+49 40-298 4553-0

Buchen Sie Ihr Erstgespräch online

contact@securam-consulting.com

Buchen Sie Ihr Erstgespräch online

Securam Consulting Logo
Kontakt

NIS-2 (Network & Information Security)

Aktueller Stand NIS-2 Umsetzung

Update 12.11.2025: NIS-2-GESETZ VOR BESCHLUSS

Mit über einem Jahr Verspätung stimmt der Bundestag am Donnerstag, 13. November 2025 über das NIS-2-Umsetzungsgesetz ab. Damit wird die EU-Richtlinie endlich in deutsches Recht umgesetzt. Die ursprüngliche Frist lief bereits im Oktober 2024 ab. Aufgrund der Neuwahl des Bundestags Anfang 2025 musste der Prozess durch die neue Bundesregierung einmal neu iniziert werden.

Update 7.11.2025

Der deutsche NIS-2-Gesetzesentwurf vom 8. September 2025 steht massiv in der Kritik. Bundestags-Anhörung offenbarte unklare Zuständigkeiten und Zwei-Klassen-Cybersicherheit. Inkrafttreten: Ende 2025/Anfang 2026 erwartet. Deutschland liegt über 1 Jahr über der EU-Frist.

Mit NIS-2-Beratung zur Compliance

Die NIS-2-Richtlinie verpflichtet ab November 2024 über 30.000 deutsche Unternehmen zu erweiterten Cybersicherheitsmaßnahmen. Betroffen sind nicht nur KRITIS-Betreiber, sondern auch mittelständische Unternehmen ab 50 Mitarbeitenden in kritischen Sektoren. SECURAM Consulting unterstützt Sie mit Gap-Analyse, pragmatischer Roadmap-Entwicklung und ISMS-Implementierung nach ISO 27001. Erreichen Sie NIS-2-Compliance in 6-12 Monaten mit messbaren Ergebnissen und nachweisbarer Expertise.

SECURAM entwickelt mit Ihnen ein ISMS nach ISO/IEC 27001, welches die NIS-2-Anforderungen vollständig abdeckt und Sie audit-ready macht. Unser Ansatz ist Compliance durch systematisches Risikomanagement, nicht durch Checklisten-Abhaken.

Artikel 20 der NIS-2 Richtlinie adressiert die Leitungsorgane von Unternehmen und macht diese für die Genehmigung und Überwachung der Cybersicherheitsmaßnahmen direkt verantwortlich (Haftungsrisiken für Geschäftsführungen). Entsprechend verlangt die NIS-2-Richtlinie nachweisbare Maßnahmen in zehn verschiedenen Bereichen.

NIS-2 im Unternehmen

Teams in der IT sind häufig ausgelastet. Oftmals ist auch das Budget knapp und NIS-2 ist zusätzlicher Workload. Drei zentrale Herausforderungen nehmen die Berater der SECURAM regelmäßig wahr:

  • Integration in laufende IT-Projekte ohne Disruption,
  • Ressourcen-Rechtfertigung gegenüber der Geschäftsführung,
  • fehlende interne Expertise für Gap-Analyse und Roadmap-Entwicklung.

SECURAM zeigt Ihnen, wie Sie Compliance pragmatisch erreichen und wie die Integration in bestehende Prozesse gelingen kann, ohne parallele Strukturen aufzubauen. Unsere Roadmap berücksichtigt Ihre Ressourcen und definiert realistische Meilensteine. Wir arbeiten mit Ihrem IT-Team zusammen.

NIS-2-Bußgelder

Die finanziellen Folgen durch NIS-2 für Unternehmen werden leicht abgetan. Bei Verstößen drohen NIS-2 Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Die Höhe hängt davon ab, welcher Betrag höher ist. Hinzu kommt die bereits erwähnte persönliche Haftung der Geschäftsleitung bei nachweisbarer Fahrlässigkeit.

Doch NIS-2 ist mehr als nur eine Compliance-Pflicht, denn Cybersicherheit reduziert Betriebsrisiken, senkt Versicherungsprämien und schafft Wettbewerbsvorteile durch nachweisbare Resilienz. Mit der SECURAM-Consulting durchläuft ihr Unternehmen einen so genannten NIS-2 Readiness Check, die Ihnen hilft Lücken zu identifizieren.

Sind Sie NIS-2 ready?

DSGVO-Hinweis

Neue ABC-Straße 8
20354 Hamburg
040 2984553-0

Sales@securam-consulting.com

Die 5 Schritte zur NIS-2-Compliance (Flyer):

Wofür steht die SECURAM Consulting?

Expertise und Know-How in den Regularien der IT-Security und
Informations​sicherheit

Konstruktive & vertrauensvolle Zusammenarbeit

Verantwortung übernehmen & Sicherheit leben

Hands-on beim Aufbau von IT-Security & Informations​sicherheit

Sicherheitsziele systematisch definieren, umsetzen & im Alltag leben

Was ist NIS-2?

Die NIS-2-Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 ist die überarbeitete Fassung der Network and Information Security Directive von 2016. Sie trat am 16. Januar 2023 in Kraft und musste bis 17. Oktober 2024 in nationales Recht der EU-Mitgliedstaaten umgesetzt werden. In Deutschland erfolgt die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), dessen Inkrafttreten nach mehrfachen Verzögerungen für Ende 2025 oder Anfang 2026 erwartet wird.

Die Richtlinie erweitert den Anwendungsbereich von ursprünglich sieben auf nunmehr achtzehn kritische Sektoren. Dazu zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Produktion kritischer Produkte, Chemie, Lebensmittel, verarbeitendes Gewerbe sowie Forschung und digitale Dienste. Diese Ausweitung führt dazu, dass in Deutschland über 30.000 Organisationen betroffen sind – eine Verzehnfachung gegenüber der bisherigen KRITIS-Regulierung mit circa 2.000 bis 4.500 Unternehmen.

NIS-2-Timeline

Trotz mehrfacher Verzögerungen der nationalen Umsetzung (Bundestagswahl, Referentenentwürfe) steht fest, dass die EU NIS‑2-konforme Maßnahmen erwartet und die unmittelbar nach Inkrafttreten im nationalen Recht greifen werden.

Selbst bei verspäteter Umsetzung (vermutlich im 1. Quartal 2026) drohen Unternehmen, die sich bis dahin nicht vorbereitet haben, erhebliche Risiken. Dazu gehören sowohl die NIS-2-Bußgelder als auch die persönliche Haftung der Geschäftsführung bei Verstößen oder Unterlassen.
Mit dem aktuellen Referentenentwurf (September 2025) des Bundesinnenministeriums wird NIS‑2 hochpriorisiert. Die Richtlinie schreibt vor, dass Geschäftsleitung und andere Führungskräfte persönliche Verantwortung übernehmen für Risikoanalysen, Prozesse und Meldeverfahren übernehmen müssen. Insbesondere im Krisenfall (Incident Reporting, Frühwarnsysteme) riskieren Führungskräfte die so genannte „Führungshaftung“, falls nachgewiesen wird, dass angemessene Maßnahmen unterblieben sind.

Es besteht zukünftig die Pflicht, Cyberrisiken durch ein entsprechendes Risikomanagement im Rahmen eines ISMS zu adressieren.

 

NIS-2 Richtlinie

Anfang 2026 soll das deutsche Umsetzungsgesetz der NIS-2-Richtlinie endlich in Kraft treten. Nach mehrfachen Verzögerungen und der Bundestagswahl im Februar 2025 hatte das Bundesministerium des Innern den Gesetzgebungsprozess neu aufgesetzt. Die BSI-Präsidentin bestätigte, dass das Gesetz verpflichtende Anforderungen an Risikoanalysen, Vorfallmeldungen und die Registrierung betroffener Einrichtungen enthalten wird.

Auch auf EU-Ebene schreitet die Umsetzung voran. Bis zum Frühjahr 2026 werden die meisten Mitgliedstaaten die NIS-2-Vorgaben in nationales Recht überführt haben. In mehreren Ländern drohen jedoch Vertragsverletzungsverfahren wegen fehlender Umsetzung. Die ENISA veröffentlichte im Juni 2025 technische Leitlinien zur Implementierung, die insbesondere kleinen und mittleren Unternehmen helfen sollen, sich auf die Anforderungen vorzubereiten. In diesem Zusammenhang entstehen erste europaweite Initiativen wie der sogenannte „NIS2 Quality Mark“, der Unternehmen freiwillige Orientierung für Governance und Auditfähigkeit bietet.

Die NIS-2 Umsetzung scheiterte Ende Januar 2025 erneut. Nach den Neuwahlen des Bundestages am 23. Februar 2025 müssen alle noch nicht verabschiedeten Gesetzentwürfe neu eingebracht und beraten werden. Die Umsetzung von NIS-2 in Deutschland ist daher nicht vor dem zweiten Quartal 2025 zu erwarten. Zudem bleibt der Zeitplan für die notwendigen Rechtsverordnungen zur Umsetzung weiterhin unklar. Anfang September 2025 gab es erneute Diskussionen, um Außnahmetatbestände für staatliche Institutionen und Behörden.

Die NIS-2-Richtlinie hätte bis zum 18. Oktober 2024 in nationales Recht überführt werden müssen. Das Bundesministerium des Innern und für Heimat (BMI) legte hierzu bereits im Juli 2023 einen ersten Referentenentwurf vor. Nach einem Werkstattgespräch und weiteren Überarbeitungen wurde am 7. Mai 2024 der endgültige Referentenentwurf veröffentlicht, gefolgt vom Regierungsentwurf am 24. Juli 2024.

Hochrechnungen zufolge werden rund 30.000 deutsche Unternehmen und Institutionen von den neuen Anforderungen betroffen sein – deutlich mehr als unter der bisherigen NIS-Richtlinie. Deutschland hat aber die gesetzliche Umsetzungsfrist zum 18. Oktober 2024 nicht eingehalten.

Der von der Bundesregierung vorgelegte Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie (Drucksache 20/13184), der gleichzeitig die Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung beinhaltet, wurde am 4. November 2024 im Rahmen einer öffentlichen Anhörung des Innenausschusses kritisch diskutiert.

Die NIS-2-Richtlinie soll laut Bundesregierung ein einheitlich hohes Cybersicherheitsniveau für Verwaltung und Wirtschaft in der gesamten EU gewährleisten. Die anwesenden Sachverständigen betonten die Dringlichkeit einer schnellen Umsetzung, kritisierten jedoch insbesondere die Ausnahmeregelungen für staatliche Verwaltungen.

Zudem wurde gefordert, dass das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz enger mit dem KRITIS-Dachgesetz verzahnt wird, um Widersprüche und Unsicherheiten zu vermeiden. Auch die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bedarf laut Experten einer klareren Definition, um eine effektive Umsetzung der neuen Cybersicherheitsanforderungen sicherzustellen.

Die NIS-2 Richtlinie tritt am 16. Januar 2023 in Kraft.

Die Richtlinie (EU) 2022/2555, auch bekannt als NIS-2-Richtlinie, wurde am 14. Dezember 2022 vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet. Sie zielt darauf ab, ein einheitlich hohes Niveau der Cybersicherheit innerhalb der EU zu gewährleisten. Die Richtlinie ersetzt die bisherige NIS-Richtlinie (EU) 2016/1148 und bringt umfassende Neuerungen und verschärfte Anforderungen für Unternehmen und Organisationen in kritischen und wichtigen Sektoren mit sich.

Zudem ändert die NIS-2-Richtlinie die Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) sowie die Richtlinie (EU) 2018/1972 (Europäischer Kodex für elektronische Kommunikation). Die Umsetzung in nationales Recht muss bis spätestens Oktober 2024 erfolgen, wodurch Unternehmen in der EU neue Verpflichtungen im Bereich Cybersicherheit, Risikomanagement und Incident Response erhalten.

Übersicht zu den NIS-2 Anforderungen

Die NIS-2-Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Während beide Kategorien unter die neuen Cybersicherheitsanforderungen fallen, unterliegen besonders wichtige Einrichtungen einer proaktiven behördlichen Aufsicht, während wichtige Einrichtungen nur reaktiv überwacht werden. Zudem sind die Sanktionen für Letztere geringer.

Erweiterter Anwendungsbereich und einheitliche Kriterien

Um eine einheitliche Umsetzung in der EU zu gewährleisten, gibt es keine national unterschiedlichen Mindestschwellenwerte mehr. Die Betroffenheit wird nun anhand einheitlicher Kriterien festgelegt:

  • Mittlere Unternehmen (Medium): 50–249 Beschäftigte oder 10–50 Mio. EUR Umsatz, Bilanzsumme unter 43 Mio. EUR
  • Große Unternehmen (Large): mindestens 250 Beschäftigte oder mindestens 50 Mio. EUR Umsatz

Diese neuen Schwellenwerte führen zu einer erheblichen Ausweitung des Anwendungsbereichs in Deutschland, wodurch deutlich mehr Unternehmen den regulatorischen Vorgaben unterliegen.

Strengere Sanktionen und erweiterte Haftung

Unternehmen, die den Anforderungen nicht nachkommen, müssen mit empfindlichen Bußgeldern rechnen:

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des Jahresumsatzes (höherer Betrag ist maßgeblich)

Zusätzlich verlangt die Richtlinie, dass betroffene Unternehmen umfassende Maßnahmen in beispielsweise folgenden Bereichen umsetzen:

  • Cyber-Risikomanagement
  • Sicherheit in der Lieferkette
  • Business Continuity Management (BCM)
  • Verschlüsselung und
  • Zugriffsbeschränkungen
  • Pflicht zur Meldung von Sicherheitsvorfällen
Persönliche Haftung der Geschäftsleitung

Besonders brisant: Nach dem Entwurf des Bundes­innen­minis­teri­ums haften Leitungsorgane von Unternehmen persönlich für die Einhaltung der Risiko­ma­nage­ment­maß­nah­men. Diese Haftung kann sich auf bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens belaufen.

Die NIS-2-Richtlinie bringt damit nicht nur eine Verschärfung der Cybersecurity-Verpflichtungen, sondern auch eine erhebliche Erhöhung der persönlichen Haftungsrisiken für Unter­neh­mens­ver­antwort­liche.

Konsequenzen für Geschäftsführer

Falls ein unzureichend überwachtes Risikomanagement zu einem Cyberangriff mit betriebseinschränkenden Auswirkungen führt, kann dies erhebliche finanzielle Konsequenzen haben. Kostenpositionen umfassen unter anderem:

  • Lösegeldzahlungen bei Ransomware-Angriffen
  • Kosten für externe IT-Forensik und Wiederherstellungsmaßnahmen
  • Bußgelder für Verstöße gegen die DSGVO oder das BSIG

Besonders kritisch: Geschäftsleiter haften für entstandene Schäden, wenn sie ihre Überwachungspflichten verletzt haben.

Keine Möglichkeit zur Haftungsbegrenzung

Unternehmen können nicht auf Ersatzansprüche gegen die Geschäftsleitung verzichten. Darüber hinaus sind Vergleiche über Schadensersatzansprüche der Geschäftsleitung ebenfalls unwirksam.

Eine Ausnahme besteht nur, wenn entweder die Leitungsperson zahlungsunfähig ist, oder die Ersatzpflicht in einem Insolvenzplan geregelt wird.

Was können von NIS-2 betroffene Unternehmen tun?

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen spezifische Anforderungen erfüllen, um die Cybersicherheit zu gewährleisten. Hierbei sind branchenspezifische Details zu beachten.

  •  Eine Gap-Analyse hilft dabei, bestehende Sicherheitslücken zu identifizieren und Maßnahmen zur Umsetzung der NIS2-Anforderungen gezielt zu planen. Wo steht Ihr Unternehmen zur NIS-2 Richtlinie und welchen Handlungsbedarf gibt es?
  • Falls noch nicht geschehen gehört die Einführung eines Cybersicherheits-Risikomanagements zu den wichtigsten Maßnahmen. Risiken identifizieren, bewerten und mitigieren.
  • Technische und organisatorische Sicherheitsmaßnahmen umsetzen und dokumentieren.
  • Sicherheitsvorfälle müssen unverzüglich an die zuständige Behörde (BSI) gemeldet werden.
  • Regelmäßige Überprüfungen der Cybersicherheitsmaßnahmen und Berichterstattung an die zuständigen Behörden.

Wie kann SECURAM Consulting bei NIS-2 helfen?

Die GAP-Analyse steht im Regelfall am Anfang und hilft Unternehmen zu bestimmen, welche Handlungsfelder existieren und wie das eigene Unternehmen aufgestellt ist.

Zusammen mit dem Kunden werden systematische Maßnahmen geplant und umgesetzt. Die Expertise der SECURAM Consulting hilft die identifizierten Lücken systematisch zu schließen.

Aufbau und Dokumentation münden final in gelebte Sicherheitsprozessen, mit denen Unternehmen die eigene Sicherheit im Firmenalltag signifikant verbessern können.

Die Rolle eines ISMS bei der Umsetzung von NIS-2

Ein Information Security Management System (ISMS) spielt eine zentrale Rolle bei der Umsetzung der NIS-2-Richtlinie, da es eine systematische und strukturierte Vorgehensweise zur Sicherstellung der Informationssicherheit und NIS-2-Compliance ermöglicht.

Ein ISMS umfasst Richtlinien, Prozesse, Verfahren und Technologien, die darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Es hilft Unternehmen dabei, Cyberrisiken zu identifizieren, zu bewerten und zu minimieren, wodurch sie widerstandsfähiger gegenüber Cyberangriffen und anderen Bedrohungen werden.

NIS-2 Start in Q4 2025

Der umfangreiche Prüfkatalog der NIS-2 , welcher im Rahmen der NIS-2-GAP-Analyse abgefragt wird und die daraus abzuleitenden Maßnahmen sollten nicht unterschätzt werden, da häufig auch neue Prozesse im Unternehmen etabliert und dokumentiert werden müssen. Auch kann es zu erhöhten Haftungsrisiken kommen, wenn die Umsetzung von NIS-2 auf Unternehmensseite verzögert wird.

NIS-2 & ISO 27001

Die NIS-2-Richtlinie definiert spezifische Anforderungen an die IT-Sicherheit und das Risikomanagement, während die ISO 27001 als international anerkannter Standard einen ganzheitlichen Rahmen für Informationssicherheitsmanagement bietet. Durch die Implementierung eines ISMS nach ISO 27001 schaffen Unternehmen eine solide Grundlage, um die Anforderungen der NIS-2-Richtlinie zu erfüllen.
Ein ISMS ist unverzichtbar für Unternehmen, die unter die NIS-2-Regulierung fallen. Es bietet nicht nur eine strukturierte Methode zur Umsetzung der Anforderungen, sondern verbessert auch nachhaltig die Cyber-Resilienz und minimiert rechtliche sowie finanzielle Risiken.

Meldepflicht von Sicherheitsvorfällen gemäß NIS-2

Die NIS-2-Richtlinie verpflichtet Unternehmen und Organisationen dazu, erhebliche Sicherheitsvorfälle an die nationale Cybersicherheitsbehörde sowie – falls erforderlich – an betroffene Dienstempfänger zu melden. Die Meldung muss innerhalb klar definierter Fristen erfolgen:

    1. Erste Meldung innerhalb von 24 Stunden nach Kenntnisnahme an das BSI
    2. Ein ausführlicher Bericht innerhalb von 72 Stunden nach Kenntnisnahme
    3. Fortschritts- oder Abschlussbericht spätestens einen Monat nach der Meldung

Häufige Fragen zu NIS-2 (FAQ)

Was ist die NIS-2-Richtlinie?

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) wurde am 14. Dezember 2022 vom Europäischen Parlament und dem Rat verabschiedet. Sie verfolgt das Ziel, das gemeinsame Cybersicherheitsniveau in der EU deutlich zu erhöhen. Dafür legt sie strengere Anforderungen an Sicherheitsvorkehrungen, Meldepflichten und das Risikomanagement fest – und weitet den Geltungsbereich im Vergleich zur ursprünglichen NIS-Richtlinie deutlich aus. So soll die digitale Resilienz kritischer und wichtiger Einrichtungen europaweit gestärkt werden.

Wen betrifft die NIS-2-Richtlinie?

Die NIS-2-Richtlinie gilt für deutlich mehr Unternehmen als ihr Vorgänger. Sie betrifft neben Betreibern kritischer Infrastrukturen (z. B. Energie, Verkehr, Gesundheit) auch viele „wichtige Einrichtungen“ wie IT-Dienstleister, Telekommunikationsunternehmen, Hersteller, Lebensmittelunternehmen oder große Online-Dienste. Entscheidend sind unter anderem die Unternehmensgröße, Branche und potenzielle Auswirkungen auf die Versorgungssicherheit oder öffentliche Ordnung.

Welche Anforderungen stellt die NIS-2-Richtlinie an Unternehmen?

Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen umfangreiche Maßnahmen zur IT-Sicherheit umsetzen. Dazu gehören unter anderem ein systematisches Risikomanagement, technische und organisatorische Schutzmaßnahmen, klare Verantwortlichkeiten im Sicherheitsbereich sowie Meldepflichten bei schwerwiegenden Sicherheitsvorfällen – meist innerhalb von 24 Stunden. Verstöße können zu erheblichen Bußgeldern führen.