Die Bedrohung durch Cyberangriffe steigt, und Unternehmen müssen sich dringend auf die NIS2-Richtlinie vorbereiten. In sechs Schritten, von der Sensibilisierung des Managements bis hin zu Trainingsmaßnahmen, können IT-Sicherheitsteams ihre NIS2-Readiness verbessern und Haftungsrisiken minimieren.
Die Europäische Union will mit der NIS2-Richtlinie insbesondere kritische Infrastrukturen besser absichern. Doch wie und wann gehen Unternehmen das Thema NIS2-Readiness richtig an?
(Bild: wladimir1804 - stock.adobe.com)
Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung im Cyberraum so hoch wie nie zuvor. Besonders Ransomware-Attacken nehmen gravierend zu. Die Europäische Union will mit der NIS2-Richtlinie insbesondere kritische Infrastrukturen besser absichern. Doch wie und wann gehen Unternehmen das Thema NIS2-Readiness richtig an?
Planmäßig soll die NIS2-Richtlinie bis zum 17. Oktober 2024 in deutsches Recht überführt sein und die Bundesregierung drückt aufs Tempo. Auf Verzögerungen zu hoffen, ist gefährlich, zumal viele Unternehmen den Aufwand für die Umsetzung der NIS2-Anforderungen unterschätzen. Laut einer Studie des Verbands der Internetwirtschaft eco haben aktuell nur 13,2 Prozent der Unternehmen in Deutschland ihr Risikomanagement im Bereich Cybersecurity optimiert. Nur 7 von 100 Unternehmen haben bislang den Standard ISO 27001 oder den BSI-IT-Grundschutz eingeführt. Je größer das Unternehmen und je komplexer die internen Lieferstrukturen, desto langwieriger der Prüfungs- und Realisierungsprozess. Die folgenden sechs Handlungsempfehlungen helfen dabei, bei der NIS2-Umsetzung zügig aufzuholen:
Schritt 1: Sensibilisierung des Managements
Der entscheidende Faktor für eine NIS2-konforme IT-Sicherheit ist das Bewusstsein im und der Support durch das Management. Nur wenn die Geschäftsführung bereit ist, sich der Cyberbedrohung zu stellen und die Dringlichkeit modernster IT-Sicherheit anzuerkennen, lassen sich die technischen und organisatorischen Maßnahmen (TOMs) optimal ausrichten und Ressourcen für die Umsetzung einplanen. Ein starkes Argument dahingehend ist die persönliche Haftbarkeit. Die NIS2-Richtlinie sieht vor, dass auch die Geschäftsführung persönlich haftet, wenn sie ihre Pflichten im Hinblick auf Cybersicherheit vernachlässigen. Dies kann neben den persönlichen Konsequenzen wie etwa Geldstrafen oder Entlassung auch zu Betriebsunterbrechungen sowie immensen wirtschaftlichen Schäden führen. Um schnell in die praktische Umsetzung zu kommen ist es ratsam, eine durchdachte Roadmap zu erstellen und professionelle IT-Unterstützung für die NIS2-Konformität in Anspruch zu nehmen.
Schritt 2: Analyse des Ist-Zustands
Zunächst müssen Unternehmen alle bestehenden Informationssicherheitsrisiken analysieren. Dies umfasst die Untersuchung der IT-Infrastrukturen, Assets und Ressourcen sowie die Identifizierung von Schwachstellen. Entscheidend bei einem solchen Security Audit sind die Abhängigkeiten in Prozessen und Systemen. Es ist auch zu überprüfen, welche Sicherheitsmaßnahmen bereits vorhanden sind und wie frühere Sicherheitsvorfälle gehandhabt wurden. Unternehmen, die bereits Maßnahmen zur Cybersicherheit ergriffen haben und etwa über eine Zertifizierung nach TISAX oder ISO-27001 verfügen, sind im Vorteil, dürfen sich jedoch nicht darauf ausruhen, sondern müssen diese mit den Anforderungen der NIS2-Richtlinie mappen, um ableiten zu können, welche Maßnahmen noch fehlen. Denn Fakt ist: Es werden definitiv Ergänzungen erforderlich, beispielsweise bei der Auslegung des Meldeverfahrens, spezifischer Schulungen und dem Rollenbewusstsein des Managements.
Schritt 3: Übersicht über Prozesse und Verantwortlichkeiten
Im nächsten Schritt ist es erforderlich, alle Unternehmensprozesse und Verantwortlichkeiten zu durchleuchten. Insbesondere in Unternehmen mit verzweigten oder vielschichtigen Strukturen oder bei dezentral sowie mobil arbeitenden Teams ist es entscheidend, klare Verantwortlichkeiten zu schaffen und eine koordinierte Arbeitsweise zu etablieren, wann und wie der Zugriff auf Systeme und Daten möglich ist. So lassen sich klare Rollenverteilungen für das Sicherheitsmanagement ableiten und Prozessanpassungen sowie -kontrollen etablieren. Dies bildet die Grundlage für ein solides und sicheres Berechtigungsmanagement und Authentifizierungsverfahren. Die Kommunikations- und Zusammenarbeitsstrukturen im Unternehmen sind ebenfalls relevant und müssen lückenlos dokumentiert werden.
Alle externen Serviceunternehmen bergen potenzielle Risiken, besonders bei bestehenden Schnittstellen zwischen Systemen oder beim Datenaustausch. Unternehmen müssen sicherstellen, dass Verträge mit Partnerunternehmen klare Sicherheitsanforderungen definieren, die der NIS2-Richtlinie entsprechen. Dazu gehören Zugangskontrollen, regelmäßige Sicherheitsüberprüfungen und eine offene Kommunikation innerhalb der gesamten Lieferkette. Dazu ist es ratsam, eine Liste der Partnerunternehmen einschließlich der Art der Zusammenarbeit sowie der genutzten Systeme zu erstellen und eine Risikobewertung durchzuführen. Diese hilft dabei, die notwendigen Maßnahmen zu priorisieren. So sollte beispielsweise der Dienstleister, ohne dessen Zutun der Betrieb stillstehen würde, vorrangig geprüft und alle Prozesse mit diesem abgesichert werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Schritt 5: Etablierung eines Meldekonzepts
Die vorangegangenen Schritte sind Voraussetzung für die Einführung eines Meldekonzepts (Incident Response Plan), das den Anforderungen der NIS2-Richtlinie entspricht. Jeder Mitarbeitende muss genau wissen, was im Ernstfall zu tun ist. Detaillierte Prozesse und Workflows für die Erkennung, Meldung und Behandlung von Sicherheitsvorfällen sind entscheidend. Hier gibt es auch deutlich knappere Zeitfenster bzw. Fristen als in bisherigen Regularien. Ein gut ausgearbeiteter Kommunikationsplan stellt sicher, dass alle internen und externen Stakeholder schnell und effizient informiert werden. Alle Schritte und Entscheidungen während eines Vorfalls sollten systematisch dokumentiert werden, um Transparenz und Nachvollziehbarkeit zu gewährleisten.
Schritt 6: Trainings fürs Team
Ein umfassendes und regelmäßiges Cybersicherheitstraining für das Team ist unerlässlich. Dabei ist die Expertise von erfahrenen IT-Spezialisten besonders hilfreich, um von deren Wissens- und Erfahrungsschatz zu profitieren. Regelmäßige Schulungen halten die Mitarbeitenden über die neuesten Bedrohungen und Sicherheitspraktiken auf dem Laufenden. Phishing-Simulationen helfen, das Bewusstsein für solche Angriffe zu schärfen und die Reaktionsfähigkeit zu testen. Den Mitarbeitenden sollte Zugang zu aktuellen Ressourcen, Tools und Informationen zur Cybersicherheit bereitgestellt werden, damit sie stets auf dem neuesten Stand sind und die allgemeine Sicherheitslage des Unternehmens verbessern können.
Fazit: Die Zeit drängt – so oder so
Eine „Aufschieberitis“ in Sachen NIS2 ist mehr als gefährlich für Unternehmen. Selbst wenn man die potenziellen Bußgelder für Unternehmen sowie Haftungsrisiken für Geschäftsführer und Vorstände außer Acht lässt, bleibt noch immer die wachsende Bedrohung durch Cyberkriminelle sowie damit einhergehend mögliche wirtschaftliche und Reputationsschäden für ein Unternehmen. Dabei ist die NIS2-Richtlinie aber nur ein folgerichtiger Schritt aus dem Bedarf heraus, IT-Strukturen bestmöglich gegen Attacken von außen abzusichern. Cyberangriffe halten sich nicht an bürokratische Fristen. Jetzt ist die Zeit, zu handeln!
Über den Autor: Nils Heilgermann ist Managing Consultant im Bereich IT-Security bei der Novatec Consulting GmbH und hilft Unternehmen aus verschiedenen Branchen dabei, die IT-Sicherheit stets auf dem aktuellen Stand zu halten. Er verfügt über mehr als sieben Jahre Erfahrung in den Bereichen Security Intelligence & Operations Consulting wie auch Security Strategy, Risk & Compliance aus.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/dd/84/dd84c19ef50a5eda08925e43f018e293/0119359539v2.jpeg "Der kostenlose Best-Practice-Leitfaden der Security-Insider-Redaktion erläutert in zehn Schritten, was zu tun ist, um in puncto NIS 2 rechtskonform zu agieren. (Bild: ali - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/6d/fc6d9a2eb9768f75d4a1168e3e55c738/0119760165v2.jpeg "Das Bundeskabinett hat den von Bundesinnenministerin Nancy Faeser vorgelegten Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen. Damit wird die EU-Richtlinie NIS 2 in deutsches Recht umgesetzt. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/9c/fa9cb07b434bfebc7cc0ee661d1fb07a/0128011752v1.jpeg "Pantelis Astenburg von Versa Networks erläutert die zentralen Schritte zur NIS2-Umsetzung und hebt die Bedeutung klarer Verantwortlichkeiten und konsolidierter Sicherheitsstrukturen hervor. (Bild: Versa Networks)")
:quality(80)/p7i.vogel.de/wcms/5b/2a/5b2ad729c70870c284ee30e0a7ddc720/0124913512v2.jpeg "Bei der IT-Compliance reicht es nicht aus, einzelne technische Maßnahmen umzusetzen – entscheidend ist die ganzheitliche Betrachtung des gesamten Systems. (Bild: © Eliane - stock.adobe.com)")