Nach jahrelanger Verzögerung wurde die Cybersicherheitsrichtlinie nun beschlossen, sie soll Anfang 2026 in Kraft treten. Diese EU-weite Regelung soll sicherstellen, dass Unternehmen in kritischen Bereichen und ihre Zulieferer umfassend vor Cyberangriffen geschützt sind.
Damit werden vom BSI (Bundesamt für Sicherheit in der Informationstechnik) künftig 29.500 Einrichtungen beaufsichtigt.
Was bedeutet das jetzt für Ihr Unternehmen?
Die NIS2 betrifft Unternehmen, die einem von 18 festgelegten Sektoren angehören, die entweder als „wesentlich“ oder „wichtig“ klassifiziert sind.
Wesentliche Sektoren:
Energie (z. B. Elektrizität, Erdgas)
Transport (z. B. Luftverkehr, Schienenverkehr)
Bankwesen
Finanzmarktinfrastruktur
Gesundheit (inkl. Medizinforschung und -geräte)
Trinkwasser
Digitale Infrastruktur (z. B. Cloud Provider, Rechenzentren)
Öffentliche Verwaltungen
IKT-Dienstleister (z. B. Managed Security Service Provider)
Weltrauminfrastruktur
Abwasserwirtschaft
Wichtige Sektoren:
Post- und Kurierdienste
Abfallwirtschaft
Chemieproduktion
Lebensmittelproduktion und -verarbeitung
Produktion von Medizinprodukten und Fahrzeugen
Digitale Anbieter (z. B. Marktplätze, soziale Netzwerke)
Forschung
Was müssen betroffene Unternehmen tun? Besonders Geschäftsleitungen müssen an dieser Stelle aufpassen. § 38 BSIG sieht Umsetzungs-, Überwachungs- und Schulungspflicht für Letztere vor.
Unternehmen müssen ein spezialisiertes Cybersicherheits-Kernteam aufstellen, bestehend aus Geschäftsführung, IT-Sicherheits- und Datenschutzbeauftragten. Zudem sind umfassende Schulungen, ein Informationssicherheitsmanagementsystem (ISMS) wie ISO 27001 und regelmäßige Audits Pflicht. Auch kleinere Zulieferer, die für kritische Unternehmen arbeiten, müssen diese Anforderungen erfüllen. Besonders relevant: Cyberangriffe müssen innerhalb von 24 Stunden an das BSI gemeldet werden, mit einem Zwischenbericht nach 72 Stunden. Der Abschlussbericht muss nach einem Monat erfolgen.
Wichtige Fristen und Konsequenzen
Wer in Sachen Cybersicherheit noch keine Maßnahmen ergriffen hat, hat nur noch wenig Puffer, um die IT-Systeme auf das geforderte Sicherheitsniveau zu bringen. Die neuen Pflichten treten voraussichtlich Anfang 2026 in Kraft. Unternehmen, die bis dahin keine angemessenen Maßnahmen umgesetzt haben, riskieren nicht nur empfindliche Strafen, sondern auch potenzielle Sicherheitsvorfälle, die vermeidbar gewesen wären. Vorbereitung ist alles!
Die Zeit drängt. Unternehmen, die diese Regelungen noch nicht abgedeckt haben, sollten jetzt mit der Planung und Umsetzung beginnen, um ihre IT-Infrastruktur und Lieferketten abzusichern. Die NIS2-Regelung macht deutlich, dass Cybersicherheit nicht nur ein IT-Thema ist – sie betrifft die gesamte Organisation. Doch auch, wenn Sie von diesen Regelungen nicht betroffen sind, empfehlen wir Ihnen dringend, die verlangten Maßnahmen einzuführen. Denn Cyberbedrohungen sind für alle Firmen ein reales Risiko. Die Folgen reichen von hohen finanziellen Verlusten bis hin zur Unternehmensschließung.
Sind wir betroffen?
Mit der vom BSI angebotenen Betroffenheitsprüfung können Sie in wenigen Schritten selbst prüfen, ob Ihr Unternehmen auch von der NIS2-Richtlinie betroffen ist:
https://betroffenheitspruefung-nis-2.bsi.de/
Fazit
Die NIS2-Richtlinie setzt neue Maßstäbe für den Umgang mit Cyberbedrohungen in kritischen Sektoren. Unternehmen sollten daher spätestens jetzt Maßnahmen ergreifen, um schwerwiegende Sicherheitsvorfälle zu vermeiden. Bei Unklarheiten und Rückfragen können Sie sich gerne auch direkt an uns wenden. Wir können die Gefahr zwar nicht abwenden, aber wir können helfen, dass Sie, so gut es geht, abgesichert sind.
