uns gemeinsam prüfen, wo Sie stehen — kostenlos und unverbindlich.