NIS2 und DORA-Regulierung: Aufgeschoben aber nicht aufgehoben

Handlungsbedarf für Unternehmen und die IT

Cybersicherheit stärken durch europäische Richtlinie NIS2

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Richtlinie, die es sich zum Ziel setzt, Cyber- und Informationssicherheit von kritischen Infrastrukturen in Europa zu erhöhen und diese resilienter zu machen.
Die Richtlinie muss von allen Mitgliedsstaaten in nationales Recht umgesetzt werden. In Deutschland befindet sich die Umsetzung bereits in einem fortgeschrittenen Stadium, jedoch musste die gesetzte Frist verschoben werden. Grund hierfür waren u.A. die vorgezogenen Wahlen und die neue Regierungsbildung.

Der aktuelle Stand:

Die Gesetzesentwürfe mussten von der neuen Regierung erneut eingebracht und verhandelt werden. Im Mai 2025 hat das BMI einen überarbeiteten Entwurf für das NIS2-Umsetzungsgesetz (NIS2UmsuCG) vorgelegt. Mit einer Verabschiedung wird spätestens Anfang Q4/2025 gerechnet.

Trotz dieser Verzögerung sollten Unternehmen nicht abwarten:

Die gesetzlichen Anforderungen werden nach Inkrafttreten voraussichtlich unmittelbar gelten – mit potenziell erheblichen Auswirkungen auf eine große Zahl an Unternehmen.

Warum Sie bereits jetzt handeln sollten

Die gesetzliche Verabschiedung in Deutschland ist zwar verspätet, aber die EU-weite Anwendbarkeit der Richtlinie bleibt bestehen. (Stand: April 2025 – Gesetzesentwurf (NIS2UmsuCG)

In der Praxis empfiehlt es sich daher für Unternehmen aus den betroffenen Sektoren, bereits jetzt so zu handeln, als sei NIS2 in Kraft. Eine frühzeitige Orientierung an den EU-Vorgaben ist ratsam, da rückwirkende Anforderungen und Prüfpflichten nicht ausgeschlossen werden können.

Die NIS2-Richtlinie sieht bei Verstößen empfindliche Sanktionen vor:

• Für kritische Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
• Für wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Frühzeitiges Handeln schützt nicht nur vor Strafen – sondern stärkt aktiv Ihre digitale Resilienz.

Wer ist betroffen? – Anwendungsbereich der NIS 2

Im Gegensatz zu seinem Vorgänger NIS ist die NIS 2-Richtlinie deutlich strenger, konkreter und umfasst einen erweiterten Anwendungsbereich.

Der Anwendungsbereich erstreckt sich über Einrichtungen, die ihre Dienste in der EU erbringen oder ihre Tätigkeit dort ausüben. Neben einer Erweiterung der betroffenen Sektoren, spielt nun auch die Größe der Einrichtungen eine Rolle.

1. Sektorenzugehörigkeit

Das Unternehmen muss in einem der in der Richtlinie definierten Sektoren oder Teilsektoren tätig sein:

• Kritische Sektoren (z.  Energie, Gesundheit, Verkehr, Trinkwasser)
• Wichtige Sektoren (z.  digitale Dienste, Lebensmittel, Chemie, Postdienste)
• Öffentliche Verwaltungen bestimmter Größenordnung Unter die NIS2-

2. Größenkriterium

Die NIS2-Richtlinie gilt in der Regel für Unternehmen, die:

• mindestens 50 Beschäftigte haben oder
• einen Jahresumsatz bzw. Jahresbilanzsumme von über 10 Mio. Euro

3. Sonderregelungen (Unabhängig von der Größe)

Auch kleinere Unternehmen können betroffen sein, wenn:

• Sie eine wesentliche Rolle für Gesellschaft oder Wirtschaft spielen (z.  Monopolstellung)
• Sie alleiniger Anbieter eines kritischen Dienstes in einer Region oder einem Land sind
• Ein hohes Sicherheitsrisiko durch Angriffe oder Ausfälle vorliegt

(-> Ob ein Unternehmen in die Sonderregelung fällt, ist unter Artikel 2(2) in der NIS2-Richtlinie geregelt)

Insgesamt fallen in die NIS2-Richtlinie 18 Sektoren

Kritische Sektoren:

• Energie
• Transport
• Gesundheit
• Öffentliche Verwaltung
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten
• Bankwesen
• Finanzmärkte
• Trinkwasser
• Weltraum

Wichtige Sektoren: 

• Abfallwirtschaft
• Digitale Dienste
• Lebensmittel
• Chemie
• Postdienste
• Industrie
• Forschung

Pflichten: Maßnahmen zur Erhöhung der Cybersicherheit

Unternehmen sind verpflichtet, auf Basis des aktuellen Stands der Technik geeignete technische, organisatorische und betriebliche Maßnahmen zu ergreifen. Ziel ist es, Risiken für Netz- und Informationssysteme zu erkennen, zu steuern und zu minimieren – insbesondere bei sicherheitsrelevanten Vorfällen.

Ein besonderer Fokus liegt auf der Meldung von Sicherheitsvorfällen, die erhebliche Auswirkungen auf die Dienstleistungserbringung haben können. In diesem Zusammenhang wird auch die Einführung eines einheitlichen und standardisierten Meldeverfahrens für solche Vorfälle betont.

Wichtig ist, dass es sich um einen kontinuierlichen Prozess handelt. Unternehmen müssen demnach nachweisen, dass sie ihre Cybersecurity stetig verbessern. Der Prozess umfasst dabei drei zentrale Bereiche: die präventive Gefahrenabwehr, die frühzeitige Erkennung von Bedrohungen sowie die effektive Gefahrenbewältigung im Krisenfall.

Abbildung 1: Kontinuierlicher Prozess zur Verbesserung der Cybersecurity

Die Maßnahmen bilden dabei einen Mix aus technischen und organisatorischen. Folgende Punkte sind dabei zwingend erforderlich:

• Cyber-Security-Management: Richtlinien und Risikomanagement
• Incident Management
• Business Continuity Management (BCM)
• Einbeziehung der Lieferketten und Beschaffung
• Wirksamkeitsmessungen bezüglich der Maßnahmen
• Awareness / Trainings
• Kryptographiekonzepte
• Personalsicherheit
• Asset Management
• Zugriffskontrolle und Rechtemanagement
• Sichere Authentifizierungverfahren (Multi-Faktor-Authentifizierung)
• Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (inkl. Schwachstellenmanagement)
• Kommunikationssicherheit
• Sichere Notfallkommunikationsmittel

ACHTUNG: DORA VERORDNUNG FÜR FINANZWESEN BEREITS IN KRAFT

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung zur Stärkung der digitalen operationellen Resilienz im Finanzsektor. Sie gilt unmittelbar für alle betroffenen Unternehmen und ist bereits seit Januar 2025 in Kraft.

Inhaltlich weist DORA viele Parallelen zur NIS2-Richtlinie auf – insbesondere in Bezug auf Anforderungen an Cybersicherheit und Krisenmanagement. Dennoch gibt es auch klare Unterschiede in Anwendungsbereich und Regulierungstiefe.

Eine detaillierte Gegenüberstellung von DORA und NIS2 finden Sie in unserem kostenlosen Whitepaper unter: https://www.provectus.de/2025/05/28/whitepaper-iso-27001-nis2-dora-im-vergleich/

Cybersicherheit jetzt angehen – für mehr Schutz und Zukunftssicherheit

Auch wenn die nationale Umsetzung von NIS2 und DORA noch auf sich warten lässt, ist jetzt der ideale Zeitpunkt für Unternehmen, aktiv zu werden. Denn Cybersicherheit dient nicht nur der Einhaltung regulatorischer Vorgaben – sie schützt vor allem das Wertvollste: Ihre Unternehmensdaten.

Die Bedrohungslage durch Cyberkriminalität wächst stetig. Fast jedes Unternehmen ist heute Ziel von Angriffen. Klassische Schutzmechanismen reichen längst nicht mehr aus. Wir zeigen Ihnen, wie Sie Ihre IT-Infrastruktur wirksam gegen moderne Angriffsvektoren absichern – und unterstützen Sie dabei, IT-Compliance-Anforderungen pragmatisch zu erfüllen und technisch effizient umzusetzen.

Denn nur wenn alle Elemente – Security, Compliance und Nutzerakzeptanz – sinnvoll ineinandergreifen, entsteht eine stabile IT-Infrastruktur, die Sicherheit bietet und gleichzeitig moderne Arbeitsweisen nicht ausbremst.

Lassen Sie sich von uns beraten – individuell, praxisnah und zukunftsorientiert.

Sie sind bereits ISO/IEC 27001 zertifiziert?

Erfahren Sie in unserem aktuellen Whitepaper, was Sie zusätzlich im Hinblick auf NIS2 und DORA beachten sollten.

Zum kostenlosen Whitepaper