NIS-2-Umsetzung: 5 Branchen am stärksten betroffen

Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen

[datensicherheit.de, 09.12.2025] Mit der endgültigen Umsetzung der EU-Richtlinie NIS-2 in Deutschland bedeutet dies für betroffene Unternehmen, dass das Thema Cybersicherheit auf der Prioritätenliste noch einmal einen gewaltigen Sprung nach oben machen muss. Cybersecurity-Experten von Obrela zeigen auf, welche Branchen besonders davon betroffen sind. Eine der gravierendsten Änderungen im NIS-2-Kontext betrifft den deutlich erweiterten Geltungsbereich: Neben klassischen KRITIS-Betreibern rücken nun auch zahlreiche Industrie-, Technologie- und Dienstleistungsbranchen in den Fokus – insgesamt wird demnach eine Größenordnung von rund 30.000 Unternehmen in Deutschland erfasst.

5 Sektoren trifft NIS-2 deutlich härter als den Rest – aufgrund ihrer Strukturen, Abhängigkeiten und operativen Kritikalität

Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Als „wesentlich“ gelten Organisationen, deren Ausfall die Grundversorgung oder die öffentliche Sicherheit unmittelbar gefährdet.

• „Wichtig“ sind dagegen Unternehmen, deren Ausfall kritisch, aber nicht sofort versorgungsrelevant ist – etwa Medizintechnik- und Elektronik-Anbieter oder Maschinenbauer, Lebensmittelproduzenten und auch Forschungseinrichtungen.

Entscheidend sei jedoch weniger die Frage, ob ein Unternehmen unter NIS-2 fällt, „sondern wie stark es die neuen Vorgaben spürt“. Branchen mit verteilten OT-Systemen, tiefen Dienstleisterketten oder hohen Versorgungsrisiken stünden nun vor besonders hohem Aufwand. In der Umsetzung zeige sich: Fünf Sektoren treffe es deutlich härter als den Rest – aufgrund ihrer Strukturen, Abhängigkeiten und operativen Kritikalität.

Fünf Sektoren, welche NIS-2 laut Obrela besonders gefordert sind:

1. Energieversorgung (Strom, Gas, Wasser, Fernwärme)
   Der Energiesektor sei durch die „Energiewende“ einer der am stärksten digitalisierten OT-Sektoren in Deutschland. Smart-Meter-Gateways, automatisierte Laststeuerung, digitale Netzleittechnik und Tausende dezentral angebundene Erzeuger träfen dort auf jahrzehntealte OT-Anlagen.
   Dieser Mix schaffe eine Angriffsfläche, welche Cyberkriminelle gezielt ausnutzten: „Laut ,Digital Universe Report H1 2025′ von Obrela entfallen 27 Prozent der Sicherheitsvorfälle auf externe Angriffe.“
   Dass der Druck steige, zeige sich u.a. bei Stadtwerken: In fast jedem Landkreis betrieben kleine Energie- und Wasserbetriebe Netze mit knappen Teams, begrenzten Budgets und zunehmend digital verteilten Anlagen – von der Ladeinfrastruktur bis zu den Photovoltaikfeldern. Sie müssten nun dieselben NIS-2-Pflichten erfüllen wie Großversorger, verfügten aber kaum über die Ressourcen, um ihre OT- und IT-Landschaften vollständig zu überblicken. „Für sie bedeutet NIS-2 vor allem: Transparenz in verteilten OT-Netzen schaffen und Bedrohungen erkennen, bevor Leitstellen, Versorgungsnetze oder Kundendaten betroffen sind!“
2. Gesundheitssektor (Krankenhäuser und Gesundheitseinrichtungen)
   Finanziell motivierte Ransomware-Gruppen wie „FIN12“ oder „Conti“-nahe Akteure wüssten um den Druck in Kliniken und Gesundheitseinrichtungen. Intensivstationen, OP-Planung und Patientenmanagement seien überwiegend digital organisiert. Das Einschleusen von Malware – 25 Prozent aller Vorfälle – gefährde dort nicht nur Daten, sondern unmittelbar Menschenleben.
   „Wie gefährlich dieser Grad der Vernetzung ist, gerät im hektischen Klinikalltag leicht aus dem Blickfeld: Auf Station greifen mehrere Personen auf ein Gerät zu (Shared Devices), Zugänge werden von der nächsten Schicht übernommen und kritische Situationen verlangen notgedrungen ,Workarounds’.“ Entsprechend hoch sei der Anteil an Verstößen gegen interne Sicherheitsvorgaben – rund 20 Prozent aller Vorfälle.
   Hinzu komme, dass viele Medizingeräte technisch überholt seien. Alte Bildgebungsgeräte wie MRTs oder CTs liefen beispielsweise auf ungepatchten „Windows“-Versionen. Ein Laborgerät hänge in einem separaten VLAN, mit unbekanntem Betriebssystem oder Patchlevel. Viele Kliniken wüssten schlicht nicht, welche Geräte im Netz hängen, welche Softwareversionen laufen, welche Remote-Zugänge existieren und wo veraltete Komponenten stehen. „Für Krankenhäuser bedeutet NIS-2 deshalb vor allem: MedTech-Landschaften transparent machen und privilegierte Zugänge – auch von Herstellern – strikt kontrollieren!“
3. Industrielle Produktion (Fertigung, Maschinen- und Anlagenbau)
   In der fertigenden Industrie seien Stillstände, Lieferunterbrechungen und lange Wiederanlaufzeiten längst reale Szenarien. Sieben Prozent aller beobachteten Vorfälle entfielen auf diesen Sektor – rund 800 Angriffe allein im ersten Halbjahr 2025.
   Die Spannbreite reiche von kompromittierten Bediener-Accounts über Manipulationen an Maschinenabläufen bis zu Eingriffen in Logistikprozesse oder unerlaubten Änderungen an Steuerungssystemen. Die Motive dahinter reichten von finanziellen Interessen bis zu gezielter Betriebsspionage.
   Ein Kernproblem: „Klassische OT wurde nie für das Internet gebaut. Viele Steuerungen laufen seit Jahrzehnten, sind kaum patchbar oder basieren noch auf ,Windows XP Embedded’.“ Gleichzeitig hingen heute IIoT-Sensorik, „Cloud“-Dienste, MES- und ERP-Systeme am selben Netz. Der zweite Schwachpunkt sei die globale Lieferkette: „Hersteller werden selten direkt angegriffen, sondern über Umwege – manipulierte Software-Updates, kompromittierte Logistikpartner oder unsichere Remote-Zugänge von Wartungsfirmen.“ Genau deshalb setze NIS-2 einen besonderen Schwerpunkt auf Lieferkettenkontrollen.
4. Finanzsektor (Banken, Zahlungsdienste, Finanzinfrastrukturen)
   Die Finanzbranche zähle zu den lukrativsten und mit 19 Prozent aller beobachteten Vorfälle auch zu den meist betroffenen Zielen für Cyberangriffe. Allein im ersten Halbjahr 2025 habe Obrela 2.150 Attacken verzeichnet – also rein rechnerisch alle zwei Stunden ein Angriff.
   Besonders auffällig: „32 Prozent der Vorfälle sind sektorspezifisch, also präzise auf Finanzsysteme zugeschnitten. Dazu zählen unautorisierte Zugriffe auf Transaktionsplattformen, Manipulationen in Zahlungs- und Handelsprozessen bis hin zu Web-Injection-Angriffe, die Zugangsketten für späteren Betrug aufbauen.“
   Der Druck entstehe vor allem durch die Architektur der Finanz-IT: Jahrzehntelang gewachsene Kernbankensysteme („COBOL“) träfen auf moderne API-Chains, „Cloud“-Dienste und ausgelagerte Zahlungsprozesse. Host-Systeme, Middleware-Schichten, Kartenabwicklung, „SWIFT“-Anbindungen, Marktinterfaces – all dies hänge über Hunderte Schnittstellen zusammen. „Schon ein einzelner kompromittierter Dienstleister oder eine fehlerhafte API reicht, um in hochkritische Systeme vorzudringen.“ NIS-2 adressiere genau diese Schwachstellen: „Dienstleister und ,Cloud’-Anbieter strikt auditieren, privilegierte Zugänge härten, maschinenbasierte Identitäten absichern und Zahlungsströme in Echtzeit auf Anomalien prüfen!“
5. Transport (Luftfahrt, Eisenbahnverkehr, Straßenverkehr, Schifffahrt)
   Der Transportsektor gehöre in NIS-2 zu den „wesentlichen Einrichtungen“ – und das aus gutem Grund. Die Abläufe hingen an einem dichten Netz aus Betriebssteuerung, Disposition, Fracht-Tracking und Wartungsprozessen, von denen viele über externe Dienstleister liefen.
   28 Prozent der beobachteten Vorfälle beträfen Malware – „oft dort, wo Systeme nur selten aktualisiert werden – etwa in Routen- oder Ladeplanungssoftware“.
   Besonders anspruchsvoll werde die Umsetzung von NIS-2 durch die Kombination aus stark regulierten Alt-Systemen und einer außergewöhnlich hohen Zahl externer Schnittstellen. Viele zentrale Anwendungen – von Leit- und Dispositionssoftware bis zu Flughafen- oder Cargo-Systemen – unterlägen strengen Zertifizierungen, weshalb Updates nur selten und mit langen Freigabeprozessen möglich seien. „Gleichzeitig stützen sich Bahn-, Airline- und Logistikbetreiber auf ein dichtes Geflecht aus Wartungsfirmen, Abfertigern und technischen Dienstleistern mit direktem Zugriff auf operative Systeme oder Datenflüsse.“ Diese Breite der Integrationen mache selbst kleine Änderungen koordinations- und dokumentationsintensiv.

NIS-2 verlangt durchgängiges Monitoring und schnelle Reaktionsfähigkeit

NIS-2 werde für viele Unternehmen vor allem ein Ressourcenproblem darstellen. „Wir erleben das immer wieder: Viele Organisationen scheitern nicht an der Technik, sondern an fehlender Transparenz, begrenzten Teams und der Vielzahl an Schnittstellen“, kommentiert Stefan Bange, „Managing Director Germany“ bei Obrela.

• Er betont: „NIS-2 verlangt durchgängiges Monitoring und schnelle Reaktionsfähigkeit – Anforderungen, die viele Unternehmen nur mit externen Partnern rund um die Uhr abdecken können.“ Sogenannte Security-as-a-Service-Modelle böten hierzu eine realistische Entlastung. Externe Partner übernähmen dabei Aufgaben wie „Managed Detection and Response“ (MDR), „Managed Risk and Controls“ (MRC), die Pflege zentraler Sicherheitsrichtlinien sowie die Bewertung neuer Schwachstellen.

„So entstehen klare Verantwortlichkeiten, ein durchgängiger Überblick über Risiken und eine Reaktionsfähigkeit, die rund um die Uhr funktioniert. Das sind alles Voraussetzungen, die NIS-2 jetzt verpflichtend macht und viele Organisationen aus eigener Kraft nur schwer erfüllen können“, gibt Bange abschließend zu bedenken.

Weitere Informationen zum Thema:

OBRELA
ÜBER OBRELA

OBRELA, Das Obrela-Bedrohungsanalyse-Team, 03.09.2025
Digitales Universum Bericht H1 2025 Bericht

Linkedin
Stefan Bange: Managing Director DACH @ Obrela Security Industries GmbH

datensicherheit.de, 07.12.2025
NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu / Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen