Und Sie müssen sich jetzt darum kümmern? Lesen Sie weiter…
NIS2: Am 13. November 2025 hat der Bundestag (endlich) dafür gestimmt. Und während Sie das hier lesen, ist die IT eines deutschen Mittelständlers mal wieder überlastet und schreibt einem quengelnden Mitarbeiter dessen Passwort auf ein Post-It. Damit das nicht verloren geht, klebt es seither an einem 19-Zoll-Dell-Bildschirm im luftigen Großraumbüro. War ja nur gutgemeint. Aber so beginnen Tragödien mit millionenschweren Verlusten…
Sie kennen die Zahlen. Sie hören Sie im Radio, lesen Sie in Zeitungen. Ja, selbst die Tagesschau nennt die Fakten: Täglich werden Unternehmen angegriffen. 87 Prozent der Unternehmen in Deutschland waren im letzten Jahr von Cyberangriffen betroffen. Und es ging nicht nur um ein paar E-Mails. Es ging um gestohlene Daten, verschlüsselte Systeme, Betriebsunterbrechungen. Der wirtschaftliche Schaden lag bei fast 300 Milliarden Euro.
300.000.000.000. Eine Drei mit elf Nullen
Von einem Post-It zu 300 Milliarden kann schnell gehen. Nicht aus Dummheit oder Faulheit. Sondern, weil der Alltag oft etwas anderes verlangt als perfekte Sicherheit. Die EU dachte sich mit NIS2 sanften Druck aufzubauen, damit europäische Unternehmen Security etwas ernster nehmen. Jedes EU-Land soll die Richtline in nationales Recht gießen. Jetzt ist es also soweit. Deutschland hat ja gesagt.
Vielen geht es jetzt wie Ihnen: Sie fallen jetzt offiziell unter die neuen Regeln, wissen aber nicht so recht, wie Sie anfangen sollen, das alles umzusetzen. Und was genau überhaupt?
Vielleicht gehören Sie zu den Menschen, die sich genau diese Fragen stellen. Vielleicht lesen Sie diesen Artikel gerade, weil irgendjemand „Kümmer dich mal um NIS2“ gesagt hat. Obwohl IT-Sicherheit bisher nicht Ihr Thema war. Und ehrlich gesagt: auch nicht Ihre erste Wahl.
Wenn das so ist, dann sind Sie hier richtig. Es gibt gute Gründe, jetzt mit der Umsetzung zu beginnen. Auch wenn der Gesetzentwurf abendfüllend ist.

Was steckt hinter NIS2?
Ganz einig ist man sich darüber allerdings nicht. Die Bundesregierung und das BSI verkaufen den Beschluss als überfälligen Schritt zu mehr Cybersicherheit und klareren Standards und große Security-Anbieter sprechen von einem wichtigen Signal. Viele Wirtschaftsverbände sehen das Ziel zwar positiv, warnen aber vor Bürokratie, unklaren Begriffen und der Gefahr eines „Gold-Plating“ in Deutschland. Besonders umstritten sind die weitgehenden Eingriffsbefugnisse beim Verbot „kritischer Komponenten“ sowie die kurzen Übergangsfristen.
Für Sie heißt das: Die Richtung ist gesetzt, aber manche Details sind noch politisch und juristisch im Fluss. Umso wichtiger ist es, dass Sie intern jetzt anfangen, Strukturen und Risiken zu sortieren – statt zu warten, bis alle Streitpunkte auf höchster Ebene ausdiskutiert sind. Denn, wenn Sie jetzt warten, werden Sie das nie wieder aufholen können.
NIS2 ist die aktualisierte EU-Richtlinie für ein höheres Cybersicherheitsniveau und ihr Umfang ist deutlich größer als zuvor. Die Richtlinie erweitert den Geltungsbereich massiv und erfasst nun nicht mehr nur Betreiber wesentlicher Dienste, sondern unterscheidet zwischen Wesentlichen Einrichtungen (WE) und Wichtigen Einrichtungen (WI). Zahlreiche neue Branchen fallen darunter, etwa Energie, Transport, Gesundheitswesen, Teile der industriellen Fertigung, digitale Dienste wie Rechenzentren oder Hosting-Provider sowie die öffentliche Verwaltung.
Betroffen sind in der Regel bereits Unternehmen ab 50 Mitarbeitenden oder über 10 Mio. € Umsatz, sofern sie einem der definierten Sektoren zugeordnet sind. Zusätzlich erhöht NIS2 die Anforderungen an das Risikomanagement, verlangt organisatorische und technische Sicherheitsmaßnahmen über den gesamten Lebenszyklus der IT hinweg und führt klare Vorgaben für Meldepflichten ein — etwa die Meldung schwerwiegender Sicherheitsvorfälle innerhalb von 24 Stunden. Besonders relevant ist außerdem die persönliche Verantwortlichkeit der Geschäftsleitung: Sie muss sicherstellen, dass die Anforderungen umgesetzt werden, und kann bei Pflichtverletzungen haftbar gemacht werden.
Da Deutschland die Richtlinie erst verspätet in das nationale NIS2UmsuCG überführt, haben Unternehmen nun weniger Zeit, die umfangreichen Pflichten umzusetzen. Für viele Organisationen, insbesondere mittelständische Betriebe, kritische Dienstleister, Energieversorger oder Produktionsunternehmen, entsteht damit ein unmittelbarer Handlungsdruck, bestehende Strukturen zu überprüfen, Lücken zu identifizieren und Governance, Prozesse sowie Sicherheitsmaßnahmen an die neuen Anforderungen anzupassen.
Das klingt erst mal nach viel. Und ja, es ist auch nicht in einem Tag erledigt. Aber es ist machbar. Schritt für Schritt.
Warum betrifft das ausgerechnet Sie?
Weil es inzwischen fast jeden betrifft. In Deutschland gelten die neuen Regeln für ungefähr 30.000 Unternehmen. Quer durch alle Branchen.
Vielleicht arbeiten Sie im Maschinenbau. Oder im Großhandel. Oder in einem Unternehmen, das digitale Dienste anbietet. Vielleicht sind Sie Geschäftsführer, vielleicht IT-Verantwortlicher, vielleicht jemand, der „das Thema jetzt mal übernehmen“ soll.
Und vielleicht denken Sie gerade: „Das ist doch alles völlig übertrieben. Wir sind kein Konzern.“
Diese Reaktion ist verständlich. Aber leider trügerisch. Denn viele Angreifer suchen sich gerade Unternehmen wie Ihres aus. Nicht weil Sie bekannt sind, sondern weil Sie leichter angreifbar sind. Viele sehen Hacken wie einen Beruf. Eine Verdienstmöglichkeit. Wie Ladendiebstahl, Kokainhandel oder Einbrecher. Gerade Letztere brechen auch oft dort ein, wo ein Fenster offensteht statt in der Villa nebenan.
„Aber wir haben doch Antivirus und Backups …“
Das ist gut. Aber oft reicht es nicht mehr. Die Anforderungen an Cybersicherheit haben sich verändert. Früher war das freiwillig. Jetzt ist es Pflicht. Und im Ernstfall wird nachgewiesen, ob Sie Ihren Pflichten nachgekommen sind.
Die meisten Unternehmen sind auf vieles vorbereitet: Brandschutz, Arbeitssicherheit, Datenschutz. Cybersicherheit ist oft das letzte Feld, das noch „nebenher“ läuft. Am Ende können Sie die Mauer um Ihr Haus immer höher bauen. Die Einbrecher werden es dort versuchen, wo sie am niedrigsten ist. Und das wird immer irgendeine Mauer sein. Es geht also nicht darum, den Angriff zu verhindern, sondern wie Sie damit als Unternehmen umgehen.
Genau da setzt NIS2 an. Es bringt Struktur in ein Thema, das sonst gerne stiefmütterlich behandelt wird. Und ja: Es ist ein Kraftakt. Aber keiner, den Sie allein stemmen müssen.
„Wir haben dafür eigentlich niemanden.“
Auch das hören wir oft. Nicht jedes Unternehmen hat eine IT-Abteilung mit fünf Köpfen. Manche haben gar keine eigene IT. Man hat einen Dienstleister. Oder einen Kollegen, der sich „ein bisschen auskennt“.
Daran ist nichts falsch. Was falsch wäre: so zu tun, als ob das reicht. Denn wenn es wirklich ernst wird, helfen gute Vorsätze nicht mehr. Dann zählt, was vorbereitet wurde.
Und genau deshalb ist es völlig in Ordnung, sich Hilfe zu holen.
Es ist keine Schande, zu sagen: „Das überfordert mich.“ Im Gegenteil: Wer sich beraten lässt, übernimmt Verantwortung.
Es gibt Menschen, die sich mit NIS2 auskennen. Es gibt Software, die hilft, die Anforderungen umzusetzen. Sie müssen das nicht alles selbst verstehen. Aber Sie sollten entscheiden, dass jetzt etwas passieren muss.
Ich muss mich um NIS2 kümmern. Was muss ich tun?
- Nicht verdrängen.
Sie haben das Thema erkannt. Das ist der wichtigste Schritt. - Ermitteln, ob Sie betroffen sind.
Größe, Branche, Umsatz: Das kann ein Berater schnell prüfen. Zum Check des BSI. - Unterstützung suchen.
Es gibt Spezialisten und Softwarelösungen, die Ihnen Arbeit abnehmen. - Verantwortung klären.
Wer ist intern zuständig? Wer kümmert sich um die Umsetzung? - Schrittweise loslegen.
Sie müssen nicht alles auf einmal machen. Aber Sie müssen anfangen.
Die Lösung ist nur einen Anruf entfernt.
Kontaktieren Sie uns.
Wir begleiten die Entwicklung der NIS2-Richtlinie auf europäischer und nationaler Ebene seit ihrem Inkrafttreten und bewerten fortlaufend die rechtlichen, organisatorischen und technischen Auswirkungen.
Unsere GRC-Software-Plattform ist bereits so konzipiert, dass die Anforderungen des NIS2UmsuCG einschließlich der komplexen Sektorklassifizierungen und detaillierten Risikomanagement-Vorgaben strukturiert abgebildet und dokumentiert werden können. Dies ermöglicht eine effiziente, prüffähige und nachweisbare Compliance-Umsetzung. Ob sich so eine Lösung lohnt? Hier finden Sie es heraus.
Ergänzend unterstützt unsere Beratungssparte bei der initialen Scope- und GAP-Analyse, der Implementierung der erforderlichen Maßnahmen sowie bei der rechtssicheren Dokumentation, um persönliche Haftungsrisiken für die Geschäftsführung zu minimieren.
Setzen Sie auf eine fundierte und juristisch belastbare Umsetzung der neuen Anforderungen, bevor die verkürzten Fristen zur echten Herausforderung werden.



