Die NIS-2-Richtlinie zwingt zehntausende Unternehmen, sich besser auf Cyberbedrohungen vorzubereiten. Ziel ist, das Sicherheitsniveau in der Wirtschaft zu erhöhen und die Auswirkungen erfolgreicher Angriffe zu minimieren. Damit läutet sie nicht weniger als einen Kulturwandel ein – nicht zuletzt, weil IT-Sicherheit aufgrund der hohen Bußgelder und strengen Haftungsregeln nun tatsächlich Chefsache werden muss.
Viele Unternehmen müssen sich infolge der NIS-2-Richtlinie intensiver als bisher mit Cyberrisiken und einer Stärkung ihrer Resilienz befassen.
Die wichtigsten Informationen zur NIS-2-Richtlinie im Überblick.
(Bild: Dell Technologies)
Mit der zunehmenden Digitalisierung und Vernetzung der Wirtschaft wächst auch die Abhängigkeit der Unternehmen von IT-Infrastrukturen, und zwar nicht nur von den eigenen, sondern ebenso denen von Partnern, Zulieferern und Dienstleistern. Ein erfolgreicher Cyberangriff kann daher weitreichende Auswirkungen haben – im schlimmsten Fall über eine ganze Branche oder Region hinaus. Aus diesem Grund schraubt die EU mit der Richtlinie 2022/2555 die Sicherheitsanforderungen für zahlreiche Unternehmen nach oben. Sie löst die Richtlinie 2016/1148 zum Schutz von Netzwerk- und Informationssystemen (NIS) ab und wird daher als NIS 2 bezeichnet.
Anders als die ursprüngliche NIS-Richtlinie konzentriert sich NIS 2 nicht allein auf die Betreiber kritischer Infrastrukturen, sondern allgemein auf Unternehmen, die aufgrund ihrer Branchenzugehörigkeit und Größe wichtig für die Wirtschaft und Gesellschaft sind. Unter die neue Richtlinie fallen Unternehmen aus 18 Branchen, darunter neben üblichen Verdächtigen wie Stromanbietern, Banken und Krankenhäusern auch die Anbieter von Cloud-Services, Rechenzentrumsdiensten und Kommunikationsnetzen, Managed Service Provider, Unternehmen der Wasser- und Abfallwirtschaft sowie weite Teile der Industrie. Schon mindestens 50 Mitarbeiter oder ein Jahresumsatz und eine Jahresbilanzsumme von jeweils mindestens 10 Millionen Euro reichen.
Je nach Branche, Mitarbeiterzahl und Umsatz unterscheidet NIS 2 zwar zwischen „wichtigen Einrichtungen“ und „wesentlichen Einrichtungen“, doch die Sicherheitsvorgaben und Meldepflichten gelten für beide gleichermaßen. Wesentliche Einrichtungen unterliegen lediglich einer strengeren Aufsicht durch Behörden und müssen bei Verstößen höhere Bußgelder zahlen. Diese liegen bei bis zu 10 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes, während es für wichtige Einrichtungen maximal 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes sind.
Schätzungen zufolge sind etwa 30.000 bis 40.000 Unternehmen in Deutschland direkt von NIS 2 betroffen und müssen sich unter anderem mit aktuellen Kontaktdaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Noch ist das allerdings nicht möglich, da die Bundesrepublik die EU-Richtlinie bislang nicht in nationales Recht umgesetzt hat. Einen Fragebogen, mit dem Unternehmen prüfen können, ob sie unter NIS 2 fallen, bietet das BSI hingegen schon an.
Vielen Unternehmen ist jedoch gar nicht bewusst, dass sie von der Richtlinie betroffen sein könnten – möglicherweise auch nur indirekt, weil sie als Dienstleister oder Zulieferer für eine wichtige oder wesentliche Einrichtung tätig sind. Denn NIS 2 verpflichtet diese, auch Risiken innerhalb ihrer Lieferkette zu identifizieren, zu bewerten und zu minimieren. Auf diese Weise will die EU verhindern, dass ein Cybervorfall in der Lieferkette einen Kaskadeneffekt nach sich zieht und für Störungen oder Ausfälle bei nachgelagerten Unternehmen sorgt.
Hinzu kommen zahlreiche Unternehmen, die die Anforderungen bislang nur halbherzig umsetzen – etwa, weil sie alte Systeme nicht ablösen wollen, sich mit der Bewertung von Risiken schwertun oder sich auf einfache Anforderungen konzentrieren. Hierzu zählen vor allem Praktiken, die wie die Wahl sicherer Passwörter und die Installation von Sicherheitssoftware auf allen Systemen zur grundlegenden Cyberhygiene gehören, aber auch Verschlüsselung, Zugriffskontrollen, Multifaktor-Authentifizierung und eine sichere Kommunikation, die explizit in der Richtlinie genannt werden.
All diese Dinge sind fraglos essentiell und eigentlich längst überfällig, reichen jedoch nicht, da NIS 2 insbesondere die Resilienz der Unternehmen stärken soll. Das bedeutet, dass diese sich auf den Ernstfall vorbereiten müssen, um die Auswirkungen erfolgreicher Angriffe zu minimieren und den Geschäftsbetrieb schnell fortsetzen zu können. Damit verbunden sind organisatorische Veränderungen, die Zeit kosten.
Nicht umsonst nennt NIS 2 als erste Maßnahme ein Risikomanagement, denn nur wenn Unternehmen die Risiken für ihre Systeme, Anwendungen und Daten kennen, können sie diese gezielt minimieren. Dafür müssen sie zunächst ihre wichtigsten Assets ermitteln und dann, welche Gefahren diesen drohen, wie wahrscheinlich diese Gefahren sind und welche Schäden sie verursachen können. Hier geht es nicht nur um Cyberangriffe etwa infolge nicht gepatchter Schwachstellen oder schlecht gesicherter Fernzugriffe, sondern auch um mögliche Ausfälle durch Hardware-Defekte, fehlerhafte Software, Brände oder Naturkatastrophen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ausgehend von dieser Risikoanalyse können Unternehmen dann Maßnahmen zur Risikominimierung einleiten und festlegen, wie sie mit Vorfällen umgehen und im Ernstfall den Geschäftsbetrieb aufrechterhalten. Dies sind die beiden nächstgenannten Punkte in der Richtlinie. Einige Fragen, die dabei in der Regel im Rahmen einer Business-Impact-Analyse beantwortet werden müssen, sind: Welche Auswirkungen hat es auf Geschäftsprozesse, wenn ein System ausfällt? Welche Ausfallzeiten sind maximal hinnehmbar? Wie viel Datenverlust ist zu verschmerzen?
Darauf basierend können dann Strategien für Business Continuity und Disaster Recovery entwickelt werden. In diesen wird unter anderem festgelegt, wie regelmäßig Daten und Systeme gesichert werden, wobei auch zu berücksichtigen ist, ob die Wiederherstellung überhaupt schnell genug möglich ist. Bei großen Datenmengen kann sie unter Umständen deutlich länger als die maximal hinnehmbare Ausfallzeit dauern – in diesem Fall sind dann beispielsweise Datenreplikationen eine Alternative. Allerdings reichen klassische Backups und Replikationen nicht aus, um sich gegen alle Gefahren zu wappnen, denn Cyberkriminelle wissen um deren Wert und machen sie häufig gezielt unbrauchbar. Der Einsatz von Backup-Speichern mit sogenanntem Retention Lock, der ein Verändern oder Löschen der Datensicherung unterbindet, und Datentresoren, die per Air-Gap vom Rest der Infrastruktur getrennt sind, verhindert das.
Eine große Herausforderung ist es, laufende Angriffe schnellstmöglich aufzuspüren und Schäden zu minimieren. Unternehmen müssen dafür den Traffic und die Aktivitäten im Netzwerk genau überwachen, um Auffälligkeiten zu entdecken, die auf eine Bedrohung hindeuten. Dann müssen sie aber auch in der Lage sein, schnell zu reagieren, um etwa die Bewegungen der Eindringlinge genau nachzuvollziehen, missbrauchte Accounts zu sperren und kompromittierte Systeme zu isolieren. Solche SOC-Services (Security Operations Center) erfordern umfangreiche Kenntnisse und viel Personal, denn schließlich sollen sie rund um die Uhr verfügbar sein. Dadurch verursachen sie hohe Kosten, weshalb es meist sinnvoller ist, sie von einem spezialisierten Dienstleister zu beziehen, als sie selbst zu betreiben.
Auch die forensische Untersuchung von Sicherheitsfällen sollten besser externe Experten übernehmen, damit Beweise zuverlässig gesichert und keine Details übersehen werden. Die ermittelten Informationen benötigen Unternehmen nicht nur in Strafverfahren und bei der Verbesserung ihrer Sicherheitskonzepte, sondern ebenso für die Meldung eines Vorfalls beim BSI. Denn NIS 2 enthält strenge Vorgaben, wann und was der Aufsichtsbehörde mitgeteilt werden muss: Spätestens nach 24 Stunden ist eine Frühwarnung vorgeschrieben, spätestens nach 72 Stunden eine Meldung mit aktualisierten Informationen und einer ersten Bewertung, wie schwer der Vorfall ist und welche Auswirkungen er hat. Binnen eines Monats muss dann ein Abschlussbericht folgen, der unter anderem eine ausführliche Beschreibung des Sicherheitsvorfalls und seiner Ursachen sowie Angaben zu den getroffenen Maßnahmen enthält.
Mit den strengen Meldefristen und inhaltlichen Vorgaben stellt die EU sicher, dass Unternehmen ihre Sicherheitsvorfälle nicht unter den Teppich kehren. Zugleich helfen die Informationen dem BSI und den EU-Behörden, denen das BSI die Informationen weiterleitet, ein genaues Bild über die Bedrohungslage zu erhalten. Sie können andere Unternehmen bei laufenden Angriffswellen und neuen Angriffsformen warnen und Guidelines entwickeln, die bei der Vorbereitung darauf helfen.
Damit im Ernstfall alles reibungslos abläuft, benötigen Unternehmen detaillierte Notfallpläne. In ihnen ist geregelt, wer welche Aufgaben übernimmt und wer Entscheidungen fällt, sodass keine Zeit mit langen Abstimmungen oder der Suche nach Verantwortlichen verschwendet wird. Auf diese Weise stellen Unternehmen sicher, dass Angriffe schnell eingedämmt, die betroffenen Systeme zügig wiederhergestellt und die Behörden fristgerecht informiert werden. Sie müssen die Notfallpläne allerdings auch regelmäßigen Praxistests unterziehen – einerseits damit alle Beteiligten die Abläufe kennen und jeder Handgriff sitzt, und anderseits um Verbesserungsmöglichkeiten zu identifizieren. Schließlich verändern sich IT-Infrastrukturen kontinuierlich, es gibt personelle Wechsel und auch die Risikobewertungen und die Anforderungen an die Verfügbarkeit einzelner Systeme sind nicht in Stein gemeißelt.
Für die Umsetzung der vielfältigen Maßnahmen, die teilweise mit einem regelrechten Kulturwandel in den Unternehmen einhergehen, nimmt die NIS-2-Richtlinie explizit die Geschäftsleitungen in die Pflicht. Sie müssen nicht nur die konkreten Maßnahmen in ihren Unternehmen billigen und überwachen, sondern auch regelmäßig an Schulungen teilnehmen. In diesen sollen sie sich Wissen aneignen, sodass sie Risiken erkennen und einschätzen sowie Cybersecurity-Praktiken und ihre Auswirkungen auf den Geschäftsbetrieb bewerten können. Für Verstöße gegen NIS 2 haften Geschäftsleitungen persönlich.
Zwar sehen auch bereits bestehende Gesetze wie das BSI-Gesetz eine Verantwortung der Geschäftsleitung vor, und auch aus den Sorgfalts- und anderen Pflichten des GmbH-Gesetzes lässt sich eine solche Verantwortung ableiten. Dennoch formuliert NIS 2 diese nun noch einmal direkter und ergänzt die Schulungspflicht. Letztlich bleibt abzuwarten, ob und wie hier Cyberversicherungen und Manager-Haftpflichtversicherungen greifen. Allerdings stehen die Chancen gut, dass die persönliche Haftung und die hohen Bußgelder endlich dafür sorgen, dass Cybersecurity zur Chefsache wird – und sich die Verantwortung nach Sicherheitsvorfällen nicht so leicht auf IT- und Security-Teams abwälzen lässt.
Über den Autor: Christian Scharrer ist Enterprise Architect und CTO Ambassador bei Dell Technologies in Deutschland.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/2b/bd2b1d3014beda248f6be8114dd696fe/0125070878v1.jpeg "Es geht endlich voran mit der NIS2! Noch ist nicht klar, wann genau die Umsetzung in deutsches Recht erfolgt, aber dass sie kommt, ist klar. Genau wie bei Cyberangriffen, auf die man sich auch besser vorbereiten sollte. (Bild: © muhammadriaz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/2e/5f2e58b876e5738449d7c6570ff8d019/0123767931v2.jpeg "Tritt man einen Schritt zurück, so erkennt man, dass eine der größten Hürden nicht im technischen Aspekt der Compliance besteht, sondern in dem Kulturwandel, den NIS-2 verlangt. (Bild: Who is Danny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/12/641244fab12277c16ab5cdda868bf88a/0120917079v2.jpeg "Cyberrisiken sind wie überfüllte Straßen: Sind sie einmal da, gehen sie so schnell nicht wieder weg. Dann hilft nur: anschnallen und dauerhaft vorsichtig fahren. (Bild: Drazen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/d5/24d528e59e6a8e4e523e0a10bedb4e78/0123782471v1.jpeg "Das Startdatum der NIS-2-Richtlinie ist noch unklar, doch ihr Ziel steht fest: Cybersicherheit stärken. Deep Observability wird dabei zum Muss – für Transparenz bis in die Netzwerke hinein. (Bild: Sono Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/86/478674e3f94e544c2b04f1c420101a85/0127375001v2.jpeg "In Anbetracht geopolitischer Spannungen und steigender Cyberbedrohungen sehen die Sachverständigen einen enormen Zeitdruck hinter der Umsetzung von NIS 2 in nationales Recht. (Bild: Midjourney / KI-generiert)")