Für ZuhauseFür Unternehmen
NIS2 erhöht den IT-Sicher­heits­standard

EU-Richtlinie zur kritischen Infrastruktur

Ein Paragraphen-Zeichen auf einem Holzwürfel, der auf einer Tastatur steht

Letzte Aktualisierung:

18.02.2026

7 Minuten

Die NIS2-Richtlinie: Pflichten, Fristen & Sektoren kompakt erklärt

Inhalte:

Die Europäische Union hat sich zum Ziel gesetzt, die IT-Sicherheit im gesamten Bündnisraum zu vereinheitlichen und zu erhöhen. Dazu hat sie Mitte 2023 die Richtlinie zur Netzwerk- und Informationssicherheit (kurz: NIS) überarbeitet. Hauptsächlich wird darin geregelt, welche Unternehmen zur kritischen Infrastruktur eines Landes gehören und daher in besonderem Maße vor Cyberangriffen und anderen Gefahren geschützt werden müssen. Nach der alten NIS1-Regelung wurden 4.500 Unternehmen in Deutschland als sogenannte KRITIS-Unternehmen eingestuft. NIS2 betrifft dagegen schätzungsweise 29.500 Unternehmen.

NIS2 ist zwar bereits seit Oktober 2024 gültig, wurde in Deutschland und einigen anderen Ländern jedoch noch nicht in nationales Recht umgesetzt. Laut den aktuellen Plänen der Bundesregierung soll NIS2 2026 in Deutschland mit dem „Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ in Kraft treten. Betroffene Unternehmen sind aber bereits jetzt in der Pflicht und müssen sich vorbereiten, da es keine Übergangsfristen geben wird.

NIS2 auf einen Blick

  • Gültig ab: Oktober 2024, in Deutschland voraussichtlich 2026

  • Betrifft: rund 30.000 Unternehmen in Deutschland

  • Kernziel: Erhöhung und Vereinheitlichung der Cybersicherheit in der EU

  • Herausforderungen für Unternehmen:
    - Keine Übergangsfristen
    - Persönliche Haftung der Geschäftsführung
    - Aktuelle Cyberbedrohungslage

Was ist die NIS2-Richtlinie und warum ist sie für Ihr Unternehmen relevant?

Die ursprüngliche NIS1-Richtlinie der EU stammt aus dem Jahr 2016. Eine Überarbeitung war angesichts der sich verschärfenden Cyberbedrohungslage also dringend notwendig. Erfolgreiche Hackerangriffe auf Einrichtungen, die die Grundversorgung der Menschen sicherstellen, können verheerende Auswirkungen haben. Bereits jetzt werden die KRITIS-Infrastrukturen in Deutschland im Durchschnitt zweimal täglich bedroht. Deshalb hat die EU für eine Vielzahl von Unternehmen strengere Sicherheitspflichten eingeführt. In Deutschland wird die Einhaltung dieser u. a. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht. Bei Verstößen drohen Sanktionen in Millionenhöhe und die Geschäftsführung kann persönlich haftbar gemacht werden.

Mit den neuen Vorgaben soll das Cybersicherheitsniveau innerhalb der EU nicht nur erhöht, sondern auch angeglichen werden. Denn unterschiedliche Sicherheitsvorgaben in verschiedenen Ländern können schnell zu Risiken in der Lieferkette führen. Deshalb können die neuen Vorgaben auch für Unternehmen relevant sein, die nicht direkt Teil der kritischen Infrastruktur sind, aber zu deren direkten Zulieferern zählen.

Unternehmen sollten jetzt handeln, denn das Warten kann gefährlich werden:

Portraitbild von David Brieskorn

„Die Verschiebung des NIS2-Umsetzungsgesetzes selbst hat die Bedrohungslage verschärft! Betrachten Sie es aus der Sicht eines Cyberkriminellen: Alles, was wir bisher getan haben, ist, die Branchen, Industrien und Unternehmen zu benennen, die wir als absolut wichtig für die Aufrechterhaltung und Versorgung unserer Gesellschaft betrachten. Dann haben wir gesagt, wie diese sich vor Cybergefahren schützen sollen. Da aber die gesetzliche Grundlage fehlt, um die Umsetzung dieser Maßnahmen zu kontrollieren, kann ich als Hacker davon ausgehen, dass viele kritische Unternehmen nicht ausreichend geschützt sind.“
David Brieskorn, Experte im Fachvertrieb für Security- und Rechenzentrumsdienstleistungen im Geschäftskundenvertrieb bei EWE TEL

Bin ich von NIS2 betroffen? Sektoren, Größen & Schwellenwerte im Detail

Die NIS2-Richtlinie benennt in zwei Anhängen 18 verschiedene Sektoren, in denen ein Unternehmen tätig sein muss, um als Teil der kritischen Infrastruktur zu gelten. Außerdem wird zwischen wichtigen und besonders wichtigen Einrichtungen unterschieden, die jeweils unterschiedlich sanktioniert werden können, wenn sie die Sicherheitsvorgaben nicht einhalten.

Wichtig: Anders als bisher werden Unternehmen nicht informiert, ob sie Teil der kritischen Infrastruktur sind. Stattdessen müssen sie sich eigenständig beim BSI registrieren. Eine entsprechende Meldestelle wurde noch nicht geschaffen, aber Unternehmen können bereits eine Betroffenheitsprüfung durchführen.

Sektor

Kriterien für besonders wichtige Einrichtungen

Kriterien für wichtige Einrichtungen

Alle bisherigen KRITIS-Unter­nehmen

Zählen automatisch als besonders wichtige Einrichtungen

/

Anbieter von Telekommuni­kations­diensten oder Telekommuni­­kations­­netzen

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von mehr als 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Mitarbeiteranzahl, der Jahresumsatz und die Jahresbilanzsumme liegen unter den Werten für besonders wichtige Einrichtungen

Qualifizierte Vertrauens­dienste­anbieter, TLD Name Registry oder DNS-Dienste­anbieter

Zählen automatisch als besonders wichtige Einrichtungen

/

Nicht-qualifizierte Vertrauens­dienste­anbieter

/

Zählen automatsch zu den wichtigen Einrichtungen

Energieunter­nehmen (Stromversorgung, Fernwärme- oder Fernkälte­versorgung, Kraftstoff- und Heizöl­versorgung, Gasversorgung)

Mehr als 250 Mitarbeitende oder ein Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. €

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Transport- und Verkehrs­unter­nehmen (Luftverkehr, Schienen­verkehr, Schifffahrt, Straßen­verkehr)

Mehr als 250 Mitarbeitende oder ein Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. €

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Finanzwesen (Bankwesen, Finanzmarkt­infrastruktur)

Mehr als 250 Mitarbeitende oder ein Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. €

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Gesundheits­wesen (Erbringer von Gesundheits­leis­tungen, Labore, Forschung, Entwicklung und Herstellung von Arznei­mitteln, Pharma­zeutika und anderen Medizin­produkten)

Mehr als 250 Mitarbeitende oder ein Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. €

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Wasser (Trinkwasser­versorgung, Abwasser­beseiti­gung)

Mehr als 250 Mitarbeitende oder ein Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. €

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Digitale Infras­truktur (Betreiber von Internet Exchange Points, DNS-Dienste­anbieter, Top Level Domain Registry, Cloud-Computing-Dienste, Rechen­zentrums­dienst­leistungen, Content Delivery Networks, Managed Services Provider, Managed Secuity Services Provider

Mehr als 250 Mitarbeitende oder ein Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. €

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Weltraum (Bodeninfra­struktur)

Mehr als 250 Mitarbeitende oder ein Jahresumsatz von über 50 Mio. € und eine Jahresbilanzsumme von über 43 Mio. €

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Post- und Kurier­dienste

/

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Abfallbewirt­schaftung

/

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Produktion, Herstellung und Handel mit chemi­schen Stoffen

/

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Produktion, Verarbei­tung und Vertrieb von Lebens­mitteln

/

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Verarbeiten­des Gewer­be/Herstel­lung von Waren (Medizin­produkte, In-vitro-Diagnostika, Datenv­erarbeitungs­geräte, elektrische und optische Erzeug­nisse, elektrische Ausrüstungen, Maschinen­bau, Kraftwagen und Kraftwagen­teile, sonstiger Fahrzeug­bau)

/

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Digitale Dienste (Online-Markt­plätze, Online-Such­maschinen, soziale Netz­werke)

/

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Forschung

/

Mehr als 50 Mitarbeitende oder ein Jahresumsatz von über 10 Mio. € und eine Jahresbilanzsumme von über 10 Mio. €

Stand: 01.08.2025. Bitte beachten Sie, dass diese Tabelle und alle weiteren Informationen dem Gesetzesentwurf zu diesem Zeitpunkt entsprechen und Änderungen jederzeit möglich sind.

Unterscheidung in wichtige und besonders wichtige Einrichtungen

Ob ein KRITIS-Unternehmen zu den wichtigen oder besonders wichtigen Einrichtungen zählt, hängt von seinem Betätigungsfeld und seiner Größe ab. Mit den Faktoren Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme soll ausgedrückt werden, wie relevant das jeweilige Unternehmen für die Aufrechterhaltung der Gesellschaft und Versorgung im Katastrophenfall ist. In Deutschland zählen schätzungsweise 8.250 Unternehmen zu den besonders wichtigen Einrichtungen und 21.600 Unternehmen zu den wichtigen Einrichtungen. Derzeit unterscheiden sich die Pflichten, die Betreiber von wichtigen und besonders wichtigen Einrichtungen erfüllen müssen nicht, sondern nur die Höhe der möglichen Sanktionen bei Nichteinhaltung der Vorgaben.

Checkliste: Fällt Ihr Unternehmen unter NIS2?

Mit dieser kurzen NIS2-Checkliste können Sie selbst einschätzen, ob Ihr Unternehmen nach der neuen Richtlinie zur kritischen Infrastruktur zählt. Bitte beachten Sie, dass diese Liste nur der Selbsteinschätzung dient. Verlässlichere Aussagen liefert die Betroffenheitsprüfung des BSI.

  • Sind Sie bereits ein KRITIS-Unternehmen?
  • Sind Sie in einem der oben genannten Sektoren und Branchen tätig?
  • Wie viele Mitarbeitende beschäftigen Sie?
  • Wie hoch sind Ihr Jahresumsatz und Ihre Jahresbilanzsumme?
  • Sind Sie Hauptzulieferer eines KRITIS-Unternehmens?

Die 3 Kernpflichten nach NIS2: Das kommt jetzt auf Sie zu!

Unternehmen, die unter die neue NIS2-Richtlinie fallen, haben im Wesentlichen drei Pflichten:

  1. Sie müssen sich beim BSI und dem BBK (Bundesamt für Bevölkerungssicherheit und Katastrophenhilfe) registrieren.
  2. Sie müssen Sicherheitsvorfälle melden.
  3. Sie müssen Maßnahmen zum Risikomanagement ergreifen und dokumentieren.

Registrierungspflicht nach NIS2

Wichtige und besonders wichtige Einrichtungen müssen sich bei einer noch zu schaffenden gemeinsamen Registrierungsstelle des BSI und des BBK registrieren. Dies muss spätestens drei Monate nachdem das Unternehmen erstmals oder erneut die oben genannten Kriterien für kritische Infrastrukturen erfüllt, erfolgen. Da die Registrierungspflicht unmittelbar einsetzt, sobald NIS2 in Kraft tritt, sollten Sie Ihr Unternehmen jetzt schon darauf vorbereiten.

Stand heute müssen folgende Informationen übermittelt werden:

  • Name der Einrichtung, Rechtsform, Handelsregisternummer
  • Anschrift und Kontaktdaten
  • Sektor und Branche
  • Liste der Mitgliedstaaten, in denen die Einrichtung tätig ist
  • zuständige Aufsichtsbehörden

Sie möchten sich auf NIS2 professionell vorbereiten?

Jetzt beraten lassen

Meldepflichten nach NIS2

Gemäß der NIS2-Richtlinie müssen erhebliche Sicherheitsvorfälle dem BSI gemeldet werden – sowohl von wichtigen als auch von besonders wichtigen Einrichtungen. Dazu zählen beispielsweise schwerwiegende Betriebsstörungen der Dienste, die zu finanziellen Verlusten oder Schäden bei Dritten führen. Eine Meldung muss dabei stets eine Bewertung des Vorfalls, seines Schweregrads und seiner Auswirkungen sowie mögliche Indikatoren für eine Kompromittierung umfassen. Das BSI nimmt die Meldungen entgegen, kontaktiert das Unternehmen und leitet bei Bedarf weitere Maßnahmen ein.

Folgende Meldefristen sind in NIS2 festgelegt:

  • 24 Stunden nachdem der Vorfall bekannt wurde, muss eine Erstmeldung erfolgen.
  • 72 Stunden nach dem Vorfall muss eine detaillierte Meldung an das BSI gehen.
  • 30 Tage nach dem Vorfall muss eine Abschluss- oder Folgemeldung an das BSI gegeben werden.

Pflichten für das Risikomanagement nach NIS2

Unternehmen, die unter die NIS2-Richtlinie fallen, sind grundsätzlich dazu verpflichtet, geeignete, verhältnismäßige und wirksame technische sowie organisatorische Schutzmaßnahmen zu ergreifen und zu dokumentieren. Störungen der Verfügbarkeit, der Integrität und der Vertraulichkeit sollen möglichst verhindert werden, damit die Auswirkungen von Sicherheitsvorfällen möglichst gering bleiben. Dabei muss das Risikomanagement alle informationstechnischen Systeme, Komponenten und Prozesse, die im Unternehmen eingesetzt werden, berücksichtigen. Zudem sollten alle getroffenen Maßnahmen dem jeweils aktuellen Stand der Technik entsprechen. Zu den verpflichtenden Maßnahmen für das Risikomanagement gehören mindestens folgende Punkte:

  • Ausführliche Risikoanalyse
  • Maßnahmen und Prozesse zur Bewältigung von Sicherheitsvorfällen
  • Maßnahmen zur Aufrechterhaltung des Betriebs (z.B. Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement)
  • Sicherung der Lieferkette
  • Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und der Wartung von informationstechnischen Systemen, Komponenten und Prozessen
  • Wirksamkeitsprüfung der Risikomanagementmaßnahmen
  • Schulungen und Mitarbeitenden-Sensibilisierung zur Cybersicherheit
  • Einsatz von kryptografischen Verfahren
  • Konzepte zur Personalsicherheit (z.B. Zugriffskontrollen, Verwaltung von IKT-Systemen)
  • Multi-Faktor-Authentifizierung, gesicherte Kommunikation und Notfallkommunikation

Pflichten für die Geschäftsführung nach NIS2

Mit der NIS2-Richtlinie wird Cybersicherheit endgültig zur Aufgabe für die Geschäftsführung. Denn diese ist dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen und zu überwachen. Des Weiteren ist sie dazu verpflichtet, sich in Fragen der Bewertung und des Managements von Cyberrisiken regelmäßig schulen zu lassen. Im Falle der Nichteinhaltung der NIS2-Vorgaben können sie außerdem persönlich haftbar gemacht werden.

NIS2-Compliance meistern: Ihr Fahrplan in 7 Schritten

Mit unserer praxisnahen NIS2-Checkliste haben Sie eine Schritt-für-Schritt-Anleitung auf dem Weg zur NIS2-Compliance:

  1. Verantwortlichkeit klären: Legen Sie fest, wer in Ihrem Unternehmen für die Bewertung und Umsetzung der Sicherheitsmaßnahmen zuständig ist. 
  2. Betroffenheit checken: Überprüfen Sie, ob Ihr Unternehmen laut NIS2 zur kritischen Infrastruktur Deutschlands gehört. Wenn ja, prüfen Sie, welche Informationen zur Registrierung notwendig sind.
  3. Status Quo analysieren: Führen Sie eine ausführliche Risikoanalyse durch und bewerten Sie Ihre bestehenden Sicherheitsmaßnahmen unter den NIS2-Kriterien.
  4. Risikomanagement & Maßnahmen planen: Erstellen Sie ein umfassendes Sicherheitskonzept, um Maßnahmen definieren und priorisieren zu können, die noch umgesetzt werden müssen.
  5. Technische und organisatorische Maßnahmen umsetzen: Implementieren Sie die noch offenen Sicherheitsmaßnahmen – beachten Sie dabei auch die Sicherheit in Ihrer Lieferkette.
  6. Prozesse für Sicherheitsvorfälle aufbauen: Definieren Sie, wer wann und wie Sicherheitsvorfälle melden muss. Erstellen Sie Notfallpläne und schulen Sie Ihre Mitarbeitenden im Umgang mit Sicherheitsereignissen.
  7. Überwachen und optimieren: Überprüfen Sie regelmäßig die Wirksamkeit der Maßnahmen und bleiben Sie in Bezug auf technische Neuerungen auf dem Laufenden. IT-Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.

Die Umsetzung der NIS2-Pflichten stellt viele Unternehmen vor eine Herausforderung. Lassen Sie sich daher von externen Beratern unterstützen. Als Energieversorger und Managed Service Provider zählen schon seit Jahren zur kritischen Infrastruktur Deutschlands. Von dieser Erfahrung können Sie jetzt profitieren! Lassen Sie sich von uns beraten!

Sanktionen, nationale Umsetzung und weitere wichtige Aspekte

Die nationale Umsetzung der NIS2-Richtline wird sich voraussichtlich noch bis Anfang des nächsten Jahres verzögern. Dann wird das Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (früher: NIS2UmsuCG) in Kraft treten. Ab diesem Zeitpunkt haben Unternehmen drei Monate Zeit, um sich bei der gemeinsamen Meldestelle von BSI und BBK zu registrieren. Laut aktuellem Gesetzesentwurf müssen Unternehmen dann spätestens nach drei Jahren nachweisen, dass die NIS2-Maßnahmen umgesetzt wurden. Für die Überprüfung der Unternehmen ist voraussichtlich das BSI zuständig, das bei Nichteinhaltung Sanktionen verhängen kann.

Mögliche Sanktionen für wichtige und besonders wichtige Einrichtung bei Nichteinhaltung der NIS2-Richtlinien:

Besonders wichtige Einrichtungen

Wichtige Einrichtungen

Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes des Vorjahres. Persönliche Haftung der Geschäftsführung möglich.

Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes des Vorjahres. Persönliche Haftung der Geschäftsführung möglich.

FAQ zur NIS2-Richtlinie
Mit der NIS1-Richtlinie wurden 2016 rund 4.500 Unternehmen Teil der kritischen Infrastruktur Deutschlands. Die NIS2-Richtlinie fasst diesen Begriff deutlich weiter, sodass in Zukunft etwa 30.000 Unternehmen betroffen sind. Zusätzlich gelten für all diese Unternehmen EU-weit einheitliche Sicherheitsstandards. Das macht die Zusammenarbeit im gesamten Bündnis sicherer und einfacher.
Anders als bisher werden Unternehmen nach NIS2 nicht mehr informiert, sondern müssen sich selbst registrieren. Dazu soll eine gemeinsame Meldestelle von BSI und BBK geschaffen werden. Bereits jetzt können Unternehmen beim BSI eine Betroffenheitsprüfung durchführen.
Aktuell bietet das BSI eine Betroffenheitsprüfung an und stellt Informationspakete zu NIS2 und anderen Cybersicherheitsthemen bereit. Für eine Einzelfallberatung empfehlen wir die Inanspruchnahme eines erfahrenen Dienstleisters. Wir als EWE zählen beispielsweise schon seit Jahren zu den KRITIS-Unternehmen Deutschlands und geben unsere Erfahrung in der Sicherheit von kritischen Infrastrukturen gern an Sie weiter. Sobald die NIS2-Richtlinie final umgesetzt worden ist, empfehlen wir außerdem eine Rechtsberatung.
Laut aktuellem Gesetzesentwurf wird das BSI mehrere Möglichkeiten haben, um die Nichteinhaltung der Richtlinien zu ahnden. Je nach Schwere des Verstoßes wird es voraussichtlich gestaffelte Sanktionsmöglichkeiten geben. Bei besonders wichtigen Einrichtungen können diese bis zu 10 Mio. € oder 2 % des Jahresumsatzes des Vorjahres betragen. Auch soll die Geschäftsführung bei schweren Vergehen persönlich haftbar gemacht werden können.
Nein, da die Richtlinie bereits bis Oktober 2024 hätte umgesetzt werden müssen, tritt sie in Kraft, sobald das entsprechende Umsetzungsgesetz voraussichtlich 2026 verabschiedet wurde. Danach haben Unternehmen drei Monate Zeit, um sich als KRITIS-Unternehmen zu registrieren. Wie lange Unternehmen dann Zeit haben, um alle notwendigen Maßnahmen umzusetzen, steht noch nicht fest.
Ob ein Unternehmen zur kritischen Infrastruktur zählt, hängt von seinem Betätigungsfeld und seiner Größe ab. In den meisten Fällen sind Unternehmen mit weniger als 50 Mitarbeitenden oder weniger als 10 Mio. € Jahresumsatz bzw. Jahresbilanzsumme nicht betroffen. Für eine rechtssichere Aussage empfehlen wir die Betroffenheitsprüfung des BSI.
Direkt hängen die beiden nicht zusammen, aber es gibt viele Maßnahmen zur Cybersicherheit, die sich mit Maßnahmen zum Schutz von sensiblen Daten überschneiden. Beispielsweise der Umgang mit Sicherheitsvorfällen oder die regelmäßige Sensibilisierung und Schulung von Mitarbeitenden.
Auf keinen Fall. Allein die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen kann mehrere Monate in Anspruch nehmen. Hinzu kommt, dass die weltweite Cyberbedrohungslage weiterhin stark angespannt ist. Cyberkriminelle werden sicherlich nicht warten, bis alle wichtigen und besonders wichtigen Einrichtungen die höheren Sicherheitsstandards erfüllt haben müssen.

Fazit: NIS2 als Chance – So stärken Sie Ihre Cyberresilienz mit EWE

Mit NIS2 soll die Cybersicherheit in der gesamten EU verstärkt und vereinheitlicht werden. Daher zählen ab Inkrafttreten des entsprechenden Umsetzungsgesetzes in Deutschland etwa 30.000 statt der bisherigen 4.500 Unternehmen zur kritischen Infrastruktur. Ob Ihr Unternehmen davon betroffen ist, hängt davon ab, ob Sie in einem der oben genannten 18 Sektoren tätig sind, wie viele Mitarbeitende Sie beschäftigen und wie hoch Ihr Jahresumsatz bzw. Ihre Jahresbilanzsumme ist. Deshalb sind die ersten Schritte auf dem Weg zur NIS2-Compliance immer eine Betroffenheitsprüfung und eine Überprüfung der aktuellen Sicherheitsmaßnahmen. Als langjähriges KRITIS-Unternehmen teilen wir gern unsere Erfahrung mit Ihnen und stehen Ihnen als kompetenter Partner für die Analyse, Umsetzung und Bewertung von NIS2-Maßnahmen zur Seite. Denn NIS2 ist nicht nur eine regulatorische Pflicht, sondern stärkt nachhaltig die Cybersicherheit in ganz Europa. Zudem verbessern Sie mit der Einhaltung der Richtlinie Ihre eigene Cyberresilienz und Wettbewerbsfähigkeit. Wir empfehlen Ihnen daher, nicht mit der Umsetzung zu warten, sondern bereits heute die ersten Schritte auf dem Weg zur NIS2-Compliance einzuleiten. Denken Sie daran, dass es keine Übergangsfristen geben wird!

Sie haben Fragen oder wünschen eine Beratung?

Geben Sie einfach Ihre Postleitzahl ein und finden auf Anhieb Ihren EWE-Kontakt in der Nähe.

David Brieskorn

NIS2-Interview: Jetzt in voller Länge lesen

Lesen Sie das vollständige Interview „Es wäre ein riesiger Fehler, jetzt mit der Umsetzung der NIS2-Richtlinie zu warten“ mit David Brieskorn, IT-Security-Experte bei EWE.

Zum Interview