09.09.2025 verfasst von Insa Menck
Neue Pflichten, schärfere Sanktionen
Die EU-Richtlinie NIS2 (Network and Information Security 2) verpflichtet Unternehmen zu wirksamem Risikomanagement und belastbaren IT-Sicherheitsmaßnahmen. Ziel ist es, die Cybersicherheit innerhalb der Union zu verbessern. NIS2 weitet den Anwendungsbereich gegenüber der Vorgängerrichtlinie erheblich aus auf viele weitere Sektoren. Zulieferer kritischer Infrastruktur, Bundeseinrichtungen, Firmen aus den Branchen Versorgung, Energie, Finanz- und Gesundheitswesen mit mindestens 50 Beschäftigten oder zehn Millionen Euro Jahresumsatz und viele weitere müssen die Anforderungen erfüllen. Durch die neue Richtlinie wird die Zahl der betroffenen Unternehmen in Deutschland auf geschätzt 30.000 ansteigen.
Verpflichtend ist unter anderem ein systematisches Sicherheits- und Krisenmanagement, einschließlich Risikoanalysen, technischen Schutzmaßnahmen und der Meldung „erheblicher“ Sicherheitsvorfälle binnen 24 Stunden. Die Vorgaben orientieren sich an anerkannten Standards wie ISO 27001. Verstöße führen zu Sanktionen, darunter Bußgelder in Millionenhöhe und persönliche Haftung von Geschäftsführern.
Eigentlich galt für die nationale Umsetzung eine Frist bis Oktober 2024, Deutschland hat diese Frist gerissen. Immerhin existiert ein Gesetzesentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie, das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“. Im vierten Quartal 2025 soll es in Kraft treten. Eine Übergangsfrist ist nicht vorgesehen, ab dem ersten Tag gilt volle Umsetzungspflicht. Unternehmen, die sich nicht rechtzeitig vorbereiten, riskieren Bußgelder, Auflagen und Reputationsschaden.