NIS-2: Neue Anforderungen an Unternehmen – eine prüferische Einordnung

Mit der Umsetzung der NIS-2-Richtlinie rückt die Cybersicherheit stärker in den Fokus unternehmerischer Verantwortung. Was bislang häufig als rein technisches Thema behandelt wurde, entwickelt sich zunehmend zu einer zentralen Governance- und Compliance-Frage.

Nach den aktuellen fachlichen Einschätzungen ist für Unternehmen zunächst entscheidend, eine fundierte Betroffenheitsanalyse durchzuführen. Erst auf dieser Basis lässt sich ableiten, welche konkreten Anforderungen zu erfüllen sind. In der Praxis zeigt sich, dass insbesondere die anschließende Gap-Analyse sowie die strukturierte Umsetzung geeigneter Maßnahmen erheblichen Abstimmungsbedarf innerhalb der Organisation erfordern.

Welche Unternehmen sind betroffen?

Der Anwendungsbereich von NIS-2 ist deutlich weiter gefasst als in der bisherigen Regulierung. Grundsätzlich gilt die Richtlinie für Unternehmen, die zwei Kriterien erfüllen:

• Tätigkeit in einem von aktuell 18 definierten Sektoren (z. B. Energie, Transport, Gesundheitswesen, Finanzsektor, digitale Infrastruktur, IT-Dienstleistungen, Produktion, Logistik oder Lebensmittelindustrie)
• Erreichen bestimmter Größenschwellen:
  • ab 50 Mitarbeitenden oder
  • ab 10 Mio. € Jahresumsatz bzw. Bilanzsumme

Darüber hinaus wird zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen unterschieden. Zudem können Unternehmen auch mittelbar betroffen sein, etwa über ihre Rolle in Lieferketten.

Ab wann ist NIS-2 in Deutschland anzuwenden?

Die nationale Umsetzung der NIS-2-Richtlinie erfolgte mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, das am 6. Dezember 2025 in Kraft trat. Damit gelten die Anforderungen bereits verbindlich für alle betroffenen Unternehmen.

Unmittelbar nach Inkrafttreten mussten sich betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die gesetzliche Frist für diese Meldung endete am 6. März 2026. Unternehmen, die diese Pflicht bislang nicht erfüllt haben, befinden sich bereits im Verzug und sollten schnell handeln.

Für die Praxis ist entscheidend: Die Umsetzung der Anforderungen – insbesondere der Aufbau eines wirksamen Informationssicherheits- und Risikomanagementsystems – erfordert erhebliche Vorlaufzeit und die Einbindung verschiedener Unternehmensbereiche.

Im Zentrum der Anforderungen

Im Mittelpunkt steht ein wirksames Risikomanagement für Informationssicherheit. Unternehmen müssen Risiken systematisch identifizieren, bewerten und steuern. Dazu gehören unter anderem Notfallkonzepte, Meldeprozesse für Sicherheitsvorfälle sowie Maßnahmen zur Absicherung von Lieferketten.

Besondere Bedeutung kommt den erweiterten Meldepflichten zu. Sicherheitsvorfälle sind künftig innerhalb kurzer Fristen zu adressieren, was klare Verantwortlichkeiten und belastbare interne Prozesse voraussetzt.

Auch aus prüferischer Sicht ergeben sich neue Anforderungen. Die Beurteilung der Angemessenheit und Wirksamkeit von internen Kontroll- und Risikomanagementsystemen gewinnt weiter an Bedeutung. Entscheidend ist dabei das Zusammenspiel der einzelnen Maßnahmen im Rahmen eines konsistenten Gesamtsystems.

Nicht zuletzt wird deutlich, dass die Verantwortung für Cybersicherheit auf Ebene der Unternehmensleitung verankert sein muss. Entsprechende Governance-Strukturen sind zu definieren und angemessen zu dokumentieren.