ARCA-Consult GmbH
Wir sichern Unternehmenswerte
ARCA-Consult GmbH

NIS-2 im Unternehmenskontext - ein Überblick

NIS steht für Netzwerk und Informationssysteme und ist eine EU-weit geltende Richtlinie.
Die NIS‑2‑Richtlinie (EU) 2022/2555 setzt EU‑weit verbindliche Mindestanforderungen an Cybersicherheit. Sie erweitert den Geltungsbereich deutlich und verschärft die Anforderungen an Risikomanagement, Meldepflichten und Aufsicht. In Deutschland gelten die Vorgaben seit 06.12.2025 über das NIS‑2‑Umsetzungsgesetz und die Novelle des BSI‑Gesetzes (BSIG‑neu). 



Risiko vs Resilienz


Fakten für Unternehmen

NIS-2 ist seit dem 06.12.2025 in Kraft

Diese europäische Richtlinie sollte ursprünglich bis Oktober 2024 von allen Mitgliedstaaten der EU in nationales Recht überführt werden. Deutschland hat diese Frist jedoch nicht eingehalten, wodurch ein Vertragsverletzungsverfahren der EU-Kommission eingeleitet wurde. Eine nationale Umsetzung der NIS-2 Richtline wurde nun am 05.12.2025 im Bundestag verabschiedet und trat am 06.12.2025 mit dessen Veröffentlichung im Bundesgesetzblatt in Kraft. 
          
Bundesgesetzblatt Teil I - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung - Bundesgesetzblatt

 

Roadmap

...

16.01.2023

Die Richtlinie tritt innerhalb der EU in Kraft. Sie gilt als Mindeststandard.
...

17.10.2024

Frist für die EU-Mitgliedstaaten, die Richtlinie in nationales Recht umzusetzen. Deutschland hat diese Frist jedoch nicht eingehalten.
...

06.12.2025

NIS-2 tritt in Kraft.
Am 05.12.2025 beschloss der Bundestag mit dem NIS‑2‑Umsetzungsgesetz und die Novelle des BSI‑Gesetzes die NIS-2 Richtlinie für Deutschland.
...

17.10.2027

Erste Überprüfungen / Reviews der Richtlinie durch die EU-Kommission (Kommissionsbericht), danach alle 36 Monate.



 

Wesentliche Bestandteile von NIS-2

Nationale
Cyber-Sicherheitsstragie

Rolle der nationalen CSIRT´s und Behörden bei Cybersicherheitsvorfällen

Europäische Schwachstellendatenbank (EUVD)

Koordinierte Meldung von Vorfällen (CVD)

Verpflichtung der Leitung

Risikomanagement

Sanktionen und Bußgelder

 


Wer ist von NIS-2 betroffen?

Die Richtlinie gilt für Unternehmen und Institutionen, die ihre Dienstleistungen in der EU erbringen oder dort ausüben. 
Der Focus liegt weiterhin auf kritischen Infrastrukturen wie Energie, Verkehr und Gesundheitswesen.
Neu betroffen sind jedoch auch zahlreiche Unternehmen im klein- und mittelständischen Bereich, die bisher nicht unter die Regelungen fielen. 

Gruppe

Definition / Klasse

Besonderheiten
Besonders wichtige Einrichtungen
  • Sektoren aus Anlage 1 (kritische Sektoren)
  • ≥ 250 Mitarbeitende oder Umsatz > 50 Mio. €
    UND Bilanz > 43 Mio. €
  • Automatisch: KRITIS-Betreiber
  • Größenunabhängig: qTSP, TLD, DNS, TK-Anbieter
Wichtige Einrichtungen
  • Sektoren aus Anlage 2 (wichtige Sektoren)
  • ≥ 50 Mitarbeitende oder 
    Umsatz/Bilanz > 10 Mio. €
  • Vertrauensdienste und TK-Anbieter können als wichtige Einrichtungen eingestuft werden, wenn sie die Schwellenwerte erfüllen.
KRITIS-Betreiber
  • Betreiber kritischer Anlagen nach BSI-KritisV
  • Schwellenwert: i. d. R. ≥ 500.000 versorgte Personen
  • Automatisch „besonders wichtig“
Bundeseinrichtungen
  • Öffentliche Stellen des Bundes, bestimmte Körperschaften und IT-Dienstleister des Bundes
  • Eigene Pflichten nach § 29 BSIG

 

Betroffenheitsanalyse

Diese muss von Ihnen selbst ermittelt werden.
Von behördlicher Seite wird Ihnen nicht mitgeteilt, ob für Sie die NIS-2-Vorgaben gelten.
BSI Betroffenheitsprüfung



Unsere Beratungsleistung

Betroffenheitsanalyse und Registrierungsunterstützung

Wir prüfen systematisch, ob und in welchem Umfang Ihr Unternehmen von den Anforderungen der NIS2-Richtlinie betroffen ist.
Dabei analysieren wir Ihre Geschäftsprozesse, Unternehmensstruktur und Branche, um die korrekte Einstufung vorzunehmen.
Auf Wunsch begleiten wir Sie zudem bei der vollständigen und fristgerechten Registrierung bei den zuständigen Behörden.

Schneller Quick Check oder Gap-Analyse und Reifegradanalysen

Mit unserem ARCA Smartscan erhalten Sie innerhalb kürzester Zeit einen präzisen Überblick über Ihren aktuellen Compliance-Status.
Alternativ oder ergänzend führen wir eine umfassende Gap-Analyse sowie eine Reifegradbewertung durch, um bestehende Lücken gegenüber den Anforderungen der NIS2-Richtlinie und ISO-Standards transparent aufzuzeigen. So entsteht eine belastbare Entscheidungsgrundlage für die nächsten Schritte.

Entwicklung maßgeschneiderter Strategien/Maßnahmenplan

Basierend auf den Ergebnissen der Analyse entwickeln wir eine individuelle Strategie, die exakt auf Ihr Unternehmen, Ihre Ressourcen und Ihre Risikolage abgestimmt ist. Neben klar definierten Maßnahmen priorisieren wir Umsetzungsschritte und stellen sicher, dass organisatorische, technische und regulatorische Anforderungen optimal berücksichtigt werden.

Implementierung und Integration der Maßnahmen

Wir begleiten Sie aktiv bei der praktischen Umsetzung der definierten Maßnahmen – von der Einführung technischer Sicherheitsmechanismen bis zur Anpassung organisatorischer Prozesse. Unsere Experten sorgen dafür, dass neue Anforderungen nahtlos in bestehende Strukturen integriert werden und im Tagesgeschäft nachhaltig wirksam sind.

Schulung und Sensibilisierung der Mitarbeitenden sowie der Geschäftsführung

Wir bieten praxisnahe Schulungen und zielgruppenorientierte Sensibilisierungsmaßnahmen, die das notwendige Bewusstsein für Sicherheits- und Meldepflichten gemäß NIS-2 schaffen. Führungskräfte und Mitarbeitende erhalten klare Handlungsempfehlungen und werden befähigt, ihre Rollen und Verantwortlichkeiten im Sicherheitskontext sicher wahrzunehmen.

Kontinuierliche Überwachung und Optimierung

Um dauerhaft konform zu bleiben, unterstützen wir Sie bei der kontinuierlichen Überprüfung relevanter Maßnahmen und Prozesse. Durch regelmäßige Assessments, Anpassungen und Verbesserungen stellen wir sicher, dass Ihr Sicherheitsniveau auch bei neuen Bedrohungen, regulatorischen Änderungen oder organisatorischem Wachstum stabil bleibt.

Sektoren mit hoher Kritikalität

Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
IKT-Dienste (B2B)
Öffentliche Verwaltung
Weltraum



Sonstige kritische Sektoren

Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel
mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb
von Lebensmitteln
Verarbeitendes Gewerbe / Herstellung
von Waren
Anbieter digitaler Dienste
Forschung



Sonderfälle - die Ausnahme von der Regel

Bestimmte Unternehmen und Institutionen fallen unabhängig von den üblichen Schwellenwerten unter den Anwendungsbereich der NIS 2 Richtlinie. Dies betrifft Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Ordnung, Sicherheit oder Gesundheit hätte oder die aufgrund ihrer Tätigkeit systemische Risiken oder grenzüberschreitende Auswirkungen verursachen könnten.

Was bedeutet das für mich als betroffenes Unternehmen?

 

Pflichten

Sie müssen einer Reihe an Pflichten nachkommen, um den Anforderungen bezüglich

  • Registrierungspflicht beim BSI
  • Cyberresilienz
  • Cyberhygiene
  • Risikomanagement
  • Business Continuity Management
  • Leitungsverantwortung
  • Lieferkettensicherheit
  • Secure Development & Betrieb
  • Koordiniertes Schwachstellen-Disclosure
  • Dokumentation & Nachweisführung
  • Berichtspflichten
im Unternehmen gerecht zu werden und damit im Krisenfall funktionsfähig zu bleiben.





Strafen

Ähnlich der DSGVO werden Bußgelder genannt, die bei Nichteinhaltung von Risikomanagementmaßnahmen im Bereich Cybersicherheit und Berichtspflichten je nach Art, Schwere und Dauer drohen.

  • Bei besonders wichtigen Einrichtungen:
    können bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes fällig werden.
  • Bei wichtigen Einrichtungen:
    können bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes fällig werden.
Zusätzlich können nicht-monetäre Sanktionen, wie Anordnungen, Audits oder Betriebsbeschränkungen, verhängt werden. Die Geschäftsleitung kann bei Verstößen persönlich haftbar gemacht werden – z. B. mit Managementverboten oder öffentlicher Sanktionierung.




Meldepflichten

Meldungen von erheblichen Sicherheitsvorfällen an die zentrale Behörde ist verpflichtend und wird bei Nichteinhaltung mit hohen Geldstrafen belegt.

  • Early Warning (max. 24 h):
    Erste Mitteilung an die zuständige Behörde oder CSIRT – z. B. bei Verdacht auf grenzüberschreitende oder kriminelle Ursachen.
  • Incident Notification (max. 72 h):
    Ausführliche Dokumentation inkl. Ersteinschätzung, Indikatoren und Updates.
  • Final Report (bis 1 Monat):
    Umfassender Abschlussbericht mit Ursachenanalyse, Maßnahmen und Lessons Learned.

Pflichten der Geschäftsleitung

  • Risikomanagement 
    Unternehmen müssen ein umfassendes Risikomanagement etablieren, das Bedrohungen für Netz- und Informationssysteme systematisch identifiziert, bewertet und behandelt. Dazu gehören Maßnahmen wie Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement und sichere Entwicklung. Die Geschäftsleitung ist verpflichtet, diese Maßnahmen zu genehmigen, deren Umsetzung zu überwachen und regelmäßig Berichte einzufordern.

  • Security Awareness 
    Mitglieder der Leitungsorgane müssen verpflichtend an Schulungen teilnehmen, um Risiken erkennen und bewerten zu können sowie wirksame Cybersicherheitspraktiken zu verstehen. Unternehmen müssen zudem regelmäßige Awareness-Programme für alle Mitarbeitenden durchführen, um menschliche Fehler und Social-Engineering-Angriffe zu minimieren. Diese Trainings sollen praxisnah sein und Themen wie Incident-Meldung, sichere Nutzung von IT-Systemen und aktuelle Bedrohungslagen abdecken.

Keine Pflicht aber Best Practice Ansatz

  • Zusammenarbeit mit Hochschulen und Forschungseinrichtungen 
    Kontinuierliche Weiterentwicklung der Cybersicherheitsstrategie durch Nutzung neuester Forschungsergebnisse. Angestrebt ist die Unterstützung und Förderung zwischen Forschung und Wirtschaft zur Weiterentwicklung von Abwehrmaßnahmen gegenüber Cyberbedrohungen.