Mit der neuen Richtlinie NIS2 reagiert die EU nun erneut und verschärft die Anforderungen an die Cybersicherheit Kritischer Infrastrukturen (KRITIS) – und schließt deutlich mehr Sektoren als bei NIS1 ein. Dr. Yvonne Bernard, CTO bei Hornetsecurity, erklärt, warum KRITIS-Betriebe jetzt damit beginnen sollten, die erforderlichen Maßnahmen der NIS2 umzusetzen.
Die Uhr zur Umsetzung der NIS2-Richtlinie tickt... KRITIS-Betriebe sollten schon jetzt damit beginnen, die erforderlichen Maßnahmen zu implementieren.
(Bild: sorapop - stock.adobe.com)
Die Gefahr von Cyberangriffen wächst seit Jahren stetig an. Bereits 2016 reagierte die Europäische Kommission auf die Bedrohungslage und die fortschreitende Digitalisierung und verabschiedete die NIS1-Richtlinie (Network and Information Security). Danach wurden KRITIS-Betreiber, wie beispielsweise Betriebe der Strom- und Wasserversorgung, die Finanzbranche sowie das Gesundheitswesen, aber auch Anbieter von digitalen Diensten innerhalb der EU dazu verpflichtet, geeignete technische, operative und organisatorische Sicherheitsmaßnahmen nach dem neuesten Stand der Technik zu implementieren, um sich angemessen gegen Cyberattacken zu schützen. Mit der neuen Richtlinie NIS2 reagiert die EU nun erneut und verschärft die Anforderungen an die Cybersicherheit Kritischer Infrastrukturen (KRITIS) – und schließt deutlich mehr Sektoren als bei NIS1 ein.
NIS-Upgrade vonnöten
In Deutschland war die Ausgangslage zur Umsetzung von EU-NIS1 denkbar gut, waren doch viele Anforderungen mit dem 2015 in Kraft getretenen nationalen IT-Sicherheitsgesetz 1.0 bereits erfüllt. Mit dem IT-Sicherheitsgesetz 2.0 von 2021 gingen Bundestag und Bundesrat vor zwei Jahren noch einen Schritt weiter, indem sie den Geltungsbereich und die Pflichten für die betroffenen Unternehmen ausdehnten. Außerdem erhielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Aufgaben und Befugnisse. Seine Rolle als Cyber-Sicherheitsbehörde des Bundes wurde deutlich gestärkt.
Dieser Schritt war auch notwendig – schließlich konnte die Cyber-Bedrohungslage trotz NIS1 und den IT-Sicherheitsgesetzen nicht ausreichend eingedämmt werden, sondern stieg weiter an. Daher musste nun auch die EU ein Upgrade der eigenen Informationssicherheitsrichtlinien vornehmen. Nicht nur wurde die NIS1-Richtlinie in den Mitgliedstaaten nicht einheitlich umgesetzt, die Definition von KRITIS-Betrieben wich zudem in den einzelnen Ländern zu stark voneinander ab. Das hatte zur Folge, dass das Cybersicherheitsniveau in der EU als zu niedrig eingestuft wurde, weshalb zu Beginn des Jahres 2023 die neue NIS2-Richtlinie in Kraft trat, die bis Oktober 2024 in nationales Recht umzusetzen ist.
Mehr Unternehmen, höhere Anforderungen
Zu den wesentlichen Neuerungen zählt, dass deutlich mehr Sektoren und damit auch mehr Unternehmen in den Anwendungsbereich fallen. So kommen zu den bisherigen „Sektoren mit hoher Kritikalität“ weitere „kritische Sektoren“ hinzu, darunter Post- und Kurierdienste, die Abfallwirtschaft und Lebensmittelproduzenten. Außerdem wird der Adressatenkreis auf Unternehmen erweitert, die mindestens 50 Mitarbeiter beschäftigen und einen Jahresumsatz von über 10 Millionen Euro verzeichnen. Damit wurde der Geltungsbereich von NIS2 von bislang großen Unternehmen auch auf KMU ausgedehnt. Selbst wenn die Unternehmen und Einrichtungen in Deutschland mit der Umsetzung der IT-Sicherheitsgesetze 1.0 und 2.0 grundsätzlich bereits gut aufgestellt sind, ist oft noch manche wichtige Weiche bis zur NIS2-Reife zu stellen. Hier eine kleine Auswahl davon:
Strengere Meldepflichten für Sicherheitsvorfälle: Um die Reaktionszeit gegenüber Cyberangriffen zu senken, müssen diese binnen 24 Stunden nach Kenntnisnahme bei der zuständigen nationalen Behörde angezeigt werden. Waren bislang nur solche Vorfälle zu erfassen, die die Sicherheit von Netz- und Informationssystemen beeinträchtigten, müssen künftig auch bereits Fälle zur Anzeige gebracht werden, in denen die Verfügbarkeit von Daten oder Diensten eingeschränkt ist. Spätestens einen Monat nach der ersten Meldung muss die betroffene Einrichtung bereits einen Abschlussbericht zum aktuellen Fall vorlegen können.
Sicherung der Lieferketten: Ohne wirksamen Schutz der gesamten Cyber-Lieferketten nützt auch die beste Absicherung von Einzelunternehmen wenig. Daher fordert die EU KRITIS-Betriebe im Rahmen von NIS2 auf, Sicherheitsanforderungen für ihre Dienstleister und Lieferanten zu definieren. Zudem müssen die Betriebe deren Einhaltung durch Service Level Agreements (SLAs) oder periodische Prüfmechanismen gewährleisten. Besonderes Augenmerk sollte dabei auf den Schnittstellen zu den Partnern sowie auf Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen liegen.
Verstärktes Risikomanagement: NIS2 verschärft die Anforderungen an die technischen, operativen und organisatorischen Mindestmaßnahmen von KRITIS-Betreibern. Dazu zählen die Implementierung von Risikoanalyse- und Sicherheitskonzepten für IT-Systeme, die Bewältigung von Sicherheitsvorfällen, ein Backup- und Krisenmanagement sowie Verfahren zur Bewertung der Wirksamkeit der eigenen Risikomanagement-Maßnahmen. Zu den zentralen Praktiken sollten unter anderem Zero-Trust-Prinzipien, regelmäßige Software-Updates und eine angemessene Netzwerksegmentierung gehören. Zudem sind ausreichendes Identitäts- und Zugriffsmanagement, Kryptografie und Verschlüsselung sowie Multi-Faktor-Authentifizierung (MFA) für eine nachhaltige Sicherheitsstrategie im Sinne der NIS2-Richtlinie essenziell. Gleichzeitig sollten die Mitarbeiter für die steigenden Cyberbedrohungen sensibilisiert und in der Abwehr geschult werden. Denn mittlerweile haben sich vor allem Social-Engineering-Techniken wie (Spear)-Phishing zur beliebtesten Angriffsart von Cyberkriminellen entwickelt. So fand der Cyber Security Report 2023 von Hornetsecurity heraus, dass bereits über 40 Prozent des gesamten E-Mail-Verkehrs eine potenzielle Bedrohung darstellen. Um diesen Risiken zu begegnen, empfehlen sich Security-Awareness-Maßnahmen, die Mitarbeiter dauerhaft zu einem vorsichtigen Umgang mit eingehenden E-Mails motivieren. Ideal ist eine Kombination aus klassischen Lernangeboten, wie E-Learnings, mit laufend durchgeführten und praxisnahen Spear-Phishing-Simulationen, deren Schwierigkeitsgrad automatisch an das aktuelle Sicherheitsverhalten jedes einzelnen Mitarbeiters angepasst wird.
Cybersecurity als Chefsache: Die neue NIS2-Richtlinie erklärt IT-Sicherheit von KRITIS-Betrieben zur Chefsache und zum Compliance-Thema. Das bedeutet auch, dass die Leitungsorgane der Unternehmen und Organisationen die Risikomanagement-Maßnahmen genehmigen und deren Umsetzung überwachen müssen. Kommt es zu Verstößen gegen die nationalen Umsetzungsvorschriften, können die verantwortlichen Personen dafür persönlich verantwortlich gemacht und mit strafrechtlichen Sanktionen belegt werden. Darüber werden die Sanktionen und Strafen für Unternehmen künftig erheblich verschärft. Sie können bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Idealerweise lassen sich jedoch sowohl die technischen Maßnahmen zur Absicherung wichtiger Unternehmensdaten und Kommunikationskanäle als auch die Sensibilisierung und Schulung der Mitarbeiter weitestgehend automatisieren. Mit einer umfassenden und modernen Plattform, die unverzichtbare Cybersecurity-Services aus einer Hand liefert und direkt in die Microsoft Office-Plattform integriert wird, können Unternehmen zudem die Komplexität reduzieren. So stellen die verantwortlichen Personen sicher, dass sie ihren Aufsichtsplichten nachkommen und gleichzeitig die Geschäftskontinuität im Notfall nicht durch ineffiziente Sicherheitsprozesse beeinträchtigt wird.
Es ist an der Zeit zu handeln
Cyber-Attacken werden auch künftig zunehmen und vermehrt zu Notfallsituationen führen, da Cyberkriminelle mit immer moderneren Werkzeugen und ausgeklügelten Methoden auf Unternehmen zielen – Stichwort generative KI. Ein umfassendes Sicherheitskonzept sollte daher über eine reaktive Verteidigung hinaus gehen und den gesamten Sicherheitslebenszyklus abdecken: von der Prävention über den aktiven Schutz bis zur Gewährleistung oder – im Falle eines Falles – zur Wiederherstellung des Geschäftsbetriebs und der Daten. Im Zuge der von der EU verabschiedeten NIS2-Richtlinie haben die Mitgliedstaaten nun bis Oktober 2024 Zeit, die Vorgaben in nationales Recht zu überführen – und die jeweiligen KRITIS-Betriebe, dieses umzusetzen. Dieser Schritt wird in Deutschland voraussichtlich mit der Verabschiedung eines neuen IT-Sicherheitsgesetzes – des IT-SiG 3.0 – vollzogen. In jedem Fall besteht für die betroffenen Einrichtungen dringender Handlungsbedarf, gerade wenn sie bislang nicht zum Adressatenkreis der NIS-Richtlinie gehörten. NIS2-pflichtige Unternehmen sind daher gut beraten, rechtzeitig mit der Umsetzung der erforderlichen Maßnahmen zu beginnen. Denn schließlich ist Cybersicherheit keine lästige gesetzliche Auflage, sondern liegt im ureigensten Interesse der betroffenen Unternehmen und Organisationen.
Über die Autorin: Dr. Yvonne Bernard ist CTO bei Hornetsecurity.
(ID:49621218)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f8/4f/f84f6d7e58d390cfb9ccd24604f29680/0128949614v2.jpeg "Vom 3. bis 10. Februar 2026 haben Schülerinnen und Schüler die Möglichkeit, an der Hacking Challenge der TH Augsburg teilzunehmen, bei der sie eine bösartige KI aufhalten müssen, indem sie in einem Capture-the-Flag-Wettbewerb Sicherheitsprobleme lösen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/50/035093fa21967192ed89ad7d199a89cf/0128925549v1.jpeg "Threat Intelligence liefert Rohdaten zur Bedrohungslage. Erst die kontextbezogene Bewertung und Zuordnung zu eigenen Assets macht sie für Detektion und Threat Hunting nutzbar. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/43/0a439494e291abc64fc198fcfb7d23cd/0128778210v2.jpeg "Informationen darüber, dass eine kritsche Schwachstelle in IBM API Connect aktiv ausgenutzt wird, gibt es bisher nicht. Dennoch sollten Nutzer dringend die Interim Fixes installieren, da Cyberkriminelle ansonsten ohne Anmeldung auf Systeme zugreifen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/62/fc6241572174058c15f52b26aa9cbffc/0128589742v1.jpeg "Betreiber kritischer Infrastrukturen melden laut Thales weniger Sicherheitsvorfälle, sehen aber wachsende Risiken durch KI-Systeme und künftige Entschlüsselungsszenarien im Post-Quanten-Kontext. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6ffa4ee2503e5ba4c23eaae095d7d4/0125105677v1.jpeg "Mit check_cert lassen sich SSL/TLS-Zertifikate bis ins Detail prüfen – von Laufzeiten über Signaturverfahren bis hin zu Aussteller-Details. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/67/f4/67f4013b8c78bd79be43c6439c6bdd62/0125920477v2.jpeg "NIS2-Entwurf veröffentlicht – Unternehmen und Verbände beziehen Stellung: Der neue Regierungsentwurf erweitert den Kreis der betroffenen Unternehmen deutlich und sorgt für kritische Reaktionen aus Wirtschaft und Branche. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5b/2a/5b2ad729c70870c284ee30e0a7ddc720/0124913512v2.jpeg "Bei der IT-Compliance reicht es nicht aus, einzelne technische Maßnahmen umzusetzen – entscheidend ist die ganzheitliche Betrachtung des gesamten Systems. (Bild: © Eliane - stock.adobe.com)")