Im IT-Notfall @-yet anrufen
02175 - 16 55 0

NIS2: Mit @-yet darauf vorbereitet sein

Die EU-Richtlinie NIS2 ist seit 06. Dezember 2025 nationales deutsches Recht und bringt neue Herausforderungen für Unternehmen und öffentliche Institutionen mit sich. Die Herausforderungen sind bedeutend: Erhöhte Sicherheitsanforderungen, striktere Meldepflichten und umfassendere Maßnahmen zum Risikomanagement. Das sind nur einige der Aspekte, die mehr Unternehmen und Organisationen als bisher umsetzen müssen.

Jetzt unverbindlich beraten lassen

NIS2-Beratung: @-yet hilft Ihnen bei der Umsetzung

Viele Unternehmen stehen vor der Mammutaufgabe, IT-Infrastrukturen zu modernisieren und Sicherheitsmaßnahmen zu verstärken. Doch NIS2 ist weit mehr als nur bürokratischer Aufwand. Die Umsetzung der Richtlinie ist ein wichtiger Schritt in Richtung einer höheren Sicherheit im digitalen Bereich.

@-yet unterstützt Sie bei der Umsetzung der NIS2-Vorgaben. Unsere Expert:innen analysieren Ihre bestehenden organisatorischen Maßnahmen und Sicherheitsstrukturen, entwickeln individuelle Lösungen und begleiten Sie Schritt für Schritt zur vollständigen Umsetzung.

NIS2-Beratung und -Umsetzung mit @-yet

Langjährige Erfahrung

Die Expert:innen der @-yet greifen auf Erfahrungen aus mehr als 20 Jahren IT-forensischer Analysen und Security Assessments in allen Branchen zurück.

Kostenersparnis

Die @-yet hilft Ihnen, durch Umsetzen der Anforderungen von NIS2 widerstandsfähiger gegenüber Cyberangriffen und damit verbundenen Kosten zu werden.

Unabhängige Beratung

Die @-yet arbeitet ohne vertragliche Verbindungen zu Hard- und Softwareherstellern. Durch diese Unabhängigkeit erhalten Sie eine neutrale und individuelle Beratung.

Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security Directive) ist eine erweiterte EU-Richtlinie. Sie wurde am 27. Dezember 2022 veröffentlicht und trat am 16. Januar 2023 in Kraft. Das Ziel der Richtlinie ist eine höhere Cybersicherheit für Unternehmen und Organisationen in der ganzen EU. Sie ersetzt die ursprüngliche NIS-Richtlinie und erweitert deren Geltungsbereich und Anforderungen.

Ziel ist es, eine einheitliche Sicherheitsstufe für Netz- und Informationssysteme in der europäischen Union zu gewährleisten und ein einheitliches Register für Sicherheitsmeldungen einzurichten. Dazu verpflichtet NIS2 – und das daraus folgende deutsche Gesetz – Unternehmen und öffentliche Institutionen zu strengeren Sicherheitsmaßnahmen, systematischem Risikomanagement und einer besseren Zusammenarbeit mit Behörden. Die Richtlinie soll die Widerstandsfähigkeit gegen Cyberangriffe erhöhen und sicherstellen, dass die EU auf digitale Bedrohungen effektiv reagieren kann, indem Tendenzen und Entwicklungen nachverfolgt werden.

Als EU-Richtlinie muss NIS2 noch von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. In Deutschland wird dies durch das “Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung” (NIS2UmsuCG) in Verbindung mit dem „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen“ (BSI-Gesetz“ geregelt, welches am 06. Dezember 2025 in Kraft trat.

Vielfach wird die NIS2-Richtlinie als überflüssiges bürokratisches Instrument gesehen. Dabei wird die Umsetzung der NIS2 zahlreiche Vorteile mit sich bringen.

Geringere Kosten durch Erhöhung der Verfügbarkeit

Einer der größten Vorteile der NIS2-Richtlinie ist die Verbesserung der Cybersicherheit für Unternehmen. Die Umsetzung strengerer Anforderungen an die IT- und Informationssicherheit erhöht die Widerstandsfähigkeit gegen Cyberangriffe. Durch die von NIS2 vorgesehenen regelmäßigen Risikobewertungen erkennen und beheben Unternehmen darüber hinaus vorhandene Schwachstellen schneller und effektiver. Das führt insgesamt zu einer robusteren Sicherheitsinfrastruktur.

Unternehmen profitieren also von einer verringerten Anfälligkeit für Sicherheitsverletzungen. Das gewährleistet einerseits langfristige Stabilität und Sicherheit des Geschäftsbetriebs. Andererseits bedeutet eine erhöhte Widerstandsfähigkeit gegenüber Angriffen auch geringere Kosten, die für die Beseitigung der Folgen eines Sicherheitsvorfalls oder durch Produktionsausfälle anfallen würden. Viele Unternehmen werden zu Beginn Investitionen in die Sicherheit vornehmen müssen. Langfristig werden sich diese Investitionen jedoch durch eine höhere Verfügbarkeit bezahlt machen.

Was kommt mit NIS 2 auf Unternehmen zu?

Die NIS2-Richtlinie betrifft eine größere Zahl von Wirtschaftssektoren als frühere Regelungen. Bisher sind nur bestimmte Sektoren wie Energie, Verkehrswesen und Banken betroffen. NIS2 umfasst auch Telekommunikationsanbieter, Postdienste und die Lebensmittelerzeugung. Sie erstreckt sich auf Einrichtungen und Unternehmen aus 18 Branchen. Das bedeutet, dass die neuen Regeln für etwa 30.000 Unternehmen in Deutschland greifen, die bisher davon nicht betroffen waren.

Eine weitere Neuerung von NIS2 sind die deutlich strengeren Anforderungen an die IT- und Informationssicherheit. NIS1 schrieb Unternehmen grundlegende Sicherheitsmaßnahmen und Meldungen von schwerwiegenden Sicherheitsvorfällen vor. Die NIS2 verlangt eine regelmäßige Risikobewertung und wesentlich strengere Maßnahmen. Darüber hinaus werden Organisationen und Unternehmen verpflichtet, erhebliche Vorfälle innerhalb von 24 Stunden zu melden. Detaillierte Informationen über sicherheitskritische Vorfälle sind dann nachfolgend an die Behörden zu übermitteln.

Die Richtlinie verlangt zudem die Schulung von Mitarbeitenden und Geschäftsführungen zu Themen der Cybersicherheit („Awareness“) und die Implementierung von Notfallplänen. Unternehmen müssen eine kontinuierliche Überwachung und Aktualisierung ihrer IT-Infrastrukturen sicherstellen.

Ein positiver Nebeneffekt wird die engere Zusammenarbeit und der Informationsaustausch der nationalen und europäischen Behörden sein. Mit dem so gebündelten Wissen lassen sich Bedrohungen frühzeitig erkennen und bekämpfen.

Häufige Fragen zur NIS2-Richtlinie

Ob Sie unter die Vorgaben der NIS2 fallen hängt primär von Ihrer Branche und Ihrer Unternehmensgröße ab. Grundsätzlich gilt die NIS2 für Unternehmen, die:

  • In einem der 18 kritischen Sektoren tätig sind (z. B. Energie, Gesundheit, Abfallwirtschaft, Lebensmittel oder digitale Dienste).

  • Mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz/eine Bilanzsumme von über 10 Millionen Euro aufweisen.

  • Bestimmte Unternehmen (z. B. Anbieter öffentlicher Kommunikationsnetze) sind unabhängig von ihrer Größe betroffen.

Sanktionen bei Verstößen gegen die Vorgaben der NIS2 sind drastisch und mit der DSGVO zu vergleichen. Je nach Einstufung unterscheiden sich die möglichen Bußgelder.

  • 10 Millionen € oder 2 % des weltweiten Vorjahresumsatzes (bei wesentlichen Einrichtungen)

  • 7 Millionen € oder 1,4 % des weltweiten Vorjahresumsatzes (bei wichtigen Einrichtungen) verhängt werden. Maßgeblich ist jeweils der höhere Betrag.

Kurz gesagt: Ja, aber …
Das deutsche NIS2-Umsetzungsgesetz bestimmt in § 38, dass die Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen bei (schuldhaften) Verstößen gegen die NIS2-Richtlinie gegenüber der Gesellschaft haften. Das Gesetz schafft jedoch keine neuen Haftungsregeln, sondern koppelt die Haftungsfrage an bestehendes Gesellschaftsrecht. Das bedeutet: Nach dem NIS2-Umsetzungsgesetz haften Geschäftsführer nur, wenn es für die jeweilige Gesellschaftsform keine eigene rechtliche Regelung gibt. Die GmbH kennt hier das GmbH-Gesetz (§ 43) und die Aktiengesellschaft das Aktiengesetz (§ 93).

Aber: NIS2 ist grundsätzlich Chefsache. Das heißt, dass die Geschäftsleitung verpflichtet ist, die Umsetzung von Maßnahmen nach NIS2 durchzuführen und zu überwachen.

Weiter müssen auch Geschäftsführer regelmäßig an Schulungen teilnehmen, in denen sie lernen, Cyberrisiken zu erkennen und zu bewerten und entsprechende praktische Anwendungen von Risikomanagementmaßnahmen zu beurteilen.

Die Meldepflichten für besonders wichtige und wichtige Einrichtungen sind in § 32 geregelt. Die entsprechende Meldung muss an das Bundesamt für Sicherheit in der Informationstechnik erfolgen.

  1. Die erste Meldung muss unverzüglich, spätestens jedoch innerhalb von 24 Stunden erfolgen, nachdem von einem „erheblichen“ Sicherheitsvorfall Kenntnis erlangt wurde.

  2. Ebenfalls „unverzüglich“, jedoch spätestens innerhalb von 72 Stunden muss ein detaillierteres Update erfolgen. Dieses Update muss die Erstmeldung bestätigen bzw. aktualisieren, den Schweregrad und eventuelle Auswirkungen enthalten und mögliche Indikatoren einer Kompromittierung benennen.

  3. Nach spätestens 1 Monat folgt dann ein umfassender Abschlussbericht mit einer ausführlichen Beschreibung des Sicherheitsvorfalles, dessen Ursachen, seiner Auswirkungen und den laufenden oder getroffenen Maßnahmen. Besteht der Sicherheitsvorfall nach einem Monat noch immer, muss statt eines Abschlussberichtes eine Fortschrittsmeldung erfolgen.

Ja. Das Bundesamt für Sicherheit in der Informationstechnik hat zu diesem Zweck ein eigenes Portal zur Verfügung gestellt, auf dem sich wichtige und besonders wichtige Einrichtungen registrieren müssen. Dieses Portal ist unter https://portal.bsi.bund.de/ erreichbar.

Bitte beachten Sie: Betroffene Unternehmen müssen sich selbstständig beim BSI registrieren und Stammdaten sowie Kontaktstellen hinterlegen. Eine Aufforderung durch das BSI erfolgt nicht.

Hinweis: Die folgenden Angaben stellen weder eine Rechtsberatung dar noch gibt es eine Gewähr auf Vollständigkeit oder Richtigkeit. 

Das BSI-Gesetz spricht von „wichtigen“ und „besonders wichtigen“ Einrichtungen. Die Eingruppierung basiert vor allem darauf, wie kritisch ein Sektor für das Funktionieren der Gesellschaft und wie groß ein Unternehmen bzw. eine Einrichtung ist.

Grundsätzlich gilt folgende Einteilung:

Wichtige Einrichtungen:

  • Post- und Kurierdienste

  • Abfallbewirtschaftung

  • Produktion, Herstellung und Handel mit chemischen Erzeugnissen

  • Produktion, Handel und Verarbeitung von Lebensmitteln

  • Verarbeitendes Gewerbe / Herstellung:

    • Herstellung von Medizinprodukten.

    • Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen.

    • Herstellung von elektrischen Ausrüstungen.

    • Maschinenbau.

    • Herstellung von Kraftwagen und Kraftwagenteilen.

    • Sonstiger Fahrzeugbau.

  • Digitale Dienste

  • Forschungseinrichtungen (ohne Hochschulen).

Besonders wichtige Einrichtungen:

  • Elektrizität, Fernwärme und Fernkälte, Erdöl, Erdgas sowie Wasserstoff.

  • Luftverkehr, Schienenverkehr, Schifffahrt und Straßenverkehr.

  • Kreditinstitute (Banken).

  • Finanzmarktinfrastrukturen: Betreiber von Handelsplätzen

  • Gesundheitswesen

  • Trinkwassergewinnung, -aufbereitung und -verteilung

  • Abwasserentsorgung und -behandlung.

  • Digitale Infrastruktur:

    • Internet-Knoten und DNS-Dienste.

    • Top-Level-Domain-Namen-Registrierstellen (TLD).

    • Cloud-Computing-Dienste und Rechenzentrumsdienste.

    • Content-Delivery-Netzwerke (CDN).

    • Vertrauensdiensteanbieter.

    • Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste.

  • Verwaltete Dienste (IKT-Dienstleistungen): Managed Service Provider (MSP) und Managed Security Service Provider (MSSP).

  • Weltraum: Betreiber von Bodeninfrastrukturen.

  • Öffentliche Verwaltung: Einrichtungen von Bund und Ländern

Die Zuteilung zu einem wichtigen oder besonders wichtigen Sektor ergibt sich jedoch nicht allein aus der Branche, sondern aus einer Kombination von Branche und Größe eines Unternehmens.

  • Großunternehmen (≥ 250 Mitarbeiter ODER ≥ 50 Mio. € Umsatz & 43 Mio. € Bilanzsumme) in den „besonders wichtigen“ Sektoren sind automatisch besonders wichtige Einrichtungen.

  • Mittlere Unternehmen (≥ 50 Mitarbeiter ODER ≥ 10 Mio. € Umsatz/Bilanz) in „besonders wichtigen“ Sektoren oder alle betroffenen Unternehmen in „wichtigen“ Sektoren sind wichtige Einrichtungen.

Die Expert:innen der @-yet helfen Ihnen gerne weiter, wenn Sie Fragen zu dieser Einteilung haben oder wissen möchten, in welchen Sektor Ihr Unternehmen eingeordnet wird.

Beratung und Hilfe bei der Umsetzung von NIS2

Die Umsetzung der NIS2-Richtlinie wird für Unternehmen eine Fülle neuer und komplexer Aufgaben mit sich bringen. Das erfordert nicht nur fundiertes Know-How, sondern vor allem personelle Ressourcen.

Die @-yet steht Ihnen zur Seite, um Sie umfassend bei der Umsetzung der NIS2-Richtlinie zu unterstützen. Unsere erfahrenen Security-Expert:innen stellen sicher, dass Sie alle Vorgaben erfüllen können.

@-yet NIS2-Beratung

NIS2 bedeutet für viele Unternehmen erhöhte Sicherheitsanforderungen und umfassenderes Risikomanagement. Die @-yet begleitet Sie, beginnend mit einem Reifegrad Assessment. Eine nachfolgende Business Impact Analyse dient als Grundlage für ein Risikomanagement. Schritt für Schritt erarbeiten die Expert:innen der @-yet die Konformität Ihrer Organisation mit NIS2 auf Basis des Umsetzungsgesetzes. Neben Awarenessschulungen für die Leitungsebene begleitet die @-yet technische und organisatorische Maßnahmen.

Methodik der @-yet NIS2-Beratung

  • Reifegrad-Analyse und Umsetzungsstand gegenüber der Konformität zu NIS2
  • Aufbau eines Risikomanagements anhand der Ergebnisse einer Business Impact Analyse
  • Hilfe bei der Umsetzung von Protokollierungsmaßnahmen und Netzwerksicherheit
  • Security-Schulungen für die Leitungsebene hinsichtlich Risiko- und Notfallmanagement
  • Bewertung und Umsetzung von IT-Sicherheit im Lieferantenmanagement

Das sind Ihre Vorteile

  • Umfangreiche Erfahrungen aus den Bereichen KRITIS mit Systemen zur Angriffserkennung
  • Durch die hohe Aktualität der Angriffspraktiken praxisnahe Vorbereitung auf Incidents
  • Dokumentationsvorlagen und Methoden, um Governance-Themen zu bearbeiten
  • Unterstützung sowohl für IT-Umgebungen als auch für OT-Bereiche

Mit @-yet schützen Sie, was wertvoll ist.

Jetzt Ihr kostenfreies und unverbindliches Beratungsgespräch vereinbaren.

Vereinbaren Sie jetzt Ihren persönlichen Termin für ein unverbindliches und kostenfreies Beratungsgespräch. Unsere Security- und Datenschutz-Expert:innen beantworten Ihre Fragen gern.

Direkter Kontakt:

Telefon: +49 2175 16 55 0
E-Mail: info@at-yet.de

Oder über dieses Formular.

Wir freuen uns auf Ihre Nachricht!

*“ zeigt erforderliche Felder an

Name*
Weitere Informationen
Datenschutz*
An den Anfang scrollen