Die überarbeitete Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) hat in den letzten Monaten viele Diskussionen entfacht. Angesichts der zunehmenden Zahl erfolgreicher Cyberangriffe auf kritische Infrastrukturen (KRITIS) und sogenannte Hochwertziele ist es unerlässlich, dass Organisationen jeder Größe und Branche sich besser aufstellen. NIS2 ist ein wichtiger Impuls, das allgemeine Sicherheitsniveau zu erhöhen und Resilienz aufzubauen.
Die Umsetzung der NIS2-Richtlinie sollte von Unternehmen nicht als bloße Erfüllung regulatorischer Vorgaben betrachtet werden. Sie ist vielmehr Teil einer umfassenden unternehmerischen Verantwortung.
(Bild: Murrstock - stock.adobe.com)
NIS2, die überarbeitete Version der von der EU 2016 festgelegten Cybersecurity-Richtlinie NIS (Network and Information Security), bringt eine Reihe neuer Anforderungen mit sich, die insbesondere für kleine und mittlere Unternehmen eine Herausforderung darstellen. Dazu gehören die Ausweitung des Adressatenkreises auf acht neue Sektoren, die Einteilung der Sektoren in „Essential Services" (wesentliche Dienste) und „Important Services" (wichtige Dienste) sowie die Erfassung von Unternehmen und Organisationen mit 50 oder mehr Mitarbeitenden und einem Jahresumsatz von mindestens zehn Millionen Euro. Dieser „Patch“ soll dazu beitragen, dass sich mehr Unternehmen besser gegen Cyberangriffe wappnen. Allerdings birgt er auch einige Herausforderungen, insbesondere in Bezug auf die Umsetzung der geforderten Maßnahmen und die Suche nach Fachkräften.
Politik trifft auf Proaktivität
Die Bedrohung durch Cyberkriminelle wächst stetig, gleichzeitig ist gute IT-Sicherheit teuer. Ein Spannungsfeld, in dem das Handeln der Politik absolut sinnvoll ist. Entsprechende Regelungen und insbesondere NIS2 sind Schritte in die richtige Richtung, um Unternehmen zu verpflichten, ihre Cybersicherheit zu verbessern und damit auch die allgemeine Bedrohungslage zu reduzieren.
Das lohnt sich für Unternehmen auch aus eigenem Interesse: Denn nur, wer proaktiv handelt und die Herausforderungen, die die aktualisierte Richtlinie mit sich bringt, als Chance begreift, kann sich gegen zukünftige Bedrohungen schützen und so resilienter werden.
Umfangreiche Pflichten und strenge Meldefristen
Die Umsetzung der NIS2-Direktive in nationales Recht wird im Herbst 2023 erwartet und bringt viele neue Pflichten für die betroffenen Unternehmen und Einrichtungen mit sich. Sie müssen wirksame Richtlinien und Standards für die Informationssicherheit einführen, effektive Maßnahmen zur Prävention entwickeln, Cyberangriffe erkennen und abwehren sowie ein umfassendes Incident Management aufbauen. Darüber hinaus gilt es auch die Geschäftskontinuität sicherzustellen und Maßnahmen zum Schutz der Lieferketten zu ergreifen. Kurz: Schon der funktionale Anforderungskatalog ist umfangreich.
Gleichzeitig werden die neu geforderten technologischen und prozessualen Standards von strengen Vorgaben für das Meldewesen begleitet. Unternehmen haben künftig bei Sicherheitsvorfällen 24 Stunden Frühwarnzeit an Behörden und 72 Stunden, um eine detaillierte Beschreibung nachzureichen. Das ist eng bemessen, aber im Ernstfall zählt jede Sekunde.
Fachkräftemangel potenziert Probleme – wie üblich
Ein zentrales Problem bei der Umsetzung von NIS2 ist der Mangel an Fachkräften im Bereich der Cybersicherheit. Insbesondere kleinere Unternehmen könnten Schwierigkeiten haben, kompetente Mitarbeitende für ihre Sicherheitsteams zu finden – oft fehlt es an Reputation, Budget und Referenzen. Auf Behördenseite sieht es kaum besser auf: Denn auch für das erwartbar ansteigende Meldeaufkommen braucht es qualifiziertes Personal. Unternehmen und Behörden müssen also frühzeitig handeln und ihre Suche nach geeignetem Personal intensivieren. Doch das allein reicht nicht. Der knappe Arbeitsmarkt macht konsequentes Upskilling und klare Verantwortlichkeiten zum zentralen Erfolgsfaktor. Und auch externe Expertinnen und Experten können eine entscheidende initiale Hilfe sein, um belastbare Prozesse aufzubauen.
Kooperation stärken, Transparenz schaffen
Zwar stellt die angepasste Richtlinie viele einzelne Parteien vor Herausforderungen, dennoch hängt die erfolgreiche Umsetzung entscheidend davon ab, wie gut betroffene Unternehmen, zuständige Behörden und weitere Akteure – beispielsweise IT-Sicherheitsdienstleister – an einem Strang ziehen. Dafür braucht es zwei Arten der Transparenz: Einerseits können die Parteien durch den Austausch von Informationen, Erfahrungen und Best Practices voneinander lernen und gemeinsam Lösungen entwickeln. Auf der anderen Seite gilt es auch, interne IT-Sicherheitsmaßnahmen kontinuierlich zu überprüfen und anzupassen. Dafür braucht es klare Prozesse, eine proaktive Herangehensweise und die Bereitschaft, Probleme offen und frühzeitig zu adressieren. Erst dann laufen Investitionen in die IT-Sicherheit auch langfristig in die richtige Richtung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Renaissance der Agilität
In der sich ständig verändernden Landschaft der Cybersicherheit ist es entscheidend, flexibel und anpassungsfähig zu sein. Unternehmen müssen in der Lage sein, auf neue Bedrohungen zu reagieren und ihre Sicherheitsstrategien entsprechend anzupassen. Dies erfordert nicht nur den Einsatz von modernen Sicherheitstechnologien, sondern auch ein Umdenken in Bezug auf die Organisationskultur und die Zusammenarbeit mit externen Partnern. Das Stichwort „Agilität“ mag in IT-Kreisen zwar längst überstrapaziert wirken, ist bezogen auf die Anforderungen an ein reaktionsschnelles und handlungsfähiges Sicherheitssetup aber aktueller denn je.
Cybersicherheit als unternehmerische Verantwortung
All das bedingt, dass die Umsetzung der NIS2-Richtlinie nicht als bloße Erfüllung regulatorischer Vorgaben betrachtet werden sollte. Sie ist vielmehr Teil einer umfassenden unternehmerischen Verantwortung. Cybersicherheit ist nicht nur für den Schutz des eigenen Unternehmens von entscheidender Bedeutung, sondern auch für die Sicherheit der Kunden, Partner und der gesamten Lieferkette. Unternehmen, die in ihre IT-Sicherheit investieren und den Schutz ihrer Netzwerke und Daten ernst nehmen, leisten einen wertvollen Beitrag zur Gesamtsicherheit im digitalen Raum. Und umgekehrt werden solche, die dies nicht tun, in den Augen von Partnern und Endkundinnen und -kunden schnell Vertrauen verlieren und im Wettbewerb zurückfallen. Damit bietet NIS2 neben all den mit der Richtlinie einhergehenden Herausforderungen vor allen Dingen eine Sache: die Chance, Cybersicherheit international auf eine neue Stufe zu heben – hoffentlich über die, auf der sich die Bedrohungsakteure bereits befinden.
Über den Autor: André Glenzer ist Partner im Bereich Cyber Security und Privacy und Leiter des KRITIS Center of Excellence bei PwC Deutschland.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/76/79/7679df171a20c54d964aed9c8c3e7463/0126321417v2.jpeg "Die NIS2 verpflichtet KMU zu mehr Cybersicherheit. Zero Trust, praxisnahe Unterstützung und eine gelebte Sicherheitskultur machen Unternehmen resilient und compliant. (Bild: © chiew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/2a/5b2ad729c70870c284ee30e0a7ddc720/0124913512v2.jpeg "Bei der IT-Compliance reicht es nicht aus, einzelne technische Maßnahmen umzusetzen – entscheidend ist die ganzheitliche Betrachtung des gesamten Systems. (Bild: © Eliane - stock.adobe.com)")