Securam Consulting Logo
Kontakt

NIS2 „finaler“ Referentenentwurf 2025?

NIS-2 Compliance

geschrieben von Anette Hollenbach

NIS-2-Richtlinie | IT-Security

20.06.2025

Weitere Beiträge:

?


NIS 2 – mit dem finalen Referentenentwurf zur Umsetzung der EU-NIS2-Richtlinie beginnt in Deutschland die letzte Phase vor dem Inkrafttreten. Ab Herbst 2025 sind tausende Unternehmen verpflichtet, die neuen Vorgaben umzusetzen. Die Frist ist knapp: Ab dem Tag des Inkrafttretens bleiben betroffenen Organisationen nur drei Monate, um sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren – und dabei umfassend nachzuweisen, dass alle technischen und organisatorischen Sicherheitsanforderungen erfüllt sind.

Gesetzliche Pflicht mit organisatorischer Wucht

Was die Umsetzung besonders herausfordernd macht: Die Richtlinie greift in zentrale Geschäftsprozesse ein – und das in einer Zeit, in der viele Unternehmen urlaubsbedingt mit reduziertem Personal arbeiten. Die strategische und operative Vorbereitung muss daher sofort beginnen, um Haftungsrisiken, Sanktionen und Reputationsverluste zu vermeiden.

Ausweitung des Anwendungsbereichs – Wer ist betroffen?

Die NIS2-Richtlinie erweitert den Adressatenkreis deutlich. Entscheidend sind neben dem wirtschaftlichen Tätigkeitsfeld auch Größe und Relevanz des Unternehmens. Die Pflicht zur Umsetzung gilt für:

  • Große Unternehmen mit mehr als 250 Mitarbeitenden, einem Jahresumsatz über 50 Mio. € oder einer Bilanzsumme über 43 Mio. €
  • Mittlere Unternehmen, sofern sie für digitale Infrastruktur, Versorgungssicherheit oder wirtschaftliche Stabilität relevant sind
  • Kleine Unternehmen, wenn sie Teil kritischer Lieferketten oder Betreiber wesentlicher Dienste sind

Zudem unterscheidet die Richtlinie zwischen zwei Stufen der Kritikalität:

  • „Sehr wichtige Einrichtungen“ (z. B. Energieversorgung, Gesundheitswesen, Telekommunikation): Bei Pflichtverletzungen droht nicht nur ein Bußgeld, sondern auch der Entzug der Betriebsgenehmigung oder das Leitungsverbot für verantwortliche Personen.
  • „Wichtige Einrichtungen“ (z. B. digitale Dienste, Lebensmittelwirtschaft, Logistik): Es drohen Strafen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes sowie ergänzende Sanktionen nach DSGVO.

Vier Handlungsfelder – Was NIS2 konkret verlangt

Im Zentrum der Umsetzung stehen vier sicherheitsrelevante Kernbereiche. Diese bilden zugleich die Grundlage für interne Audits und mögliche Prüfungen durch das BSI:

  1. Cybersecurity
    Einführung und Kontrolle von Erkennungs- und Schutzmaßnahmen, z. B. durch Managed Detection & Response, Vulnerability Management und Echtzeit-Überwachung kritischer Systeme.
  2. Business Continuity Management (BCM)
    Absicherung der Betriebsfähigkeit – inklusive Notfallplänen, Ressourcenplanung und Wiederanlaufstrategien
  3. IKT-Dienstleistersteuerung.

    Sicherstellung, dass IT-Dienstleister ebenfalls NIS2-konform arbeiten. Dies schließt vertragliche Anpassungen von SLAs, regelmäßige Kontrollen und Risikotransparenz ein.

  4. Risikomanagement
    Kontinuierliche Bewertung kritischer Prozesse gegen bekannte Bedrohungen (z. B. auf Basis des IT-Grundschutzes), Definition technischer und organisatorischer Maßnahmen und Dokumentation von Restrisiken

Unternehmen, die diesen Anforderungen nicht vollständig nachkommen, müssen mit Zwangsgeldern von bis zu 100.000 €, verpflichtenden Zertifizierungen, Nachbesserungsforderungen und – im Ernstfall – mit interventionistischen Maßnahmen durch das BSI rechnen.

Verantwortung auf Geschäftsleitungsebene

Besonders brisant: Die Einhaltung der NIS2-Vorgaben ist nicht delegierbar. Die Verantwortung liegt unmittelbar bei der Geschäftsführung. Bei vorsätzlicher oder fahrlässiger Missachtung drohen verschärfte persönliche Haftungsrisiken, auch unabhängig davon, ob Aufgaben intern weitergegeben wurden.

Die nächsten Schritte – so schaffen Sie Klarheit und Compliance

Um nicht nur formell, sondern auch inhaltlich NIS2-konform aufgestellt zu sein, empfehlen sich folgende Schritte:

  1. Betroffenheit prüfen
    Ermitteln Sie, ob Ihr Unternehmen in den Anwendungsbereich der Richtlinie fällt – und wenn ja, in welcher Kritikalitätsstufe.
  2. Internes NIS2-Audit durchführen
    Analysieren Sie Ihre aktuelle Sicherheits- und Prozesslandschaft, identifizieren Sie Schwachstellen und priorisieren Sie Handlungsfelder.
  3. Registrierung im BSI-Meldeportal vorbereiten
    Klären Sie Zuständigkeiten, Kommunikationswege und welche Nachweise zur Konformität vorgelegt werden müssen.
  4. Meldeprozess im Unternehmen etablieren
    Entwickeln Sie klare Abläufe zur Erkennung, Bewertung und Meldung von Sicherheitsvorfällen – inklusive Eskalations- und Dokumentationsprozesse.

Alle Maßnahmen müssen nachweisbar, wirksam und nachvollziehbar sein. Es reicht nicht aus, auf dem Papier sicher zu sein – die Umsetzung muss sich im Alltag bewähren.

Fazit: Pflicht, Risiko – und strategische Chance

Die NIS2-Richtlinie stellt Unternehmen vor große Herausforderungen. Sie verlangt nicht nur technische Upgrades, sondern auch neue Denkweisen in Führung, Struktur und Kultur. Doch mit konsequenter Vorbereitung lassen sich Risiken minimieren und gleichzeitig wertvolle Vorteile schaffen: mehr digitale Resilienz, höhere Kunden- und Partnervertrauen, Schutz vor Reputationsschäden – und nicht zuletzt: Rechtskonformität.

Jetzt ist der richtige Zeitpunkt strategisch zu handeln.

Kontaktieren Sie uns für ein unverbindliches Erstgespräch – und sichern Sie sich mit uns eine rechtskonforme, zukunftsfähige und resilient aufgestellte Organisation im digitalen Zeitalter.

Weitere Beiträge:

BCM: Der unterschätzte Cyber-Schutz

von | 30.05.25 | Continuity Management, IT-Security | 0 Kommentieren

BCM: Schlüssel zur Cybersicherheit in der Lieferkette Cyberangriffe über die Lieferkette gehören zu den größten Risiken für Unternehmen – und stellen Managementstrukturen auf die Probe. Die SECURAM Consulting warnt aktuell vor den Folgen eines Datenlecks bei Adidas:...
Lesen Sie mehr

Blackout am Feiertag? – Was Unternehmen aus dem Südeuropa-Stromkollaps lernen müssen

von | 07.05.25 | Continuity Management, Compliance & Governance, IT-Security | 0 Kommentieren

Black­out am Fei­er­tag? – Was Un­ter­neh­men aus dem Süd­eu­ro­pa-Strom­kol­laps lernen müssen Fei­er­ta­ge wie der 1. Mai stehen vor der Tür – doch Risiken machen keinen Urlaub. Be­son­ders Be­trei­ber kri­ti­scher In­fra­struk­tu­ren wissen: Ein Zwi­schen­fall am...
Lesen Sie mehr

CVE-Liste Einstellung? – Update

von | 16.04.25 | NIS-2-Richtlinie, IT-Security, Vulnerability Management | 0 Kommentieren

CVE bleibt – aber wie lange? Die USA sichern das CVE-Programm kurzfristig. Warum die Abhängigkeit für deutsche Unternehmen riskant bleibt und welche Alternativen vorbereitet werden sollten.

Lesen Sie mehr

NIS-2025

von | 16.04.25 | NIS-2-Richtlinie | 0 Kommentieren

NIS-2 2025: Wo steht Deutschland bei der Umsetzung?
Ende März 2025 bleibt Deutschland bei der Umsetzung der NIS-2-Richtlinie deutlich hinter den Erwartungen zurück. Die gesetzliche Frist der EU, bis Oktober 2024 nationale Gesetze zu erlassen, wurde verfehlt.

Lesen Sie mehr

IT-Sicherheit Hamburg

von | 24.03.25 | IT-Security | 0 Kommentieren

IT-Sicherheit wird zukünftig von der Binnenalster direkt an den Mittelstand transferiert. Die agile und inhabergeführte Securam Consulting GmbH hat sich im Laufe jahrzehntelanger Geschäftstätigkeit im Bereich der IT- Cybersecurity kontinuierlich weiterentwickelt.

Lesen Sie mehr

NIS-2 Vorbereitungen: Sind Sie startklar?

von | 11.03.25 | NIS-2-Richtlinie | 0 Kommentieren

Die NIS2-Richtlinie verschärft Meldepflichten und Sicherheitsanforderungen für Unternehmen. Eine fundierte Gap-Analyse und ein starkes ISMS sind essenziell, um Compliance sicherzustellen und Haftungsrisiken zu minimieren.

Lesen Sie mehr

EU KI-Verordnung – Schutzschild oder Stolperstein für die deutsche Wirtschaft?

von | 08.02.25 | Compliance & Governance, Continuity Management, IT-Security | 0 Kommentieren

Der EU AI Act bringt weitreichende Compliance-Pflichten für Unternehmen, insbesondere bei Hochrisiko-KI. Eine frühzeitige Umsetzung von Sicherheits- und Compliance-Strukturen minimiert Haftungsrisiken und stärkt die Wettbewerbsfähigkeit.

Lesen Sie mehr

Wann tritt NIS-2 in Deutschland 2025 in Kraft

von | 31.01.25 | NIS-2-Richtlinie | 0 Kommentieren

Wann tritt NIS-2 in Deutschland 2025 in Kraft?
Die nationale Umsetzung der NIS-2- und CER-Richtlinien verzögert sich bis nach der nächsten Bundestagswahl. Unternehmen und Betreiber kritischer Infrastrukturen stehen weiterhin vor Rechtsunsicherheit, während Deutschland ein Vertragsverletzungsverfahren der EU droht.

Lesen Sie mehr

NIS-2 Compliance gescheitert?

von | 23.01.25 | NIS-2-Richtlinie | 0 Kommentieren

Eine aktuelle Veeam-Studie zeigt, dass viele Unternehmen ihre NIS-2-Konformität überschätzen. Nur 37 Prozent erfüllen tatsächlich die Anforderungen, während Sicherheitsvorfälle und Budgetkürzungen das Risiko weiter erhöhen. Es besteht dringender Handlungsbedarf.

Lesen Sie mehr

Globale Risikoeinschätzung 2025: Explosive Zunahme von IT- und Cyberbedrohungen

von | 16.01.25 | IT-Security, Informationssicherheit | 0 Kommentieren

Cyber-Risiken sind 2024 die größte Bedrohung für Unternehmen. Die jüngsten Angriffe auf VW und CrowdStrike zeigen, wie verwundbar selbst große Konzerne sind. Wer frühzeitig in IT-Sicherheit investiert, schützt Daten und Wettbewerbsfähigkeit.

Lesen Sie mehr