Lernlabor Cybersicherheit
Lernlabor Cybersicherheit
IT-Sicherheitsanalyst überwacht in einem Kontrollraum in Echtzeit Bedrohungsdaten auf mehreren Bildschirmen während einer simulierten NIS-2-Notfallübung,
© AI-generated

© AI-generated

NIS 2: Was Unternehmen jetzt beachten müssen

Was ist die NIS-2-Richtlinie? 

Die NIS-2-Richtlinie wurde von der Europäischen Union ins Leben gerufen, um ein gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten. Am 13. November 2025 trat das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft. NIS 2 verpflichtet die betroffenen Unternehmen dazu, wesentlich höhere Sicherheitsstandards und stärkeres Risikomanagement für digitale Dienste einzuführen. Zudem wird es neue Meldepflichten bei Sicherheitsvorfällen geben. 

Darüber hinaus werden Führungskräfte und Mitarbeitende dazu verpflichtet, regelmäßig an Schulungen teilzunehmen, um sich das notwendige Fachwissen anzueignen. Zuständige Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten mehr Befugnisse, um die Einhaltung der Vorschriften zu überprüfen. Ansonsten drohen Organisationen empfindliche Sanktionen mit bis zu 10 Millionen Euro Strafe oder 2 Prozent des Jahresumsatzes.

 

NIS-2 ist jetzt geltendes Recht – jetzt wird es verbindlich

Seit dem Dezember 2025 ist das deutsche Umsetzungsgesetz (NIS2UmsuCG) in Kraft. Damit stehen die Anforderungen erstmals verbindlich fest. Ab Januar 2026 müssen sich betroffene Unternehmen beim BSI registrieren – und damit beginnen auch die formalen Melde- und Nachweispflichten.

Weiterbildung
NIS-2
NIS-2-Richtlinie

Wer ist von NIS 2 betroffen?

In Deutschland sind rund 29.000 Unternehmen von NIS 2 betroffen. Dazu gehören Betreiber von kritischen Infrastrukturen (KRITIS), Unternehmen bestimmter Größen sowie zahlreiche Bundeseinrichtungen. Zudem wird in der NIS-2-Richtlinie in ‘besonders wichtige’ und ‘wichtige’ Einrichtungen unterteilt. Für besonders wichtige Einrichtungen können höhere Bußgelder verhängt werden. Ebenso können diese regelmäßig ohne besonderen Anlass von BSI geprüft werden.

 

Ist meine Organisation betroffen?

Die Unterteilung in ‘wichtige’ und ‘besonders wichtige’ Einrichtungen ist abhängig vom Sektor und der Größe des Unternehmens nach Anzahl der Mitarbeitenden bzw. nach Umsatz. Unternehmen aus folgenden Sektoren, die eine entsprechende Größe erreichen, werden als ‘besonders wichtig’ definiert: Energie, Verkehr, Bankwesen, Finanzmarkstrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten in B2B, öffentliche Verwaltung (in Deutschland zunächst nur Bundeseinrichtungen) und Weltraum. 

Darüber hinaus gibt es einige Sonderregelungen, beispielsweise für die Betreiber von Top-Level-Domains oder DNS. Die weiteren betroffenen Unternehmen werden als ‘wichtig’ eingestuft. 

 

Wie NIS 2 Unternehmen unterschiedlich betrifft

  • Große Unternehmen mit ISO 27001 Zertifikat oder IT-Grundschutz sind oft gut aufgestellt – erfüllen aber nicht automatisch alle NIS-2-Pflichten! Eine gezielte Gap-Analyse ist hier der empfohlene Einstieg.
  • Kleinere Unternehmen oder Organisationen mit ausgelagerter IT stehen häufig am Anfang: Hier sind Transparenz über die eigene IT-Landschaft, Risiken und Dienstleister die wichtigsten ersten Schritte. Die gute Nachricht hier: Die NIS2 erkennt Unterschiede in Ressourcenverfügbarkeit und Risikoexposition an und verlangt von jedem betroffenen Unternehmen angemessene Maßnahmen.

 

NIS 2: Die ersten Schritte für Unternehmen

Ab Januar 2026 müssen sich betroffene Unternehmen beim BSI registrieren – dafür kann bereits jetzt ein Konto angelegt werden.  Unternehmen sollten jetzt vier Dinge vorbereiten:

1. Betroffenheit des Unternehmens prüfen

Ob und wie das eigene Unternehmen betroffen ist, kann über dieses Tool vom BSI geprüft werden.

2. Registrierung & Meldewege vorbereiten

Betroffene Unternehmen müssen sich beim BSI registrieren und eine offizielle Kontakt- und Meldekette für Sicherheitsvorfälle einrichten. Dafür stehen nach Inkrafttreten drei Monate zur Verfügung. 

Hier die Anleitung des BSI: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Anleitung-Registrierung/Anleitung-Registrierung_node.html

3. Eigene Angriffsfläche verstehen

Unternehmen sollten alle IT-Systeme, Prozesse und externen Dienstleister erfassen, um zu wissen, wo Risiken bestehen. Diese Transparenz ist die Grundlage für alle weiteren Pflichten. 

4. Risiko- und Bedrohungsanalyse durchführen

Die NIS-2 basiert auf einem risikobasierten Ansatz. Erst auf dieser Basis lassen sich Maßnahmen sinnvoll priorisieren – insbesondere auch für Lieferketten und IT-Dienstleister.

 

„NIS 2 stellt viele Unternehmen vor enorme Herausforderungen. Häufig wird dabei jedoch übersehen, dass sich die Vorschriften nicht nur auf technische Maßnahmen beschränken, sondern Weiterbildung einen entscheidenden Faktor bei der Umsetzung der Richtlinie darstellt.“

Dr. Raphaela Schätz, Leiterin des Lernlabor Cybersicherheit 

 

Weiterbildung ist Pflicht – insbesondere für Geschäftsleitungen

Die NIS-2 verpflichtet Unternehmen nicht nur zu technischen Maßnahmen, sondern auch zur organisatorischen Steuerung durch qualifizierte Führungskräfte: Geschäftsleitungen müssen nach §38 BSIG regelmäßig geschult werden, um Risiken bewerten, Maßnahmen priorisieren und die Umsetzung kontrollieren zu können. Gleichzeitig fordert das Gesetz für alle Mitarbeitenden grundlegende Schulungen und Sensibilisierung im Bereich IT-Sicherheit, um Cyberrisiken im Alltag zu reduzieren. 

 

Ohne nachweisbare Weiterbildung ist eine NIS-2-konforme Umsetzung nicht möglich. Unsere Weiterbildungsangebote unterstützen Sie dabei, diese gesetzlichen Anforderungen zu erfüllen – für Geschäftsleitungen, IT-Verantwortliche und Mitarbeitende.

Weiterbildung mit dem Lernlabor Cybersicherheit

Die Expertinnen und Experten des Lernlabor Cybersicherheit der Fraunhofer Academy unterstützen Unternehmen bei der Vorbereitung und Umsetzung der NIS-2-Richtlinie durch ein breites Angebot an Schulungen und Workshops. Der Vorteil: Die Trainerinnen und Trainer kommen direkt aus der Forschung. Somit profitieren die Teilnehmenden von einem einzigartigen Wissenstransfer aus der IT-Sicherheitsforschung in die praxisnahe Anwendung. Die Teilnehmenden sind so auf dem neuesten Stand der Technik und können die Anforderungen von NIS 2 erfüllen. 

Das erwartet Sie bei unseren Weiterbildungen

Alle Kurse beim Lernlabor Cybersicherheit sind an den aktuellen Regularien ausgerichtet.

Folgende offene Schulungen und Seminare helfen Ihnen dabei, NIS 2 umzusetzen:

Was bedeutet NIS 2 für Ihr Unternehmen und wie können Sie die neuen Maßnahmen am besten in Ihren Strukturen und Prozessen umsetzen? Gerne konzipieren wir auch individuelle Schulungen und Workshops für Ihr Unternehmen.

Kontaktieren Sie uns hier für ein individuelles Angebot.

Weitere Angebote

NIS 2: Risikoanalyse & Umsetzungshilfe für die Industrie

Spezielle Angebote für Unternehmen mit industrieller Produktion und OT-Komponenten vom Fraunhofer IOSB-INA

Mehr infos

Überblick & Checkliste NIS 2

Kompakte Übersicht mit Anforderungen, Maßnahmen und einer Checkliste zur NIS 2-Richtlinie vom Fraunhofer IESE

Zum Blogartikel

Passende Kurse

 

© Fraunhofer IEM

Offenes oder Inhouse Format

Cybersicherheit nach NIS-2: Weiterbildung für Geschäftsführungen und Entscheider

Praxisnahe Schulung zu NIS-2: Risiken erkennen, bewerten und steuern. Rechtssicherheit für Geschäftsleitungen gemäß §38 BSIG-E.

Mehr infos
 

© Fraunhofer IEM

Offenes oder Inhouse Format

Cyber-Awareness Training für Energie- und Wasserversorgung

Der Kurs bietet praxisorientiertes Wissen und stärkt Ihre Fähigkeiten im Schutz kritischer Infrastruktur.

 

Mehr infos
 

© iStock

Offenes oder Inhouse Format

Präventionstraining OT-Sicherheit in Energie- und Wasserversorgung

Der Fokus liegt auf der Identifikation und Behebung von Sicherheitslücken, um die Verfügbarkeit und Integrität der Systeme zu gewährleisten. 

Mehr Infos
 

© iStock

Offenes oder Inhouse Format

Sichere medizinische IT in Gesundheitseinrichtungen

Sie erwerben Kenntnisse über Angreifer-Modelle und erhalten Techniken zur Absicherung von DICOM-Servern.

Mehr Infos
 

© AI-generated

Offenes oder Inhouse Format

Erstellung Sicherheitskonzept

Mit theoretischem Wissen sowie praktischen Anwendungen bereiten Sie sich auf die Einhaltung des CRA vor und können die Cyber-Resilienz Ihrer Produkte verbessern.

Mehr Infos
 

© AI-generated

Inhouse Format

Cyberangriffe im Krankenhaus – Planspiel zur Stärkung von Resilienz und Notfallmanagement

Cyber-Angriff im Planspiel: Testen Sie Ihre Notfallprozesse, erfüllen Sie NIS-2 und stärken Sie die Resilienz Ihres Krankenhauses.

Mehr Infos

FAQs zum Thema NIS 2

Alle ausklappen Alle einklappen

  • Ob ein Unternehmen unter NIS-2 fällt, hängt u. a. von Branche, Unternehmensgröße und Art der erbrachten Dienstleistungen ab. 
    Für eine rechtssichere Einschätzung empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Nutzung der offiziellen Betroffenheitsprüfung.

     

  • Seit dem 6. Dezember 2025 ist das deutsche Umsetzungsgesetz zur NIS-2 in Kraft. 
    Damit gelten die Anforderungen ohne Übergangsfrist.

    Das bedeutet:

    • Sicherheits-, Organisations- und Meldepflichten gelten grundsätzlich ab Inkrafttreten
    • Prüfungen bei besonders wichtigen Einrichtungen erfolgen zeitversetzt, entbinden aber nicht von der Umsetzungspflicht

    Unternehmen sollten daher jetzt mit der Umsetzung beginnen und ihre Maßnahmen schrittweise aufbauen.

  • Betroffene Unternehmen müssen sich ab Januar 2026 beim BSI registrieren. 
    Für diese Registrierung kann hier ein BSI-Konto angelegt werden.

    Über das BSI-Portal:

    • erfolgt die Registrierung als wichtige oder besonders wichtige Einrichtung
    • werden offizielle Kontaktstellen hinterlegt
    • werden später auch Sicherheitsvorfälle gemeldet

    Die Registrierung ist eine zentrale Pflicht unter NIS-2.

  • NIS-2 verfolgt einen risikobasierten Ansatz. Es geht nicht um starre Checklisten, sondern um angemessene Maßnahmen basierend auf Risiko und Ressourcen.

    Bewährte erste Schritte sind:

    1. Betroffenheit prüfen

    2. Eigene IT-Systeme, Prozesse und Dienstleister erfassen

    3. Risiko- und Bedrohungsanalyse durchführen

    4. Maßnahmen priorisieren und dokumentieren

    5. Melde- und Notfallprozesse etablieren

    6. Schulungen für Geschäftsführung und Mitarbeitende umsetzen

    Das BSI stellt hierfür eine offizielle NIS-2-Roadmap bereit, an der sich Unternehmen orientieren können.

  • Nein, nicht vollständig. Zertifizierungen wie ISO 27001 oder der BSI IT-Grundschutz bilden eine sehr gute Grundlage, erfüllen jedoch nicht automatisch alle Anforderungen der NIS-2.

    Zusätzliche Anforderungen der NIS-2 betreffen u. a.:

    • Meldepflichten bei Sicherheitsvorfällen
    • Business-Continuity-Management
    • Lieferketten- und Dienstleisterrisiken
    • Pflichten und Verantwortung der Geschäftsleitung

    Für zertifizierte Unternehmen ist eine Gap-Analyse der empfohlene erste Schritt.

  • NIS-2 betrifft nicht nur die IT. Schulungen sind für mehrere Rollen erforderlich:

    • Geschäftsführungen: zur Steuerung und Kontrolle der Umsetzung
    • IT- und Sicherheitsverantwortliche: zur operativen Umsetzung
    • Mitarbeitende: zur Sensibilisierung und sicheren Nutzung von IT-Systemen

    Schulungen sind Teil der organisatorischen Maßnahmen und müssen nachweisbar erfolgen.

  • Die NIS-2 verpflichtet Geschäftsführungen ausdrücklich dazu, an geeigneten Schulungen teilzunehmen (§ 38 BSIG). Ziel ist es, Risiken bewerten, Maßnahmen priorisieren und die Umsetzung wirksam steuern zu können.

    Das BSI veröffentlicht Empfehlungen zu den Inhalten solcher Schulungen, die unser Seminar „Cybersicherheit nach NIS-2: Weiterbildung für Geschäftsführungen und Entscheider“ praxisnah und mit realistischen Szenarien umsetzen.

Kontakt

 

Katharina Waldner

Zentrale der Fraunhofer-Gesellschaft
Hansastraße 27c
80686 München, Deutschland

Kontakt aufnehmen