Die deutsche Bundesregierung plant, die europäische NIS‑2‑Richtlinie verbindlich in nationales Recht zu überführen. Deren Ziel ist es, den verpflichtenden Cyberschutz wichtiger Unternehmen und Infrastrukturen ab Anfang 2026 umzusetzen.

Die NIS‑2-Richtlinie verlangt verbindliche Risikoanalysen und Meldepflichten für Sicherheitsvorfälle. Die betroffenen Unternehmen aus Bereichen wie Energie, Verkehr, Wasser und Telekommunikation müssen unter anderem

• Risiken für ihre Netz- und Informationssysteme identifizieren und minimieren,
• geeignete technische und organisatorische Sicherheitsmaßnahmen einführen,
• Schutzmaßnahmen für Lieferketten und Dienstleister umsetzen,
• schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden melden
• sowie fortlaufend Dokumentationen und Nachweise zu ihren Schutzmaßnahmen führen.

Das BSI beobachtet vermehrt sogenannte Lieferketten-Angriffe: Cyberkriminelle infiltrieren Zulieferer, um größere Ziele wie Behörden oder Infrastrukturbetreiber zu attackieren. Häufig sind diese Angriffe gut organisiert und zum Teil auch staatlich unterstützt.

Die Präsidentin des BSI, Claudia Plattner, betont, dass Unternehmen mit gutem IT‑Management meist mit vorhandenen Ressourcen auskommen – nur für „Neulinge“ könne es herausfordernd werden.

Testen Sie Ihren Handlungsbedarf

Mit Blick auf die steigende Bedrohungslage ist NIS‑2 kein bürokratisches Übel, sondern ein notwendiges Sicherheitsnetz. Mit unserem 5-Minuten-Selbstcheck erhalten Sie eine erste Einschätzung Ihrer Sicherheitslage.