NIS 2 IM ÜBERBLICK: WAS UNTERNEHMEN JETZT WISSEN MÜSSEN

28.11.2025

NIS 2 im Überblick: Was Unternehmen jetzt wissen müssen

Die Bedrohungslage im Cyberraum steigt – und mit ihr die regulatorischen Anforderungen. Die NIS-2-Richtlinie der EU, umgesetzt durch das neue deutsche Gesetz, markiert einen Wendepunkt für die IT-Sicherheit in Deutschland. Dieser Blogpost liefert eine fundierte Übersicht darüber, was der Gesetzesbeschluss bedeutet, wen er betrifft, welche Pflichten entstehen, welche Fristen gelten – und was Unternehmen jetzt konkret tun sollten.

Was der Bundestagsbeschluss bedeutet

Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie übernimmt Deutschland die europäischen Vorgaben und überträgt sie in nationales Recht: Mehr Unternehmen, mehr Anforderungen, mehr Verantwortung. (Quelle)

Das Ziel: Einheitlich hohes IT-Sicherheitsniveau im Binnenmarkt und verbesserte Widerstandskraft von Staat, Wirtschaft und Gesellschaft. (Quelle)

Wen betrifft NIS 2? (erstmals auch mittelständische Unternehmen)

Nicht länger nur klassisch die Betreiber kritischer Infrastrukturen (KRITIS) – wie Energie, Gesundheit oder Transport – sondern auch zahlreiche mittelständische und große Unternehmen, die bislang nicht im Fokus standen. (Quelle)

Beispiele: Dienstleister in der Lieferkette, digitale Dienstleister, Betreiber wichtiger digitaler Dienste. Zudem gilt das Gesetz auch für Behörden der Bundesverwaltung. (Quelle)

Künftig betroffen sind auch folgende Gruppen:

  • Unternehmen mit erheblicher Bedeutung für die Wirtschaft oder Gesellschaft
    („wichtige“ oder „besonders wichtige Einrichtungen“) (Quelle)

  • Digitale Dienstleister

  • Lieferkettenakteure und Dienstleister, die kritische Komponenten bereitstellen

  • Behörden der Bundesverwaltung (Quelle)

Kurzum: Auch mittelständische Unternehmen, die bislang nicht im Fokus der IT-Sicherheitsaufsicht standen, sollten überprüfen, ob sie betroffen sind.

Sind Sie sich unsicher, ob auch Sie unter die NIS-2-Regelung fallen?
Machen Sie hier unseren kostenlosen und unverbindlichen NIS-2-Check

Welche Pflichten entstehen?

  1. Einführung und Aufrechterhaltung eines systematischen Risikomanagements für Netz- und Informationssysteme:
    Risikoanalyse, Sicherheitsmaßnahmen, Überwachung, Weiterbildung. (Quelle)

  2. Registrierungspflicht

  3. Meldepflichten bei Sicherheitsvorfällen:
    Innerhalb definierter Fristen müssen Vorfälle gemeldet werden. (Quelle)

  4. Governance- und Managementanforderungen:
    Die Unternehmensleitung muss Verantwortung übernehmen, Sicherheitsvorgaben überwachen und kommunizieren sowie Schulungen besuchen. (Quelle)

  5. Lieferketten- und Drittanbieter-Sicherheitsanforderungen:
    Transparenz über kritische Komponenten, Dienstleister und deren Sicherheitsstatus. (Quelle)

  6. Erweiterte Aufsicht und mögliche Sanktionen:
    Das BSI erhält mehr Prüf- und Durchsetzungsbefugnisse. (Quelle)

Welche Übergangsfristen gelten?

Die EU-Frist zur Umsetzung war der 17. Oktober 2024. Deutschland gelang die Umsetzung verspätet, mit Beschluss des Bundestags am 13. November 2025. (Quelle)

Sobald das Gesetz im Bundesgesetzblatt veröffentlicht wird und in Kraft tritt, gelten die neuen Pflichten verbindlich. Mit Inkrafttreten ist vermutlich Ende 2025, spätestens Beginn 2026 zu rechnen. Sie sollten sich nicht auf eine lange Schonfrist verlassen.

Wie Sie sich jetzt vorbereiten sollten

Schritt 1 – Betroffenheitsanalyse / NIS-2-Check
Prüfen Sie, ob Ihr Unternehmen unter die neuen Vorschriften fällt.

Schritt 2 – Bestandsaufnahme
Welche Systeme/Dienste sind kritisch? Welche Risiken bestehen? Welche Schutzmaßnahmen sind bereits vorhanden? Wo gibt es Lücken?

Schritt 3 – Melde- und Eskalationsprozesse etablieren
Wer meldet Vorfälle? Wer reagiert, wenn ein Vorfall eintritt? Welche Prozesse greifen?

Schritt 4 – Governance-Struktur definieren
Wer übernimmt in der Geschäftsführung die Verantwortung? Wie wird Bericht erstattet?

Schritt 5 – Lieferketten analysieren
Welche externen Dienstleister oder Komponenten könnten kritisch sein? Welche Sicherheitsanforderungen gelten für diese?

Schritt 7 – Schulung & Sensibilisierung
Führungskräfte und Mitarbeiter müssen über die neuen Anforderungen informiert sein und ihre Rolle kennen.

Fazit

Die NIS-2-Umsetzung ist eine Herausforderung – aber zugleich eine Chance. Sie bietet die Möglichkeit, Ihre IT-Sicherheit systematisch zu stärken, Risiken zu reduzieren und sich regulatorisch zukunftssicher aufzustellen. Mit frühzeitiger Vorbereitung gewinnen Sie Handlungssicherheit, evtl. Wettbewerbsvorteile und vermeiden Überraschungen. Starten Sie jetzt mit der Umsetzung!

Kontakt Deutschland Trufflepig IT-Forensics GmbH Hopfenstraße 28 85283 Wolnzach

+49 8441 4799976 kontakt@trufflepig-forensics.de