Was Verantwortliche jetzt wissen müssen
NIS2 ist in Kraft. Wo steht Ihr Unternehmen?
Warum NIS2 jetzt wieder im Gespräch ist
Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland. Die erweiterten Anforderungen an Cybersecurity, digitale Resilienz und technische Nachweisbarkeit der EU-Richtlinie betreffen mehrere Tausend mittelständische Unternehmen. Haben Sie bereits Maßnahmen in Richtung NIS2-Compliance getroffen? Und wenn ja, entsprechen die vorhandenen Maßnahmen tatsächlich den NIS2-Standards und sind auditfähig?
Ihr Wissens-Hub rund um NIS2
Tiefere Einblicke durch Webinare, Whitepaper, Fachartikel etc.
Aktuelle Studie
Cybersicherheit & Digitale Resilienz 2026
Die Studie von COMPUTERWOCHE Research Services in Zusammenarbeit mit plusserver zeichnet ein Lagebild der Umsetzung aktueller Richtlinien wie NIS2 und DORA. Vergleichen Sie selbst, wie weit Ihr Unternehmen im Vergleich zum Wettbewerb ist.
NIS2 verlangt sofortiges Handeln
Mit Inkrafttreten des NIS2-Umsetzungsgesetzes gelten alle Pflichten unmittelbar. Betroffene Unternehmen müssen sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und anschließend nachweisen können, dass sie geeignete technische und organisatorische Maßnahmen etabliert haben. Wer noch unsicher ist, ob das eigene Unternehmen von NIS2 betroffen ist, kann dies übrigens auch direkt auf der Website des BSI prüfen.
NIS2-Checkliste
Technische und organisatorische Maßnahmen
Die Checkliste unterstützt die strukturierte NIS2-Vorbereitung. Sie ersetzt keine formale Bewertung, zeigt aber technischen und organisatorischen Prüfbedarf auf.
Technische Anforderungen
NIS2 ist kein „Paper Compliance“-Thema. Die Richtlinie verlangt nachweisbare technische Maßnahmen, die oft weit über bestehende Security-Basics hinausgehen. Selbst Unternehmen mit bestehenden Tools wie Endpoint Security erfüllen die neuen Anforderungen häufig nicht vollständig.
Blogartikel
7 technische Pflichten unter NIS2
Auch außerhalb des NIS2-Scopes lohnt es sich, den Maßnahmenkatalog zu nutzen und Sicherheitsstandards zu stärken.
Für mittelständische Unternehmen ergeben sich insbesondere vier Herausforderungen:
1. Nachweisbare technische Maßnahmen statt „Best Effort“
NIS2 fordert dokumentierte Prozesse, Audit-fähige Logfiles, Incident-Workflows und definierte technische Mindeststandards.
. Höhere Anforderungen an Monitoring & Detection
NIS2 verlangt eine kontinuierliche Überwachung sicherheitsrelevanter Ereignisse. Ohne SIEM, Logmanagement & Use Cases bleibt ein Blindspot.
3. Managementhaftung & externe Nachweispflichten
Die Geschäftsleitung wird in die Pflicht genommen, inklusive persönlicher Verantwortung bei unzureichender Umsetzung.
4. Lieferketten & Dienstleister
Auch externe Dienstleister müssen nachweisen, dass sie die Anforderungen erfüllen.
NIS2-Meldepflichten
Einer der meistdiskutierten Punkte bei der Umsetzung der NIS2-Richtlinie in Deutschland sind die strengen Meldepflichten bei Sicherheitsvorfällen. Betroffene Unternehmen müssen erhebliche Vorfälle innerhalb enger Fristen an die zuständige Aufsichtsbehörde melden. Dies beginnt mit einer Erstmeldung innerhalb von 24 Stunden, gefolgt von Folge- und Abschlussberichten.
Entscheidend ist dabei weniger die sofortige vollständige Ursachenklärung als vielmehr die Fähigkeit, relevante Vorfälle frühzeitig zu erkennen, korrekt einzuordnen und belastbar zu dokumentieren. Ohne definierte Prozesse, Zuständigkeiten und verlässliche Informationsquellen lassen sich diese Anforderungen im Ernstfall kaum fristgerecht erfüllen.
Blogartikel
NIS2-Meldepflichten verstehen und erfüllen
Erfahren Sie, welche NIS2-Meldefristen gelten, welche Informationen wann erforderlich sind und warum eine gute Vorbereitung entscheidend ist.
SOC as a Service schafft den Überblick
Viele technische Vorgaben von NIS2 lassen sich nur erfüllen, wenn sicherheitsrelevante Ereignisse kontinuierlich überwacht und ausgewertet werden. Eine zentrale Logsammlung, priorisierte Alarmierung, die Bewertung potenzieller Vorfälle und die Fähigkeit, innerhalb kurzer Zeit reagieren zu können: Für mittelständische Unternehmen ist der Aufbau dieser Fähigkeiten mit hohem Aufwand verbunden.
Jedoch lässt sich der Service auch komplett outsourcen. An ein rund um die Uhr aktives Security Operations Center (SOC) as a Service, das alle Systeme überwacht, potenzielle Sicherheitsvorfälle analysiert und die interne IT bei der Behandlung unterstützt. Regelmäßige Reports sorgen dafür, dass alle Aktivitäten nachvollziehbar dokumentiert sind. Damit erfüllen Unternehmen einen zentralen Bestandteil der NIS2-Melde- und Nachweispflichten.
Blogartikel
Warum 24/7-Monitoring jetzt zählt
NIS2 verlangt, sicherheitsrelevante Ereignisse jederzeit zu erkennen. Angriffe bleiben oft lange unbemerkt und entfalten ihre Wirkung schrittweise.
Whitepaper
Braucht Ihr Unternehmen ein Security Operations Center?
Das Paper erklärt SOC-Leistungen, zeigt unterschiedliche Betriebsmodelle auf und hilft einzuschätzen, was für Ihren konkreten Anwendungsfall realistisch ist.
Compliance-Lücken aufdecken
Als Security-Spezialist der plusserver-Gruppe legt die Cosanta GmbH einen starken Fokus darauf, mittelständischen Unternehmen eine objektive und detaillierte Bewertung ihrer Sicherheitslage zu ermöglichen. Sie sichten bestehende Prozesse, prüfen technische Konfigurationen, analysieren Datenquellen und bewerten, wie Vorfälle erkannt, weiterverarbeitet und dokumentiert werden.
Der Schwerpunkt liegt auf der praktischen Umsetzbarkeit: Die Ergebnisse werden in einem Maßnahmenplan zusammengefasst, der nach Relevanz, Aufwand und Risiko priorisiert ist. So entsteht eine verlässliche Grundlage, auf der sowohl Geschäftsführung als auch IT-Leitung entscheiden können, wie NIS2 effizient und nachhaltig erfüllt wird.
Im Anschluss begleitet Cosanta gerne die Umsetzung einzelner Maßnahmen oder übernimmt den operativen Sicherheitsbetrieb. Erfahren Sie mehr über Cosanta im aktuellen Heise-Webinar – oder sprechen Sie uns direkt an!
Webinar
„Don't panic!“ - Security pragmatisch angehen
Experten von Cosanta und plusserver zeigen im Heise-Webinar, wie Sie Ihre IT auch ohne großes Spezialistenteam absichern. Mit Managed Security Services wird NIS2-Compliance praktisch nebenbei erreicht.
FAQ
Falls Sie weitere Fragen haben, die hier noch nicht beantwortet wurden, nehmen Sie gerne direkt Kontakt mit uns auf.
Obwohl es sich bei NIS2 und der DSGVO um getrennte Rechtsinstrumente handelt, ergänzen sie einander und tragen gemeinsam zur Stärkung des Datenschutzes und der Cybersicherheit in der EU bei. Die DSGVO konzentriert sich hauptsächlich auf den Schutz personenbezogener Daten, während die NIS-Richtlinie den Schwerpunkt auf die Gewährleistung der Cybersicherheit in kritischen Infrastrukturen und Diensten legt.
Obwohl sich beide Rechtsvorschriften auf Cybersicherheit konzentrieren und auf EU-Ebene entwickelt werden, haben sie unterschiedliche Schwerpunkte. NIS2 konzentriert sich auf wesentliche Dienste und digitale Dienstleister in verschiedenen Branchen, während DORA (Digital Operational Resilience Act) speziell auf den Finanzdienstleistungssektor ausgerichtet ist. Dies beantwortet auch die Frage, welches Gesetz für beaufsichtigte Institute und Unternehmen des europäischen Finanzsektors zukünftig gilt. Denn als spezielles Gesetz (lex specialis) übertrumpft DORA die generelle Rechtsvorschrift NIS2.
Ausführliche Informationen und Hilfestellungen rund um DORA sind zum Beispiel bei der BaFin zu finden.
In Deutschland ist das BSI die zuständige Behörde für die Überwachung der betroffenen Unternehmen sowie die Verhängung entsprechender Sanktionen bei Verstößen. Mit der Richtlinie erhält das Bundesinstitut erweiterte Befugnisse und Verantwortungsbereiche. Statt der derzeit 4.500 beaufsichtigten Unternehmen werden es mit NIS2 ca. 29.000 Unternehmen sein.
Gleichzeitig wird das Bundesinstitut weiterhin Hilfestellungen anbieten, um die Cybersicherheit in KRITIS-Unternehmen zu stärken. So können die Betreiber schon heute auf MIRTs (Mobile Incident Response Teams) des BSI zugreifen, die bei der Bewältigung von Cyberangriffen unterstützen.
Zum einen sind in der Richtlinie Bußgelder für allgemeine Tatbestände festgeschrieben, die nicht zwischen den NIS2-Betreibergruppen unterscheiden, also für alle regulierten Unternehmen gelten. Je nach Art des Verstoßes liegen diese zwischen 100.000 und 2 Millionen Euro.
Zum anderen unterscheidet die Richtlinie bei bestimmten Tatbeständen zwischen „besonders wichtigen“ und „wichtigen Einrichtungen“, die sich durch die Art ihrer Dienste sowie Umsatz und Anzahl der Mitarbeitenden abgrenzen.
„Besonders wichtige Einrichtungen“ stammen ausschließlich aus den Sektoren mit hoher Kritikalität (siehe oben), während die „wichtigen Einrichtungen“ alle „weiteren kritischen Sektoren“ sowie ebenfalls Sektoren mit hoher Kritikalität – allerdings unterhalb bestimmter Schwellenwerte – umfassen.
Bußgelder für besonders wichtige Einrichtungen liegen je nach Verstoß zwischen 100.000 Euro bis zu 10 Millionen Euro bzw. 2 Prozent des Jahresumsatzes.
Bußgelder für wichtige Einrichtungen betragen bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes.
Die möglichen Tatbestände reichen von Verstößen gegen Risikomanagementmaßnahmen und Meldepflichten oder der falschen bzw. unvollständigen Nachweiserbringung über die Erfüllung der Anforderungen und die Nicht-Herausgabe von Informationen bis hin zu nicht erreichbaren Kontaktstellen.
Neben den finanziellen Sanktionen ist auch die persönliche Haftung der Geschäftsleitung zu beachten. Das BSI soll als Aufsichtsbehörde weitergehende Befugnisse erhalten. Damit wird es beispielsweise Menschen, „die als Geschäftsführung oder gesetzliche Vertreter für Leitungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen“ können.