Für viele Unternehmen in Deutschland besteht akuter Handlungsbedarf: Mit dem NIS2-Umsetzungsgesetz ist die neue Cybersicherheitsregulierung seit Dezember 2025 verbindliches deutsches Bundesrecht. Betroffene Unternehmen müssen nun nachweisbar höhere Anforderungen an ihre IT- und Informationssicherheit erfüllen – bei Nicht-Einhaltung drohen erhebliche Sanktionen. LHIND unterstützt Sie mit einer umfassenden NIS2-Beratung und der konformen Umsetzung aller erforderlichen Maßnahmen: von der Betroffenheitsanalyse über die Implementierung geeigneter Sicherheitsmaßnahmen bis hin zur Nachweisführung gegenüber dem BSI.
Seit Dezember 2025 verpflichtend
NIS2-Beratung: Deutsches Umsetzungsgesetz verlangt mehr Cybersicherheit – ist Ihr Unternehmen auch betroffen?
Was ist das NIS2-Umsetzungsgesetz?
Das NIS2-Umsetzungsgesetz ist deutsches Bundesrecht und setzt die EU-Richtlinie (EU) 2022/2555 zur Netzwerk- und Informationssicherheit (NIS) in nationales Recht um. Es ersetzt die bisherige NIS-Regelung aus dem Jahr 2016 und erweitert den Anwendungsbereich deutlich um strengere Sicherheitsanforderungen, zusätzliche Branchen sowie eine größere Zahl betroffener Unternehmen.
Seit dem 6. Dezember 2025 ist das Gesetz in Deutschland verbindlich anzuwenden. Betroffene Unternehmen – insbesondere aus den in der EU-Richtlinie definierten wesentlichen und wichtigen Bereichen – sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren, erhebliche Sicherheitsvorfälle zu melden sowie angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen und nachzuweisen.
Die betroffenen Unternehmen müssen sich bis zum 6. März 2026 beim BSI registrieren. Der Nachweis der Compliance muss regelmäßig erbracht werden. Andernfalls drohen empfindliche Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes – je nach Einstufung und Kritikalität der Unternehmen.
Lassen Sie es nicht so weit kommen – Lufthansa Industry Solutions (LHIND) hilft Ihnen mit einer NIS2-Beratung beim Etablieren eines gesetzeskonformen Risikomanagements für mehr Cybersicherheit!
Wie unterstützt LHIND Ihr Unternehmen bei der Umsetzung von NIS2?
Unsere IT-Sicherheitsexpert:innen beraten Sie in allen relevanten Fragen rund um NIS2 und helfen Ihnen, die neuen Anforderungen optimal umzusetzen. Wir verfügen über jahrelange Erfahrung in der Begleitung von Unternehmen aus dem KRITIS-Bereich und stehen Ihnen gern als erfahrener und zuverlässiger Partner zur Seite.
Optimal zur Feststellung von NIS2-Reifegrad und Bedarf
Sie haben noch keinen genauen Überblick, wo Sie für NIS2 bereits gut aufgestellt sind und was noch zu tun ist?
Starten Sie zum Auftakt mit unserer NIS2-Beratung. So erhalten Sie Transparenz und einen Überblick über Ihre Optimierungsbedarfe.
Jetzt unverbindlich Assessment anfragen
Inhalte unserer NIS2-Beratung im Assessment
Vor dem Hintergrund der NIS2-Anforderungen überprüfen wir für Sie:
- Ihr IT-Risiko-Management
- Ihr Informationssicherheitsmanagementsystem (ISMS)
- Ihren Umgang mit Sicherheitsvorfällen
- Ihr Backup-, Notfall- und Krisenmanagement
- die Sicherheit in Ihrer Lieferkette
- den Erwerb, die Entwicklung und Wartung von Ihren IT-Systemen und -Anwendungen
- die Vollständigkeit und Wirksamkeit Ihrer Schulungs- & Awareness-Maßnahmen
- die Angemessenheit Ihrer Zugriffs- und Zutrittskontrollen
- den richtigen Einsatz von Authentifizierungstechnologien in Ihrem Unternehmen
Darüber hinaus bieten wir Ihnen:
- Implementierung und Überprüfung notwendiger Maßnahmen wie Aufbau und Optimierung des Risikomanagements, der Berichts- und Meldewege, des Incident Managements, des Business Continuity Managements, des Lieferanten- und Kundenmanagements und weiteres
- Prüfung der Maßnahmen-Umsetzung gemäß den Anforderungen des Gesetzes
- Durchführung von Penetrationstests zur Detektion von akuten technischen Schwachstellen (optional)
- Standardkonforme Beratung zum Aufbau von IT-Risikomanagement- und ISMS-Strukturen sowie Implementierung
- Unabhängige Auditierung von IT-Risikomanagement und ISMS
- Aufbau von leistungsfähigen Detektions- und Reaktions-Prozessen
- Unterstützung bei der Vorfallsbehandlung
- Aufbau von Regelungen und technischen Strukturen
- Simulation und Übung des Ernstfalls
- Identifikation von Informationsflüssen und Datenklassifikation
- Abstimmung von übergreifenden Sicherheitsanforderungen
- Absicherung von fachlichen und technischen Schnittstellen
- Aufbau und Steuerung des Providermanagements
- Überführung von Systemen in leistungsfähige Plattformen
- Schulungen für das Management
- Sensibilisierung und Training der Mitarbeitenden
- Messung und Optimierung des Awareness-Niveaus
- Fachliche und technische Beratung zu Lösungsoptionen
- Implementierung von logischen und physischen Lösungsmöglichkeiten
- Absicherung von Sprach-, Video- und Textkommunikation
- Aufbau von Notfallkommunikationssystemen
Wir stehen Ihnen als kompetenter und zuverlässiger Partner zur Seite. Was uns ausmacht:
- Langjährige Erfahrung im IT-Security- und Informationssicherheits-Bereich und in der Beratung von (KRITIS-)Unternehmen
- Expertise in Datenschutz, Compliance, Informationssicherheit, sowie im technischem IT-Bereich
- Tiefes Branchen-Know-how aus unterschiedlichen Kundensituationen für optimale Lösungen
- Maßgeschneiderte Lösungen für Ihren individuellen Bedarf
- Schnelle und individuelle Anpassung an Ihre Bedürfnisse sowie umfassende Flexibilität
- Qualifizierte Rundum-Betreuung von der Analyse bis zur Umsetzung und Qualitätskontrolle
- Umfassendes Leistungspaket unabhängig von der Unternehmensgröße
Für welche Unternehmen gilt das NIS2-Umsetzungsgesetz?
Die NIS2-Regelungen betreffen verschiedene Sektoren, die in der EU-Richtlinie als „besonders wichtig“ oder „wichtig“ aufgelistet sind:
| Besonders wichtige Einrichtungen | Wichtige Einrichtungen |
|
|
| Geldstrafen bei Verstößen: Höchstbetrag von mind. 10 Mio. EUR oder 2 % des weltweiten Umsatzes | Geldstrafen bei Verstößen: Höchstbetrag von mind. 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes |
Auch Unternehmensgröße relevant
Das NIS2-Umsetzungsgesetz betrifft nach der sogenannten „size-cap“-Regel hauptsächlich mittlere und große Unternehmen aus den betroffenen Sektoren:
| Unternehmen | Mitarbeiter | Umsatz | Bilanz | ||
|---|---|---|---|---|---|
| Wichtig* | ≥ 50 | oder | > 10 Mio. EUR | und | > 10 Mio. EUR |
| Besonders wichtig* | ≥ 250 | oder | > 50 Mio. EUR | und | > 43 Mio. EUR |
*Weitere Bestimmungen ergeben sich aus P28 Abs.1 NIS2-Umsetzungsgesetz.
Es können jedoch auch kleinere Unternehmen betroffen sein, wenn diese
- eine kritische Tätigkeit ausüben
- Auswirkungen auf die öffentliche Ordnung nehmen
- oder Systemrisiken sowie grenzüberschreitende Auswirkungen bestehen
Gleichermaßen kann ein Unternehmen trotz Zugehörigkeit zu einem der Sektoren unter gewissen Umständen auch gänzlich vom NIS2-Umsetzungsgesetz ausgenommen sein.
Die NIS2-Umsetzung: Was Sie als Unternehmen jetzt tun müssen
Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 geltendes deutsches Bundesrecht. Damit sind die Pflichten für betroffene Unternehmen verbindlich und voll wirksam. Was Unternehmen jetzt tun müssen:
- Prüfen, ob sie vom Gesetz betroffen sind (Branche, Größe, Kritikalität)
- Registrierung beim BSI innerhalb der gesetzlich vorgesehenen Frist (bis zum 6. März 2026)
- Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen (TOM)
- Einrichtung funktionierender Meldeprozesse für Sicherheitsvorfälle (24 h / 72 h / 1 Monat)
- Vorbereitung der Nachweisführung gegenüber dem BSI (Audit, Bericht, ggf. Zertifizierung)
Es gibt keine Übergangsphase mehr. Unternehmen müssen jetzt handeln, um Compliance-Risiken, Bußgelder und Management-Haftung zu vermeiden.
Jetzt von NIS2-Beratung profitieren
Diese Anforderungen und Maßnahmen müssen Sie durch NIS2 erfüllen
Sofern ein Unternehmen als besonders wichtige oder wichtige Einrichtung im Sinne des NIS2-Umsetzungsgesetzes gilt, unterliegt es verbindlichen gesetzlichen Pflichten – von der Registrierung beim BSI bis zur Umsetzung verschiedener Sicherheitsmaßnahmen. Diese Maßnahmen haben sich an der individuellen Risikolage, der Kritikalität der Dienstleistung sowie an aktuellen technologischen Entwicklungen zu orientieren. Die erhöhten Sicherheitsanforderungen stellen für viele Unternehmen eine wesentliche organisatorische und technische Umstellung dar.
Die umzusetzenden Maßnahmen müssen auf einem ganzheitlichen Risikomanagementansatz beruhen und neben Cyberangriffen auch technische, organisatorische und physische Risiken berücksichtigen. Ziel ist es, die IT-Systeme, Prozesse und die Erbringung der betroffenen Dienstleistungen wirksam vor Störungen und Ausfällen zu schützen. Zudem müssen Geschäftsleitungen regelmäßig an Schulungen zu Risiken und Risikomanagementpraktiken teilnehmen.
Der erweiterte Geltungsbereich des Gesetzes führt dazu, dass viele Organisationen ihre Netzüberwachung, Incident-Response-Fähigkeiten und Sicherheitsorganisation deutlich ausbauen müssen.
Konformes Risikomanagement nach dem deutschen NIS2-Umsetzungsgesetz
Das NIS2-Umsetzungsgesetz verpflichtet besonders wichtige und wichtige Einrichtungen zur Einführung und Aufrechterhaltung eines angemessenen, risikobasierten Informationssicherheits- und Risikomanagements. Die gesetzlichen Mindestanforderungen umfassen insbesondere:
- Risikoanalysen und Sicherheitsrichtlinien
Etablierung von Richtlinien und Verfahren zum Management von Informationssicherheitsrisiken - Incident Management
Prävention, Erkennung, Behandlung und Nachbereitung von Sicherheitsvorfällen - Business Continuity Management (BCM)
Maßnahmen zur Aufrechterhaltung des Betriebs, einschließlich Backup-, Disaster-Recovery- und Krisenmanagement - Sicherheit der Lieferkette
Risikomanagement für Dienstleister, Zulieferer und Partner einschließlich sicherer Entwicklungs- und Betriebsprozesse - Sichere Beschaffung, Entwicklung und Wartung
Sicherheitsanforderungen an IT- und Netzwerksysteme, Schwachstellenmanagement und koordinierte Offenlegung - Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
Regelmäßige Überprüfung, Tests und Weiterentwicklung der Schutzmaßnahmen - Cyberhygiene und Schulungen
Sensibilisierung und regelmäßige Schulung von Mitarbeitenden - Kryptografie und Verschlüsselung
Schutz von Daten im Ruhezustand und bei Übertragung - Personelle und physische Sicherheit
Zugriffskontrollen, Berechtigungsmanagement und Schutz von IT-Assets - Sichere Authentifizierung und Kommunikation
Einsatz starker Authentifizierungsverfahren (z. B. MFA) sowie gesicherter Sprach-, Video- und Datenkommunikation, einschließlich Notfallkommunikation
Lieferkettenanforderungen für die NIS2-Umsetzung in Deutschland
Ein zentraler Bestandteil des Gesetzes ist die Absicherung der Liefer- und Dienstleistungskette. Unternehmen sind verpflichtet, nicht nur ihre eigenen Systeme, sondern auch die Abhängigkeiten zu externen Dienstleistern und Zulieferern angemessen zu berücksichtigen.
Hierzu zählen insbesondere:
- Berücksichtigung von Cyber-Risiken bei der Auswahl und Steuerung von Dienstleistern
- Verankerung von Sicherheitsanforderungen in Verträgen
- Bewertung von Risiken aus Entwicklung, Betrieb und Wartung externer Systeme
Die verschärften Anforderungen reagieren auf die steigende Bedrohung durch Supply-Chain-Angriffe, bei denen Angreifer über kompromittierte Zulieferer Zugang zu Kunden- oder Partnernetzwerken erlangen.
Meldung von Sicherheitsvorfällen an das BSI
Das NIS2-Umsetzungsgesetz schreibt verbindliche Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Unternehmen müssen geeignete Prozesse etablieren, um diese Fristen sicher einzuhalten:
- innerhalb von 24 Stunden: Erstmeldung eines erheblichen Sicherheitsvorfalls
- innerhalb von 72 Stunden: Qualifizierte Meldung inkl. Bewertung und Indicators of Compromise
- innerhalb von 1 Monat: Abschlussbericht mit Ursachenanalyse und Abhilfemaßnahmen
Die gesetzlichen Anforderungen führen bei vielen Unternehmen zu einem erhöhten organisatorischen, technischen und administrativen Aufwand, insbesondere im Bereich Incident Response, Dokumentation und Governance.
FAQ: Wichtige Fragen zur NIS2-Umsetzung in Deutschland
Das NIS2-Umsetzungsgesetz ist deutsches Bundesrecht und setzt die EU-Richtlinie (EU) 2022/2555 in nationales Recht um. Es ersetzt die bisherige NIS-Regelung und erweitert den Kreis der betroffenen Unternehmen sowie die Anforderungen an die Netzwerk- und Informationssicherheit deutlich. Im Mittelpunkt stehen besonders wichtige und wichtige Einrichtungen, die gesetzlich zu höheren Sicherheitsstandards verpflichtet werden.
Ziel des Gesetzes ist es, die Cybersicherheits-Resilienz von Staat, Wirtschaft und Gesellschaft zu stärken. Unternehmen sollen besser vor Cyberangriffen, Systemausfällen und anderen sicherheitsrelevanten Vorfällen geschützt werden. Gleichzeitig adressiert das Gesetz explizit Lieferkettenrisiken und verpflichtet Unternehmen zu einem ganzheitlichen Risikomanagement über die eigene Organisation hinaus.
Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz geltendes deutsches Recht und verbindlich anzuwenden. Für betroffene Unternehmen bestehen keine allgemeinen Übergangsfristen mehr – die gesetzlichen Pflichten gelten jetzt.
Betroffene Unternehmen sind verpflichtet:
- sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) bis zum 6. März 2026 zu registrieren,
- erhebliche Sicherheitsvorfälle fristgerecht an das BSI zu melden,
- angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen,
- sowie ihre Compliance gegenüber dem BSI nachzuweisen (z. B. durch Berichte, Audits oder Zertifikate).
Die Betroffenheit richtet sich nach:
- Sektorenzugehörigkeit und
- Unternehmensgröße bzw. wirtschaftlicher Bedeutung.
Betroffen sind insbesondere Unternehmen aus folgenden Bereichen:
- Energie
- Transport & Verkehr
- Finanzwesen
- Gesundheit
- Wasser
- Digitale Infrastruktur
- Weltraum
- Post- & Kurierdienste
- Abfallwirtschaft
- Chemie
- Lebensmittel & Ernährung
- Industrie & Produktion
- Digitale Dienste
- Forschung
Ausnahmen vom Anwendungsbereich
Unabhängig von Unternehmensgröße oder Umsatz kann das NIS2-Umsetzungsgesetz Anwendung finden, wenn ein Unternehmen:
- eine kritische oder systemrelevante Tätigkeit ausübt,
- erhebliche Auswirkungen auf die öffentliche Ordnung oder Sicherheit haben kann oder
- Systemrisiken oder grenzüberschreitende Auswirkungen verursacht.
Gleichzeitig sieht das Gesetz eng begrenzte Ausnahmen vor, bei denen bestimmte Einrichtungen vollständig vom Anwendungsbereich ausgenommen sein können. Diese Ausnahmen sind einzelfallbezogen und gesetzlich klar definiert.
Sofern ein Unternehmen als besonders wichtige oder wichtige Einrichtung gilt, ergeben sich verbindliche gesetzliche Pflichten. Dazu zählen insbesondere:
Governance, Organisation und Meldungen
- Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Benennung und Aktualisierung von Ansprechpartnern
- Meldung erheblicher Sicherheitsvorfälle an das BSI innerhalb der gesetzlich festgelegten Fristen
- Nachweis der Compliance gegenüber dem BSI (z. B. Berichte, Audits, Zertifikate)
Risikomanagement und Sicherheitsmaßnahmen
- Umsetzung technischer und organisatorischer Maßnahmen (TOM) nach dem Stand der Technik
- Ganzheitlicher, gefahrenübergreifender Risikomanagementansatz, der IT-Systeme, Prozesse, Komponenten und Betriebsumfeld einbezieht
- Risikoanalysen und Sicherheitsrichtlinien für Informationssicherheit
- Incident Management: Prävention, Erkennung, Behandlung und Nachbereitung von Sicherheitsvorfällen
- Business Continuity Management (BCM): Backup-Strategien, Disaster Recovery und Krisenmanagement
- Sicherheit der Lieferkette: Steuerung von Risiken bei Dienstleistern, Partnern und Zulieferern
- Sichere Beschaffung, Entwicklung und Wartung: inkl. Schwachstellenmanagement und koordinierter Offenlegung
- Regelmäßige Bewertung der Wirksamkeit der Sicherheitsmaßnahmen
- Cyberhygiene und Schulungen für Mitarbeitende
- Kryptografie und Verschlüsselung von Daten
- Personelle und physische Sicherheit: Zugriffskontrollen, Berechtigungs- und Asset-Management
- Sichere Authentifizierung und Kommunikation, z. B. Multi-Faktor-Authentifizierung sowie gesicherte Sprach-, Video- und Datenkommunikation, inkl. Notfallkommunikation
Bei Verstößen gegen die Pflichten des NIS2-Umsetzungsgesetzes drohen empfindliche Bußgelder von
- bis zu 10 Millionen Euro oder
- bis zu 2 % des weltweiten Jahresumsatzes,
sowie aufsichtsrechtliche Maßnahmen durch das BSI. Darüber hinaus können persönliche Haftungsrisiken für die Geschäftsleitung entstehen.
Die ausführliche Erläuterung aller Erkenntnisse, Zusammenhänge, Maßnahmen und Empfehlungen lesen Sie im Whitepaper „Von der NIS2-Pflicht bis zur IT-Resilienz durch Künstliche Intelligenz“. Mit wertvollen Expertentipps und einem interessanten Interview zum Thema KI in der Cybersecurity.
Setzen Sie bei der Umsetzung auf die NIS-Beratung und Kompetenz von LHIND
Als Spezialist für IT-Beratung, Systemintegration und innovative Technologien verfügen wir in den Bereichen IT-Security, Datenschutz und Compliance über jahrelange Erfahrung und tiefgreifende Expertise. In unserem Kundenstamm sind diverse Unternehmen aus besonders sicherheitsrelevanten Branchen (KRITIS), die spezielle Anforderungen an ihre IT-Sicherheit haben.
Unsere hochqualifizierten IT-Expert:innen verfügen über ein tiefgehendes Verständnis von und Erfahrung in vielen Branchen. So bringen sie auch das benötigte Know-how für erforderliche Prozessanalysen und passgenaue Lösungen mit. Auf dieser Grundlage beraten und begleiten wir Sie gern dabei, die Anforderungen des NIS2-Umsetzungsgesetzes passgenau auf Ihr Unternehmen anzuwenden.
Stellen Sie uns Ihre Fragen zum NIS2-Umsetzungsgesetz und starten Sie noch heute damit, Ihr Unternehmen NIS-konform aufzustellen!
Wir freuen uns darauf Sie kompetent zu beraten.