Viele Unternehmen, die sich bislang nicht als „kritisch“ verstanden haben, stehen plötzlich im Fokus europäischer Cybersicherheitsregulierung. IT-Leitungen, Geschäftsführungen und Sicherheitsverantwortliche in mittelständischen Unternehmen fragen sich aktuell: Sind wir von der NIS-2-Richtlinie betroffen – und was bedeutet das konkret für uns?
Am 30. Juli 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Gesetzesentwurf zur Umsetzung der NIS-2-Richtlinie veröffentlicht. Mit diesem wird der bisherige Geltungsbereich deutlich erweitert. Viele Unternehmen – vor allem aus Branchen wie Produktion, Maschinenbau, IT-Dienstleistungen, Logistik oder Gesundheitswesen – rücken nun stärker in den Fokus der Cybersicherheitsstrategie der EU. Auch Betriebe, die bislang nicht unter spezifische gesetzliche Anforderungen im Bereich IT-Sicherheit fielen, werden künftig aktiv in den Schutz digitaler Infrastrukturen einbezogen.
In Deutschland betrifft das laut Bundesinnenministerium künftig rund 29.000 Betriebe und Einrichtungen.
Was sich mit NIS-2 ändert
Der Entwurf sieht vor, dass Unternehmen bestimmten Mindestanforderungen an ihre Cybersicherheit gerecht werden müssen. Hier die wichtigsten Punkte:
- Pflichten für viele Mittelständler: Bereits Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz können betroffen sein – abhängig von ihrer Branche.
- Verpflichtendes Risikomanagement: IT-Sicherheitsmaßnahmen müssen dokumentiert und regelmäßig überprüft werden.
- Meldepflichten bei Sicherheitsvorfällen: Ereignisse mit potenziellem Risiko für Kunden, Partner oder Lieferketten müssen an Behörden gemeldet werden – gestuft und fristgebunden.
- Haftung der Geschäftsleitung: Geschäftsführende Personen tragen künftig eine deutlich sichtbarere Verantwortung.
- Kurzfristiger Zeitplan: Das Gesetz soll noch 2025 beschlossen und ab 2026 voll wirksam werden.
Das klingt im ersten Moment für manche Betriebe einfach nach viel Arbeit. Aber für viele Unternehmen bietet diese Entwicklung auch eine Chance: Sie rücken nun in einen gesetzlichen Rahmen, der Klarheit schafft, was „angemessene“ IT-Sicherheit bedeutet. Statt sich auf Einzelmaßnahmen oder intuitive Einschätzungen zu verlassen, können Betriebe ihre Sicherheitsstrategie künftig an verbindlichen Standards ausrichten – und so nicht nur regulatorische Anforderungen erfüllen, sondern auch das Vertrauen von Kunden, Partnern und Investoren stärken.
“Wichtige Einrichtungen” sind verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und BBK zu registrieren.
“Besonders wichtige Einrichtungen” sind verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und BBK zu registrieren.
Was das für Unternehmen bedeutet
Wer sich bisher nicht mit den Details europäischer IT-Sicherheitsrichtlinien beschäftigen musste, steht jetzt vor komplexen Fragen:
- Fallen wir unter die neuen Vorgaben?
- Welche Maßnahmen müssen wir konkret umsetzen?
- Wie hoch ist der Aufwand – personell, technisch, rechtlich?
- Wie schützen wir uns vor Bußgeldern oder Haftungsrisiken?
Zu den meisten Fragen bietet das BSI informationen, die Unternehmen helfen können. Hier können Sie sich dazu schlau machen. Allerdings kann das Thema ohne Erfahrung sehr kompliziert und anstrengend sein.
Aber wir können Sie unterstützen
Wir helfen Unternehmen dabei, den Überblick zu behalten und die Anforderungen aus NIS-2 strukturiert, effizient und angemessen umzusetzen. Gemeinsam können wir analysieren, ob und wie stark Ihr Unternehmen unter den neuen gesetzlichen Rahmen fällt. Wenn wir dann mehr wissen, entwickeln wir eine Strategie zur realistischen Umsetzung der NIS2 für Sie. Dabei priorisieren wir Maßnahmen und integrieren sie in die bestehenden Strukturen. Da es ein besonderer Fokus der NIS2 ist, helfen wie Ihnen beim Aufbau eines funktionierenden Meldesystems mit klaren Zuständigkeiten und praxisgerechten Abläufen.
Wichtig ist auch, das Verständnis in Ihrem Unternehmen zu stärken. Durch Schulungen und Trainings machen wir sowohl die Geschäftsführung, als auch die Fachabteilungen handlungsfähig.
Ob auf Basis von ISO 27001, BSI-Grundschutz oder branchenspezifischen Standards – wir begleiten den Aufbau passender Prozesse und Dokumentationen. Und wir sorgen dafür, dass Ihre Dokumentation revisionssicher ist – für interne Prüfungen ebenso wie für externe Audits.
Jetzt ist der richtige Zeitpunkt zu handeln
Besonders mittelständische Unternehmen profitieren davon, frühzeitig aktiv zu werden. Wer sich jetzt mit den Anforderungen auseinandersetzt, kann die Umsetzung mit Augenmaß gestalten – abgestimmt auf die eigenen Strukturen und Ressourcen. Statt auf externe Anforderungen nur zu reagieren, entsteht die Möglichkeit, IT-Sicherheit strategisch zu verankern und langfristig wettbewerbsfähig zu bleiben. Das schafft nicht nur Sicherheit, sondern auch Handlungsspielräume.
Die Umsetzung von NIS-2 ist kein kurzfristiges Projekt, sondern ein strategischer Schritt für viele Unternehmen. Wer heute mit der Planung beginnt, vermeidet operative Hektik, wenn das Gesetz in Kraft tritt – und positioniert sich gleichzeitig als vertrauenswürdiger Partner in einer digital vernetzten Wirtschaft.
Die Honicon GmbH steht Ihnen dabei als erfahrene, praxisnahe Beratung zur Seite. Wir kennen die gesetzlichen Anforderungen, ebenso die alltäglichen Herausforderungen kleiner und mittelständischer Unternehmen – und bringen beides zusammen.
Wenn Sie also ein Informationsgespräch, Beratung, Umsetzung , Schulungen oder das Gesamtpaket zum Thema Cybersicherheit brauchen, dann sprechen Sie mit uns.
Vereinbaren Sie ein Gespräch –
Sicherheit die sich auszahlt
