Ein IT-Manager steht neben einem Server und hält einen Laptop in der Hand.
Kontakt
Sven Engelmann, Head of Strategic Partnerships, Kevla GmbH
Sven Engelmann
strategic partnership
Newsroom
No items found.
IT-Sicherheit
2. Dezember 2025

Bundestag verabschiedet NIS‑2: Was Unternehmen jetzt für mehr Cybersicherheit tun müssen

Besser spät als nie: Das NIS-2-Gesetz zur Cybersicherheit wird nun auch in Deutschland umgesetzt.

Deutschland gehört zu den 23 EU-Staaten, die das NIS-2-Gesetz zur Cybersicherheit verspätet umgesetzt haben.

Am 13. November 2025 hat der Deutsche Bundestag das NIS‑2-Umsetzungsgesetz verabschiedet – über ein Jahr später als von der EU gefordert. Dieses Versäumnis brachte Deutschland sogar ein Vertragsverletzungsverfahren der EU ein, das schmerzhafte Bußgelder nach sich ziehen kann.

Immerhin geht es nun voran: Auch der Bundesrat stimmte dem Gesetz am 21. November 2025 zu. Mit diesem Schritt setzt Deutschland die EU-Richtlinie NIS 2 (Network and Information Security Directive 2, EU 2022/2555) offiziell um, auch wenn die vollständige Umsetzung erst nach Verkündung im Bundesgesetzblatt wirksam wird.

Was bedeutet NIS-2?

NIS‑2 (Network and Information Security Directive 2) ist die EU-Richtlinie zur Stärkung der Cyber- und Informationssicherheit. Sie hebt die Anforderungen an Cybersicherheit in Unternehmen und kritischen Infrastrukturen deutlich an.

Unternehmen und Akteure der kritischen Infrastrukturen müssen:

  • Risiken systematisch managen
  • Maßnahmen zur Cybersicherheit umsetzen
  • Cybervorfälle schnell melden

Was erwartet deutsche Unternehmen durch NIS-2 konkret?

Eine Reihe von Änderungen kommt auf die deutsche Wirtschaft zu, vor allem auf Unternehmen der sogenannten kritischen Infrastruktur.

1. NIS-2: Mehr Unternehmen unterliegen strengen Regeln zur Cybersicherheit

NIS-2 betrifft künftig deutlich mehr Unternehmen als bisherige Regelungen – etwa 29.850 Betriebe aus Energie, Gesundheit, Transport und digitalen Diensten. Ihnen werden klare Sicherheitsmaßnahmen auferlegt, mit dem zentralen Ziel, Deutschland widerstandsfähiger gegen Cyberangriffe zu machen.

Was ist die KRITIS?

KRITIS oder kritische Infrastruktur bezeichnet Organisationen, Anlagen und Einrichtungen, deren Ausfall zu Versorgungsengpässen oder erheblichen Störungen der öffentlichen Sicherheit führen würde. Vor allem Sektoren wie Energie, Wasser, Gesundheit, Informationstechnik und Transport sind betroffen. Die Betreiber solcher kritischen Infrastrukturen müssen strenge Schutzmaßnahmen implementieren, die durch NIS-2 noch weiter verschärft werden, um aktuellen Cyberbedrohungen gerecht zu werden.

2. Strengere Mindestanforderungen

Damit steigt auch der Druck auf Unternehmen, ihre Cybersicherheit strategisch weiterzuentwickeln. So müssen Unternehmen nun unter anderem:

  • Risikoanalysen durchführen
  • Notfallpläne erstellen
  • Backup- und Verschlüsselungslösungen implementieren

3. Verschärfte Meldepflichten bei Angriffen auf die Cybersicherheit

NIS-2 führt erstmals ein striktes Meldeverfahren ein, das Unternehmen zwingt, Cyberangriffe innerhalb klar definierter Fristen zu melden:

  • Erstmeldung innerhalb 24 Stunden
  • Zwischenbericht nach 72 Stunden
  • Abschlussbericht nach einem Monat

4. Verstärkte Aufsicht durch das BSI

  • Mehr Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Zentraler Koordinator für Informationssicherheit (CISO Bund) wird etabliert

So machen Sie Ihr Unternehmen in sechs Schritten NIS-2-ready

Für Unternehmen bedeutet die Gesetzesverabschiedung: verbindliche Sicherheitsstandards, neue Meldepflichten und eine stärkere Kontrolle kritischer Infrastrukturen. Plattformen wie Kevla unterstützen Unternehmen dabei, Vertrauensdokumente sicher zu verwalten und NIS-2-Nachweise jederzeit Audit-bereit bereitzustellen.

  1. Prüfen Sie: Unterliegt Ihr Unternehmen NIS-2?
    Klären Sie zwei wesentliche Fragen: Betrifft NIS-2 mein Unternehmen? Welche Maßnahmen zur Cybersicherheit sind erforderlich?
    Tipp: Das BSI bietet Mentoring, Starterpakete und virtuelle Kick-off-Seminare für betroffene Unternehmen.
  2. Entwickeln Sie Ihre Risikostrategie
    Bereiten Sie Risikoanalysen und Notfallpläne vor, skizzieren Sie Szenarien und definieren Sie Maßnahmen, um Schäden zu begrenzen, Mitarbeitende zu informieren und Ihr Unternehmen zu schützen.
  3. Bereiten Sie Vertrauensdokumente auf
    Prüfen Sie, ob alle sicherheitsrelevanten Zertifikate und Nachweise vollständig, aktuell und im Sinne von NIS-2 revisionssicher abgelegt sind – idealerweise über Plattformen wie Kevla.
  4. ISMS & Governance stärken
    Richten Sie ein Managementsystem für Informationssicherheit ein oder erweitern Sie das bestehende bei Bedarf.
  5. Definieren Sie Meldeprozesse
    Implementieren Sie klare Prozesse für Cybervorfälle, inklusive Verantwortlicher, Notfallnummern und Vertretungen.
  6. Seien Sie jederzeit in Compliance und Audit-ready
    Mit Tools wie Kevla TrustDocS stellen Sie sicher, dass Ihr Unternehmen dauerhaft compliant bleibt und Cybersicherheits-Nachweise jederzeit verfügbar sind.

Mitarbeiterschulungen

Cybersicherheit bleibt eine kontinuierliche Aufgabe. Mitarbeitende sind die erste Bastion gegen Cyberkriminalität, aber oft auch die größte Schwachstelle. Je öfter sie geschult werden, desto eher erkennen sie Angriffe.

Häufige Cyberangriffe

Die Zahl der Angriffe auf die Cybersicherheit deutscher Unternehmen steigt stetig. Die wichtigsten Angriffsmethoden im Überblick.

Warum Kevla Ihrem Unternehmen jetzt besonders viel bringt

NIS-2 macht eine verlässliche Verwaltung aller sicherheitsrelevanten Dokumente unverzichtbar. Kevla bietet Unternehmen eine zentrale, sichere Plattform, um Compliance-Nachweise effizient bereitzustellen:

  • Zentrale Verwaltung: Alle Sicherheitszertifikate, Auditberichte und Nachweise an einem sicheren Ort
  • Automatisierte Nachweisführung: Dokumente regelmäßig aktualisiert und revisionssicher bereitgestellt
  • Lieferketten-Sicherheit: Lieferanten-Dokumente werden geprüft und kontinuierlich überwacht
  • Zugriffrechte nach Maß: Kontrolle, welche Personen Dokumente lesen oder weiterleiten können
  • Compliance & Reporting: NIS-2-konformes Reporting vereinfacht
  • Audit-Readiness: Nachweis, dass alle technischen und organisatorischen Maßnahmen umgesetzt sind

Fazit

Die Verabschiedung des NIS‑2-Umsetzungsgesetzes stärkt die Cybersicherheit in Deutschland. Unternehmen müssen ihre Sicherheitsmaßnahmen dokumentieren und Nachweise systematisch verwalten. Kevla unterstützt dabei, alle NIS-2-Anforderungen effizient, sicher und Audit-bereit umzusetzen – für eine sichere Zukunft Ihres Unternehmens.

Mehr erfahren

Weitere Themen

IT-Sicherheit

This is some text inside of a div block.

November 27, 2025

Cybersicherheit für kommunale Unternehmen: NIS2 & Zertifikate

Kommunale Unternehmen sind Ziel von Cyberangriffen. So stärken Stadtwerke mit NIS2 und digitalem Zertifikatsmanagement ihre IT-Sicherheit.

IT-Sicherheit

This is some text inside of a div block.

October 22, 2025

Digitales Vertrauen: Warum IT-Führungskräfte Vertrauen in Technologie priorisieren müssen

Erfahren Sie, warum digitales Vertrauen, Vertrauen in digitale Dienste und Cyber Security für IT-Leader entscheidend sind, um Resilienz zu sichern.

IT-Sicherheit

This is some text inside of a div block.

November 24, 2025

Europa im KI-Dilemma: Digital Omnibus ändert EU AI Act & Co.

Erfahren Sie, wie der EU AI Act Unternehmen beeinflusst: Chancen nutzen und Herausforderungen meistern. Lesen Sie jetzt den vollständigen Artikel!

Newsroom

Bleiben Sie auf dem Laufenden

Tragen Sie sich in unsere Mailing-Liste ein und verpassen Sie keine Neuigkeiten und Angebote.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.