21.05.2025 – 11:00

Mehr Schutz, weniger Risiko: Warum NIS2 für Betriebe so wichtig wird

Mit der neuen NIS2-Richtlinie zieht die EU die Schrauben bei der Cybersicherheit deutlich an: Mehr Unternehmen als je zuvor müssen künftig strenge Vorgaben zum Schutz ihrer IT-Systeme einhalten. Wer die neuen Anforderungen ignoriert, riskiert nicht nur Bußgelder, sondern auch massive Imageschäden und Betriebsunterbrechungen.

NIS2 wird kein Bürokratiemonster – sondern ein echter Wettbewerbsvorteil für alle, die Cybersicherheit ernst nehmen. Wer jetzt investiert, schützt nicht nur seine Daten, sondern auch das Vertrauen seiner Kunden. Dieser Beitrag verrät, welche Maßnahmen Unternehmen jetzt umsetzen müssen.

Hintergrundinformationen zur EU-Richtlinie NIS2

Die Datenschutz-Grundverordnung DSGVO ist den meisten Unternehmen hinlänglich bekannt. Anders sieht es bei der NIS2 aus, einer EU-Richtlinie mit Vorgaben zur Cybersicherheit, die in naher Zukunft auch in Deutschland verpflichtend umgesetzt werden soll. Vor allem wichtige und kritische Unternehmen sollen dadurch geschützt werden. Sie werden zur Einführung von IT-Sicherheitsmaßnahmen und dem präventiven Erstellen von Notfallplänen im Falle eines Cyberangriffs verpflichtet. Unternehmen, die verstärkt auf ihre Cybersicherheit achten müssen, kommen dabei aus den verschiedensten Branchen – von Energie, Wasser und Abfall über Maschinenbau und dem Gesundheitswesen bis hin zur IT.

Ob ein Unternehmen betroffen ist, ist eindeutig geregelt. NIS2 unterscheidet zwischen:

Sektoren mit hoher Kritikalität (zum Beispiel Energie, Gesundheit, Verkehr, Wasser, digitale Infrastruktur)
sonstigen kritischen Sektoren (etwa Postdienste, Chemie, Maschinenbau, Lebensmittelproduktion, digitale Dienste)

Außerdem gilt: Nur Unternehmen, die in einem der betroffenen Sektoren tätig sind und die gleichzeitig mehr als 50 Mitarbeitende oder einen Jahresumsatz von 10 Millionen Euro haben, fallen automatisch unter NIS2. Kleinere Unternehmen (unterhalb dieser Schwellen) können ebenfalls betroffen sein, wenn sie beispielsweise als Dienstleister in kritischen Lieferketten auftreten oder als "Einzelfallentscheidung" durch die Behörde eingestuft werden (Art. 2 Abs. 2 NIS2).

Bedeutung von NIS2 für betroffene Unternehmen

Unternehmen, die die genannten Kriterien erfüllen, müssen verschiedene Maßnahmen im Rahmen von NIS2 umsetzen. Dazu gehört der Aufbau eines detaillierten Sicherheitsmanagements, kurz ISMS genannt, das die Rollen und Regeln rund um die Cybersecurity im Unternehmen klar verteilt. Sollte es in einem Betrieb zu einem IT-Vorfall kommen, muss dieser innerhalb von 24 Stunden gemeldet werden. Zudem ist eine sorgfältige Dokumentation nötig. Auch einige technische Maßnahmen werden vorgegeben. Dazu gehören Zugangskontrollen, Backups oder Awareness-Trainings mit den Mitarbeitern, um das Risiko eines Cyberangriffs so gering wie möglich zu halten. Für die Umsetzung der Maßnahmen haftet die Geschäftsführung, wie es auch bei der DSGVO der Fall ist.

Sollte ein Unternehmen keine Maßnahmen ergreifen, um die Vorgaben der NIS2 zu erfüllen, obwohl es dazu verpflichtet ist, drohen Bußgelder in Höhe von bis zu zehn Millionen Euro oder aber zwei Prozent des Jahresumsatzes. Außerdem droht der Ausschluss aus der Lieferkette, was die Wettbewerbsfähigkeit beeinträchtigt. Auch die Reputation eines Unternehmens ist in Gefahr, falls es tatsächlich zu einem Cyberangriff kommt, der mit geeigneten Maßnahmen womöglich hätte verhindert werden können.

Handlungsempfehlungen für Unternehmen

Unternehmen, die noch nicht aktiv geworden sind, sollten zunächst prüfen, ob sie von der NIS2-Richtlinie betroffen sind. Dafür sind folgende Fragen relevant: In welcher Branche ist das Unternehmen tätig – etwa in einem kritischen Sektor wie Energie oder IT? Gibt es mehr als 50 Mitarbeitende? Übersteigt der Jahresumsatz zehn Millionen Euro? Bestehen kritische Prozesse oder wird für Kunden gearbeitet, die selbst unter NIS2 fallen?

Ist eine Betroffenheit gegeben, empfiehlt sich als nächster Schritt die Durchführung einer GAP-Analyse: Welche Maßnahmen zur Informationssicherheit sind bereits vorhanden – zum Beispiel ein Informationssicherheitsmanagementsystem ISMS nach ISO 27001 oder ein bestehendes Qualitätsmanagementsystem QMS nach ISO 9001, auf das aufgebaut werden kann? Auf Basis der Ergebnisse sollte ein strukturierter Maßnahmenplan aufgestellt werden. Dazu gehören die Benennung der Zuständigkeiten, der Aufbau eines Projektteams und die Festlegung realistischer Fristen zur Umsetzung.

Abschließend ist es ratsam, externe Beratung hinzuzuziehen – etwa durch ISMS-Expertinnen und -Experten oder mit Unterstützung des BSI. Diese helfen bei der fachgerechten Umsetzung der Anforderungen und bieten zusätzliche Sicherheit bei der Einhaltung der Vorgaben.

Über Julia Bovermann:

Julia Bovermann ist die Geschäftsführerin von Bovermann IT Solutions. Mit ihrem Team unterstützt sie Unternehmen in regulierten Branchen dabei, sich vor digitalen Risiken zu schützen. Kunden erhalten bei ihr durchdachte IT-Sicherheitslösungen, die zum einen Bedrohungen abwehren, zum anderen aber auch das Unternehmen effizienter, sicherer und zukunftsfähig machen. Mehr Informationen unter: https://bovermann.de/

Pressekontakt:

Bovermann IT Solutions GmbH
Vertreten durch: Julia Bovermann
hallo@bovermann.de
https://bovermann.de/

Pressekontakt:
Ruben Schäfer
E-Mail: redaktion@dcfverlag.de

Original content of: Bovermann IT Solutions GmbH, transmitted by news aktuell

Mehr Schutz, weniger Risiko: Warum NIS2 für Betriebe so wichtig wird

Warum sich Datenschutz wieder lohnt – und wie Unternehmen mit 2 Stunden Aufwand pro Jahr compliant bleiben

Trump-Stab in der IT-Sicherheitskrise: 5 Tipps, wie sich Firmen vor Datenpannen schützen

Phishing erkennen und abwehren: So schützt du dich vor gefälschten E-Mails