Die EU-Richtlinie NIS2

© Visualisierung: KI-generiert mit Adobe Firefly [2026]

Die zweite europäische Richtlinie für Netz- und Informationssysteme, kurz „NIS2“, soll die Cybersicherheit in der EU deutlich stärken – und sie betrifft künftig weit mehr Unternehmen als bisher. In Deutschland erfolgt die Umsetzung über das BSI-Gesetz unter Aufsicht des Bundesamt für Sicherheit in der Informationstechnik. Cybersicherheit wird damit nicht länger ein optionales IT-Thema, sondern ein fester Bestandteil verantwortungsvoller Unternehmensführung und rückt zunehmend in den Fokus der Leitungsebene.

NIS2 wird verbindlich: Warum Unternehmen jetzt handeln müssen

Unabhängig von NIS2 gilt: Unternehmen müssen ihre Risiken kennen und angemessen steuern. Dazu gehört auch der Schutz der eigenen IT-Systeme. Wer hier untätig bleibt, handelt nicht nur wirtschaftlich riskant, sondern setzt sich auch erheblichen rechtlichen Risiken aus.

Hinzu kommt der zunehmende Druck aus der Praxis. Auftraggeber, Geschäftspartnerinnen und Versicherer orientieren sich bereits an den kommenden Anforderungen und geben diese entlang der Lieferkette weiter. Wer heute in Projekten tätig ist, die über nationale Grenzen hinausgehen, wird mit entsprechenden Erwartungen bereits konfrontiert.

Die entscheidende Frage ist daher nicht, ob NIS2 formal schon gilt – sondern ob die eigene IT einem gezielten Angriff standhalten würde.

Strukturen schaffen statt Einzelmaßnahmen

Viele Unternehmen reagieren auf Cyberrisiken mit einzelnen Maßnahmen: neue Software, zusätzliche Sicherheitslösungen oder externe Dienstleistungen. Was dabei oft fehlt, ist ein klarer Gesamtansatz.

Cybersicherheit beginnt mit der Frage: Welche Systeme sind für unseren Betrieb wirklich kritisch? In Bauunternehmen sind das häufig Projektplattformen, Kalkulationssoftware, E-Mail-Systeme, Dokumentenablagen oder ERP-Lösungen. Fällt eines dieser Systeme aus, hat das direkte Auswirkungen auf Abläufe, Termine und Zahlungsprozesse.

Auf dieser Basis müssen Zuständigkeiten eindeutig geklärt werden. Wer trägt die Verantwortung für die Cybersicherheit im Unternehmen? Wer entscheidet im Ernstfall? Und wer übernimmt die Koordination, wenn schnelle Maßnahmen erforderlich sind? Ohne diese Klarheit entsteht im Krisenfall Unsicherheit – und die kostet wertvolle Zeit.

Ebenso entscheidend ist eine belastbare Bewertung der tatsächlichen Risiken. Welche Systeme sind besonders anfällig? Welche Daten sind unverzichtbar? Und welche konkreten Folgen hätte ein Ausfall? Cybersicherheit wird erst dann wirksam, wenn sie sich an den tatsächlichen Geschäftsprozessen orientiert.

Technik: Weniger ist mehr – wenn es richtig gemacht ist

Auf technischer Ebene geht es nicht darum, möglichst viele Lösungen einzusetzen, sondern die richtigen – konsequent und zuverlässig. Ein zentraler Punkt ist die Aktualität der Systeme. Veraltete Software gehört zu einem der häufigsten Angriffspunkte. Regelmäßige Updates sind daher keine Kür, sondern Pflicht. Entscheidend ist dabei nicht das einmalige Erreichen eines Schutzniveaus oder die Anschaffung einzelner Produkte, sondern deren kontinuierliche Überprüfung und Anpassung. Nur so lässt sich sicherstellen, dass der Schutz auch unter veränderten Bedingungen wirksam bleibt.

Ebenso entscheidend sind klar geregelte Zugriffsrechte. Nicht alle Mitarbeitenden benötigen Zugriff auf alle Systeme oder Daten. Wer hier sauber trennt, reduziert das Risiko erheblich. In der Praxis entstehen Schwachstellen häufig dort, wo Berechtigungen über längere Zeit anwachsen – etwa bei Auszubildenden oder Mitarbeitenden, die mehrere Abteilungen durchlaufen und deren Zugriffe anschließend nicht konsequent zurückgenommen werden.

Ein weiterer Schlüsselbereich ist die Datensicherung. Backups müssen vorhanden sein – und vor allem regelmäßig getestet und im Ernstfall verfügbar sein. Dann entscheidet nämlich genau diese Verfügbarkeit darüber, ob ein Unternehmen innerhalb von Stunden wieder arbeitsfähig ist oder für Tage stillsteht.

Auch Endgeräte spielen eine größere Rolle, als oft angenommen wird. Laptops, Smartphones und mobile Geräte sind häufig das Einfallstor für Angriffe – insbesondere dann, wenn sie außerhalb des Unternehmensnetzwerks genutzt werden.

Kleine Unternehmen: Gleiches Risiko, andere Ausgangslage

Gerade kleinere Unternehmen unterschätzen häufig ihr eigenes Risiko. Die Annahme, dass man selbst für Angriffe nicht interessant sei, ist weit verbreitet – und in der Praxis falsch.

Angriffe erfolgen heute oft automatisiert und treffen gezielt dort, wo Systeme leicht zugänglich sind. Kleinere Strukturen sind daher häufig leichter angreifbar und deshalb gefährdeter.

Gleichzeitig ist die Abhängigkeit von funktionierender IT meist genauso hoch wie in größeren Unternehmen. Fällt ein zentrales System aus, steht oft der gesamte Betrieb still.

Die gute Nachricht: Der Einstieg in eine wirksame Cybersicherheit ist überschaubar. Klar definierte Maßnahmen wie regelmäßige Updates, funktionierende Backups, eingeschränkte Benutzerrechte und sensibilisierte Mitarbeitende können das Risiko deutlich reduzieren.

Entscheidend ist nicht die Größe des Unternehmens, sondern die Rolle, die Cybersicherheit im täglichen Betrieb spielt.

Der Ernstfall: vorbereitet sein statt improvisieren

Kommt es zu einem Sicherheitsvorfall, entscheidet die Vorbereitung über den Schaden. Unternehmen sollten nicht erst im Ernstfall überlegen, wie sie reagieren.

Zu den wichtigsten ersten Maßnahmen gehört es, betroffene Systeme schnell zu isolieren, um eine weitere Ausbreitung zu verhindern. Parallel muss geklärt werden, welche Systeme betroffen sind und wie der Betrieb stabilisiert werden kann.

Spezialisierte Cybersicherheitsdienstleister sind dabei häufig unverzichtbar. Viele Unternehmen verfügen nicht über die notwendigen Ressourcen, um komplexe Vorfälle eigenständig zu bewältigen.

Hinzu kommen Meldepflichten, die innerhalb kurzer Fristen erfüllt werden müssen. Ohne vorbereitete Abläufe kann das schnell zur zusätzlichen Belastung werden.

Ebenso entscheidend ist die Kommunikation – intern wie extern. Unklare oder verspätete Informationen können den Schaden erheblich vergrößern.

Cybersicherheit ist ein Prozess

Cybersicherheit lässt sich nicht einmalig „einführen“. Die Bedrohungslage entwickelt sich kontinuierlich weiter – und damit auch die Anforderungen.

Unternehmen sollten ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an veränderte Bedrohungslagen anpassen. Dazu gehören klare Prozesse, definierte Zuständigkeiten und wiederkehrende Tests.

Ziel ist keine absolute Sicherheit – die gibt es nicht. Entscheidend ist eine IT-Struktur, die stabil funktioniert und auch im Ernstfall beherrschbar bleibt.

Haftung: Nichtstun wird zum Risiko

Cybersicherheit ist längst auch eine Frage der Unternehmensverantwortung. Geschäftsleiterinnen und -leiter sind verpflichtet, ihre Unternehmen so zu organisieren, dass vorhersehbare Risiken beherrscht werden – dazu gehört heute ausdrücklich auch die IT.

Kommt es zu einem Vorfall und zeigt sich, dass grundlegende Maßnahmen unterlassen wurden – etwa fehlende Backups, unzureichende Zugriffskontrollen oder veraltete Systeme –, kann dies als Organisationsverschulden gewertet werden. Entsprechende Schutzmechanismen und Softwarelösungen  wie beispielsweise ESET sind heute breit verfügbar, wirtschaftlich vertretbar und gelten als Stand der Technik. Sie werden jedoch in vielen Unternehmen noch nicht konsequent genutzt.

Entscheidend ist dabei weniger, ob NIS2 bereits formal umgesetzt ist, sondern viel mehr, ob ein Unternehmen angemessen auf erkennbare Risiken reagiert hat. Wer hier untätig bleibt, geht ein doppeltes Risiko ein: wirtschaftlich – und persönlich.

In den Ausgaben 6-7.2026 und 8.2026 stellt THIS strukturierte Ansätze und praxisnahe Konzepte vor, mit denen sich sowohl größere als auch kleinere Unternehmen systematisch gegen Cyberrisiken absichern können.

ESET Deutschland GmbH
www.eset.com