[datensicherheit.de, 11.01.2026] Seit Anfang 2026 gilt die neue EU-Richtlinie für Netzwerk- und Informationssicherheit (NIS-2) auch in Deutschland: Diese verpflichtet zahlreiche Unternehmen zu einem höheren Maß an Cybersicherheit. Laut einer Meldung der Universität Paderborn unterstützt der „Software Innovation Campus Paderborn“ (SICP) Kleine und Mittlere Unternehmen (KMU) mit den Projekten „KMU.kompetent.sicher“ und „FitNIS2“ dabei, ihre Betroffenheit zu prüfen und ihre Cybersicherheitsstrategie zu optimieren. Die neue Lernplattform wurde jetzt freigeschaltet.

Abbildung: Screenshot Homepage „FitNIS2-Navigator“

Projekt „FitNIS2“: Der SICP hat in Kooperation mit Deutschland sicher im Netz e.V. und der „Transferstelle Cybersicherheit“ einen Web-Navigator zur Betroffenheitsprüfung und Selbsteinschätzung entwickelt

NIS-2 mit Wirkungsmächtigkeit über Lieferketten auch auf KMU

NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation. Durch die Einbindung in Lieferketten indes und die damit oft verbundene digitale Vernetzung betrifft diese Richtlinie auch viele KMU.

• „Vor allem KMU kämpfen oft mit begrenzten Ressourcen im Bereich IT-Sicherheit und sind auf eine anbieterunabhängige Unterstützung angewiesen“, erläutert Prof. Dr. Simon Thanh-Nam Trang von der Universität Paderborn.

Genau hierzu setzten zwei Projekte an, an denen der SICP, ein Forschungs- und Innovationsverbund der Universität Paderborn mit Wirtschaftspartnern, beteiligt sei.

„KMU.kompetent.sicher“ soll maßgeschneidertes E-Learning mit NIS-2-Bezug bieten

Im Projekt „KMU.kompetent.sicher“ entwickelt der SICP gemeinsam mit der Universität Hohenheim, dem Innovationsnetzwerk „InnoZent OWL“ und dem IT-Dienstleister coactum demnach eine Trainingsplattform, um KMU praxisnah bei der Umsetzung der NIS-2-Richtlinie zu unterstützen.

• Dieses Projekt wird vom Bundesministerium für Wirtschaft und Energie (BMWE) mit rund einer Million Euro gefördert und läuft noch zwei Jahre.

Nach dem ersten Projektlaufjahr hätten die Projektpartner nun einen wichtigen Meilenstein erreicht: Die Lernplattform „KMU.kompetent.sicher.“ sei jetzt freigeschaltet worden. Diese besteht aus praxisorientierten „Learning Nuggets“, also kleinen modular aufgebauten (Video-)Lerneinheiten, Quiz-Fragen und interaktiven Aufhaben, um das Gelernte anzuwenden.

NIS-2-Fitness für Geschäftsführung und Mitarbeiter

Mithilfe von Storytelling-Elementen wie „True Crime“-Beispielen soll zum Beispiel gezeigt werden, wie Phishing, eine Form des Internetbetrugs, funktioniert, welche Konsequenzen daraus entstehen und welche Maßnahmen schützen können.

• Die Lernpfade „NIS2-Grundschutz“ sowie „Bedrohungen richtig einschätzen“ sollen auf NIS-2 zugeschnittene Themen abdecken. Geplant seien weitere Lernpfade wie „IT-Sicherheitskultur“, „Risikomanagement“, „Backup-Management“, „Sicherer Umgang mit E-Mails“, „Notfallmanagement“, „Passwortsicherheit“ und „Ransomware“.

Insgesamt ziele das Projekt auf die Schulung von Geschäftsführung und Mitarbeitern ab. Das Konzept beinhalte einen Regelkreislauf, um den jeweiligen Schulungsbedarf für das Unternehmen zu identifizieren und nachhaltig in dessen Kultur zu verankern.

„FitNIS2“-Navigator ermittelt Betroffenheit vom NIS-2-Umsetzungsgesetz

Im Projekt „FitNIS2“ hat der SICP in Kooperation mit Deutschland sicher im Netz e.V. und der „Transferstelle Cybersicherheit“ den „FitNIS2“-Navigator entwickelt. Im ersten Schritt analysiere das Online-Tool, ob ein Unternehmen von der Richtlinie erfasst wird. Im zweiten Schritt werde der aktuelle Erfüllungsgrad der NIS-2-Anforderungen analysiert und im dritten Schritt erhielten Nutzer klare Handlungsempfehlungen, wie sie die NIS-2-Anforderungen erfüllen können.

• Dieses Projekt wird vom BMWE insgesamt zwei Jahre bis August 2026 gefördert. Der kostenfreie „FitNIS2-Navigator“ ist seit Juni 2025 online verfügbar.

Bereits drei Monate nach Release dieses „Tools“ sei die Betroffenheitsprüfung des „FitNIS2-Navigators“ 1.500-mal abgeschlossen worden. Darüber hinaus hätten 700 Teilnehmer die Selbsteinschätzung zur Erfüllung der NIS-2-Anforderungen abgeschlossen. Damit seien die geplanten Nutzungsziele erreicht worden.

KMU erhalten künftig je nach Sektorzugehörigkeit gezielte Informationen zur NIS-2-Betroffenheit

Derzeit wird dieser Navigator um spezifische Anforderungen für kleine Unternehmen auf Basis vom „CyberRisikoCheck“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) erweitert. In der nächsten Projektphase sollen zudem branchenspezifische Kriterien hinzukommen.

• KMU erhielten künftig – abhängig von ihrer Sektorzugehörigkeit – gezielte Informationen zu ihrer NIS-2-Betroffenheit sowie zu möglichen Überschneidungen mit weiteren relevanten Regulierungen.

„Beide Projekte bilden damit einen kostenfreien Einstieg in die NIS-2-Thematik. Ein umfangreiches Veranstaltungsangebot in den Projekten ergänzt das Informationsangebot“, kommentiert Dr. Simon Oberthür, Leiter des SICP-Innovationsbereichs „Digital Sovereignty“.

Weitere Informationen zum Thema:

UNIVERSITÄT PADERBORN
Die Universität Paderborn gehört zu den mittelgroßen, forschungs- und transferstarken Universitäten in Deutschland. Auf unsere fünf Fakultäten – Kulturwissenschaften, Wirtschaftswissenschaften, Maschinenbau, Naturwissenschaften sowie Elektrotechnik, Informatik und Mathematik – verteilen sich 70 Studiengänge. Dazu kommen etwa 166 Fächerkombinationen im Lehramtsbereich.

UNIVERSITÄT PADERBORN
Prof. Dr. Simon Thanh-Nam Trang / Fakultät für Wirtschaftswissenschaften » Department 3: Wirtschaftsinformatik » Wirtschaftsinformatik, insb. Nachhaltigkeit

UNIVERSITÄT PADERBORN
Dr. Simon Oberthür

SiCP
SICP – Software Innovation Campus Paderborn / Innovation durch Kooperation

KMU.kompetent.sicher.
NIS-2 Test- und Trainingsplattform

FitNIS2-Navigator
Ist Ihr Unternehmen von der NIS2-Richtlinie betroffen?

Bundesamt für Sicherheit in der Informationstechnik
CyberRisikoCheck – Wirkungsvoller Schutz für kleine und Kleinstunternehmen nach DIN SPEC 27076

WIKIPEDIA
NIS-2-Richtlinie

datensicherheit.de, 07.01.2026
BSI-Portal ab sofort für zweiten Schritt zur NIS-2-Registrierung freigeschaltet / Vom Inkrafttreten des NIS-2-Umsetzungsgesetzes betroffene Betriebe müssen sich als „NIS-2-Einrichtung“ registrieren lassen und dem BSI stets „erhebliche Sicherheitsvorfälle“ zwingend melden

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen / Am 13. November 2025 ist das NIS-2-Maßnahmenpaket final im Bundestag beschlossen worden – ein Wendepunkt für den deutschen Mittelstand

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

[datensicherheit.de, 07.01.2026] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in einer Stellungnahme vom 6. Januar 2026 darauf hin, dass für rund 29.500 Unternehmen in Deutschland und Institutionen der Bundesverwaltung seit Inkrafttreten des NIS-2-Umsetzungsgesetzes neue gesetzliche Pflichten in der IT-Sicherheit gelten. Diese müssen sich demnach unter anderem als „NIS-2-Einrichtung“ registrieren lassen und dem BSI sogenannte erhebliche Sicherheitsvorfälle zwingend melden. Der dafür vorgesehene Registrierungsprozess ist laut BSI zweistufig: „Zunächst muss eine Anmeldung beim digitalen Dienst ,Mein Unternehmenskonto’ (MUK) erfolgen, dann eine Registrierung im neu entwickelten BSI-Portal, das ab sofort zur Verfügung steht.“

Foto: BMI, Hennig Schacht

Claudia Plattner: Mit dem BSI-Portal werden wir künftig noch besser in der Lage sein, die Cybersicherheitslage für verschiedene Zielgruppen transparent, praxisgerecht und handlungsorientiert aufzubereiten

BSI sieht NIS-2 als „Gamechanger“ für Sicherheit und Stabilität Deutschlands

Die BSI-Präsidentin, Claudia Plattner, führt hierzu aus: „NIS-2 ist ein ,Gamechanger’ für die Sicherheit und Stabilität unseres Landes. Die neue Gesetzgebung sorgt dafür, dass wichtige und besonders wichtige Einrichtungen sowie die gesamte Bundesverwaltung ihre Cyberresilienz effektiv und effizient stärken.“

• Um diesen und weitere Prozesse komfortabel und unbürokratisch zu gestalten, sei das BSI-Portal als „One-Stop-Shop“ konzipiert worden. Es werde kontinuierlich und im Austausch mit den Nutzern weiterentwickelt. „Das BSI-Portal wird den sicheren und zielgerichteten Austausch relevanter Cybersicherheitsinformationen zwischen Unternehmen, Behörden und Institutionen erleichtern.“

Plattner betont: „Mit dem BSI-Portal werden wir künftig noch besser in der Lage sein, die Cybersicherheitslage für verschiedene Zielgruppen transparent, praxisgerecht und handlungsorientiert aufzubereiten. Das ist ein wichtiger Schritt auf dem Weg zur ,Cybernation Deutschland’!“

BSI-Portal bietet registrierten Unternehmen und Institutionen vielfältige Informationen

Das BSI-Portal basiere auf einer „Cloud“-Infrastruktur von Amazon Web Services (AWS) und werde sukzessiv zu einer Informations- und Austauschplattform mit Echtzeit-Daten und aktuellen Analysen für schnelle Reaktionsmöglichkeiten ausgebaut. Dadurch trage es dazu bei, Cybergefahren zu erkennen, bevor sie Schaden anrichten.

• Im BSI-Portal könnten registrierte Unternehmen und Institutionen bereits heute Informationen zu den gesetzlichen Pflichten erhalten, die für sie mit dem „BSI-Gesetz“ einhergehen. So müssten Unternehmen, welche unter diese Regulierung fallen, eine Risikoanalyse durchführen, um anschließend angemessene Risikomanagementmaßnahmen umsetzen und dokumentieren zu können.

Hierfür biete das Portal gebündelte Informationen und Hilfestellungen. „Im BSI-Portal werden zudem die Tageslageberichte und IT-Sicherheitsmitteilungen des BSI bereitgestellt. Auch Schwachstellen und Sicherheitslücken können dem BSI über das Portal gemeldet werden – dies ist auch anonym und ohne Registrierung möglich.“

„NIS-2-Starterpaket“ auf BSI-Website

Darüber hinaus könnten sich interessierte Unternehmen und Institutionen über das BSI-Portal der „Allianz für Cyber-Sicherheit“ (ACS) anschließen. Dieses IT-Sicherheits-Netzwerk unter dem Dach des BSI soll seinen derzeit knapp 9.000 Mitgliedern kostenlos vielfältige Formate zum Wissens- und Erfahrungsaustausch bieten.

• Auch in der „Unabhängigen Partnerschaft KRITIS“ (UP KRITIS) arbeiteten Wirtschaft und staatliche Stellen in zahlreichen Arbeitsgruppen zu Cybersicherheit und physischer Sicherheit zusammen. In der UP KRITIS könnten sich ab sofort Vertreter der meisten unter die NIS-2-Richtlinie fallenden Einrichtungen engagieren.

Auf seiner Website stellt das BSI ein „NIS-2-Starterpaket“ mit Klick-Anleitungen für die Registrierung und Meldung im BSI-Portal bereit. Darüber hinaus informiert das BSI unter dem Motto „#nis2know“ am 8. und 20. Januar sowie 3. Februar 2026 in Kick-off-Webinaren zum neuen Cybersicherheitsgesetz – u.a. mit einer Demonstration des BSI-Portals sowie einer Anleitung zur NIS-2-Betroffenheitsprüfung. Interessierte könnten sich über ein Online-Formular zu diesen Webinaren anmelden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-regulierte Unternehmen / Informationen für „besonders wichtige“ und „wichtige“ Einrichtungen

Bundesamt für Sicherheit in der Informationstechnik
#nis2know: NIS-2-Meldepflicht / NIS-2-betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden

Bundesamt für Sicherheit in der Informationstechnik
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)

Bundesamt für Sicherheit in der Informationstechnik
Mein Unternehmenskonto (MUK): Erster Schritt der NIS-2-Registrierung

Bundesamt für Sicherheit in der Informationstechnik
Allianz für Cyber-Sicherheit

Bundesamt für Sicherheit in der Informationstechnik
UP KRITIS / Zusammenarbeit von Wirtschaft und Staat in der UP KRITIS

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-Starterpaket: Alles, was Unternehmen zum Start des BSI-Portals wissen müssen

Bundesamt für Sicherheit in der Informationstechnik
Veranstaltungskalender

MEIN UNTERNEHMENSKONTO
Das Unternehmenskonto auf Basis von ELSTER: Die digitale Identität für Unternehmen in Deutschland

BSI-Portal
Die zentrale Anlaufstelle für Cybersicherheit

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

[datensicherheit.de, 11.12.2025] Seit dem 6. Dezember 2025 gilt die NIS-2-Richtinie nun offiziell – ohne jegliche Übergangsfristen. Am 13. November 2025 war das Maßnahmenpaket final im Bundestag beschlossen worden. Diese Verabschiedung und das Inkrafttreten stellten nun „einen Wendepunkt für den deutschen Mittelstand“ dar. Alexander Ingelheim, CEO und Mitgründer von Proliance, kommentiert: „Endlich erhalten Unternehmen Rechtssicherheit, während die Cybersicherheit entscheidend gestärkt wird. Denn: Die Vorgabe verpflichtet deutlich mehr Unternehmen und Branchen zur Einhaltung einheitlicher europäischer Sicherheitsstandards und schreibt strengere Vorgaben für die IT-Sicherheit vor.“

Foto: Proliance

Alexander Ingelheim: Gerade für den Mittelstand wird NIS-2 dazu führen, die Cyberresilienz deutlich zu stärken!

NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz

Zudem erweitere NIS-2 die Meldepflichten bei Sicherheitsvorfällen und verschärfe die Sanktionen bei Verstößen. Darüber hinaus solle die Zusammenarbeit der EU-Mitgliedstaaten bei der Abwehr von Cyberangriffen gestärkt werden.

• „NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Somit sind je nach Schätzung etwa 30.000 bis 40.000 deutsche Betriebe aus 18 festgelegten Sektoren ganz konkret betroffen. Bedenkt man die Wertschöpfungsketten, könnte sich laut dem Institut der deutschen Wirtschaft (IW) für über 200.000 weitere Firmen eine indirekte Verpflichtung ergeben.“

Der Zeitpunkt zum Handeln sei also gekommen: „Doch was können Betriebe tun, um so schnell wie möglich ,compliant’ zu werden?“ Ingelheim gibt eine Übersicht der wichtigsten ersten Schritte, welche Unternehmen nun dringend angehen sollten.

Proliance-Empfehlungen für erste Handlungsschritte zur Einhaltung der NIS-2-Richtlinie:

• Durchführung einer Risikobewertung
  Von NI-2 betroffene Firmen müssten jetzt ihre Netz- und Informationssysteme auf Schwachstellen und Bedrohungen hin analysieren sowie die bestehenden Risiken klassifizieren und bewerten.
• Implementierung eines Sicherheitsplans
  Basierend auf den Ergebnissen dieser Analyse sollte ein Sicherheitsplan entwickelt werden, welcher spezifische NIS-2-Maßnahmen zur Risikominimierung enthält. Dazu gehörten Technische und Organisatorische Maßnahmen (TOM) zur Sicherheit, genauso wie die Schaffung von Sicherheitsprotokollen, regelmäßige Überprüfung und Aktualisierung der Systeme sowie kontinuierliche Mitarbeiterschulungen.
• Etablierung von Meldeverfahren
  Ein nächster Schritt bestehe darin, sicherzugehen, dass transparente und effiziente Meldeverfahren für den Fall eines Vorfalls bestehen. Dadurch würden Vorfälle schneller erkannt, gemeldet und Maßnahmen zur Eindämmung eingeleitet.
• Zusammenarbeit mit Behörden und anderen Betrieben
  Unternehmen seien gut beraten, enge Beziehungen zu den zuständigen Behörden sowie anderen Einrichtungen in ihrer Branche aufzubauen und zu pflegen. Der Austausch – zum Beispiel bezüglich bewährter Verfahren und Prozesse – helfe das allgemeine Cybersicherheitslevel zu steigern.
• Regelmäßige Prüfung und Anpassung aller NIS-2-Maßnahmen
  Generell gelte: Die Schaffung einer guten Grundlage in Sachen IT-Sicherheit sei ein fortlaufender Prozess. Langfristig gesehen sollten Betriebe ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungsszenarien sowie technologische Entwicklungen anpassen. Dazu gehöre kontinuierliches Monitoring aller Prozesse und die Flexibilität, auf neue Herausforderungen schnell zu reagieren.

Um NIS-2-Maßnahmen konkret umzusetzen, sollte ein spezialisiertes Cybersicherheitsteam zur Verfügung stehen

Ingelheim rät betroffenen Unternehmen: „Um diese Maßnahmen konkret umzusetzen, bietet sich die Etablierung eines spezialisierten Cybersicherheitsteams an, falls noch nicht vorhanden. Dies ist einer der wichtigsten Schritte, um schnell in die Handlung zu kommen.“

• Auch sollten Betriebe über die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach aktuellen Standards wie ISO 27001 oder dem BSI-Grundschutz nachdenken. „Im Idealfall hilft die Lösung bei der systematischen Verwaltung von Sicherheitsrisiken und kontinuierlichen Verbesserung der etablierten Maßnahmen.“

Ingelheim betont: „Dass die Einführung eines Regelwerks wie NIS-2 längst überfällig war, zeigen aktuelle Zahlen aus der Praxis. Während Unternehmen ihren Reifegrad in der Informationssicherheit kurz vor der Abstimmung im Bundestag durchschnittlich mit 4,1 von 5 Punkten bewerteten, meldete fast jedes dritte mindestens einen schwerwiegenden Sicherheitsvorfall in den vergangenen drei Jahren. Diese Selbstwahrnehmung steht hier in eklatantem Widerspruch zur Realität. Für unsere Studie wurden 122 mittelständische Entscheider befragt.“

Es gilt zudem das Haftungsrisiko zu senken, welches im Zuge von NIS-2 auch Einzelpersonen betrifft

Ingelheims Fazit: „Auch wenn die Richtlinie und Ihre Umsetzung zeitweise für Verunsicherung gesorgt hat: Gerade für den Mittelstand wird NIS-2 dazu führen, die Cyberresilienz deutlich zu stärken. Schließlich helfen vorab definierte Notfall- und Wiederanlaufprozesse im Rahmen des ,Business Continuity Managements’ Unternehmen dabei, nach Cyberattacken schnell wieder arbeitsfähig zu werden.“

• Außerdem schütze ein hohes Niveau an Informationssicherheit personenbezogene wie auch vertrauliche Daten und beuge Pannen in im Kontext der Datensicherheit vor. Sogar die Effizienz steige, denn die Umsetzung des Regelwerks schaffe Prozessklarheit, verschlanke Abläufe, mache Risiken sichtbar und somit besser beherrschbar.

„Zuletzt senken Geschäftsführer und Führungskräfte ihr eigenes, ganz persönliches Risiko, denn eine lückenlose Umsetzung vermindert deutlich das Haftungsrisiko, welches im Zuge von NIS-2 auch für sie als Einzelpersonen gilt!“ Mithilfe der oben erwähnten Schritte – idealerweise in Kombination mit einer Lösung, die beim Monitoring und Management von Fallstricken in Sachen Informationssicherheit hilft – erreichten Unternehmen schnell und unkompliziert „Compliance“ im Sinne der NIS-2-Richtlinie.

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

prpliance
Alexander Ingelheim – Co-Founder & CEO

proliance, 2025
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand?

Die Bundesregierung, 08.12.2025
Gesetz in Kraft getreten: Mehr digitale Sicherheit / Die Bundesregierung will neue europäische Sicherheitsstandards für Wirtschaft und Verwaltung in deutsches Recht umsetzen. Ein entsprechendes Gesetz der Bundesregierung ist nun in Kraft getreten. Ein Überblick.

datensicherheit.de, 10.12.2025
NIS-2: Vielen Unternehmen fehlt es an Kapazitäten zur Umsetzung und zum Nachweis / Greg Hansbuer rät im Kontext der NIS-2-Umsetzung zur Nutzung von „Remote Managed Services“ zur professionellen Bereitstellung der Technologie und Verantwortungsübernahme für definierte Betriebsprozesse

datensicherheit.de, 09.12.2025
NIS-2-Umsetzung: 5 Branchen am stärksten betroffen / Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen

datensicherheit.de, 07.12.2025
NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu / Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

[datensicherheit.de, 10.12.2025] In vielen mittelständischen und großen Organisationen zeige sich seit Monaten ein wiederkehrendes Bild. „Sie haben die NIS-2-Pflichten verstanden, doch es fehlt an Kapazitäten, sie zuverlässig umzusetzen und dauerhaft nachzuweisen“, so Greg Hansbuer, Manager für die DACH-Region bei Pink Elephant (ehemals DMP / DataManagement Professionals), in seiner aktuellen Stellungnahme. Er erläutert, wie sich dies in der Praxis äußert und welche Lösungen parat stehen:

Foto: Pink Elephant

Greg Hansbuer betont: RMS ersetzen interne IT nicht, sondern stabilisieren diese!

Zentrale Sorgen im NIS-2-Zusammenhang: Backup, Recovery und „Security Monitoring“

Hansbuer führt aus: „Besonders häufig werden dabei zentrale Sorgen formuliert: Backup, Recovery und ,Security Monitoring’ dürfen nicht zu getrennten Insellösungen werden!“

• Gleichzeitig werde ein „24/7“-Betrieb erwartet, ohne dass zwingend ein eigenes „24/7“-Team aufgebaut werden müsse. „Audits, Nachweise, Risikoanalysen und ,Runbooks’ müssen belastbar funktionieren und nicht erst ,auf Zuruf’!“

Hierzu kämen demnach „Remote Managed Services“ (RMS) ins Spiel. „Dabei übernimmt ein externer Anbieter nicht nur die Verantwortung für die Technologie, sondern auch für definierte Betriebsprozesse.“

Hansbuer empfiehlt RMS zur Begegnung der NIS-2-Pflichten

Zu besagten Betriebsprozessen zählten unter anderem:

• Betrieb von Backup und Recovery in „On-Premises“- und „Cloud“-Umgebungen
• „Immutable Storage“ und „Clean Room Recovery“-Konzepte
• Recovery-Tests, Reporting und prüffähige Nachweise
• Schwellenwerte und Alarmierung nach NIS-2-Interpretationsleitfäden
• „Runbooks“ für „Incident Response“ und „Business Continuity“
• Regelmäßige Optimierung und Lifecycle-Management

Auffällig sei, dass viele Unternehmen zunächst nur punktuelle Unterstützung suchten. Im laufenden Betrieb stellten sie jedoch fest, wie deutlich „Remote Managed Services“ den operativen Druck verringerten. Deren Einsatz reiche von Umgebungen mit wenigen hundert bis zu 90.000 Nutzern. Sie deckten Multi-Standorte, hybride Architekturen sowie „Public“- und „Private Cloud“-Modelle ab. Auch hochkritische Infrastrukturen mit durchgehendem „24/7“-Betrieb gehörten dazu.

Fehlende personelle Kapazitäten, begrenzte Zeit und zunehmende Nachweispflichten zwingen zum Handeln

Trotz unterschiedlicher Größen und Branchen stehen Unternehmen laut Hansbuer vor denselben Kernfragen: „Wer stellt sicher, dass Backup, Recovery-Pläne und Security-Prozesse im Ernstfall tatsächlich funktionieren? Wer liefert belastbare Audit-Nachweise, wenn Wirtschaftsprüfer oder Aufsichtsbehörden sie einfordern? Wie stabil bleibt der Betrieb, wenn zentrales Fachpersonal kurzfristig ausfällt?“

• RMS indes ersetzten interne IT nicht, sondern stabilisierten diese. Die eigenen Teams behielten den Focus auf Strategie und Innovation. Der externe Anbieter übernehme hingegen die Aufgaben, welche kontinuierlich, fehlerfrei und revisionssicher laufen müssen.

Wer sich aktuell mit NIS-2, ISO 27001, BSI 200-4 oder dem Thema Cyberresilienz befasst, erkenne meist dasselbe: „Die Technologie ist selten das Problem. Herausfordernd sind vor allem fehlende personelle Kapazitäten, begrenzte Zeit und wachsende Nachweispflichten!“

Weitere Informationen zum Thema:

PINK ELEPHANT
Über uns: Pink Elephant ist ein zuverlässiger IT-Dienstleister mit Standorten in Deutschland und den Niederlanden

Linkedin
Greg Hansbuer

datensicherheit.de, 07.12.2025
NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu / Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

[datensicherheit.de, 09.12.2025] Mit der endgültigen Umsetzung der EU-Richtlinie NIS-2 in Deutschland bedeutet dies für betroffene Unternehmen, dass das Thema Cybersicherheit auf der Prioritätenliste noch einmal einen gewaltigen Sprung nach oben machen muss. Cybersecurity-Experten von Obrela zeigen auf, welche Branchen besonders davon betroffen sind. Eine der gravierendsten Änderungen im NIS-2-Kontext betrifft den deutlich erweiterten Geltungsbereich: Neben klassischen KRITIS-Betreibern rücken nun auch zahlreiche Industrie-, Technologie- und Dienstleistungsbranchen in den Fokus – insgesamt wird demnach eine Größenordnung von rund 30.000 Unternehmen in Deutschland erfasst.

5 Sektoren trifft NIS-2 deutlich härter als den Rest – aufgrund ihrer Strukturen, Abhängigkeiten und operativen Kritikalität

Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Als „wesentlich“ gelten Organisationen, deren Ausfall die Grundversorgung oder die öffentliche Sicherheit unmittelbar gefährdet.

• „Wichtig“ sind dagegen Unternehmen, deren Ausfall kritisch, aber nicht sofort versorgungsrelevant ist – etwa Medizintechnik- und Elektronik-Anbieter oder Maschinenbauer, Lebensmittelproduzenten und auch Forschungseinrichtungen.

Entscheidend sei jedoch weniger die Frage, ob ein Unternehmen unter NIS-2 fällt, „sondern wie stark es die neuen Vorgaben spürt“. Branchen mit verteilten OT-Systemen, tiefen Dienstleisterketten oder hohen Versorgungsrisiken stünden nun vor besonders hohem Aufwand. In der Umsetzung zeige sich: Fünf Sektoren treffe es deutlich härter als den Rest – aufgrund ihrer Strukturen, Abhängigkeiten und operativen Kritikalität.

Fünf Sektoren, welche NIS-2 laut Obrela besonders gefordert sind:

1. Energieversorgung (Strom, Gas, Wasser, Fernwärme)
   Der Energiesektor sei durch die „Energiewende“ einer der am stärksten digitalisierten OT-Sektoren in Deutschland. Smart-Meter-Gateways, automatisierte Laststeuerung, digitale Netzleittechnik und Tausende dezentral angebundene Erzeuger träfen dort auf jahrzehntealte OT-Anlagen.
   Dieser Mix schaffe eine Angriffsfläche, welche Cyberkriminelle gezielt ausnutzten: „Laut ,Digital Universe Report H1 2025′ von Obrela entfallen 27 Prozent der Sicherheitsvorfälle auf externe Angriffe.“
   Dass der Druck steige, zeige sich u.a. bei Stadtwerken: In fast jedem Landkreis betrieben kleine Energie- und Wasserbetriebe Netze mit knappen Teams, begrenzten Budgets und zunehmend digital verteilten Anlagen – von der Ladeinfrastruktur bis zu den Photovoltaikfeldern. Sie müssten nun dieselben NIS-2-Pflichten erfüllen wie Großversorger, verfügten aber kaum über die Ressourcen, um ihre OT- und IT-Landschaften vollständig zu überblicken. „Für sie bedeutet NIS-2 vor allem: Transparenz in verteilten OT-Netzen schaffen und Bedrohungen erkennen, bevor Leitstellen, Versorgungsnetze oder Kundendaten betroffen sind!“
2. Gesundheitssektor (Krankenhäuser und Gesundheitseinrichtungen)
   Finanziell motivierte Ransomware-Gruppen wie „FIN12“ oder „Conti“-nahe Akteure wüssten um den Druck in Kliniken und Gesundheitseinrichtungen. Intensivstationen, OP-Planung und Patientenmanagement seien überwiegend digital organisiert. Das Einschleusen von Malware – 25 Prozent aller Vorfälle – gefährde dort nicht nur Daten, sondern unmittelbar Menschenleben.
   „Wie gefährlich dieser Grad der Vernetzung ist, gerät im hektischen Klinikalltag leicht aus dem Blickfeld: Auf Station greifen mehrere Personen auf ein Gerät zu (Shared Devices), Zugänge werden von der nächsten Schicht übernommen und kritische Situationen verlangen notgedrungen ,Workarounds’.“ Entsprechend hoch sei der Anteil an Verstößen gegen interne Sicherheitsvorgaben – rund 20 Prozent aller Vorfälle.
   Hinzu komme, dass viele Medizingeräte technisch überholt seien. Alte Bildgebungsgeräte wie MRTs oder CTs liefen beispielsweise auf ungepatchten „Windows“-Versionen. Ein Laborgerät hänge in einem separaten VLAN, mit unbekanntem Betriebssystem oder Patchlevel. Viele Kliniken wüssten schlicht nicht, welche Geräte im Netz hängen, welche Softwareversionen laufen, welche Remote-Zugänge existieren und wo veraltete Komponenten stehen. „Für Krankenhäuser bedeutet NIS-2 deshalb vor allem: MedTech-Landschaften transparent machen und privilegierte Zugänge – auch von Herstellern – strikt kontrollieren!“
3. Industrielle Produktion (Fertigung, Maschinen- und Anlagenbau)
   In der fertigenden Industrie seien Stillstände, Lieferunterbrechungen und lange Wiederanlaufzeiten längst reale Szenarien. Sieben Prozent aller beobachteten Vorfälle entfielen auf diesen Sektor – rund 800 Angriffe allein im ersten Halbjahr 2025.
   Die Spannbreite reiche von kompromittierten Bediener-Accounts über Manipulationen an Maschinenabläufen bis zu Eingriffen in Logistikprozesse oder unerlaubten Änderungen an Steuerungssystemen. Die Motive dahinter reichten von finanziellen Interessen bis zu gezielter Betriebsspionage.
   Ein Kernproblem: „Klassische OT wurde nie für das Internet gebaut. Viele Steuerungen laufen seit Jahrzehnten, sind kaum patchbar oder basieren noch auf ,Windows XP Embedded’.“ Gleichzeitig hingen heute IIoT-Sensorik, „Cloud“-Dienste, MES- und ERP-Systeme am selben Netz. Der zweite Schwachpunkt sei die globale Lieferkette: „Hersteller werden selten direkt angegriffen, sondern über Umwege – manipulierte Software-Updates, kompromittierte Logistikpartner oder unsichere Remote-Zugänge von Wartungsfirmen.“ Genau deshalb setze NIS-2 einen besonderen Schwerpunkt auf Lieferkettenkontrollen.
4. Finanzsektor (Banken, Zahlungsdienste, Finanzinfrastrukturen)
   Die Finanzbranche zähle zu den lukrativsten und mit 19 Prozent aller beobachteten Vorfälle auch zu den meist betroffenen Zielen für Cyberangriffe. Allein im ersten Halbjahr 2025 habe Obrela 2.150 Attacken verzeichnet – also rein rechnerisch alle zwei Stunden ein Angriff.
   Besonders auffällig: „32 Prozent der Vorfälle sind sektorspezifisch, also präzise auf Finanzsysteme zugeschnitten. Dazu zählen unautorisierte Zugriffe auf Transaktionsplattformen, Manipulationen in Zahlungs- und Handelsprozessen bis hin zu Web-Injection-Angriffe, die Zugangsketten für späteren Betrug aufbauen.“
   Der Druck entstehe vor allem durch die Architektur der Finanz-IT: Jahrzehntelang gewachsene Kernbankensysteme („COBOL“) träfen auf moderne API-Chains, „Cloud“-Dienste und ausgelagerte Zahlungsprozesse. Host-Systeme, Middleware-Schichten, Kartenabwicklung, „SWIFT“-Anbindungen, Marktinterfaces – all dies hänge über Hunderte Schnittstellen zusammen. „Schon ein einzelner kompromittierter Dienstleister oder eine fehlerhafte API reicht, um in hochkritische Systeme vorzudringen.“ NIS-2 adressiere genau diese Schwachstellen: „Dienstleister und ,Cloud’-Anbieter strikt auditieren, privilegierte Zugänge härten, maschinenbasierte Identitäten absichern und Zahlungsströme in Echtzeit auf Anomalien prüfen!“
5. Transport (Luftfahrt, Eisenbahnverkehr, Straßenverkehr, Schifffahrt)
   Der Transportsektor gehöre in NIS-2 zu den „wesentlichen Einrichtungen“ – und das aus gutem Grund. Die Abläufe hingen an einem dichten Netz aus Betriebssteuerung, Disposition, Fracht-Tracking und Wartungsprozessen, von denen viele über externe Dienstleister liefen.
   28 Prozent der beobachteten Vorfälle beträfen Malware – „oft dort, wo Systeme nur selten aktualisiert werden – etwa in Routen- oder Ladeplanungssoftware“.
   Besonders anspruchsvoll werde die Umsetzung von NIS-2 durch die Kombination aus stark regulierten Alt-Systemen und einer außergewöhnlich hohen Zahl externer Schnittstellen. Viele zentrale Anwendungen – von Leit- und Dispositionssoftware bis zu Flughafen- oder Cargo-Systemen – unterlägen strengen Zertifizierungen, weshalb Updates nur selten und mit langen Freigabeprozessen möglich seien. „Gleichzeitig stützen sich Bahn-, Airline- und Logistikbetreiber auf ein dichtes Geflecht aus Wartungsfirmen, Abfertigern und technischen Dienstleistern mit direktem Zugriff auf operative Systeme oder Datenflüsse.“ Diese Breite der Integrationen mache selbst kleine Änderungen koordinations- und dokumentationsintensiv.

NIS-2 verlangt durchgängiges Monitoring und schnelle Reaktionsfähigkeit

NIS-2 werde für viele Unternehmen vor allem ein Ressourcenproblem darstellen. „Wir erleben das immer wieder: Viele Organisationen scheitern nicht an der Technik, sondern an fehlender Transparenz, begrenzten Teams und der Vielzahl an Schnittstellen“, kommentiert Stefan Bange, „Managing Director Germany“ bei Obrela.

• Er betont: „NIS-2 verlangt durchgängiges Monitoring und schnelle Reaktionsfähigkeit – Anforderungen, die viele Unternehmen nur mit externen Partnern rund um die Uhr abdecken können.“ Sogenannte Security-as-a-Service-Modelle böten hierzu eine realistische Entlastung. Externe Partner übernähmen dabei Aufgaben wie „Managed Detection and Response“ (MDR), „Managed Risk and Controls“ (MRC), die Pflege zentraler Sicherheitsrichtlinien sowie die Bewertung neuer Schwachstellen.

„So entstehen klare Verantwortlichkeiten, ein durchgängiger Überblick über Risiken und eine Reaktionsfähigkeit, die rund um die Uhr funktioniert. Das sind alles Voraussetzungen, die NIS-2 jetzt verpflichtend macht und viele Organisationen aus eigener Kraft nur schwer erfüllen können“, gibt Bange abschließend zu bedenken.

Weitere Informationen zum Thema:

OBRELA
ÜBER OBRELA

OBRELA, Das Obrela-Bedrohungsanalyse-Team, 03.09.2025
Digitales Universum Bericht H1 2025 Bericht

Linkedin
Stefan Bange: Managing Director DACH @ Obrela Security Industries GmbH

datensicherheit.de, 07.12.2025
NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu / Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

[datensicherheit.de, 07.12.2025] Roland Stritt, CRO beim deutschen Hard- und Softwarehersteller FAST LTA, kommentiert den Umstand, dass Bundestag und Bundesrat das NIS-2-Umsetzungsgesetz verabschiedet haben: „Damit startet für rund 30.000 Unternehmen in Deutschland eine verpflichtende Umsetzungsphase, die keine Verzögerungen zulässt!“ Die Vorgaben gelten demnach für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichten deutlich weiter als bisherige KRITIS-Regelungen. „Ob ein Unternehmen betroffen ist, hängt von seiner Rolle und Tätigkeit im jeweiligen Bereich ab“, betont Stritt und erläutert, welche Aufgaben nun auf rund 30.000 Unternehmen warten:

Foto: FAST LTA

Roland Stritt: Die regulatorische Welle nimmt Tempo auf: Für Unternehmen zählt jetzt nicht mehr, ob sie handeln, sondern wie schnell und wie wirksam!

NIS-2-Anforderungen sollen Resilienz der Unternehmen erhöhen und Sicherheit zentraler Dienstleistungen stärken

Unternehmen müssten sich innerhalb von drei Monaten nach den gesetzlichen Vorgaben registrieren. „Die Umsetzungspflichten gelten sofort, es gibt keinen Aufschub und keine Schonfrist!“

• Diese umfassten eine klare „Scope“-Definition, ein wirksames Risikomanagement, feste Meldewege und umfassende Cybersecurity-Maßnahmen.

„Die Anforderungen sollen die Resilienz der Unternehmen erhöhen und die Sicherheit zentraler Dienstleistungen stärken“, so Stritt.

Nach NIS-2 stehen noch weitere Regulierungen an

Parallel liefen weitere regulatorische Prozesse an. Das „KRITIS-Dachgesetz“ befinde sich in Vorbereitung und sehe verschärfte physische und digitale Schutzmaßnahmen vor. Es bringe neue Meldepflichten und eine zusätzliche Aufsicht durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

• „Im Energiesektor werden neue IT-Sicherheitskataloge der Bundesnetzagentur erwartet. Sie sollen NIS-2 und das KRITIS-Dachgesetz zusammenführen und Nachweispflichten aus dem Energiewirtschaftsgesetz einbinden.“

„Cloud“- und IT-Dienstleister müssten zudem den „EU Implementing Act“ erfüllen. „Die Vorgaben aus § 30 BSIG-E decken diese Anforderungen nicht ab.“ Auch die „KRITIS-Verordnung“ werde überarbeitet. Welche Sektoren und Schwellenwerte künftig gelten, sei aktuell noch offen.

Wegen verspäteter NIS-2-Umsetzung EU-Vertragsverletzungsverfahren gegen Deutschland

„Die EU beobachtet die Entwicklung genau. Wegen der verspäteten Umsetzung läuft ein Vertragsverletzungsverfahren gegen Deutschland“, erläutert Stritt. Andere EU-Mitgliedstaaten warteten auf ein deutsches Gesetz, welches als Orientierung dienen könnte.

• „Die regulatorische Welle nimmt Tempo auf: Für Unternehmen zählt jetzt nicht mehr, ob sie handeln, sondern wie schnell und wie wirksam!“ Cybersecurity und Resilienz seien indes keine reine „Compliance“-Aufgabe. Sie würden zum festen Bestandteil der Geschäftsstrategie und zum Wettbewerbsfaktor.

Stritt gibt abschließend zu bedenken: „Wir empfehlen, die neuen Vorgaben frühzeitig in eine übergreifende Sicherheits- und Datenstrategie einzubetten! Unternehmen, die früh planen, sichern sich klare Vorteile.“

Weitere Informationen zum Thema:

FAST LTA
Hallo. Unsere Produkte und Services helfen unseren mittelständischen Kunden, Datensicherung und Datenmigration zu vereinfachen, rechtliche und regulatorische Risiken zu minimieren, und das langfristige Risiko, Daten zu verlieren, zu verringern.

CRN.DE, Folker Lück, 10.06.2025
Neuer Vertriebschef für Fast LTA / Der On-Premises Enterprise-Storage-Lösungsanbieter Fast LTA GmbH hat Roland Stritt mit Wirkung zum 1. Mai 2025 zum Chief Revenue Officer (CRO) ernannt. Damit verantwortet Roland Stritt künftig die Bereiche Vertrieb und Marketing. Er soll die strategische Ausrichtung im europäischen Markt voranbringen.

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 13.11.2025
NIS-2 in Deutschland: Später Start erfordert nun Vertrauen und Klarheit zu schaffen / Die Umsetzung der NIS-2-Richtlinie steht unmittelbar auf der Agenda – die neuen Vorgaben sollen ohne Übergangsfrist gelten

[datensicherheit.de, 06.12.2025] Mit der Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ab dem 6. Dezember 2025 „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft. Dieses Gesetz erhöhe die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen.

Foto: BMI, Hennig Schacht

BSI-Präsidentin Claudia Plattner warnt: Die Cybersicherheitslage Deutschlands ist angespannt – insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im Digitalen Raum verwundbar!

Inkrafttreten des NIS-2-Umsetzungsgesetzes erweitert BSIG Anwendungsbereich deutlich

Die nationale Umsetzung der EU-Richtlinie erfolgt demnach insbesondere im Rahmen einer Novellierung des BSI-Gesetzes (BSIG). Unternehmen müssten selbständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit künftig zu den rund 29.500 durch das BSI beaufsichtigten Einrichtungen gehören, „für welche neue gesetzliche Pflichten in der IT-Sicherheit gelten“.

• Bislang seien etwa 4.500 Organisationen durch das BSI-Gesetz reguliert worden – insbesondere Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) und „Unternehmen im besonderen öffentlichen Interesse“ (UBI).

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes werde der Anwendungsbereich des BSIG deutlich erweitert: „Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien ,wichtige Einrichtungen’ und ,besonders wichtige Einrichtungen’.“

Auch Einrichtungen der Bundesverwaltung fallen unter das NIS-2-Umsetzungsgesetz

Diese Unternehmen müssten fortan auch drei zentralen Pflichten nachkommen: Sie seien gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren, dem BSI erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren! KRITIS-Betriebe gälten automatisch als „besonders wichtige Einrichtungen“.

• Einrichtungen der Bundesverwaltung, die unter das NIS-2-Umsetzungsgesetz fallen, sind laut BSI Bundesbehörden und öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung, außerdem bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts.

Von den Einrichtungen der Bundesverwaltung verlange das NIS-2-Umsetzungsgesetz unter anderem die Umsetzung von IT-Risikomanagementmaßnahmen auf „IT-Grundschutz“-Basis. Zusätzlich müsse die Bundesverwaltung die BSI-Mindeststandards einhalten. Weitere Informationen zu den Pflichten, welche das NIS-2-Umsetzungsgesetz der Bundesverwaltung auferlegt, sind auf der BSI-Website abrufbar.

BSI-Präsidentin erwartet von NIS-2-Umsetzung deutliche Stärkung der Resilienz unseres Landes

Die BSI-Präsidentin, Claudia Plattner, kommentiert: „Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im Digitalen Raum verwundbar! Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“

• Das BSI sieht für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor: Zunächst müsse eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handele es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Es diene juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stelle das geschäftliche Pendant zur personenbezogenen BundID dar. MUK basiere auf der „ELSTER“-Technologie und nutze „ELSTER“-Organisationszertifikate, welche üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI online bereit.

Das BSI empfiehlt, ein eigenes Konto unter der Rubrik „Mein Unternehmenskonto“ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren. Dieses BSI-Portal sollam 6. Januar 2026 freigeschaltet werden und u.a. als Meldestelle für erhebliche Sicherheitsvorfälle dienen. „Meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, melden diesen dem BSI über ein Online-Formular; KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-Betroffenheitsprüfung

Bundesamt für Sicherheit in der Informationstechnik
#nis2know für Unternehmen: Viele Unternehmen und Einrichtungen, die mit NIS-2 erstmals durch das BSI reguliert werden, stehen vor der Frage, was sie jetzt tun müssen. / Lesen Sie hier, auf welche neuen Pflichten Sie sich einstellen müssen.

Bundesamt für Sicherheit in der Informationstechnik
#nis2know: NIS-2-Meldepflicht / NIS-2-betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden

Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz / Informationssicherheit mit System

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG

Bundesamt für Sicherheit in der Informationstechnik
Das NI2-Umsetzungsgesetz in der Bundesverwaltung

Bundesamt für Sicherheit in der Informationstechnik
Mein Unternehmenskonto (MUK) / Erster Schritt der NIS-2-Registrierung

Bundesamt für Sicherheit in der Informationstechnik, Melde- und Informationsportal
Meldung ohne Registrierung abgeben/ Bitte wählen Sie zunächst die Meldestelle, bei der Sie eine Meldung abgeben möchten. Anschließend werden Ihnen die verfügbaren Formulare angezeigt.

Bundesgesetzblatt, BGBl. 2025 I Nr. 301, 05.12.2025
Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

MEIN UNTERNEHMENS-KONTO
Das Unternehmenskonto auf Basis von ELSTER / Die digitale Identität für Unternehmen in Deutschland

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 18.11.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zu einem Web-Seminar zum Thema NIS-2 ein. Im Rahmen dieser 45-minütigen Online-Veranstaltung sollen „wertvolle Einblicke in die praktischen Anforderungen der NIS-2-Richtlinie und deren Auswirkungen auf ,Cloud’-Infrastrukturen“ geboten werden.

Abbildung: it’s.BB e.V.

NIS-2 trifft auf die „Cloud“ – was das konkret für Architektur, Betrieb, Organisation und Verantwortlichkeiten bedeutet…

Erörterung praktischer Anforderungen der NIS-2-Richtlinie

„Wir werden Ihnen bewährte Maßnahmen und konkrete Handlungsempfehlungen zur Sicherung von Identitäten, Daten, ,Workloads’ und der Lieferkette vorstellen.“

• Darüber hinaus sollen Teilnehmer praktische Tipps, „Best Practices“ und eine kompakte „Roadmap“ erhalten.

Dieses Web-Seminar wird in Zusammenarbeit mit dem Netzwerkpartner DAB Digitalagentur Berlin GmbH organisiert.

„Cloud-Nutzung und NIS-2: Maßnahmen und Best Practices beim Absichern moderner Infrastrukturen“

Web-Seminar am Donnerstag, dem 20. November 2025, von 10.00 bis 11.00 Uhr
Teilnahme kostenlos, Online-Anmeldung erforderlich.

Agenda (ohne Gewähr)

10.00-10.45 Uhr

• Begrüßung & Zielbild: „Warum ,Cloud + NIS2‘ jetzt handeln heißt“
• „NIS2 kurz & konkret für die Cloud“: Anwendungsbereich, Pflichten, Nachweise
• „Cloud-Architektur & Shared Responsibility“
• „Identitäten & Zugriffe sicher verwalten und steuern“
• „Daten & Workloads absichern“
• „Erkennung von Angriffen, Reaktion & Übungen“
• „Dritte & SaaS: Lieferkette, Verträge, Exit-Strategie“
• „Kompakter Fahrplan & Quick Wins“

– Uwe Stanislawski, Geschäftsführer CASKAN IT-Security GmbH
– Alina Bungarten, it’S.BB e.V.

10.45-11.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

it’s.BB DAS IT_SICHERHEITSNETZWERK BERLIN-BRANDENBURG
it´s.BB – über uns / IT-Sicherheit für Berlin und Brandenburg

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
Cloud-Nutzung und NIS-2 / Online-Event: Nov. 20 von 10vorm. bis 11vorm. MEZ

DIGITAL AGENTUR BERLIN
Wir unterstützen Berliner Unternehmen bei der Digitalisierung / Wir glauben an die Kraft und Wandelbarkeit von Berlin. Die Freiheit und Kultur in Berlin bieten die Chance, Neues auf eigene Weise einzusetzen. Digitalisierung unterstützt Unternehmen, ihr Potenzial zu entfalten.

CASCAN IT-SECURITY
Transparenz und Kontrolle in Ihrer IT-Landschaft: CASKAN IT-Security

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

[datensicherheit.de, 15.11.2025] Um nachzuvollziehen, wie insbesondere der deutsche Mittelstand noch kurz vor dem Beschluss des Bundestages vom 13. November 2025 zur Umsetzung der NIS-2-Richtlinie den eigenen Reifegrad in Sachen Informationssicherheit einschätzte und diese Regulierung im Allgemeinen bewertete, hat Proliance nach eigenen Angaben 122 Entscheidungsträger in Unternehmen befragt: Demnach offenbart diese neue Studie von Proliance eine „deutliche Diskrepanz in der Informationssicherheit des deutschen Mittelstands“. Denn während die Unternehmen einerseits ihren eigenen Reifegrad als „hoch“ einschätzten, habe dies andererseits im Kontrast zu einer hohen Zahl schwerwiegender Sicherheitsvorfälle und erheblicher Unsicherheit bezüglich der EU-Regulierung NIS-2 gestanden. Die vorliegende Studie „Lage der Informationssicherheit im deutschen Mittelstand 2025“ zeichnet laut Proliance „ein Bild eines Sektors im Spannungsfeld zwischen der Notwendigkeit für mehr Sicherheit und der Last zusätzlicher Regularien“.

Abbildung: proliance

Proliance-Publikation „Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand?“

Deutscher Mittelstand angesichts NIS-2 in einer Zwickmühle aus hohem Selbstanspruch und realen Vorfällen

Die Studie lege eine bemerkenswerte Kluft offen: Mittelständische Unternehmen bewerteten ihren eigenen Reifegrad in der Informationssicherheit mit durchschnittlich 4,1 von fünf Punkten als „sehr positiv“. Gleichzeitig habe jedoch fast jedes dritte Unternehmen (32%) von mindestens einem schwerwiegenden Sicherheitsvorfall in den vergangenen drei Jahren berichtet.

• Diese positive Selbsteinschätzung stehe also im Widerspruch zu den stark zunehmenden wirtschaftlichen Schäden durch Cyberangriffe, welche laut dem Bitkom-Wirtschaftsschutzreport 2025 auf 290 Milliarden Euro angestiegen seien – eine Steigerung um 41 Prozent seit 2023.

Der deutsche Mittelstand befinde sich damit in einer Zwickmühle aus hohem Selbstanspruch und realen Vorfällen. Die Studie zeige, dass trotz erlebter Vorfälle 51 Prozent der Befragten verschärfte Regulierungen positiv sähen und NIS-2 als eine sinnvolle „Leitplanke“ betrachteten.

Einführung der NIS-2-Richtlinie von einer Mehrheit befürwortet

Als größte Sicherheitsrisiken identifizierten die Befragten Malware bzw. Datenerpressung (61%) und den Diebstahl von Zugangsdaten (44%). Dies spiegele sich in den häufigsten Angriffsvektoren wider: Kompromittierte Zugänge seien mit 46 Prozent die Spitzenreiter, gefolgt von Phishing (41%) sowie Malware und Insider-Vorfällen (jeweils 36%). Der „Faktor Mensch“ bleibe somit eine zentrale Schwachstelle in der Abwehr von Cyberangriffen.

• Trotz der potenziellen Belastungen werde die Einführung der NIS-2-Richtlinie von einer Mehrheit befürwortet. Die Umsetzung in der Praxis sei jedoch kurz vor der Einführung von erheblicher Unsicherheit geprägt. Besonders alarmierend sei die Feststellung, dass für rund die Hälfte der Befragten die eigene Betroffenheit unter NIS-2 weiterhin unklar gewesen sei – lediglich 50 Prozent wüssten sicher, ob ihr Unternehmen von der Richtlinie betroffen ist.

Aufklärung sei jetzt das „A und O“. Unternehmen müssten dringend wissen, wo sie im Bereich der Informationssicherheit wirklich stehen. Die Studie unterstreiche, dass eine schnelle Umsetzung der Richtlinie hilfreich dabei sein werde, die Cybersicherheit in Deutschland weitreichend zu verbessern.

Externe Expertise wird zur Regel: Unterstützung bei NIS-2-Umsetzung

Der Mangel an internen Ressourcen und Know-how führe nun dazu, dass externe Unterstützung eine zentrale Rolle einnehme. 70 Prozent der mittelständischen Unternehmen setzten auf externe Partner, um ihre Informationssicherheit zu gewährleisten.

• Der Hauptgrund hierfür sei der Bedarf an spezialisiertem Fachwissen (62%), aber auch fehlende interne Kapazitäten (39%). Da Expertise rar sei, habe sich das Einholen externer Unterstützung zur Regel entwickelt.

Diese sei entscheidend, um auf spezialisiertes Fachwissen zugreifen und Kapazitätslücken überbrücken zu können. Die richtige Unterstützung durch „smarte Lösungen“ und erfahrene Berater sei für den Mittelstand der Schlüssel, um den wachsenden Bedrohungen und regulatorischen Anforderungen wirksam zu begegnen.

Weitere Informationen zum Thema:

proliance
Über uns / Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

proliance
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand? / 32 % der Mittelständler hatten schwere Security-Vorfälle. 51 % begrüßen strengere Regeln. Zeit für einfache Checks, klare Leitlinien und pragmatische Unterstützung

proliance
Live Webinar „NIS2 kommt. Jetzt handeln und Compliance rechtzeitig sichern!“ / Online 26.11.2025 11:00

Deutscher Bundestag, 13.11.2025
Inneres / Gesetz zur Informations­sicherheit in der Bundes­verwaltung beschlossen

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen /Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 13.11.2025
NIS-2 in Deutschland: Später Start erfordert nun Vertrauen und Klarheit zu schaffen / Die Umsetzung der NIS-2-Richtlinie steht unmittelbar auf der Agenda – die neuen Vorgaben sollen ohne Übergangsfrist gelten

datensicherheit.de, 18.10.2025
Umsetzung der NIS-2-Richtlinie: Verschleppung der Cybersicherheitsreform kritisiert / Die EU war lange Vorreiter bei Cybersicherheitsgesetzen – doch NIS-2 gilt als Richtlinie und nicht als direkt geltende Verordnung, wodurch ein „Flickenteppich“ nationaler Lösungen droht

datensicherheit.de, 16.10.2025
NIS-2: Genug Vorlauf – eco fordert nun Präzision / Der eco begrüßt sehr wohl die intensive politische Diskussion um die NIS-2-Richtlinie, betont aber, dass es nun an der Zeit ist, Rechtssicherheit zu schaffen

datensicherheit.de, 13.09.2025
Bitkom betont herausragende Bedeutung des KRITIS-Dachgesetzes für Deutschland / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ ist bereits am 18. Oktober 2024 verstrichen – gegen Deutschland läuft bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 15.11.2025] Vielfach wird der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie grundsätzlich begrüßt. Auch Steve Bradford, „Senior Vice President EMEA“ bei SailPoint, sieht darin „einen entscheidenden Schritt für mehr Cybersicherheit und klare Rahmenbedingungen für Unternehmen“ – er moniert indes, dass die Umsetzung in Europa weiterhin uneinheitlich bleibt. Sebastian Gerlach, „Senior Director Policy / Public Sector Enablement EMEA“ bei Palo Alto Networks, erläutert in seinem Kommentar, was die Umsetzung der NIS-2-Richtlinie in nationales Recht nun für Unternehmen bedeutet, wieso NIS-2 nicht die Lösung für alles sein kann und wie die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) fortan einzuordnen ist.

Foto: SailPoint

Steve Bradford betont: Europa darf sich nicht auf seinen bisherigen Erfolgen ausruhen!

Zuwachs an Rechtssicherheit: EU-NIS-2-Richtlinie endlich in nationales deutsches Gesetz überführt

„Damit wird die EU-NIS-2-Richtlinie endlich in nationales Gesetz überführt und sorgt für mehr Rechtssicherheit sowie verbindliche Fristen für deutsche Unternehmen“, unterstreicht Bradford. Trotz dieses Fortschritts bleibe aber die Umsetzung in Europa weiterhin uneinheitlich – mit Deutschland haben demnach nun erst 16 von 27 EU-Mitgliedstaaten die Vorgaben vollständig umgesetzt.

• „Das zeigt: Europa darf sich nicht auf seinen bisherigen Erfolgen ausruhen! ,Compliance’ muss eine kontinuierliche, strategische Priorität bleiben, denn die Bedrohungslage entwickelt sich stetig weiter.“

Vor allem KI-gesteuerte Angriffe verschärften die Risiken, insbesondere für Unternehmen mit veralteten Systemen und komplexen Lieferketten. 2024 seien Insider-Bedrohungen für fast die Hälfte aller Sicherheitsvorfälle in der Region „Europa, Naher Osten und Afrika“ (EMEA) verantwortlich gewesen. „Die in diesem Jahr aktualisierten technischen Leitlinien der NIS-2 zum Identitäts- und Zugriffsmanagement verdeutlichen, wie sehr Unternehmen zunehmend ausgeklügelten Angriffsmethoden ausgesetzt sind“, so Bradford.

Empfehlung: KI-gestützte Identitätssicherheitsplattformen

Diese Entwicklung werde auch durch den unlängst veröffentlichten Lagebericht des BSI bestätigt: „Mit einem Rekordschaden von 202 Milliarden Euro durch Cyberangriffe zählt Deutschland zu den Top-Zielen von Cyberkriminellen. Die Zahlen machen deutlich, dass Unternehmen Cybersicherheit als Kernaufgabe begreifen müssen.“

• Dennoch setzten viele Organisationen weiterhin auf manuelle Prozesse und riskierten dadurch gefährliche Sicherheitslücken. Bradford stellt klar: „Die Modernisierung der Zugriffskontrollen ist daher unerlässlich!“

KI-gestützte Identitätssicherheitsplattformen böten Echtzeit-Transparenz und eine zentrale, prüfbare Datenquelle – und machten „Compliance“ zu einem strategischen Vorteil. Mit der Verabschiedung des NIS-2-Gesetzes und den aktuellen Erkenntnissen aus dem BSI-Lagebericht sei jetzt der richtige Zeitpunkt, die eigenen Schutzmaßnahmen zu überprüfen, Schwachstellen zu schließen und neuen Bedrohungen einen Schritt voraus zu sein.

Etliche potenzielle Opfer Cyberkrimineller fallen eben nicht unter NIS-2

Auch Gerlach sieht in der Verabschiedung des NIS-2-Umsetzungsgesetzes im Bundestag für den Schutz der Kritischen Infrastruktur (KRITIS) in Deutschland einen „enorm wichtiger Schritt“. Dennoch moniert er: Die Bundesregierung habe „wertvolle Zeit verstreichen lassen“ – und er warnt grundsätzlich: „Cyberangreifer warten nicht auf gesetzliche Vorgaben!“ Es sei indes gut zu sehen, dass jetzt auch alle nachgeordneten Bundesbehörden in den Anwendungsbereich des NIS-2-Umsetzungsgesetzes kämen.

• Der aktuelle BSI-Lagebericht zeige aber, dass viele Organisationen, welche besonders im Visier von Angreifern sind, weder unter NIS-2 fielen noch sich ihrer Attraktivität als Ziel bewusst seien. „Politische Institutionen wie Parteien, Kommunen und mittelständische Unternehmen geraten zunehmend ins Fadenkreuz von Cyberkriminellen“, berichtet Gerlach.

Während NIS-2 über 30.000 Unternehmen zu höheren Standards verpflichte, bleibe eine gefährliche Lücke: „Zwischen regulatorischen Mindestanforderungen und tatsächlichem Schutz klafft ein Abgrund!“

NIS-2-Umsetzung stärkt zumindest Handlungsfähigkeit Deutschlands im Bereich der Cybersicherheit

Angreifer interessierten sich nicht für „Compliance“-Deadlines: „Sie suchen Schwachstellen und finden sie dort, wo Unternehmen Sicherheit als Pflichtübung statt als strategische Priorität betrachten!“ Daher sei das Secure-by-Design-Konzept unverzichtbar, „bei der Sicherheit von Anfang an in alle Prozess- und Systemarchitekturen integriert wird“.

• Aus Sicht von Palo Alto Networks ist die Ansiedlung des Bundes-CISO beim BSI ein sinnvoller Schritt. Damit werde die strategische Verantwortung für Cybersicherheit auf Bundesebene dort verankert, wo das tiefgehende technische Fachwissen und die operative Erfahrung bereits vorhanden seien.

Diese Entscheidung stärke die Handlungsfähigkeit Deutschlands im Bereich der Cybersicherheit und fördere eine enge Verzahnung von Strategie, Regulierung und technischer Umsetzung – „ein wichtiger Schritt, um die Resilienz staatlicher Behörden gegenüber Cyberbedrohungen nachhaltig zu erhöhen“, betont Gerlach abschließend.

Weitere Informationen zum Thema:

SailPoint
Das Herzstück der Unternehmenssicherheit ist die Identität / Eine einheitliche Identitätssicherheitsplattform zur Verwaltung und zum Schutz aller Unternehmensidentitäten

SailPoint
WARUM WIR? / Das Führungsteam von SailPoint

paloalto NETWORKS
Get to know: Sebastian Gerlach / Senior director, EMEA policy, Palo Alto Networks

paloalto NETWORKS
Blog

Deutscher Bundestag, 13.11.2025
Inneres / Gesetz zur Informations­sicherheit in der Bundes­verwaltung beschlossen

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2025 / Berichtszeitraum: 01.07.2024 – 30.06.2025 / Einleitung

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2025 / Berichtszeitraum: 01.07.2024 – 30.06.2025 / 05 Resilienz

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen /Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 13.11.2025
NIS-2 in Deutschland: Später Start erfordert nun Vertrauen und Klarheit zu schaffen / Die Umsetzung der NIS-2-Richtlinie steht unmittelbar auf der Agenda – die neuen Vorgaben sollen ohne Übergangsfrist gelten

datensicherheit.de, 18.10.2025
Umsetzung der NIS-2-Richtlinie: Verschleppung der Cybersicherheitsreform kritisiert / Die EU war lange Vorreiter bei Cybersicherheitsgesetzen – doch NIS-2 gilt als Richtlinie und nicht als direkt geltende Verordnung, wodurch ein „Flickenteppich“ nationaler Lösungen droht

datensicherheit.de, 16.10.2025
NIS-2: Genug Vorlauf – eco fordert nun Präzision / Der eco begrüßt sehr wohl die intensive politische Diskussion um die NIS-2-Richtlinie, betont aber, dass es nun an der Zeit ist, Rechtssicherheit zu schaffen

datensicherheit.de, 13.09.2025
Bitkom betont herausragende Bedeutung des KRITIS-Dachgesetzes für Deutschland / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ ist bereits am 18. Oktober 2024 verstrichen – gegen Deutschland läuft bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden