Laut einer jüngst durchgeführten TÜV-BSI-Studie zur Cybersicherheit der deutschen Wirtschaft sind eine Zunahme der Cyberangriffe, die mangelnde Kenntnis der Betroffenheit von NIS2 und unzureichende Cybersicherheitsmaßnahmen seitens der Unternehmen verzeichnet worden. In der heutigen digitalisierten Geschäftswelt ist Cybersicherheit entscheidend, um den reibungslosen Betrieb und den langfristigen Erfolg von Unternehmen sicherzustellen.
Die Abhängigkeit von vernetzten Informations- und Kommunikationssystemen nimmt in Unternehmen kontinuierlich zu und bildet die Grundlage für zahlreiche Geschäftsprozesse.
So kommt es immer häufiger zu Cyberbedrohungen wie Ransomware-Angriffe, Datendiebstahl und systematische Ausfälle, die auch dabei zunehmend komplexer werden.
Angesichts dieser Herausforderungen werden regulatorische Maßnahmen zur Stärkung der Cybersicherheit immer bedeutender, sodass die Europäische Union die NIS-Richtlinie im Zuge dessen erstmals im Jahre 2016 verabschiedet hatte. Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit, die NIS-2-Richtlinie, wurde 2022 bekanntgegeben, die sich als eine Weiterentwicklung der ersten Richtlinie erweist. Der Bundestag hat das NIS-2-Umsetzungsgesetz am 13.11.2025 beschlossen.
Definition und wesentliche Grundsätze der NIS-2-Richtlinie
Die NIS-2-Richtlinie betrifft vor allem Unternehmen in kritischen Sektoren wie Energie, Gesundheitswesen, Verkehr, Finanzdienstleistungen, Wasser- und Abfallwirtschaft, Lebensmittelversorgung und digitale Infrastrukturen. Somit sind sie verpflichtet, strenge Cybersicherheitsmaßnahmen zu implementieren, Vorfälle zu melden und die Resilienz ihrer Systeme gegen potenzielle Cyberangriffe sicherzustellen. Die Richtlinie dient vor allem dazu, eine einheitliche Umsetzung der Sicherheitsanforderungen in der EU festzulegen, um systematische Risiken zu minimieren und den Schutz vor Cyberangriffen zu gewährleisten.
Bestandteile der NIS-2-Richtlinie sind, unter anderem, die Ausweitung des Anwendungsbereichs auf kritische Wirtschaftssektoren und der stärkere Fokus auf proaktive Risikominimierung. Auch trägt die Geschäftsleitung die direkte Verantwortung für die Einhaltung der Richtlinie. Unternehmen müssen Cybervorfälle innerhalb von 24 Stunden melden und eine detaillierte Berichterstattung innerhalb von 72 Stunden vorlegen.
Die NIS2-Richtlinie zielt zudem darauf ab, Sicherheitsanforderungen zu harmonisieren, um nationale CSRTS (Computer Security Incident Response Teams) und eine grenzüberschreitende Kooperation in Bezug auf Cybervorfälle zu etablieren.
Um die Einhaltung der Richtlinie zu gewährleisten, sieht sie vor, strenge Sanktionen zu verhängen. Statt nur auf Vorfälle zu reagieren, liegt ebenso ein Schwerpunkt auf präventive Maßnahmen, um ein robustes Cybersicherheitsniveau zu schaffen. So sind eine Vorbereitung auf Sicherheitsvorfälle und eine Notfallplanung essenziel in diesem Kontext.
Maßnahmen zur Cybersicherheitskonformität nach NIS-2
Unternehmen müssen zur Einhaltung der NIS-2-Richtlinie eine Vielzahl von Maßnahmen ergreifen, die nicht nur Anpassungen technischer Art, sondern auch weitreichende Änderungen in der Unternehmenskultur und Führungsebene erfordert.
Identifizieren Sie Schwachstellen in den IT-Systemen und Netzwerken, um eine umfassende Risikoanalyse durchzuführen. Zudem ist es ratsam, geeignete Sicherheitslösungen zu implementieren, wie Firewalls, Intrusion-Detection-Systeme, regelmäßige Sicherheitsupdates und Verschlüsselung sensibler Daten. Führen Sie auch Zugriffskontrollen ein, wie die Nutzung einer Zwei-Faktor-Authentifizierung, sodass nur befugtes Personal den Zugriff auf sensible Systeme erhält. Regelmäßige Backups sind ebenso essenziell, um im Falle eines Cyberangriffs die Daten schnell wiederherstellen zu können.
Erstellen Sie einen Incident-Response-Plan, um klarzustellen, wie Sie auf Sicherheitsvorfälle reagieren. Organisieren Sie regelmäßige Schulungen der Mitarbeiter und Führungskräfte, um sie für Cybersicherheitsrisiken und ihre Verantwortung zu sensibilisieren. Die Umsetzung und Überwachung der Maßnahmen kann ein Cybersicherheitsbeauftragter übernehmen.
Implementieren Sie außerdem Überwachungssysteme, um Angriffe frühzeitig zu identifizieren, und führen Sie regelmäßige Audits durch, um die Konformität mit der NIS-2-Richtlinie zu gewährleisten.
Wir unterstützen Sie bei der Umsetzung der NIS-2-Richtlinie, indem wir Ihnen individuelle Beratungsleistungen zu Compliance, Risikomanagement und Sicherheitsmaßnahmen anbieten. Dazu gehören:
- Analyse und Bewertung: Prüfung der Betroffenheit Ihres Unternehmens durch die NIS-2 und Identifikation erforderlicher Maßnahmen
- Risikomanagement und Umsetzung: Unterstützung bei der Entwicklung eines Cybersicherheitskonzepts, Einführung erforderlicher Maßnahmen sowie Erstellung eines Incident-Response-Plans
- Unterstützung bei der Durchführung von Trainings zur Verantwortung der Geschäftsleitung und Sensibilisierung des Personals für Cybersicherheitsrisiken
- Begleitung bei der Einrichtung von Prozessen zur Einhaltung der Meldevorgaben sowie regelmäßige Audits zur Sicherstellung der Compliance