Systemrelevante Bereiche des öffentlichen Lebens wie Gesundheit, Bildung und Behörden geraten immer mehr ins Visier von kriminellen Akteuren. Um kritische Infrastrukturen besser zu schützen und für mehr Cybersicherheit zu sorgen, hat die Europäische Union nun zum Ende des vergangenen Jahres die neue EU-Richtlinie „Netzwerk- und Informationssysteme 2“ (NIS2) verabschiedet und die Uhr zu deren Umsetzung tickt.
Die Zeit drängt: Der europäische Gesetzgeber hat den Mitgliedsstaaten bis zum 17. Oktober 2024 Zeit gegeben, die NIS-2-Richtlinie in nationales Recht umzusetzen.
(Bild: andranik123 - stock.adobe.com)
Seit Verabschiedung der NIS2-Richtlinie haben Unternehmen 21 Monate Zeit die Vorgaben von NIS2 zu erfüllen, wenn sie Teil des KRITIS-Sektors sind. Viele Unternehmen gehören zu diesen kritischen Sektoren, sind sich dessen aber kaum bewusst. Kleine und mittlere Betriebe gehören genauso dazu wie Großkonzerne, denn Zulieferer müssen die Vorgaben ebenso erfüllen. Angesichts der realistischen Projektdauer von 24 Monaten bis zur endgültigen Etablierung aller Maßnahmen, sollten sich Verantwortliche jetzt schnellstmöglich mit dem Thema auseinanderzusetzen und überlegen, wie sie neue Sicherheitsstandards umsetzen.
Schutz der kritischen Infrastrukturen in der EU
Generell unterscheidet NIS2 zwischen „Sektoren mit hoher Kritikalität“ und „sonstige kritische Sektoren“. Erstere sind unter anderem Unternehmen aus der Energieversorgung, dem Gesundheitssystem, dem Transportwesen, Banken und Finanzmärkte sowie Unternehmen, die Internetknoten, DNS-Dienste und Cloud-Infrastrukturen anbieten. Diese Organisationen müssen besonders hohe Sicherheitsstandards erfüllen. Unternehmen wie Post- und Kurierdienste, die Abfallwirtschaft, die Chemie-Branche, Ernährung, Industrie, digitale Dienste und Forschung werden etwas weniger streng behandelt, müssen zukünftig aber auch die Einhaltung von NIS2 gewährleisten.
Dazu gehören auch Zulieferer dieser Sektoren. Zum Beispiel müssen auch Caterer, die ein Buffet für die Vorstellung eines Prototyps in der Industrie begleiten, NIS einhalten, wenn das entsprechende Unternehmen zu den kritischen Infrastrukturen zählt. Es ist zu erwarten, dass in Zukunft nahezu alle Unternehmen und Organisationen von den Anforderungen in NIS2 betroffen sind. Es ist bereits jetzt so, dass im Grunde genommen alle Unternehmen mit mehr als 50 Mitarbeitern und 10 Millionen Euro Umsatz in irgendeiner Art und Weise Teil einer Lieferkette sind, in der NIS2 relevant ist. Große Konzerne fordern in vielen Fälle ihre Lieferanten auf, nachzuweisen, wie die IT-Sicherheit umgesetzt wird und ob Richtlinien und Vorgaben aus NIS2 eingehalten werden. Ist das nicht der Fall, droht der Verlust von Kunden und Aufträgen. Kleinere und mittlere Zulieferer sollten daher keine Zeit verstreichen lassen und die Umsetzung vorantreiben.
Der Sinn hinter NIS2: Resilienz
Es zeigt sich schnell, dass NIS2 für sehr viele Unternehmen gilt und die verschiedenen Organisationen schnell handeln sollten, um alle gesetzlichen Richtlinien zu erfüllen. Angesichts der immer stärker steigenden Anzahl an Cyberattacken ist das auch mehr als sinnvoll. Vor allem KI-Technologien sorgen in diesem Umfeld für immer raffiniertere und damit effektivere Angriffe. Der BSI-Lagebericht 2022 legt dazu ganz deutlich dar: „Die Gefährdungslage im Cyber-Raum ist so hoch wie nie“.
Das zeigt: Abwarten ist längst keine Option mehr. Resilienz ist das Stichwort, das für alle Unternehmen und Organisationen immer wichtiger wird. In Zukunft wird die Anzahl an Angriffen weiter steigen und bei Cyberattacken auf ein Unternehmen stellt sich schon lange nicht mehr die Frage, ob eine stattfindet, sondern wann diese erfolgt und ob das Unternehmen gut genug auf einen Cyberangriff vorbereitet ist, um diesen abzuwehren und den Geschäftsbetrieb aufrecht zu erhalten.
Jede Organisation sollte deswegen jetzt ein Modell entwickeln, um die eigene Resilienz sicherzustellen. Im Angriffsfall müssen alle Stellen vorbereitet sein, richtig reagieren und dabei die Geschäftsabläufe möglichst optimal am Laufen halten. Genau dabei will NIS2 durch seine Richtlinien unterstützen.
Sind deutsche Unternehmen bereit?
Die NIS2-Direktive führt in den nächsten Monaten auch zu neuen Gesetzen in Deutschland, zum Beispiel dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) von manchen Experten auch „IT-Sicherheitsgesetz 3.0 “ genannt. Viele Experten erwarten, dass in diesem nationalen Gesetz weitere Konkretisierungen und unter Umständen sogar Verschärfungen erfolgen. Das Umsetzen der Richtlinien erfordert für Unternehmen aber natürlich etwas Vorlauf.
Leider sind sich noch immer nicht alle Unternehmen ihrer Bedeutung bewusst und verfügen über zu wenig Metriken, Audits und oft auch über kein Information Security Management System (ISMS). Diese Bereiche sind in Zukunft bei Einhaltung von NIS2 allerdings unerlässlich. Das kann viel Arbeit und Planung für Unternehmen bedeuten, die bisher noch keinen Schwerpunkt auf diese wichtigen Bereiche gelegt haben. Generell können sich Organisationen bereits jetzt an vorhandenen Standards orientieren. Beispiele dafür sind der IT-Grundschutz des BSI, ISO 27002:2022 mit Maßnahmen und Controls, sektorbasierte ISO270X (Telekommunikation, Health Care, Energie), technologiebasierte ISO270X (Cloud, Netzwerk, Storage, IoT) und ISO/IEC 27035 (Incident Management).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wie können sich Unternehmen vorbereiten? Pläne sind wichtig!
Um sich auf die Herausforderungen von NIS2 und weiteren Cybersicherheitsgesetzen optimal vorzubereiten, sollten einige Punkte geklärt sein, um Sicherheit in der Infrastruktur zu erreichen. Leitplanken für den Schutz der Geschäftsmodelle des eigenen Unternehmens benötigen Fakten, die im Vorfeld klar sein müssen:
Assetmanagement: Welche Assets gibt es im Unternehmen? Wer sind die Besitzer? Wo sind die Schwachstellen und Risiken dafür? Nur durch dieses Wissen lassen sich die entsprechenden Systeme auch optimal schützen.
Daten- und Zugangsmanagement: Wie sind die Daten gespeichert und wer arbeitet damit? Gibt es Konzepte für neue und ausscheidende Mitarbeiter, um deren Zugriffe zu steuern? Sind Administrator-Rechte reguliert und eingeschränkt? Grundsätzlich gilt: Mitarbeiter sollen nur auf notwendige Daten Zugriff haben, der Rest gehört ins Archiv. Auch sollten Unternehmen sich bewusst sein, dass der komplette Wechsel in die Cloud nicht immer sinnvoll ist.
Reaktion und Zusammenarbeit mit Partnern im Ernstfall: Sind Arbeitsabläufe dokumentiert, erstellt und getestet, die bei Cyberattacken ablaufen sollen? Werden Sicherheitsvorfälle sorgfältig analysiert und bestehen Konzepte für Angriffe? Unternehmen sollten sich auch damit beschäftigen, wie gut sie in Sachen Sicherheitspartnerschaften aufgestellt sind. Professionelle Hilfe kann im Notfall entscheidend sein. Vielleicht besteht auch die Möglichkeit mit anderen Unternehmen zusammenzuarbeiten, um Anforderungen gemeinsam zu erfüllen?
Empfehlungen für strategisches Vorgehen
Der Reifegrad der Security im Unternehmen sollte in der aktuellen Situation schnellstmöglich erfasst werden. Sicherheitsvorkehrungen und Reaktionsfähigkeiten müssen planbar sein. Das Ziel ist, dass die eigene Organisation nachweislich und wirksam gegen Angriffe geschützt ist und aus bereits erfolgten Angriffen lernt. Nur so kann der Geschäftsbetrieb geschützt und mögliche Schäden minimiert werden.
Im Rahmen einer Umsetzung sollten deswegen zunächst die organisatorischen Strukturen etabliert werden, die eine Zusammenarbeit mit allen Geschäftsbereichen ermöglicht. Wichtig sind in diesem Zusammenhang Besetzungen von relevanten Positionen wie den Chief Information Security Officer (CISO) oder einen IT-Sicherheitsbeauftragten (ITSIBE). Dadurch erreichen Unternehmen eine fortlaufende Optimierung der Cyber-Resilienz, die Schwerpunkt von NIS2 ist. Verantwortliche im Unternehmen müssen regelmäßig Berichte und Entscheidungsgrundlagen erhalten, um die richtigen strategischen Entscheidungen treffen zu können.
Aber Achtung! Ein großer Teil von Projekten wird nicht im Rahmen der zu Beginn festgelegten Zeitvorgaben und Budgets abgeschlossen. Das gilt es im Bereich der IT-Sicherheit durch NIS2 zu verhindern. Im Rahmen der Vorgehensweisen spielen dabei vor allem drei Fragen eine wesentliche Rolle:
Wie ist die Verbindung zwischen operativen und der strategischen Ebene sichergestellt?
Wie sind die Ziele genau definiert?
Welche Ergebnisse sollen geliefert werden?
Wie wird der Erfolg gemessen?
Können diese Fragen beantwortet werden, ist die Wahrscheinlichkeit die Umsetzung von NIS2 im Unternehmen zu erreichen sehr hoch. Vorbereitung und gute Pläne sind auch in diesem Fall eine wichtige Grundlage für ein erfolgreiches Projekt.
Über den Autor: Lars Linden ist Director Sales Large Enterprise bei Serviceware SE.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/91/80/918064ea1aafd8875b0201ced4f32bc3/0128147179v2.jpeg "Die EU etabliert mit der ENISA, CERT‑EU, EU‑CyCLONe und einer finanzierten Cybersecurity‑Reserve ein koordiniertes System, das Unternehmen bei schweren Cybervorfällen schnell und grenzüberschreitend über zentrale Anlaufstellen unterstützt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/c4/62c44271d4375ddce05dd15a7d43c271/0125174957v2.jpeg "Es ist richtig und wichtig, dass die Umsetzung der NIS-2-Richtlinie priorisiert erfolgt, damit die deutschen Unternehmen und auch die öffentlichen Einrichtungen Rechtssicherheit erhalten. (Bild: © Muhammad - stock.adobe.com)")