Unternehmens-IT absichern
Wie große Unternehmen NIS2 systematisch umsetzen
© Visualisierung: KI-generiert mit Adobe Firefly (2026)
© Visualisierung: KI-generiert mit Adobe Firefly (2026)
© Visualisierung: KI-generiert mit Adobe Firefly (2026)
Mit der europäischen NIS2-Richtlinie und ihrer Umsetzung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) steigen die Anforderungen an die IT-Sicherheit großer Unternehmen deutlich.
Die europäische NIS2-Richtlinie verändert die Anforderungen an die IT-Sicherheit grundlegend. Betroffen sind längst nicht mehr nur klassische Kritische Infrastrukturen, sondern zahlreiche große Unternehmen aus Industrie, Bau, Logistik, Energie, IT und Gesundheitswesen. In Deutschland setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Vorgaben verbindlich um.
Cybersicherheit wird zur Führungsaufgabe
IT-Sicherheit ist für Unternehmensleitungen heute eine dauerhafte Führungsaufgabe. Mehrere Standorte, externe Dienstleister, Cloud-Plattformen und weitverzweigte Lieferketten schaffen zahlreiche Angriffsflächen. NIS2 fordert deshalb kein punktuelles Handeln, sondern ein tragfähiges Sicherheitskonzept.
Haftung der Geschäftsleitung
NIS2 macht IT-Sicherheit nicht nur zur Managementaufgabe – sie begründet auch persönliche Haftung. Geschäftsführer und Vorstände können bei nachweislicher Vernachlässigung von Sicherheitspflichten persönlich zur Verantwortung gezogen werden. IT-Sicherheit ist damit kein Thema, das an die IT-Abteilung delegiert werden kann.
Bußgelder
NIS2 sieht empfindliche Sanktionen vor. Für „wichtige Einrichtungen“ drohen Bußgelder von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, für „wesentliche Einrichtungen“ bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes – jeweils der höhere Wert. Die Einstufung hängt von Branche und Unternehmensgröße ab und sollte frühzeitig geprüft werden.
Welche Bauunternehmen fallen unter NIS2?
Ob ein Unternehmen unter NIS2 fällt, hängt von Branche, Größe und wirtschaftlicher Bedeutung ab. Schwellenwerte sind mindestens 250 Beschäftigte, mehr als 50 Millionen Euro Jahresumsatz oder eine besondere Bedeutung für Wirtschaft und Infrastruktur. Die Baubranche ist dabei stärker betroffen als oft angenommen: Projektplanung, Baustellenkommunikation, Materiallogistik und kaufmännische Prozesse laufen vielfach über zentrale digitale Systeme. Fällt diese Infrastruktur aus, stehen Baustellen still, stocken Lieferketten und fehlen Planungsdaten.
Digitale Abhängigkeiten nehmen zu
Besonders im Fokus stehen größere Bau- und Infrastrukturunternehmen sowie Generalunternehmer. Aber auch Betriebe, die formal nicht unter NIS2 fallen, können indirekt betroffen sein – etwa als Dienstleister innerhalb einer regulierten Lieferkette. Große Auftraggeber verlangen bereits heute nachvollziehbare Sicherheitsstandards.
Cybersicherheit beginnt nicht mit Technik
IT-Sicherheit ist keine reine IT-Aufgabe. NIS2 fordert einen organisatorischen Rahmen mit klaren Verantwortlichkeiten und nachvollziehbaren Prozessen – verankert auf Führungsebene. Ausgangspunkt ist ein realistischer Überblick über die eigene IT-Landschaft: gewachsene Strukturen, externe Zugänge, mobile Geräte und Cloud-Dienste schaffen Abhängigkeiten, die im Alltag kaum sichtbar, im Ernstfall aber folgenreich sind.
IT-Sicherheit braucht klare Verantwortlichkeiten
Wer verantwortet externe Dienstleister? Wer überwacht Updates, prüft Zugriffsrechte, entscheidet im Ernstfall? Sicherheitslücken entstehen häufig dort, wo Zuständigkeiten unklar sind. Mit NIS2 rückt die Geschäftsleitung ausdrücklich in die Pflicht: Risiken müssen bewertet, Maßnahmen beschlossen und Prozesse regelmäßig überprüft werden. Sicherheitsprobleme bei externen Dienstleistern oder in der Lieferkette können schnell auf den eigenen Betrieb durchschlagen.
Technische Maßnahmen: Weniger Aktionismus, mehr Struktur
Es geht nicht darum, möglichst viele Sicherheitsprodukte einzusetzen, sondern eine robuste Architektur aufzubauen. Dazu gehören Netzwerksegmentierung, Schutzlösungen für Endgeräte, MDR bzw. DER- Lösungen, Multi-Faktor-Authentifizierung, Patch-Management sowie zuverlässige Datensicherung. Besonderes Augenmerk verdienen Zugriffsrechte: In der Praxis entstehen schnell unübersichtliche Berechtigungsstrukturen – etwa, wenn Mitarbeitende die Abteilung wechseln und alte Rechte nicht entzogen werden.
IT-Sicherheit ist ein fortlaufender Prozess
IT-Sicherheit hat kein Abschlussdatum. Schutzmaßnahmen müssen regelmäßig auf Aktualität und Wirksamkeit geprüft werden. Technik allein reicht dabei nicht: Viele Angriffe beginnen mit Phishing-Mails oder gestohlenen Zugangsdaten. Mitarbeitende müssen Risiken erkennen, Vorfälle melden und Sicherheitsregeln einhalten – unterstützt durch Sensibilisierungsmaßnahmen, Phishing-Tests und klare Meldewege. Zunehmend wichtig wird außerdem die nachvollziehbare Dokumentation von Sicherheitsmaßnahmen.
Registrierung und Unterstützung
Mit der NIS2-Umsetzung gelten verbindliche Registrierungs- und Meldepflichten gegenüber dem BSI. Bei Bedarf lohnt sich externe Unterstützung durch IT-Sicherheitsdienstleister, Auditoren oder Branchenverbände. Entscheidend ist vor allem: frühzeitig beginnen. NIS2 ist kein einmaliges Compliance-Projekt, sondern der Einstieg in einen dauerhaften Sicherheitsprozess.
ESET Deutschland GmbH
www.eset.de/NIS2
IT-Sicherheit endet nicht an der eigenen Firewall. Externe Dienstleister, Cloud-Anbieter und digitale Plattformen sind heute fester Bestandteil des Betriebs – und damit auch potenzielle Einfallstore. NIS2 trägt dem Rechnung: Unternehmen müssen Sicherheitsrisiken entlang der gesamten Liefer- und Dienstleistungskette im Blick behalten, nicht nur die eigene Infrastruktur.
Besonders kritisch sind gewachsene Strukturen, in denen externe Zugänge nie bereinigt, Berechtigungen nicht regelmäßig geprüft und Zuständigkeiten unklar geblieben sind. Sicherheitsanforderungen sollten deshalb vertraglich geregelt, externe Zugriffe aktiv kontrolliert und Dienstleister regelmäßig überprüft werden.
NIS2 erhöht nicht nur die technischen Anforderungen, sondern auch die Nachweispflichten. Unternehmen müssen dokumentieren, welche Schutzmaßnahmen bestehen, wie Risiken bewertet werden und wer verantwortlich ist – mit Sicherheitsrichtlinien, Rollen- und Berechtigungskonzepten sowie klaren Prüfprozessen.
Auch Auftraggeber, Versicherer und Partner fordern zunehmend entsprechende Belege. Fehlende Dokumentation wird so nicht erst im Schadensfall zum Problem, sondern kann bereits bei Ausschreibungen oder Vertragsverhandlungen zum Nachteil werden.
