Die europäische NIS2-Richtlinie weitet Cybersicherheit auf sehr viele mittelständische Unternehmen aus. Allein in Deutschland müssen sich bis zum geplanten Inkrafttreten des entsprechenden nationalen Gesetzes am 18. Oktober 2024 schätzungsweise 30.000 Firmen mit NIS-2 auseinandersetzen. Das Ziel ist ein besseres gemeinsames Cybersicherheitsniveau in der EU. Um die NIS-2-Konformität zu erreichen, sollten Verantwortliche jetzt folgende acht Maßnahmen ergreifen, um die enge Frist einzuhalten
Auch wenn noch immer einige Fragen bei NIS-2 offen sind, sollten betroffene Unternehmen keine Zeit verlieren und sich eingehend mit den Vorgaben der EU-Richtlinie auseinandersetzen.
(Bild: greenbutterfly - stock.adobe.com)
Maßnahme 1: Ein Projekt aufsetzen
Zuerst gilt es, ein Projekt zum Thema NIS-2 aufzusetzen. Der Teilnehmerkreis der Projektgruppe setzt sich aus der Geschäftsleitung, den IT-Verantwortlichen, den IT-Sicherheitsverantwortlichen und allen weiteren relevanten Personen zusammen. Denn die Anforderungen der NIS-2 sind sehr hoch und erfordern eine dedizierte Organisationsstruktur. Für die Umsetzung müssen Unternehmen viel Zeit und auch Budget einkalkulieren. Insbesondere dann, wenn Firmen dem Bereich IT-Sicherheit bis dato wenig Beachtung geschenkt haben.
Zunächst sollte die Projektgruppe ein Cybersicherheitstraining absolvieren, um ein gemeinsames Grundverständnis für IT-Sicherheit zu erlangen. Gruppen, die bereits über dieses Verständnis verfügen, können direkt mit Schritt zwei fortfahren.
Maßnahme 2: Organisatorische Maßnahmen
NIS-2 nimmt Vorstände und Geschäftsführungen in die Verantwortung. Sie müssen die Umsetzung der Maßnahmen überwachen und haften persönlich für Verstöße. Eine Delegation innerhalb des Vorstands ist nicht möglich, weil alle Mitglieder der Chefetage gleichermaßen in der Pflicht sind. Übrigens: Verzichtsvereinbarungen sind nach dem aktuellen deutschen Gesetzentwurf unwirksam. Eine Directors-and-Officers-Versicherung ist weiterhin möglich – sofern sie denn zahlt.
Maßnahme 3: Einführung eines Informationssicherheits-Managementsystems (ISMS)
Ziel ist es, die internen IT-Strukturen zu dokumentieren und den Bedarf an zusätzlichen Anschaffungen und Dienstleistungen im NIS-2-Kontext zu ermitteln. Im Prinzip müssen alle betroffenen Unternehmen die ISO 27001 umsetzen. Dabei müssen viele Firmen auf externe Beratungen zurückgreifen, um Klarheit darüber zu erlangen, was zu tun ist. Die Verantwortlichen erhalten auf Basis einer fundierten Analyse klare und präzise Empfehlungen.
Maßnahme 4: Lieferketten überprüfen
Ein aufwändiges Thema ist die Sicherheit in der Lieferkette. Denn NIS-2 verlangt die Absicherung der gesamten Lieferkette hinsichtlich der Netz- und Informationssysteme und der physischen Umwelt dieser Systeme. Um die Lieferkette abzusichern, ist es unerlässlich, diese zu sortieren und einen umfassenden Überblick über ihre Struktur zu erhalten. Der Einkauf kann dabei unterstützen, weil er die Rechnungen für alle Lieferungen abwickelt. Lieferanten-Zertifikate sind eine von mehreren Optionen, aber sicherlich eine bequeme Wahl. Wichtig ist, dass Verantwortliche diesen Status regelmäßig prüfen.
Dabei ist aber auch zu bedenken, dass nicht für alle Produkte Rechnungen vorliegen, wie beispielsweise Open-Source-Produkte. Und die Verantwortlichen müssen klären, wie kritisch der Einsatz der Software ist. Wenn die gesamte Buchhaltung mit Open-Source-Software arbeitet, besteht sicherlich ein höheres Risiko, als wenn Open Source nur zur Textverarbeitung verwendet wird.
Maßnahme 5: Cybersicherheits-Zertifizierungen
Hier steht an erster Stelle die Frage, ob diese Zertifikate für Unternehmen als Anbieter oder als Käufer relevant sind. Dabei gilt es zu überprüfen, ob ein Unternehmen ein Produkt herstellt, das sicherheitszertifiziert sein muss. Käufer könnten künftig dazu verpflichtet werden, nur noch Produkte zu kaufen, die entsprechend zertifiziert sind. Es ist denkbar, dass gesetzliche Vorgaben Unternehmen vorschreiben, nur zertifizierte Produkte aus einer bestimmten Kategorie einkaufen zu dürfen. Bei fehlenden eigenen Zertifizierungen kann sogar ein Verkaufsstopp drohen. Es fehlen aber noch die entsprechenden Rechtsverordnungen. Somit ist unklar, welche Produkte betroffen sein werden. Der Einkauf sollte sich auf jeden Fall darauf vorbereiten und Unternehmen müssen im Voraus Schritte prüfen, um eine erforderliche Sicherheitszertifizierung für ihre Produkte zu erhalten.
Zurzeit ist das Zertifizierungsschema der ENISA in Bezug auf die Common Criteria am weitesten fortgeschritten. Unternehmen sollten daher Zertifizierungen in diesem Bereich durchführen. Zusätzlich empfiehlt es sich, einen Blick in den Cyber Resilience Act zu werfen und sich mit der dortigen Kategorisierung vertraut zu machen. Es ist zu erwarten, dass viele Firmen auf externe Unterstützung angewiesen sind und dies in ihr Budget einplanen sollten, da es mit finanziellem Aufwand verbunden ist.
Maßnahme 6: Meldeprozesse definieren
Gemäß der NIS-2-Verordnung ist ein Betrieb verpflichtet, die Meldebehörde innerhalb von 24 Stunden zumindest per E-Mail über einen möglichen Cybersicherheitsvorfall zu informieren und innerhalb von 72 Stunden eine Bewertung des Vorfalls abzugeben. Nach einem Monat ist ein umfassender Bericht zu erstellen. Diese Meldefristen sind sehr knapp bemessen. Daher müssen die Verantwortlichen sicherstellen, dass schnell fundierte Informationen vorliegen. Hier sollten Projektverantwortliche das Gespräch mit dem Datenschutzbeauftragten über deren Meldeprozess suchen. Denn hierbei handelt es sich um ein ideales Best-Practice-Beispiel, an dem sich die Projektgruppe orientieren kann.
Maßnahme 7: Vorbereitung auf regelmäßigen Austausch
NIS-2 sieht ein Austauschformat vor, bei dem sich Unternehmen zur Cybersicherheit austauschen können. Diese Plattform wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) organisiert. Um eigene Erfahrungen zu teilen und Informationen aus diesem Kreis weiterzugeben, müssen die Verantwortlichen klären, wer an dem Format teilnimmt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Maßnahme 8: Registrierung beim BSI
Betroffene Unternehmen müssen sich als wichtiger oder wesentlicher Betrieb beim BSI registrieren. Vor der Meldung ist es entscheidend zu prüfen, ob das Unternehmen überhaupt der NIS-2 unterliegt. Bis Oktober 2024 muss das BSI die personellen und organisatorischen Voraussetzungen für die Meldestelle aber noch schaffen.
Auch wenn Mitte März 2024 noch immer einige Fragen bei NIS-2 offen sind, sollten betroffene Unternehmen keine Zeit verlieren und sich eingehend mit den Vorgaben auseinandersetzen. Wer jetzt handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert in deren Zukunftsfähigkeit. Cyberkriminelle schlafen nicht. Sie nutzen jede Gelegenheit, um ein Unternehmen anzugreifen.
Über den Autor: Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/06/de/06ded9c89754195afef5bfa3d47d852a/0125048674v1.jpeg "Noch ist NIS-2 in Deutschland nicht umgesetzt. Doch Unternehmen können und sollten sich schon jetzt vorbereiten – und dabei gleichzeitig ihre Cybersecurity stärken. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")