Benjamin Quasinowski

Benjamin Quasinowski

Berater Öffentlicher Sektor

+49 5258 93777-0

5 Minuten Lesezeit

28. Januar 2026

Verwandte Themen:

Insights

NIS-2 Richtlinie in Kraft getreten: Warum Unternehmen, Kommunen und Hochschulen jetzt handeln sollten

“Die Frage lautet nicht, ob eine Cyberattacke passiert, sondern wann.” Genau diese Aussage haben wir alle in unserem beruflichen Umfeld schonmal gehört.

Cyberattacken passieren in jeder Sekunde. Weltweit und branchenübergreifend. Auf Regierungseinrichtungen, die öffentliche Verwaltung, Unternehmen oder sonstige Organisationen. Jeder weiß, dass diese Attacken mittlerweile zum digitalen Alltag dazugehören. Doch die Wenigsten tun etwas dagegen.

Der politische Druck, in diesem Bereich tätig zu werden, steigt indes: Im November 2025 haben der deutsche Bundestag und der Bundesrat das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie auf den Weg gebracht, das Inkrafttreten und damit die Verbindlichkeit für Organisationen wird zeitnah erwartet. Mit der NIS-2-Richtlinie soll EU-weit ein einheitlicher Rahmen für die Informationssicherheit geschaffen werden. Während die vorhergehende NIS 1-Richtlinie nur Organisationen der sogenannten kritischen Infrastruktur (Energie, Verkehr, Gesundheitswesen, Finanzen, Wasserwirtschaft und digitale Infrastruktur) berücksichtigte, ist der Kreis der betroffenen Sektoren mit knapp 30.000 Organisationen nun deutlich größer.


Gilt NIS-2 auch für Hochschulen und den Mittelstand?

Auch Einrichtungen der öffentlichen Verwaltung sind von den Regelungen von NIS-2 betroffen, derzeit bezieht sich dies jedoch lediglich auf Einrichtungen der Bundesverwaltung bzw. Einrichtungen, die in den kritischen bzw. wichtigen Sektoren tätig sind (vgl. Anhang I und II zur NIS-2-Richtlinie). Nach aktueller Rechtslage fallen Hochschulen und Universitäten nicht unter die NIS-2 Richtlinie, auch wenn Hochschulen aufgrund ihrer Forschungstätigkeit im weiteren Sinne auch den Forschungseinrichtungen zugeordnet werden könnten und diese lt. Anhang II der NIS-2-Richtlinie zu den Sektoren wichtiger Einrichtungen gehören. Es kann jedoch nicht ausgeschlossen werden, dass in Zukunft auch Hochschulen und Universitäten sowie weitere Verwaltungseinrichtungen von NIS-2 betroffen sein werden.

Gleiches gilt für viele kleine und mittelständische Unternehmen. Die Anforderungen von NIS-2 richten sich u.a. auch an das verarbeitende und produzierende Gewerbe oder Unternehmen aus den Bereichen Chemie, Gesundheit, Verkehr oder Abfallwirtschaft. Unternehmen aus diesen Sektoren müssen allerdings bestimmte Kriterien erfüllen, damit sie unter die NIS-2-Regulierung fallen:

Unternehmensgröße

Kriterien

Mittelgroße Unternehmen

  • Mindestens 50 Mitarbeitende oder 
  • Jahresumsatz von mindestens 10 Millionen € erzielen und die Jahresbilanzsumme 10 Millionen € übersteigt

Große Unternehmen

  • Mindestens 250 Mitarbeitende oder
  • Jahresumsatz von mehr als 50 Millionen € erzielen oder die Jahresbilanzsumme 43 Millionen € übersteigt.

Organisationen, die diese Grenzen unterschreiten, sind von NIS-2 befreit. Lediglich qualifizierte Vertrauensdiensteanbieter, TLD Name Registry oder DNS-Diensteanbieter sowie Betreiber kritischer Anlagen sind unabhängig ihrer Größe von NIS-2 betroffen. Reformen der Richtlinie sind aber vermutlich nur eine Frage der Zeit: Bereits jetzt, wenige Wochen nach Inkrafttreten der Richtlinie, werden erste Vorschläge für Änderungen und Vereinfachungen der Richtlinie bekannt, die u.a. den Mittelstand betreffen (vgl. Proposal for a Directive as regards simplification measures and alignment with the Cybersecurity Act ).


Was bedeutet das für betroffene Organisationen?

Eine Vielzahl von Organisationen ist direkt oder indirekt von NIS-2 betroffen und mit dem Inkrafttreten der Richtlinie eigenständig dafür verantwortlich, entsprechende Vorkehrungen und Strukturen zu schaffen. Überall, wo kritische Daten erhoben, gespeichert und verarbeitet werden, werden die Anforderungen an die Informationssicherheit immer weiter steigen:

  • Hochschulen betreiben verschiedene Informationssysteme, wie z.B. Campusmanagementsysteme, Forschungsinformationssysteme oder Dokumentenmanagementsysteme, oft verbunden mit der Speicherung umfangreicher personenbezogener Datenbestände, die einen hohen Schutzbedarf erfordern
  • Kommunen verfügen über Personendaten, Meldedaten, Sozial- und Finanzdaten
  • Unternehmen verarbeiten Kundendaten und verfügen über Produktionsdaten sowie geschäftskritische Informationen
  • Gesundheitsorganisationen erheben und speichern Gesundheitsdaten von Menschen, die besonders hohe Schutzmaßnahmen erfordern

Betrachtet man die Daten, die täglich erzeugt und verarbeitet werden, wird deutlich, wie sensibel diese sind und welche Bedeutung einer sicheren IT-Landschaft zukommt. Niemand möchte aus den Nachrichten erfahren, dass seine oder ihre Daten in einem Datenleak ausspioniert wurden. Informationssicherheit betrifft uns alle. Organisationen des öffentlichen Sektors und mittelständische Unternehmen tragen hier eine große Verantwortung, die ihnen zur Verfügung stehen Daten möglichst sicher zu verwalten.


Wie gehen Organisationen nun konkret vor?

Zu Beginn sollte geprüft werden, ob die eigene Organisation von NIS-2 betroffen ist. Dafür kann beim BSI eigenständig eine Betroffenheitsprüfung durchgeführt werden. Betroffene Organisationen müssen sich dann beim BSI registrieren und sollten anschließend erste Schritte zur Erfüllung der Richtlinie anstoßen:

  1. Ist-Erhebung des derzeitigen Sicherheitsniveaus mit dem Ziel, aktuelle Risiken zu identifizieren und einen Überblick über Prozesse und Maßnahmen im Rahmen der Informationssicherheit zu erhalten
  2. Aufbau eines Informationssicherheits-Managements (ISMS) mit dem Ziel, Prozesse und Verantwortlichkeiten festzulegen
  3. Risiken analysieren und Bedrohungen bewerten, um Sicherheitslücken und Schutzbedarfe aufzudecken und entsprechende Maßnahmen abzuleiten
  4. Technische und organisatorische Maßnahmen definieren und umsetzen, u.a. um Infrastrukturen abzusichern, Backup- und Wiederherstellungsprozesse aufzubauen und Meldepflichten einzuhalten
  5. Lieferketten überprüfen, um Risiken in der Lieferkette festzustellen und Nachweise von Zulieferern oder Kunden einzufordern
  6. Sensibilisierung der Mitarbeitenden, um Sicherheitsdenken zu verankern, regelmäßige Weiterbildungen zu planen und langfristig eine Sicherheitskultur zu entwickeln
  7. Dokumentation des ISMS und sämtlicher Maßnahmen, um für spätere Audits und Prüfungen vorbereitet zu sein

Wichtig ist zu beachten, dass Organisationen die Umsetzung von NIS-2 eigenständig angehen und sicherstellen müssen, dass sie damit verbundene Anforderungen und Fristen einhalten. Dafür verantwortlich ist die Geschäftsführung, die u.a. auch regelmäßige Weiterbildungen absolvieren muss, um neue Entwicklungen aufnehmen und umsetzen zu können. Bei Nichteinhaltung der Anforderungen drohen erhebliche Sanktionen.


Was sollten Organisationen tun, die nicht von NIS-2 betroffen sind?

Auch wenn Organisationen zum gegenwärtigen Zeitpunkt von NIS-2 befreit sind, ist durchaus denkbar, dass sie in diesem Rahmen mehr für Ihre Informationssicherheit tun müssen. Keine Organisation arbeitet isoliert von anderen Akteuren. Jede Organisation ist in irgendeiner Form in eine Lieferkette eingebunden und steht in einer Geschäftsbeziehung zu Zulieferern, Kunden, Partnerunternehmen oder sonstigen Dienstleistern. NIS-2 fordert von den betroffenen Unternehmen die Sicherstellung ihrer Lieferkette. Das bedeutet, dass jede Organisation Transparenz über seine Geschäftsbeziehungen herstellen sollte:

  • Mit welchen Unternehmen und Organisation steht die eigene Organisation in Geschäftsbeziehung? Fallen diese unter die NIS-2 Richtlinie?
  • Mit welchen Unternehmen und Organisationen steht die eigene Organisation indirekt in Geschäftsbeziehung, die von NIS-2 betroffen sind?
  • Welche Art von Geschäftsbeziehung besteht? Welche Daten und Informationen werden ausgetauscht?
  • Welche Risiken gehen von der Geschäftsbeziehung aus?
  • Gibt es Alternativen, falls bestehende Geschäftsbeziehungen nicht aufrecht gehalten werden können?
  • Welche Nachweise sind erforderlich, um Anforderungen eines von NIS-2 betroffenen Geschäftspartners einzuhalten?
  • Wie stelle ich als Anbieter bzw. Hersteller von Software ein Risikomanagement für die genutzten Softwarelieferketten auf?

Die nun veröffentlichten Vorschläge zur Änderung der NIS-2 Richtlinie enthalten zwar u.a. einen Passus zur Vermeidung überbordender Sicherheitsanforderungen an Zulieferunternehmen, die nicht von NIS-2 betroffen sind. Fakt ist jedoch: Die Regulierung kann sich jederzeit ändern. Losgelöst jedweder Regulatorik ist es daher ratsam, sich mit Informationssicherheit auseinanderzusetzen und für die eigene Organisation zu prüfen, welche Vorkehrungen getroffen werden sollten und wo Optimierungspotenziale bestehen.


Wir unterstützen Sie bei der Verbesserung Ihrer Informationssicherheit

Gemeinsam mit unserem Partner, der Admijalo Dienstleistungs GmbH, helfen wir Ihnen sich dem Thema zu nähern und die Informationssicherheit in Ihrer Organisation zu verbessern. Wir betrachten Informationssicherheit nicht nur technisch, sondern als Zusammenspiel aus Technologie, Menschen, Prozessen und Kultur. Sprechen Sie uns an!


Quellen: 

BSI Bund: Sektorspezifische NIS-2-Informationen

Datenschurz-Notizen: Verabschiedung des NIS-2-Umsetzungsgesetzes durch die Bundesregierung

Europäische Kommission: Vorschlag für eine Richtlinie im Hinblick auf Vereinfachungsmaßnahmen und die Angleichung an das Cybersicherheitsgesetz

IHK Schwaben: NIS-2-Richtlinie – neue gesetzliche Anforderungen zur IT-Sicherheit

IT-Daily.net: NIS2: EU schafft neue Kategorie für "Small Mid-Caps"

LSI Bayern: NIS-2 FAQ - Landesamt für Sicherheit in der Informationstechnik

PT-Magazin: NIS-2 trifft den Mittelstand: Was jetzt auf Familienunternehmen und KMU zukommt

PwC: NIS-2-Richtlinie für Forschungseinrichtungen

Security-Insider: Bundestag und Bundesrat beschließen NIS-2-Umsetzungsgesetz

Secjur: Was ist NIS 2? Die NIS 2 Definition, einfach erklärt!

Transferstelle Cybersicherheit: Aktuelles zum neuen NIS2-Umsetzungsgesetz · CYBERsicher