NIS-2 in Deutschland in Kraft: Was Unternehmen jetzt beachten müssen und wie VPN-Lösungen unterstützen

Nürnberg, 22.01.2026 (PresseBox) - Nach einer längeren Verzögerung ist das NIS-2-Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten. Damit gelten die Anforderungen der europäischen NIS-2-Richtlinie (Network and Information Security Directive 2) nun verbindlich. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) betrifft dies schätzungsweise 29.500 Unternehmen in Deutschland.

NIS-2 – Wer ist betroffen?

Das Gesetz unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen, die für das Funktionieren von Wirtschaft und Gesellschaft entscheidend sind.

Zu den besonders wichtigen Einrichtungen zählen unter anderem Betreiber kritischer Infrastrukturen (KRITIS). KRITIS sind Organisationen und Einrichtungen mit essenzieller Bedeutung für das staatliche Gemeinwesen. Ihr Ausfall oder ihre Beeinträchtigung würde zu nachhaltigen Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen schwerwiegenden Folgen führen.

Zum Stichtag 30.09.2025 waren beim BSI 1.177 KRITIS-Betreiber registriert – in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung. Für sie galten bislang sektorspezifische Pflichten für den physischen Schutz und Sicherheit ihrer IT-Systeme.

Mit dem NIS-2-Umsetzungsgesetz kommen nun deutlich mehr Unternehmen hinzu, unter anderem aus dem verarbeitenden Gewerbe, dem Bereich digitale Dienste sowie Forschung mit sektorübergreifenden IT-Sicherheitspflichten. Das BSI stellt hierfür eine offizielle Liste der betroffenen Sektoren zur Verfügung.

Betroffenheitsprüfung nach NIS-2

Unternehmen werden mit dem Gesetz verpflichtet, eigenständig zu prüfen, ob sie unter NIS-2 fallen und welcher Kategorie (besonders wichtige bzw. wichtige Einrichtungen) sie zuzuordnen sind. Maßgeblich sind dabei unter anderem Schwellenwerte wie Mitarbeitende und Umsatz. Für wichtige Einrichtungen gelten die Werte: weniger als 50 Mitarbeitende oder ein Umsatz bzw. Bilanzsumme von maximal 10 Millionen Euro.

Zur Unterstützung hat das BSI einen Entscheidungsbaum und ein Online-Tool entwickelt, womit sich die eigene Betroffenheit ermitteln lässt.

Die wichtigsten Pflichten für Unternehmen nach NIS-2

Sowohl für wichtige als auch besonders wichtige Einrichtungen gelten folgende Pflichten:

• Registrierung beim BSI in einem zweistufigen Verfahren. Zuerst beim digitalen Dienst "Mein Unternehmenskonto" (MUK), anschließend folgt die Registrierung im BSI-Portal. Auch dafür gibt es eine umfassende Hilfeseite des BSI.
• Vorfallsmanagement verpflichtet die Einrichtungen erhebliche Sicherheitsvorfälle dem BSI zu melden. Dazu gehören u.a. schwerwiegende Betriebsstörungen. Neben der Meldung sind effektive Prozesse zur Erkennung, Bewertung, Reaktion und Nachverfolgung von Vorfällen zu beschreiben und zu implementieren.
• Risikomanagement  implementieren und dokumentieren. Damit es nicht zu erheblichen Sicherheitsvorfällen kommt, werden die Einrichtungen verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen und zu dokumentieren. Das BSI zählt dazu mindestens diese 10 Maßnahmen:
  • Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik
  • Bewältigung von Sicherheitsvorfällen (Incident Response)
  • Aufrechterhaltung des Betriebs (Business Continuity Management), wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
  • Grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik
  • Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren
  • Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen (Asset Management)
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
• Die Verantwortung für die Umsetzung und Überwachung wird der Geschäftsleitung zugewiesen. Sie wird dafür haftbar gemacht und gesetzlich zu einer Schulung verpflichtet. Das BSI hat eine Handreichung mit Empfehlungen für die Schulung herausgegeben.

• proaktive und vertiefte Aufsicht durch das BSI
• verpflichtende Audits
• schneller greifende und intensivere Sanktionen und behördliche Maßnahmen

Zahlreiche der NIS-2-Anforderungen im Bereich Risikomanagement lassen sich mit der professionellen VPN- und Remote-Access-Lösung von NCP abdecken:

• Sichere Remote‑Zugänge. NIS‑2 verlangt den Schutz von Netzen vor unbefugtem Zugriff. NCP bietet granulare Zugriffskontrolle (rollenbasierte Policies, Endpoint‑Policies, zentrale Verwaltung) und Multi‑Faktor‑Authentifizierung (MFA) für den sicheren Zugang zu Netzwerken und Anwendungen. Diese Funktionen tragen direkt zu starker Authentifizierung und Zugriffssteuerung bei.
• Verschlüsselung von Datenübertragungen. NCP verschlüsselt den Datenverkehr Ende‑zu‑Ende per IPsec; dies erfüllt die Anforderung an angemessene Verschlüsselung und schützt die Vertraulichkeit sensibler Daten.
• Zentrale Verwaltung & Dokumentation. Unternehmensbereiche lassen sich mit der NCP VPN-Lösung zentral administrieren und logisch trennen; so wird die Ausbreitung von Angriffen begrenzt. Gleichzeitig werden Policies, Zertifikate und Zugriffe nachweisbar protokolliert.
• Schutz der Lieferkette. Durch MFA und Endpoint‑Policy‑Checks (z. B. Virenschutz, OS‑Version, Domänenzugehörigkeit) wird verhindert, dass unsichere Endgeräte oder externe Zugänge zum Einfallstor werden.
• Business Continuity-Unterstützung. Die VPN‑Failover‑Funktionen und zentrale Verwaltung tragen zur Verfügbarkeit bei und unterstützen die Betriebsaufrechterhaltung im Sinne von NIS‑2 (BCM/Redundanz).

Die Umsetzung von NIS-2 ist bei den Unternehmen auch dank der intensiven Aufklärungsarbeit und Beratung durch das BSI in vollem Gange. Laut einer aktuellen Statista-Umfrage im Auftrag von G DATA haben 63 % der Unternehmen in Deutschland mit der Umsetzung begonnen, jedoch jedes vierte Unternehmen noch nicht.

Mit der Veröffentlichung des Gesetzes im Bundesgesetzblatt gilt NIS-2 nun ohne weitere Übergangsfristen. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes. Laut Medienberichten müssen Unternehmen aktuell jedoch nur in sehr extremen Fällen mit Bußgeldern rechnen, da das BSI eine wirtschaftsfreundliche Umsetzung anstrebt und Unternehmen nach Kräften bei der Umsetzung berät und unterstützt. NIS-2 soll schließlich Unternehmen helfen, sich vor Cybergefahren zu schützen. BSI-Präsidentin Claudia Plattner rechnet damit, dass sich mit der zunehmenden NIS-2-Umsetzung die IT-Sicherheitslage in Deutschland spürbar verbessern wird. Die nächsten Lageberichte des BSI werden dies zeigen.

Dennoch bleibt die Umsetzung insbesondere für kleinere Unternehmen mit begrenzten Ressourcen eine große Herausforderung. Gerade hier bieten integrierte Sicherheitslösungen wie die von NCP einen entscheidenden Vorteil: Mehrere NIS-2 Anforderungen lassen sich gleichzeitig und praxisnah erfüllen – ein wichtiger Schritt hin zu nachhaltiger Compliance und höherer IT-Sicherheit.