Am 17. Oktober 2024 tritt das EU-Gesetz zur NIS2-Richtlinie in Kraft. Ein Blick in den Anforderungskatalog lässt Unternehmer zunächst zurückschrecken, dabei lassen sich viele Prozesse mit bestehenden Systemen anpassen.
Insgesamt zehn Risikomanagementmaßnahmen der NIS 2, sowie die Meldepflicht liegen im direkten Verantwortungsbereich der Geschäftsleitung.
(Bild: Alina - stock.adobe.com)
Die EU-Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS2, dient dem Schutz der kritischen Infrastruktur vor Cyberkriminellen. In Deutschland kommt das Gesetzgebungsverfahren voraussichtlich im März 2025 zum Abschluss. Ab diesem Zeitpunkt gilt nationales Recht welches in den wesentlichen Punkten mit der NIS2 deckungsgleich ist. Angesichts einer beschleunigten Digitalisierung und des angespannten Weltgeschehens drängt die Notwendigkeit, in Informationssicherheitsmaßnahmen für eine zunehmend digitale Welt zu investieren. Unter dem KRITIS-Gesetz galten die Anforderungen bisher bereits für größere Unternehmen, mit der NIS2 stehen nun auch Mittelständler aus den Bereichen produzierendes Gewerbe und Infrastruktur in der Pflicht, ihre digitalen Ressourcen vor Angriffen zu schützen. Insbesondere die Geschäftsleitung ist dazu angehalten, die vorrausschauenden Risikoanalysen und strengen Berichtspflichten wahrzunehmen, denn sie haftet bei Vernachlässigung. Im Maßnahmenkatalog stoßen Leser auf eine Vielzahl wenig spezifischer Punkte. Im Grunde basiert die Richtlinie auf einem Information Security Management System (ISMS), sodass Betroffene auf bestehende Verfahren zurückgreifen können. Ein erster Blick richtet sich auf die drei häufigsten Schwachstellen in Unternehmen: Technik, Organisation und Personal.
In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen von Datenklau und IT-Gerätediebstahl sowie digitaler und analoger Industriespionage oder -sabotage betroffen. Gerade unüberwachte Hard- und Software lassen die Türen für Hackerangriffe weit offen. Regelmäßige Scans der bestehenden Systeme geben frühzeitigen Aufschluss über mögliche Einfallstore. Zuvor festgelegte Maßnahmenpläne ermöglichen eine schnelle Schließung der Sicherheitslücken. Ebenfalls ein wichtiger Bestandteil der Sicherung von sensiblen Daten ist die Hardwareverschlüsselung. Speicherkarten, die bereits beim Beschreiben wichtige Informationen verschlüsseln und erst nach Eingabe eines Passworts preisgeben, garantieren, dass nur Befugte Zugriff auf den Inhalt bekommen.
Geschäftsführer tun gut daran, sparsam mit Zugangsprivilegien umzugehen. Eine Analyse der Organisation verrät, welche Positionen tatsächlich Einblick in bestimmte Datensätze benötigen. Überflüssige Berechtigungen führen oftmals zur unbedachten Weitergabe an Dritte. Nutzen Unternehmen unsichere Kanäle zur Übergabe von wichtigen Dokumenten, laden sie Hacker damit förmlich dazu ein, zuzugreifen. Dagegen helfen klar definierte Richtlinien mit zum Umgang mit Interna sowie ganzheitliche Security-Systeme.
Eine oftmals wenig bedachte Schwachstelle im Unternehmen stellen Mitarbeitende dar. Einfache Passwörter, achtlos abgelegte USB-Sticks oder angelassene Computer, die unbewacht jedem offenstehen, erleichtern Cyberkriminellen ihr Geschäft. Verpflichtende Schulungen zum Umgang mit sensiblen Daten klären sowohl Arbeitnehmer als auch Arbeitgeber über die Risiken auf. Leitende Instanzen achten außerdem auf die Einhaltung festgelegter Sicherheitskonzepte.
Guter Schutz vor digitalen Bedrohungen gehört in der modernen Welt zu jedem erfolgreichen Geschäftsmodell. Die oben genannten Vorkehrungen schützen Unternehmen vor Diebstahl digitaler Werte, schärfen das Bewusstsein der Belegschaft hinsichtlich der Risiken und eröffnen achtsamen Geschäftsführern die Möglichkeit, Gefahren frühzeitig zu erkennen und einzudämmen. In Verbindung mit NIS2 gilt allerdings auch: Leitungspersönlichkeiten, die der digitalen Infrastruktur keine Beachtung schenken, schaden nicht nur ihren eigenen Geschäften, sondern haften im Ernstfall. Mit der neuen Richtlinie geht ein Paradigmenwechsel einher, der die Beweislast umkehrt und mehr Verantwortung in die Chefetage bringt. Insgesamt zehn Risikomanagementmaßnahmen sowie die Meldepflicht liegen im direkten Verantwortungsbereich der Geschäftsleitung. Im Fall eines Angriffs sind Unternehmer dazu verpflichtet, ihre Unschuld zu beweisen. Demnach unterstützt akribische Dokumentation aller digitalen Prozesse einen reibungsfreien Arbeitsablauf und liefert im Zweifelsfall den Unschuldsbeweis.
Ein großer Teil der für die NIS2-Konformität notwendigen Änderungsprozesse findet bereits Anwendung und lässt sich mit wenigen Schritten an die existierenden Rahmenbedingungen anpassen. Der Zukauf von Wissen rentiert sich auf kurze und lange Sicht, denn die rasche Weiterentwicklung von Hacker-Tools erleichtert Kriminellen Beutezüge in der zunehmend digitalisierten Geschäftswelt. Aus den Erfahrungen anderer zu schöpfen oder strategische Partnerschaften einzugehen, stärkt das eigene Unternehmen im Wettlauf mit der explosiven Weiterentwicklung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Erste Kontrollen in den wichtigsten Bereichen sollten schnellstmöglich erfolgen, um alle 35 der im NIS2-Katalog gelisteten Maßnahmen effektiv im eigenen Unternehmen einzubinden. Große Relevanz hierbei haben die Berichtspflichten. Die EU beabsichtigt die Vernetzung von Unternehmen zu stärken und ihnen die Möglichkeit zu geben, sich über Sicherheitsvorfälle auszutauschen. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, übernimmt als zentrale Anlaufstelle die Koordinationsfunktion mit dem Ziel, ein Warnsystem für Cybergefahren zu etablieren. Firmen wird so die Früherkennung potenzieller Angriffe erleichtert. Aus diesem Grund bedarf es der Registrierung mit vorgegebenen Informationen bei der Aufsichtsbehörde. Die Registrierungspflicht obliegt der Geschäftsleitung. Bei vorsätzlicher Nichteinhaltung drohen Sanktionierungen.
Ein gut durchdachtes IT-Risikomanagement vermeidet geschäftsschädigende Probleme, noch bevor sie auftreten. Es bewertet Gefahren für Computersysteme sowie Daten und findet Wege zu ihrer Minimierung. IT-Systeme sicher gestalten und wertvolle Informationen schützen, lautet das erklärte Ziel. Dazu gehört die Implementierung eines Information Security Management Systems mit dazugehörigen Dokumenten sowie eines Prozesses mit verschiedenen Rahmenparametern für die Identifizierung, Bewertung und Behandlung von Bedrohungen.
Die Implementierung von standardisierten Verfahren, die Informationssicherheit im Unternehmen analysieren, gehört ebenfalls zu den Pflichten der Führungsebene. Dabei achten Unternehmer besonders auf die Schnelllebigkeit technologischer Neuerungen und etablieren genügend Flexibilität im System, um geänderte Rahmenbedingungen aufgreifen zu können. Darunter fallen die Bereitstellung regelmäßiger Reports an die Unternehmensführung sowie Protokollierung von Verantwortlichkeiten, Reaktionen auf Ereignisse und die Entwicklung von Korrekturmaßnahmen. Das fördert planvolles Handeln im Ernstfall.
Über den Autor: Volker Bentz ist seit 1989 in der Informationstechnologiebranche tätig und prägt als Gründer, Geschäftsführer und Unternehmensinhaber seit mehr als zwei Jahrzehnten die pfälzische Erfolgsgeschichte der Brandmauer IT GmbH. Zuletzt entwickelte Volker Bentz gemeinsam mit seinem Spezialisten-Team einen NIS2-Anforderungskatalog und einen Leitfaden, der Firmen in der Umsetzung der EU-weit geltenden Richtlinien unterstützt und die komplexe Gesetzeslage übersichtlich darstellt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/64/12/641244fab12277c16ab5cdda868bf88a/0120917079v2.jpeg "Cyberrisiken sind wie überfüllte Straßen: Sind sie einmal da, gehen sie so schnell nicht wieder weg. Dann hilft nur: anschnallen und dauerhaft vorsichtig fahren. (Bild: Drazen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/79/ed7954ad5b079510238a458cf27d9648/0121026522v2.jpeg "Ein Unternehmen auf NIS-2-Kurs zu bringen ist keine Zauberei. Also nur Mut, NIS-2-Projektteams, ihr schafft das! (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/e8/fae86b117ba79a72ae26d8d9654ab13d/0121026626v2.jpeg "NIS 2 – wie auch der BSI IT-Grundschutz oder ISO 27001 – fordert von Unternehmen ein Information Security Management System (ISMS). (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/2d/822dabd58300cb4fe623944e26000777/0121026753v2.jpeg "Mit einem Notfall-Reaktionsplan verliert man auch als KMU im Ernstfall nicht die Nerven. (Bild: rangizzz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ef/16/ef16498140b7781f489bcad6495221db/0123044660v2.jpeg "NIS2 will Unternehmen digital widerstandsfähiger, resilienter und reaktionsschneller machen. Aber jede Infrastruktur ist nur so resilient, wie die einzelnen Elemente, aus der sie besteht. (Bild: envfx - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/c8/23c812d9b1245e49d58838f5396bf004/0126271427v2.jpeg "Mit Privileged Access Management (PAM) und Privileged Remote Access (PRA) schützen Unternehmen den Zugang zu besonders sensiblen Bereichen der IT, etwa zu Servern, Datenbanken, Cloud-Umgebungen oder Domain Controllern. (Bild: © Ahmed - stock.adobe.com)")