Die NIS-2-Richtlinie markiert einen Wandel in der EU-Cybersicherheit, indem sie sich auf weitere Branchen ausdehnt und strengere Anforderungen stellt. Angesichts von hohen Strafen und komplexen Compliance-Ansprüchen stehen Unternehmen vor einem Schlüsselmoment. Sie müssen sich im Chaos zurechtfinden und in einer Welt der Cyber-Bedrohungen Resilienz aufbauen.
Tritt man einen Schritt zurück, so erkennt man, dass eine der größten Hürden nicht im technischen Aspekt der Compliance besteht, sondern in dem Kulturwandel, den NIS-2 verlangt.
(Bild: Who is Danny - stock.adobe.com)
Die Europäische Union hat mit der Umsetzung der NIS-2-Richtlinie ein neues Zeitalter der Cybersicherheit eingeläutet. Dieser Nachfolger der ursprünglichen Richtlinie zur Netzwerk- und Informationssicherheit hat ehrgeizige Ziele und eine umfassende Tragweite. Bevor wir uns aber genauer ansehen, wie man auf der richtigen Seite des Gesetzes bleibt, wollen wir uns einen Moment Zeit nehmen, um aufzuschlüsseln, warum NIS-2 wichtig ist und weshalb sich so viele Organisationen an einem Scheideweg befinden.
Im Gegensatz zur Vorgängerrichtlinie bessert NIS-2 nicht nur notdürftig vorhandene Schwachstellen aus; es schreibt vielmehr das Regelwerk neu. Die Richtlinie erkennt an, dass die digitale Welt vernetzt ist und dass für ihren Schutz mehr als nur Stückwerk erforderlich ist. Sie dehnt ihren Wirkungsbereich auf ein breiteres Spektrum an Branchen aus –mehr als nur die üblichen Verdächtigen wie Energie- oder Finanzsektor. Jetzt fallen auch öffentliche Verwaltungen, digitale Dienstleister und sogar mittelgroße Unternehmen in ihren Zuständigkeitsbereich.
Doch hier wird es knifflig: Nicht alle Mitgliedsstaaten schreiten im selben Tempo voran. NIS-2 ist eine Richtlinie, das heißt, ihre jeweilige Umsetzung in nationales Recht obliegt den einzelnen EU-Ländern. Bisher haben Länder wie Portugal und Bulgarien und auch Deutschland dies nicht getan, was bei grenzüberschreitend tätigen Unternehmen zu der Frage führt: „Welche Regeln gelten für uns?“ Das ist eine berechtigte Frage, zumal die Strafzahlungen bei Nichteinhaltung bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes betragen könnten.
Für Unternehmen stellt NIS-2 ebenso sehr eine Compliance-Aufgabe wie auch eine Herausforderung bei der Auslegung dar. Wer genau ist wofür zuständig? Reichen Ihre Maßnahmen aus oder wetten Sie gegen die Auslegung einer Regulierungsbehörde? Die Ungewissheit ist spürbar, jedoch auch die Dringlichkeit.
Tritt man einen Schritt zurück, so erkennt man, dass eine der größten Hürden nicht im technischen Aspekt der Compliance besteht, sondern in dem Kulturwandel, den NIS-2 verlangt. In vielen Organisationen galt Sicherheit lange als Kostenstelle, als Verpflichtung oder als etwas, das man an die IT-Abteilung delegiert.
Stellen Sie sich einen mittelgroßen produzierenden Betrieb vor, der plötzlich in den Geltungsbereich von NIS-2 fällt. Man hat dort nie zuvor im Detail über Lieferkettensicherheit nachdenken müssen. Jetzt beurteilt man hektisch, ob die eigenen Lieferanten den Standards der Richtlinie entsprechen, während man es gleichzeitig mit vagen Begriffen wie „angemessene und verhältnismäßige Maßnahmen“ zu tun hat. Es ist, als bekäme man eine Landkarte ohne Legende überreicht.
Oder denken Sie an das Tech-Start-up mit verteilter Belegschaft, das mit entfernten Endpunkten, Cloud-Infrastruktur und globalen Kunden jongliert. Dieses wird von NIS-2 nicht nur aufgefordert, seine Daten zu schützen; es wird der Nachweis verlangt, dass es sie einem Standard entsprechend schützt, welcher derzeit noch im nationalen Recht präzisiert wird.
Diese Ungewissheit ist nicht nur frustrierend, sondern auch teuer. Und doch wird daraus mit den richtigen Werkzeugen und Verfahrensweisen die Chance, in einer Welt, in der hinter jeder Ecke die nächste große Cyber-Bedrohung lauert, den Grundstein für Resilienz zu legen.
Beginnen Sie mit dem, was Sie wissen. Jede Organisation hat Schwachstellen, von denen einige eklatant, andere hingegen subtil sind. Der erste Schritt besteht darin, diese mit brutaler Ehrlichkeit zu beurteilen. Keine Abkürzungen, kein Wunschdenken. Es geht hier nicht nur darum, Dinge abzuhaken, sondern darum, zu verstehen, wo Ihre Abwehr stark ist und wo nur hauchdünn.
Technologie spielt in diesem Szenario natürlich eine zentrale Rolle. Der Geltungsbereich von NIS-2 erstreckt sich auf alle Aspekte der Cybersicherheits-Architektur einer Organisation. Dazu gehören Endpunkte, Daten, Identitäten, Netzwerke und mehr. Dies erfordert eine Kombination von Werkzeugen, die zusammenarbeiten und jeden Aspekt schützen. So setzen moderne Netzwerksicherheitstools beispielsweise alles von fortschrittlichen Firewalls bis hin zu Angriffserkennungssystemen ein, um Attacken abzuwehren, bevor diese Ihr Allerheiligstes erreichen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Werkzeuge für Lieferanten-Risikomanagement können hier behilflich sein, indem sie Ihnen Einblick in die Sicherheitsverfahren Ihrer Partner geben und sicherstellen, dass diese die gleichen strengen Standards erfüllen, die für Sie gelten.
Dann gibt es das Thema Daten. Verschlüsselung wird hier zu Ihrem besten Freund – sie sichert Daten, sodass selbst jemand, der Zugriff darauf erlangt, nichts damit anfangen kann. Schutz allein genügt jedoch nicht; Resilienz ist ebenso wichtig. Backup-Systeme in Kombination mit robusten Notfallwiederherstellungsplänen gewährleisten, dass Ihre Betriebsabläufe selbst im schlimmsten Fall schnell wieder auf die Beine kommen können.
Besprechen wir jetzt einen weniger offensichtlichen, aber gleichermaßen entscheidenden Punkt: Identität. Es reicht nicht aus, Netzwerke und Daten zu sichern; Sie müssen auch steuern, wer Zugriff darauf hat. IAM-Lösungen sorgen dafür, dass die richtigen Personen zur richtigen Zeit auf die richtigen Ressourcen Zugriff haben – nicht mehr und nicht weniger.
Darüber hinaus gibt es Endpunkte, die locker eines der schwächsten Glieder in der Verteidigung jedes Unternehmens darstellen. Unter NIS-2 hat ihre Sicherung Priorität. An dieser Stelle wird Unified Endpoint Management (UEM) unverzichtbar. Eine gute UEM-Lösung leistet mehr als nur Geräteüberwachung; sie setzt Sicherheitsrichtlinien wie automatische Updates, verschlüsselte Daten und schnelle Isolation kompromittierter Geräte durch – alles über ein einziges Portal. Darüber hinaus helfen die Fernüberwachungsfähigkeiten eines UEM den IT-Administratoren dabei, den Compliance-Status jedes Endpunkts im Blick zu behalten, um zu gewährleisten, dass kein Gerät durch das Raster fällt.
Im Mittelpunkt all dieser Bemühungen steht das Bedürfnis nach Sichtbarkeit. Keine Organisation kann darauf hoffen, NIS-2 zu erfüllen, wenn sie keine klare Sicht auf die eigene Sicherheitslage hat. Hier glänzen integrierte Plattformen wie SIEM-Systeme. Diese ziehen Daten aus Ihrem gesamten Netzwerk zusammen, analysieren sie in Echtzeit und machen Sie auf Unregelmäßigkeiten aufmerksam, die einen Verstoß signalisieren könnten.
Und schließlich gibt es den Faktor Mensch. Die Mitarbeiter sind und bleiben sowohl die größte Bereicherung als auch das größte Risiko eines Unternehmens. Schulungen werden oftmals als einmalige Angelegenheit behandelt – eine Compliance-Übung, die man schnell vergisst. Unter NIS-2 ist es jedoch unerlässlich, Cybersicherheit in Ihrer Organisation zur gelebten Realität zu machen. Die Menschen müssen verstehen, dass jeder Klick, jede E-Mail und jede Entscheidung von Bedeutung ist.
In Wirklichkeit ist das Erreichen von NIS-2-Compliance keine einmalige Anstrengung, sondern ein fortlaufender Prozess. Setzt man aber die richtigen Technologien ein, dann dreht sich dieser Prozess weniger um Angst und Frustration und stattdessen mehr um den Aufbau einer stärkeren, resilienteren Organisation, die in einer Zeit unablässiger Cyber-Bedrohungen nicht nur überleben, sondern auch Erfolg haben kann.
Über den Autor: Apu Pavithran ist Gründer und CEO von Hexnode UEM, ein in der IT-Management-Community anerkannter Berater, Redner und Vordenker sowie ein starker Befürworter von IT-Governance und Informationssicherheitsmanagement. Er ist Unternehmer aus Leidenschaft und wendet beträchtliche Zeit dafür auf, Artikel und Erkenntnisse zu Themen beizusteuern, die ihm am Herzen liegen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/64/12/641244fab12277c16ab5cdda868bf88a/0120917079v2.jpeg "Cyberrisiken sind wie überfüllte Straßen: Sind sie einmal da, gehen sie so schnell nicht wieder weg. Dann hilft nur: anschnallen und dauerhaft vorsichtig fahren. (Bild: Drazen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/79/ed7954ad5b079510238a458cf27d9648/0121026522v2.jpeg "Ein Unternehmen auf NIS-2-Kurs zu bringen ist keine Zauberei. Also nur Mut, NIS-2-Projektteams, ihr schafft das! (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/e8/fae86b117ba79a72ae26d8d9654ab13d/0121026626v2.jpeg "NIS 2 – wie auch der BSI IT-Grundschutz oder ISO 27001 – fordert von Unternehmen ein Information Security Management System (ISMS). (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/2d/822dabd58300cb4fe623944e26000777/0121026753v2.jpeg "Mit einem Notfall-Reaktionsplan verliert man auch als KMU im Ernstfall nicht die Nerven. (Bild: rangizzz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/6d/fc6d9a2eb9768f75d4a1168e3e55c738/0119760165v2.jpeg "Das Bundeskabinett hat den von Bundesinnenministerin Nancy Faeser vorgelegten Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen. Damit wird die EU-Richtlinie NIS 2 in deutsches Recht umgesetzt. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/e0/b8e055c6d52ced406e4d0d97d7b12d1a/0125172172v2.jpeg "Die NIS-2-Richtlinie sollte zwar eigentlich schon letztes Jahr in deutsches Recht umgesetzt werden, aber egal wann sie kommt, sie ist ein großer Fortschritt für die Cybersicherheit in Europa. (Bild: © Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/d5/24d528e59e6a8e4e523e0a10bedb4e78/0123782471v1.jpeg "Das Startdatum der NIS-2-Richtlinie ist noch unklar, doch ihr Ziel steht fest: Cybersicherheit stärken. Deep Observability wird dabei zum Muss – für Transparenz bis in die Netzwerke hinein. (Bild: Sono Creative - stock.adobe.com)")