NIS2 in der Praxis: Was Betreiber kritischer Infrastruktur jetzt umsetzen müssen

Die NIS2-Richtlinie ist seit Oktober 2024 in deutsches Recht umgesetzt. Für Tausende Unternehmen bedeutet das: konkrete Meldepflichten, technische Mindestanforderungen und empfindliche Bußgelder bei Nichterfüllung. Wir fassen zusammen, was wirklich zählt.

NIS2 erweitert den Geltungsbereich erheblich gegenüber der Vorgängerrichtlinie. Betroffen sind Unternehmen aus 18 Sektoren – darunter:

• Energie (Strom, Gas, Öl, Wasserstoff)
• Verkehr (Luft, Schiene, Straße, See)
• Gesundheitswesen (Krankenhäuser, Labore, Pharma)
• Digitale Infrastruktur (Cloud, Rechenzentren, CDN)
• Produktion (Chemie, Lebensmittel, Maschinen)

Ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz gelten die Regeln als „wichtige Einrichtung„, ab 250 Mitarbeitern oder 50 Mio. EUR als „wesentliche Einrichtung“ mit verschärften Anforderungen.

1. Risikoanalyse und Sicherheitskonzepte
2. Incident Handling und Meldeverfahren
3. Business Continuity und Krisenmanagement
4. Supply-Chain-Sicherheit
5. Kryptographie und Verschlüsselung ← besonders relevant
6. Zugangskontrolle und Multi-Faktor-Authentifizierung
7. Patch-Management und Schwachstellenbehandlung
8. Netzwerksicherheit und Segmentierung
9. Sicherheitsbewusstsein und Schulungen
10. Sichere Entwicklungspraktiken

Unsere Audits zeigen: Besonders Punkt 5 (Kryptographie) und Punkt 7 (Patch-Management in Legacy-Systemen) sind oft unzureichend. Wer noch RSA-2048 oder SHA-1 in produktiven Systemen einsetzt, hat dringenden Handlungsbedarf.

Antworten Sie auf drei Fragen:

1. Nutzen Sie noch Verschlüsselungsalgorithmen, die vor 2015 standardisiert wurden?
2. Gibt es Systeme in Ihrer Infrastruktur, die seit über 3 Jahren kein Security-Update erhalten haben?
3. Können Sie im Ernstfall einen Sicherheitsvorfall innerhalb von 24 Stunden melden?

Wer auch nur eine Frage mit „Ja„ beantwortet, sollte jetzt handeln.

NIS2-Readiness prüfen | Vollständiger Sicherheitscheck | Beratungsgespräch