NIS-2 in Kraft: TÜV NORD GROUP warnt Unternehmen vor Cyberrisiken und ruft zu schnellem Handeln auf

Die Bedrohung durch Cyberangriffe in Deutschland bleibt hoch. Deutsche Unternehmen, Behörden und Privatpersonen sind laut jüngstem Lagerbericht zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nicht ausreichend vor Cyberangriffen geschützt. Besonders betroffen sind demnach kleine und mittlere Unternehmen. TÜVIT, ein Tochterunternehmen der TÜV NORD GROUP warnt Unternehmen vor den elementaren und finanziellen Schäden durch einen Cyberangriff, wie vor hohen Strafen durch das Auslassen von nun geltenden Aktivitäten für die IT-Sicherheit. „Nur durch proaktive Maßnahmen können wir die Sicherheit unserer digitalen Infrastruktur gewährleisten und wirtschaftliche Schäden verhindern“, sagt Jacques Kruse Brandao, Global Head of Advocacy bei TÜVIT. Die Europäische Union hatte die NIS-2-Richtlinie auf den Weg gebracht, um die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen. Der Deutsche Bundestag hat gestern (13. November 2025) das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet. Der Bundesrat muss noch zustimmen.

Die NIS-2-Richtlinie erweitert den Geltungsbereich der bisherigen NIS-Richtlinie erheblich. „Während sich die bisherige Richtlinie vornehmlich auf kritische Infrastrukturen wie Energieversorger oder das Finanzwesen konzentrierte, kommen nun etwa auch Post- und Kurierdienste, Fahrzeug- und Maschinenbauer, der Lebensmittelsektor und digitale Dienste hinzu“, erklärt Kruse Brandao. „Die NIS-2 gilt dabei für Unternehmen ab 50 Mitarbeitenden und zehn Millionen Euro Umsatz aus 18 definierten Branchen und Bereichen.“

In Deutschland werden schätzungsweise 29.000 Unternehmen von der NIS-2 betroffen sein, in Europa etwa 400.000. Die Richtlinie fordert von den Unternehmen nicht nur eine umfassende Risikoanalyse und die Implementierung geeigneter Sicherheitsmaßnahmen, sondern auch die Schulung der Mitarbeitenden in puncto Cybersecurity. „Cybersecurity-Management wird für die betroffenen Unternehmen zur Pflicht“, betont Kruse Brandao. „Die Geschäftsführung trägt künftig die Verantwortung für die Umsetzung der Sicherheitsmaßnahmen und kann sie nicht länger an Dritte delegieren.“

TÜVIT, Experte für IT-Sicherheit, steht Unternehmen bei der Umsetzung der NIS-2-Richtlinie zur Seite. „Von der NIS-2 betroffene Betriebe sollten jetzt aktiv werden, um die erforderlichen Maßnahmen zu implementieren“, rät Kruse Brandao. „Es ist entscheidend, die Cybersecurity der Lieferketten in den Blick zu nehmen und sich gegebenenfalls Unterstützung von außen zu holen.“

Mit der Einführung der NIS-2-Richtlinie werden auch strenge Meldepflichten eingeführt. Die Aufsichtsbehörden müssen innerhalb von 24 Stunden über einen Vorfall und binnen 72 Stunden über die ergriffenen Gegenmaßnahmen informiert werden. Bei Verstößen drohen empfindliche Strafen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes.

TÜVIT bietet umfassende Dienstleistungen zur Unterstützung von Unternehmen bei der Erfüllung der Anforderungen der NIS-2-Richtlinie, zum Beispiel mit Schwachstellenanalysen. „Die enormen Schäden durch Cyberangriffe verdeutlichen, dass Firmen Cybersicherheit als zentrale Aufgabe betrachten sollten. Dazu gehört die Reduzierung von Angriffsflächen, die Verstärkung technischer Schutzmaßnahmen und die Einrichtung eines effizienten Notfallmanagements.“, so Kruse Brandao.