NIS2 beschlossen – Handlungsempfehlungen für Unternehmen

Am 13. November 2025 hat der Deutsche Bundestag das Gesetz zur Umsetzung der europäischen NIS2Richtlinie verabschiedet. Damit treten neue und strengere Vorgaben für Cybersicherheit in Deutschland in Kraft. Dies betrifft nicht nur kritische Infrastrukturen, sondern auch eine Vielzahl von Unternehmen. 

Wesentliche Neuerungen durch die NIS-2 Umsetzung

  • Die Definition kritischer Infrastruktur („KRITIS“) wurde erweitert; eine größere Anzahl von Unternehmen wird künftig als relevant eingestuft.  
  • Bundesbehörden sind erstmals denselben Anforderungen bei Risikomanagement und IT-Sicherheit unterworfen wie regulierte Unternehmen.  
  • Neu: Das Bundesministerium des Innern und für Heimat (BMI) kann künftig gemeinsam mit anderen Ressorts den Einsatz sogenannter „kritischer Komponenten“ untersagen – ein Instrument, das Investitionen in Unternehmen beeinträchtigen könnte.
  • Der Bitkom e. V. weist darauf hin, dass durch Cyberangriffe in deutschen Unternehmen zuletzt jährliche Schäden in Höhe von rund 202 Milliarden Euro entstanden sind.  
     

Auswirkungen für Unternehmen 

Unternehmen, die bislang davon ausgegangen sind, dass nur klassische KRITIS-Betreiber betroffen sind, müssen ihre Einschätzung aktualisieren:

  • Unternehmen außerhalb traditioneller KRITIS-Sektoren können nun als reguliert gelten.
  • Anforderungen an Risk Management, IT-Sicherheitsmaßnahmen, Meldung von Sicherheitsvorfällen und Compliance steigen.
  • Investitionsentscheidungen und Beschaffungen (z. B. im Bereich „kritischer Komponenten“) müssen künftig auch regulatorischen Aspekten Rechnung tragen.
  • Staatliche Stellen unterliegen nun denselben hohen Sicherheitsstandards wie private Unternehmen. Dies erhöht die Erwartung an durchgängige Sicherheitsarchitekturen der gesamten Liefer- und Wertschöpfungskette. 
     

Handlungsleitfaden: So gehen Unternehmen vor

  1. Bestandsaufnahme & Einstufung 
    Ermitteln, ob das Unternehmen künftig als kritisch oder reguliert gilt. 
    Überprüfen, welche Bereiche (IT, OT, Lieferkette) betroffen sind. 
     
  2. Risk Management etablieren oder erweitern 
    Einführung eines formellen Risikomanagements mit Identifikation, Bewertung und Steuerung von Cyberrisiken. 
    Dokumentation und Berichterstattung wie von der NIS-2 gefordert. 
     
  3. Technische und organisatorische Maßnahmen 
    Prüfen bestehender Sicherheitsmaßnahmen (z. B. IT-Grundschutz, Zugangskontrollen, Incident Response). 
    Anpassung oder Erweiterung gemäß den neuen Anforderungen. 
     
  4. Liefer- und Wertschöpfungsketten analysieren 
    Berücksichtigen, dass auch Zuliefernde künftig höhere Anforderungen erfüllen müssen. 
    Vertragsbedingungen, Audits und Compliance-Checks anpassen. 
     
  5. Sensibilisierung und Schulung 
    Mitarbeitende, Führungskräfte und IT-Verantwortliche über die neuen Vorgaben informieren. 
    Prozesse zur Meldung von Sicherheitsvorfällen etablieren. 
     
  6. Kontinuierliche Überwachung und Weiterentwicklung 
    Sicherheitsmaßnahmen periodisch überprüfen und bei Bedarf anpassen. 
    Gesetzliche Anforderungen und Behördenschnittstellen im Blick behalten. 
     

Bedeutung für Weiterbildung & Qualifizierung

Vor dem Hintergrund der Gesetzesumsetzung gewinnt die Qualifizierung von IT-Sicherheitsfachkräften, Compliance-Verantwortlichen und Führungskräften an Bedeutung. Unternehmen sollten gezielt in Weiterbildung und Trainings investieren, um sicherzustellen, dass die erforderlichen Kompetenzen vorhanden sind.
 

Ihr Vorteil: Weiterbildung mit der Bitkom Akademie

Wir bieten praxisorientierte Workshops an, die sich mit den wichtigsten Aspekten der NIS2-Richtlinie und des IT-Sicherheitsgesetzes beschäftigen. Diese Schulungen bieten wertvolle Einblicke und praxisnahe Lösungsansätze für Unternehmen, die ihre IT-Sicherheitsstrategie verbessern und gesetzliche Anforderungen umsetzen möchten. 

 

1. NIS-2 Geschäftsleiterschulung nach aktuellen BSI-Empfehlungen

Dieses exklusive Management-Seminar richtet sich gezielt an Mitglieder der Geschäftsleitung, die künftig in der Verantwortung für die Umsetzung der NIS2-Anforderungen stehen. Sie erfahren, welche rechtlichen Pflichten auf der Leitungsebene bestehen und wie Sie Haftungsrisiken durch geeignete Organisationsmaßnahmen minimieren können.

Mehr erfahren und anmelden

2. NIS2- & RCE-Richtlinie | KRITIS-Dachgesetz

In diesem Workshop erfahren Sie alles über die neuesten Anforderungen der NIS2-Richtlinie und die Implementierung des RCE-KRITIS-Dachgesetzes. Sie erhalten praxisnahe Anleitungen, wie Sie die Sicherheitsanforderungen für kritische Infrastrukturen in Ihrem Unternehmen umsetzen können.

Mehr erfahren und anmelden

3. NIS-2 in der Praxis: Von der Planung bis zur Umsetzung

Dieser Workshop bietet Ihnen konkrete Handlungsansätze und Lösungen zur praktischen Umsetzung der NIS2-Richtlinie in Ihrem Unternehmen. Sie lernen, wie Sie Risiken identifizieren, Ihre Sicherheitsstrategie anpassen und die Anforderungen effizient umsetzen können.

Mehr erfahren und anmelden

4. NIS-2: Jetzt wird’s ernst!

Dieses Live-Online-Seminar bietet einen kompakten Überblick über die Inhalte der NIS2-Richtlinie, den aktuellen Umsetzungsstand in Deutschland und die daraus resultierenden Anforderungen für Unternehmen. Sie erhalten konkrete Hinweise, wie Sie regulatorische Risiken frühzeitig erkennen und geeignete Maßnahmen einleiten. 

Mehr erfahren und anmelden

 

Jetzt anmelden und die Zukunft der Cybersicherheit sichern

Verpassen Sie nicht die Chance, Ihr Unternehmen rechtzeitig auf die NIS2-Richtlinie vorzubereiten. Melden Sie sich noch heute für einen unserer praxisorientierten Workshops an und profitieren Sie von unserer Expertise im Bereich IT-Sicherheit.