[datensicherheit.de, 11.12.2025] Seit dem 6. Dezember 2025 gilt die NIS-2-Richtinie nun offiziell – ohne jegliche Übergangsfristen. Am 13. November 2025 war das Maßnahmenpaket final im Bundestag beschlossen worden. Diese Verabschiedung und das Inkrafttreten stellten nun „einen Wendepunkt für den deutschen Mittelstand“ dar. Alexander Ingelheim, CEO und Mitgründer von Proliance, kommentiert: „Endlich erhalten Unternehmen Rechtssicherheit, während die Cybersicherheit entscheidend gestärkt wird. Denn: Die Vorgabe verpflichtet deutlich mehr Unternehmen und Branchen zur Einhaltung einheitlicher europäischer Sicherheitsstandards und schreibt strengere Vorgaben für die IT-Sicherheit vor.“

Foto: Proliance

Alexander Ingelheim: Gerade für den Mittelstand wird NIS-2 dazu führen, die Cyberresilienz deutlich zu stärken!

NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz

Zudem erweitere NIS-2 die Meldepflichten bei Sicherheitsvorfällen und verschärfe die Sanktionen bei Verstößen. Darüber hinaus solle die Zusammenarbeit der EU-Mitgliedstaaten bei der Abwehr von Cyberangriffen gestärkt werden.

• „NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Somit sind je nach Schätzung etwa 30.000 bis 40.000 deutsche Betriebe aus 18 festgelegten Sektoren ganz konkret betroffen. Bedenkt man die Wertschöpfungsketten, könnte sich laut dem Institut der deutschen Wirtschaft (IW) für über 200.000 weitere Firmen eine indirekte Verpflichtung ergeben.“

Der Zeitpunkt zum Handeln sei also gekommen: „Doch was können Betriebe tun, um so schnell wie möglich ,compliant’ zu werden?“ Ingelheim gibt eine Übersicht der wichtigsten ersten Schritte, welche Unternehmen nun dringend angehen sollten.

Proliance-Empfehlungen für erste Handlungsschritte zur Einhaltung der NIS-2-Richtlinie:

• Durchführung einer Risikobewertung
  Von NI-2 betroffene Firmen müssten jetzt ihre Netz- und Informationssysteme auf Schwachstellen und Bedrohungen hin analysieren sowie die bestehenden Risiken klassifizieren und bewerten.
• Implementierung eines Sicherheitsplans
  Basierend auf den Ergebnissen dieser Analyse sollte ein Sicherheitsplan entwickelt werden, welcher spezifische NIS-2-Maßnahmen zur Risikominimierung enthält. Dazu gehörten Technische und Organisatorische Maßnahmen (TOM) zur Sicherheit, genauso wie die Schaffung von Sicherheitsprotokollen, regelmäßige Überprüfung und Aktualisierung der Systeme sowie kontinuierliche Mitarbeiterschulungen.
• Etablierung von Meldeverfahren
  Ein nächster Schritt bestehe darin, sicherzugehen, dass transparente und effiziente Meldeverfahren für den Fall eines Vorfalls bestehen. Dadurch würden Vorfälle schneller erkannt, gemeldet und Maßnahmen zur Eindämmung eingeleitet.
• Zusammenarbeit mit Behörden und anderen Betrieben
  Unternehmen seien gut beraten, enge Beziehungen zu den zuständigen Behörden sowie anderen Einrichtungen in ihrer Branche aufzubauen und zu pflegen. Der Austausch – zum Beispiel bezüglich bewährter Verfahren und Prozesse – helfe das allgemeine Cybersicherheitslevel zu steigern.
• Regelmäßige Prüfung und Anpassung aller NIS-2-Maßnahmen
  Generell gelte: Die Schaffung einer guten Grundlage in Sachen IT-Sicherheit sei ein fortlaufender Prozess. Langfristig gesehen sollten Betriebe ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungsszenarien sowie technologische Entwicklungen anpassen. Dazu gehöre kontinuierliches Monitoring aller Prozesse und die Flexibilität, auf neue Herausforderungen schnell zu reagieren.

Um NIS-2-Maßnahmen konkret umzusetzen, sollte ein spezialisiertes Cybersicherheitsteam zur Verfügung stehen

Ingelheim rät betroffenen Unternehmen: „Um diese Maßnahmen konkret umzusetzen, bietet sich die Etablierung eines spezialisierten Cybersicherheitsteams an, falls noch nicht vorhanden. Dies ist einer der wichtigsten Schritte, um schnell in die Handlung zu kommen.“

• Auch sollten Betriebe über die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach aktuellen Standards wie ISO 27001 oder dem BSI-Grundschutz nachdenken. „Im Idealfall hilft die Lösung bei der systematischen Verwaltung von Sicherheitsrisiken und kontinuierlichen Verbesserung der etablierten Maßnahmen.“

Ingelheim betont: „Dass die Einführung eines Regelwerks wie NIS-2 längst überfällig war, zeigen aktuelle Zahlen aus der Praxis. Während Unternehmen ihren Reifegrad in der Informationssicherheit kurz vor der Abstimmung im Bundestag durchschnittlich mit 4,1 von 5 Punkten bewerteten, meldete fast jedes dritte mindestens einen schwerwiegenden Sicherheitsvorfall in den vergangenen drei Jahren. Diese Selbstwahrnehmung steht hier in eklatantem Widerspruch zur Realität. Für unsere Studie wurden 122 mittelständische Entscheider befragt.“

Es gilt zudem das Haftungsrisiko zu senken, welches im Zuge von NIS-2 auch Einzelpersonen betrifft

Ingelheims Fazit: „Auch wenn die Richtlinie und Ihre Umsetzung zeitweise für Verunsicherung gesorgt hat: Gerade für den Mittelstand wird NIS-2 dazu führen, die Cyberresilienz deutlich zu stärken. Schließlich helfen vorab definierte Notfall- und Wiederanlaufprozesse im Rahmen des ,Business Continuity Managements’ Unternehmen dabei, nach Cyberattacken schnell wieder arbeitsfähig zu werden.“

• Außerdem schütze ein hohes Niveau an Informationssicherheit personenbezogene wie auch vertrauliche Daten und beuge Pannen in im Kontext der Datensicherheit vor. Sogar die Effizienz steige, denn die Umsetzung des Regelwerks schaffe Prozessklarheit, verschlanke Abläufe, mache Risiken sichtbar und somit besser beherrschbar.

„Zuletzt senken Geschäftsführer und Führungskräfte ihr eigenes, ganz persönliches Risiko, denn eine lückenlose Umsetzung vermindert deutlich das Haftungsrisiko, welches im Zuge von NIS-2 auch für sie als Einzelpersonen gilt!“ Mithilfe der oben erwähnten Schritte – idealerweise in Kombination mit einer Lösung, die beim Monitoring und Management von Fallstricken in Sachen Informationssicherheit hilft – erreichten Unternehmen schnell und unkompliziert „Compliance“ im Sinne der NIS-2-Richtlinie.

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

prpliance
Alexander Ingelheim – Co-Founder & CEO

proliance, 2025
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand?

Die Bundesregierung, 08.12.2025
Gesetz in Kraft getreten: Mehr digitale Sicherheit / Die Bundesregierung will neue europäische Sicherheitsstandards für Wirtschaft und Verwaltung in deutsches Recht umsetzen. Ein entsprechendes Gesetz der Bundesregierung ist nun in Kraft getreten. Ein Überblick.

datensicherheit.de, 10.12.2025
NIS-2: Vielen Unternehmen fehlt es an Kapazitäten zur Umsetzung und zum Nachweis / Greg Hansbuer rät im Kontext der NIS-2-Umsetzung zur Nutzung von „Remote Managed Services“ zur professionellen Bereitstellung der Technologie und Verantwortungsübernahme für definierte Betriebsprozesse

datensicherheit.de, 09.12.2025
NIS-2-Umsetzung: 5 Branchen am stärksten betroffen / Die NIS-2-Richtlinie unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen

datensicherheit.de, 07.12.2025
NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu / Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

[datensicherheit.de, 15.11.2025] Um nachzuvollziehen, wie insbesondere der deutsche Mittelstand noch kurz vor dem Beschluss des Bundestages vom 13. November 2025 zur Umsetzung der NIS-2-Richtlinie den eigenen Reifegrad in Sachen Informationssicherheit einschätzte und diese Regulierung im Allgemeinen bewertete, hat Proliance nach eigenen Angaben 122 Entscheidungsträger in Unternehmen befragt: Demnach offenbart diese neue Studie von Proliance eine „deutliche Diskrepanz in der Informationssicherheit des deutschen Mittelstands“. Denn während die Unternehmen einerseits ihren eigenen Reifegrad als „hoch“ einschätzten, habe dies andererseits im Kontrast zu einer hohen Zahl schwerwiegender Sicherheitsvorfälle und erheblicher Unsicherheit bezüglich der EU-Regulierung NIS-2 gestanden. Die vorliegende Studie „Lage der Informationssicherheit im deutschen Mittelstand 2025“ zeichnet laut Proliance „ein Bild eines Sektors im Spannungsfeld zwischen der Notwendigkeit für mehr Sicherheit und der Last zusätzlicher Regularien“.

Abbildung: proliance

Proliance-Publikation „Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand?“

Deutscher Mittelstand angesichts NIS-2 in einer Zwickmühle aus hohem Selbstanspruch und realen Vorfällen

Die Studie lege eine bemerkenswerte Kluft offen: Mittelständische Unternehmen bewerteten ihren eigenen Reifegrad in der Informationssicherheit mit durchschnittlich 4,1 von fünf Punkten als „sehr positiv“. Gleichzeitig habe jedoch fast jedes dritte Unternehmen (32%) von mindestens einem schwerwiegenden Sicherheitsvorfall in den vergangenen drei Jahren berichtet.

• Diese positive Selbsteinschätzung stehe also im Widerspruch zu den stark zunehmenden wirtschaftlichen Schäden durch Cyberangriffe, welche laut dem Bitkom-Wirtschaftsschutzreport 2025 auf 290 Milliarden Euro angestiegen seien – eine Steigerung um 41 Prozent seit 2023.

Der deutsche Mittelstand befinde sich damit in einer Zwickmühle aus hohem Selbstanspruch und realen Vorfällen. Die Studie zeige, dass trotz erlebter Vorfälle 51 Prozent der Befragten verschärfte Regulierungen positiv sähen und NIS-2 als eine sinnvolle „Leitplanke“ betrachteten.

Einführung der NIS-2-Richtlinie von einer Mehrheit befürwortet

Als größte Sicherheitsrisiken identifizierten die Befragten Malware bzw. Datenerpressung (61%) und den Diebstahl von Zugangsdaten (44%). Dies spiegele sich in den häufigsten Angriffsvektoren wider: Kompromittierte Zugänge seien mit 46 Prozent die Spitzenreiter, gefolgt von Phishing (41%) sowie Malware und Insider-Vorfällen (jeweils 36%). Der „Faktor Mensch“ bleibe somit eine zentrale Schwachstelle in der Abwehr von Cyberangriffen.

• Trotz der potenziellen Belastungen werde die Einführung der NIS-2-Richtlinie von einer Mehrheit befürwortet. Die Umsetzung in der Praxis sei jedoch kurz vor der Einführung von erheblicher Unsicherheit geprägt. Besonders alarmierend sei die Feststellung, dass für rund die Hälfte der Befragten die eigene Betroffenheit unter NIS-2 weiterhin unklar gewesen sei – lediglich 50 Prozent wüssten sicher, ob ihr Unternehmen von der Richtlinie betroffen ist.

Aufklärung sei jetzt das „A und O“. Unternehmen müssten dringend wissen, wo sie im Bereich der Informationssicherheit wirklich stehen. Die Studie unterstreiche, dass eine schnelle Umsetzung der Richtlinie hilfreich dabei sein werde, die Cybersicherheit in Deutschland weitreichend zu verbessern.

Externe Expertise wird zur Regel: Unterstützung bei NIS-2-Umsetzung

Der Mangel an internen Ressourcen und Know-how führe nun dazu, dass externe Unterstützung eine zentrale Rolle einnehme. 70 Prozent der mittelständischen Unternehmen setzten auf externe Partner, um ihre Informationssicherheit zu gewährleisten.

• Der Hauptgrund hierfür sei der Bedarf an spezialisiertem Fachwissen (62%), aber auch fehlende interne Kapazitäten (39%). Da Expertise rar sei, habe sich das Einholen externer Unterstützung zur Regel entwickelt.

Diese sei entscheidend, um auf spezialisiertes Fachwissen zugreifen und Kapazitätslücken überbrücken zu können. Die richtige Unterstützung durch „smarte Lösungen“ und erfahrene Berater sei für den Mittelstand der Schlüssel, um den wachsenden Bedrohungen und regulatorischen Anforderungen wirksam zu begegnen.

Weitere Informationen zum Thema:

proliance
Über uns / Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

proliance
Cyberresilienz-Studie 2025: Wo steht der deutsche Mittelstand? / 32 % der Mittelständler hatten schwere Security-Vorfälle. 51 % begrüßen strengere Regeln. Zeit für einfache Checks, klare Leitlinien und pragmatische Unterstützung

proliance
Live Webinar „NIS2 kommt. Jetzt handeln und Compliance rechtzeitig sichern!“ / Online 26.11.2025 11:00

Deutscher Bundestag, 13.11.2025
Inneres / Gesetz zur Informations­sicherheit in der Bundes­verwaltung beschlossen

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen /Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 13.11.2025
NIS-2 in Deutschland: Später Start erfordert nun Vertrauen und Klarheit zu schaffen / Die Umsetzung der NIS-2-Richtlinie steht unmittelbar auf der Agenda – die neuen Vorgaben sollen ohne Übergangsfrist gelten

datensicherheit.de, 18.10.2025
Umsetzung der NIS-2-Richtlinie: Verschleppung der Cybersicherheitsreform kritisiert / Die EU war lange Vorreiter bei Cybersicherheitsgesetzen – doch NIS-2 gilt als Richtlinie und nicht als direkt geltende Verordnung, wodurch ein „Flickenteppich“ nationaler Lösungen droht

datensicherheit.de, 16.10.2025
NIS-2: Genug Vorlauf – eco fordert nun Präzision / Der eco begrüßt sehr wohl die intensive politische Diskussion um die NIS-2-Richtlinie, betont aber, dass es nun an der Zeit ist, Rechtssicherheit zu schaffen

datensicherheit.de, 13.09.2025
Bitkom betont herausragende Bedeutung des KRITIS-Dachgesetzes für Deutschland / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ ist bereits am 18. Oktober 2024 verstrichen – gegen Deutschland läuft bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden