Menu
close
Menu
close
INES Logo

NIS2 Richtlinie umsetzen - sicher, pragmatisch, rechtskonform

Wir unterstützen Unternehmen bei der Umsetzung der NIS2-Richtlinie - von der Betroffenheitsanalyse bis zur nachhaltigen Compliance.
Kostenlosen Termin buchen

Grundlage der NIS2-Richtlinie

Am 27. Dezember 2022 wurde die Network and Information Security (NIS) Richtlinie im EU-Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft. Ursprünglich sollten die EU-Mitgliedsstaaten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Bis zum Sommer trug das Gesetz noch den recht technischen Namen NIS2UmsuCG. In der finalen, im Amtsblatt veröffentlichten Version, entschied man sich für eine zugänglichere Bezeichnung: „Umsetzungsgesetz zu NIS-2“. 

Zum 6. Dezember 2025 ist das Gesetz mit allen damit verbundenen Pflichten endgültig in Kraft getreten.

Sind Sie bereit für NIS2?

Lassen Sie es uns gemeinsam rausfinden. Unsere Experten Florian Wiesenbauer und Heinz Krippel analysieren, wo Sie stehen, und entwickeln einen klaren Fahrplan für die Umsetzung der Anforderungen.
Kostenlosen Termin buchen

Welche Pflichten der NIS2 Richtlinie müssen erfüllt werden?

Mit NIS2 wird Informationssicherheit nun „noch mehr“ zur Chefsache. Die Geschäftsleitung oder die Führungskräfte auf Managementebene tragen die Verantwortung dafür, dass die IT-Standards und somit die Compliance-Anforderungen der NIS2 Richtlinie umgesetzt werden. Bei Verstößen drohen Sanktionen in Form von Bußgeldern in Millionenhöhe und die persönliche Haftung.

Wichtige Anforderungen und Maßnahmen der NIS2 Richtlinie, die betroffene Organisationen in Deutschland umsetzen müssen, sind beispielsweise:
Risikomanagementsystem als Anforderung der NIS-2 Richtlinie

Etablierung eines effektiven Risikomanagementsystems

Um die digitale und physische Sicherheit der Netzwerke und Informationssysteme zu garantieren sowie um potenzielle Gefahren für die IT-Infrastruktur angemessen zu bewerten.
Meldeplfichten als Anforderung der NIS-2 Richtlinie

Beachtung von Berichts- und Meldepflichten an das BSI

Es besteht die Verpflichtung, einen erheblichen Sicherheitsvorfall innerhalb von 24 Stunden an das BSI zu melden und auf Nachfrage auch Zwischenberichte vorzulegen.
Schulung als Anforderung der NIS-2 Richtlinie

Verpflichtung zur Schulung und Sensibilisierung

Die Management-Ebene sowie die Mitarbeitenden müssen über Risiken für die Cybersicherheit sowie Maßnahmen zur Verbesserung der IT-Sicherheit geschult werden.

Sind Sie von der NIS2 Richtlinie betroffen?

NIS2 betrifft deutlich mehr Unternehmen als bisher, nicht nur KRITIS. 
Ob Ihr Unternehmen unter die Richtlinie fällt, hängt von Branche, Größe und Rolle in der Lieferkette ab. Mehr zu den betroffenen Unternehmen finden Sie hier.

Ihr Weg zur NIS2-Konformität mit der INES IT

Wir begleiten Sie strukturiert und praxisnah von der ersten Einschätzung bis zur nachhaltigen Umsetzung der NIS2-Anforderungen. Dabei verbinden wir technisches IT-Know-how mit regulatorischem Verständnis, immer mit dem Ziel, Rechtssicherheit zu schaffen, Risiken messbar zu senken und Ihre Organisation dauerhaft widerstandsfähiger zu machen.
Feststellung der Betroffenheit NIS-2 Icon Betroffenheit NIS-2

Feststellung der Betroffenheit

Wir prüfen strukturiert und nachvollziehbar, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt. Eine aktive Information durch das BSI erfolgt nicht, die Verantwortung liegt bei Ihnen. Mit unserer Analyse erhalten Sie schnell Klarheit über Ihre Betroffenheit und die daraus entstehenden Pflichten.
GAP-Analyse NIS-2 GAP-Analyse, um Maßnahmen zu identifizieren

Analyse der Konformitätslücken

Unsere GAP-Analyse zeigt auf, wo Ihr Unternehmen aktuell steht und welche NIS2-Anforderungen noch nicht erfüllt sind. Wir gleichen Ihren Ist-Zustand gezielt mit den gesetzlichen Vorgaben und aktuellen Empfehlungen der Behörden (z. B. BSI) ab und leiten daraus konkrete, priorisierte Handlungsbedarfe ab.
NIS-2 Maßnahmenkonzept Maßnahmen für NIS-2

Entwicklung eines Maßnahmenkonzepts

Auf Basis der GAP-Analyse entwickeln wir ein konkretes Maßnahmenkonzept, das exakt auf Ihre Organisation zugeschnitten ist. Sie erhalten eine umsetzbare Sicherheitsstrategie, mit der Sie NIS2-Anforderungen wie Risikomanagement und Meldepflichten zuverlässig erfüllen und Ihre IT-Sicherheit nachhaltig stärken.
Risikomanagement der IT Risikomanagement als Maßnahme der NIS-2-Richtlinie

Etablierung eines Risikomanagement

Die verschärften NIS2-Anforderungen machen ein strukturiertes Risikomanagement verpflichtend. Gemeinsam mit Ihnen entwickeln und etablieren wir ein passendes, praxisnahes Risikomanagement, mit dem Sie Risiken frühzeitig erkennen, priorisieren und kontrolliert steuern.
Schulungen für Informationssicherheit Schulung für IT-Sicherheit

Security Awareness Schulungen

Unsere Schulungen machen Ihre Mitarbeitenden handlungsfähig im Umgang mit Cyberrisiken. Praxisnahe Trainings und Awareness-Maßnahmen wie Phishing-Simulationen stärken das Sicherheitsbewusstsein nachhaltig und reduzieren das Risiko menschlicher Fehlentscheidungen spürbar.

ISMS einführen ISMS zur Umsetzung der NIS-2-Richtlinie

Einführung eines ISMS

Wir stellen sicher, dass Ihre Sicherheitsmaßnahmen wirksam bleiben und mit neuen Bedrohungen sowie regulatorischen Anforderungen Schritt halten. Ein strukturiertes ISMS schafft dafür den verbindlichen Rahmen, mit dem Sie Ihre IT-Sicherheit kontinuierlich verbessern und die gesetzlichen Vorgaben zuverlässig erfüllen.


FAQ zur NIS2 Richtlinie

Wie unterstützt INES IT bei der NIS2-Umsetzung konkret?

Wir begleiten Sie strukturiert von der Betroffenheitsprüfung über die GAP-Analyse bis zur Umsetzung und laufenden Betreuung. Sie erhalten einen klaren Fahrplan, praxisnahe Maßnahmen und nachvollziehbare Ergebnisse, ohne unnötige Komplexität.

Bis wann müssen die NIS2-Anforderungen umgesetzt sein?

Mit Inkrafttreten des deutschen Umsetzungsgesetzes gelten die Pflichten verbindlich. Unternehmen sollten frühzeitig starten, um Zeitdruck, Engpässe bei Dienstleistern und unnötige Risiken zu vermeiden.

Was ist bei der Umsetzung von NIS2 besonders herausfordernd?

NIS2 betrifft nicht nur die IT, sondern Strukturen, Prozesse und Verantwortlichkeiten im gesamten Unternehmen. Besonders herausfordernd sind der Aufbau eines wirksamen Risikomanagements, klare Meldeprozesse für Sicherheitsvorfälle und ein funktionierendes Krisenmanagement. Ohne klare Struktur wird die Umsetzung schnell komplex und zeitintensiv.

Reicht eine ISO-Zertifizierung (z. B. ISO 27001) aus, um NIS2 zu erfüllen?

Eine ISO-27001-Zertifizierung ist eine sehr gute Grundlage, ersetzt NIS2 jedoch nicht vollständig. NIS2 enthält zusätzliche, teilweise konkretere Anforderungen – etwa zu Meldepflichten, Verantwortung der Geschäftsführung und Aufsicht. In der Praxis sind gezielte Ergänzungen notwendig, um vollständig NIS2-konform zu sein.

Wie aufwendig ist die Umsetzung der NIS2-Anforderungen?

Der Aufwand hängt stark von Ihrer Ausgangslage ab. Unternehmen mit bestehenden Sicherheitsstrukturen benötigen meist deutlich weniger Anpassungen als Organisationen ohne formales ISMS. Eine GAP-Analyse schafft schnell Transparenz darüber, welche Maßnahmen erforderlich sind und wie hoch der tatsächliche Aufwand ist.

Was passiert, wenn NIS2 nicht umgesetzt wird?

Bei Verstößen drohen hohe Bußgelder, aufsichtsrechtliche Maßnahmen und persönliche Haftungsrisiken für die Geschäftsleitung. Zusätzlich steigt das Risiko von Sicherheitsvorfällen und Reputationsschäden erheblich.

Ihr Ansprechpartner

"Weder NIS2 noch ein ISMS sind als Checkliste mit zehn Abhakpunkten zu verstehen, sondern als kontinuierlicher Prozess zur nachhaltigen Stärkung der Cyberresilienz im Unternehmen."

Heinz Krippel (Head of Security)

Kostenloses Erstgespräch buchen

Wer ist von der NIS2 Richtlinie betroffen?

Nicht mehr nur Betreiber kritischer Infrastrukturen fallen unter die NIS2-Richtlinie.
Im Vergleich zu NIS1 wurde der Anwendungsbereich deutlich ausgeweitet und umfasst heute wesentlich mehr Branchen und Unternehmen. Schätzungen zufolge werden durch das deutsche Umsetzungsgesetz rund 30.000 zusätzliche Unternehmen erfasst, überwiegend mittlere und große Unternehmen.
In einigen ausgewählten Teilsektoren spielt die Unternehmensgröße jedoch keine Rolle. Die NIS2-Richtlinie unterscheidet dabei zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Diese Einstufung ist entscheidend, da sie Einfluss auf die konkreten Pflichten, die behördliche Aufsicht und mögliche Sanktionen hat.

Definition: Großunternehmen und mittlere Unternehmen

Großunternehmen und mittlere Unternehmen sind unter bestimmten Voraussetzungen von der NIS2 Richtlinie betroffen. Falls Sie einer der beiden Größen angehören, können Sie im nächsten Schritt überprüfen, ob Sie ein Anbieter einer 'besonders wichtigen' oder einer 'wichtigen' Einrichtung sind.
Mittlere Unternehmen

ab 10 Mio. € Umsatz und ab 10 Mio. € Bilanzsumme

ODER

ab 50 Mitarbeitenden

Großunternehmen

ab 50 Mio. € Umsatz und ab 43 Mio. € Bilanzsumme

ODER

ab 250 Mitarbeitenden

Besonders wichtige und wichtige Einrichtungen bei NIS2

Je nachdem, in welchem Sektor Sie tätig sind und ob es sich um ein mittleres oder ein Großunternehmen handelt, wird es entweder als 'besonders wichtige Einrichtung' oder als 'wichtige Einrichtung' eingestuft. Diese Klassifizierung hat Auswirkungen auf die Sanktionen sowie auf die Überwachung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die nachfolgende Übersicht soll Ihnen eine Orientierung geben. Eine individuelle Analyse der Betroffenheit ist aber unerlässlich, denn es greifen häufig mehrere und zum Teil auch granulare Kriterien.

Besonders wichtige Einrichtungen

Energie
Finanzen / Versicherungen
Gesundheit
IT und TK
KRITIS-Betreiber
Transport / Verkehr
Wasser / Abwasser
Weltraum
Großunternehmen in der Energie-Branche werden als besonders wichtige Einrichtung klassifiziert. Darunter fallen beispielsweise Anbieter in folgenden Branchen: 
Stromversorgung
Fernwärme und -kälteversorgung
Kraftstoff- und Heizölversorgung
Gasversorgung
Großunternehmen, die im Bankwesen oder in der Finanzmarktinfrastruktur tätig sind, werden als Betreiber besonders wichtiger Einrichtungen betrachtet. Mittlere Unternehmen gelten jedoch als wichtige Einrichtung. 
Im Gesundheits-Sektor liegen für Großunternehmen granulare Kriterien vor, um als besonders wichtige Einrichtung klassifiziert zu werden. Beispielsweise sind folgende Einrichtungsarten betroffen:
Erbringer von Gesundheitsdienstleistungen
EU-Referenzlaboratorien
Tätigkeit im Bereich der Forschungs- und Entwicklung für die Arneimittel
Herstellung von pharmazeutischen Erzeugnissen
Herstellung von Medizinprodukten, die während einer Notlage für die öffentliche Gesundheit als kritisch eingestuft werden
Bei der Informationstechnik und Telekommunikation liegen mehrere Kriterien vor. Zu beachten ist hierbei auch, dass manche Teilsektoren unabhängig von der Unternehmensgröße als besonders wichtig eingestuft werden. Außerdem werden nicht nur Großunternehmen, sondern auch teilweise mittlere Unternehmen in diese Kategorie eingestuft. Als besonders wichtige Betreiber werden beispielsweise folgende Unternehmen klassifiziert. 
DNS-Dienstanbieter
TLD-Namensregister
Qualifizierte Vertrauensdienstanbieter
Anbieter öffentlicher elektronischer Kommunikationsnetze
Anbieter öffentlich zugänglicher Kommunikationsdienste
Managed Services Provider
und viele weitere.
Da für KRITIS-Betreiber bereits vor Jahren gesetzliche Regularien in Kraft getreten sind, steht die Betroffenheit in der Regel bereits fest. Der Schwellenwert ist in der Regel, wenn eine Anlage mehr als 500.000 Personen versorgt. 
Großunternehmen aus dem Sektor Transport und Verkehr werden in der NIS-2-Richtlinie als Betreiber besonders wichtiger Einrichtungen klassifiziert. Es sind beispielsweise folgende Branchen betroffen:
Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr
Großunternehmen, die die Trinkwasserversorgung und die Abwasserbeseitigung betreiben, gelten als besonders wichtig. 
Großunternehmen, die die Erbringung von weltraumgestützen Diensten unterstützen, gelten als besonders wichtiger Betreiber in der NIS2 Richtlinie. 
Another Tab Contents
Another Tab Contents
Another Tab Contents
Another Tab Contents

Wichtige Einrichtungen

Abfallentsorgung
Anbieter digitaler Dienste
Chemie
Energie
Finanzen / Versicherungen
Forschung
Gesundheit
IT und TK
Lebensmittel
Transport / Verkehr
Wasser / Abwasser
Weltraum
Verarbeitendes Gewerbe
Mittlere Unternehmen und Großunternehmen, die in der Siedlungsabfallentsorgung sind, werden als wichtig eingestuft.
Mittlere Unternehmen und Großunternehmen, die Online-Marktplätze, Online-Suchmaschinen oder Dienste sozialer Netzwerke betreiben, gelten als wichtige Einrichtung.
Mittlere Unternehmen und Großunternehmen, die chemische Stoffe produzieren, herstellen oder damit handeln, werden als wichtig klassifiziert.
Mittlere Unternehmen in der Energie-Branche werden als wichtige Einrichtung klassifiziert. Darunter fallen beispielsweise Betreiber aus folgenden Branchen: 
Stromversorgung
Fernwärme und -kälteversorgung
Kraftstoff- und Heizölversorgung
Gasversorgung
Großunternehmen dieses Sektors werden im Gegensatz dazu als besonders wichtige Einrichtung eingestuft.
Mittlere Unternehmen, die im Bankwesen oder in der Finanzmarktinfrastruktur tätig sind, werden als besonders wichtige Einrichtung betrachtet. Großunternehmen gelten im Gegensatz dazu als besonders wichtig. 
Mittlere und große Forschungseinrichtungen gelten in der NIS2 Richtlinie als wichtige Einrichtung.
Im Gesundheits-Sektor liegen für mittlere Unternehmen granulare Kriterien vor, um als wichtige Einrichtung klassifiziert zu werden. Beispielsweise sind folgende Einrichtungsarten betroffen:
Erbringer von Gesundheitsdienstleistungen
EU-Referenzlaboratorien
Tätigkeit im Bereich der Forschungs- und Entwicklung für die Arneimittel
Herstellung von pharmazeutischen Erzeugnissen
Herstellung von Medizinprodukten, die während einer Notlage für die öffentliche Gesundheit als kritisch eingestuft werden
Bei der Informationstechnik und Telekommunikation liegen mehrere Kriterien vor. Zu beachten ist hierbei auch, dass manche Teilsektoren unabhängig von der Unternehmensgröße als wichtig eingestuft werden. 

Mittlere Unternehmen in folgenden Branchen werden beispielsweise als wichtig eingeordnet:
Vertrauensdienstanbieter
Managed Services Provider
und viele weitere.
Mittlere Unternehmen und Großunternehmen, die Lebensmittel produzieren, verarbeiten oder vertreiben, gelten als wichtige Einrichtung. 
Mittlere Unternehmen, die beispielsweise Anbieter im Luft-, Straßen oder Schienenverkehr sind, gelten als wichtige Einrichtung. 
Großunternehmen in diesen Sektoren werden jedoch als besonders wichtig eingestuft. 

Ebenso stellen auch Großunternehmen, die als Post- oder Kurierdienst tätig sind, eine wichtige Einrichtung dar. 
Mittlere Unternehmen, die in der Trinkwasserversorgung und in der Abwasserbeseitigung tätig sind, gelten als wichtig.
Großunternehmen fallen unter die besonders wichtigen Einrichtungen.
Mittlere Unternehmen, die die Erbringung von weltraumgestützen Diensten unterstützen, gelten als wichtig in der NIS2 Richtlinie. Großunternehmen in diesem Sektor gelten als besonders wichtige Einrichtung.
Mittlere Unternehmen und Großunternehmen in folgenden Sektoren werden beispielsweise als wichtig klassifiziert:
Maschinenbau
Herstellung von Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau
Herstellung von Datenverarbeitungsgeräten

Unser Expertenwissen zur NIS2-Richtlinie

WEBINAR

NIS2 & 
IT-SICHERHEITSRECHT

Aktuelle Rechtslage zur IT-Sicherheit


Betroffenheit & Anforderungen von NIS2


AUFZEICHNUNG ANSEHEN
KNOW HOW

Startklar für NIS2 mit der GAP-Analyse 

Bestehende Lücken zu NIS2 erkennen


Erforderliche Maßnahmen zur Erfüllung


JETZT MEHR ERFAHREN

NIS2-Wissen aus der Praxis

NIS2 umsetzen: Was Unternehmen jetzt wissen müssen Mehr erfahren
NIS2 führt Schulungspflicht für Geschäftsleitungen ein Mehr erfahren
Servus, Österreich: Unsere neue Webseite ist online! Mehr erfahren
Generative KI: Wenn Technologie schöpferisch wird Mehr erfahren
Passwortloses Anmelden mit FIDO2: Die neue Ära der sicheren Authentifizierung Mehr erfahren
Kontakt und mehr