NIS 2-Richtlinie (EU) und deutsche Umsetzung in nationales Recht (Stand November 2025)
NIS-2: Gut vorbereitet in die Zukunft der Cybersicherheit
Die NIS-2-Richtlinie (Network and Information Systems Directive) der Europäischen Union legt Anforderungen für die Cybersicherheit in Unternehmen fest, die kritische Infrastrukturen betreiben oder bestimmte Dienste bereitstellen. Da es sich um eine EU-Richtlinie handelt, und nicht um eine EU-Verordnung, muss sie noch durch ein vom Bundestag zu verabschiedendes Gesetz in nationales Recht umgesetzt werden.
Durch die NIS-2-Richtlinie sind mehr Unternehmen als bisher zu Cybersicherheitsmaßnahmen verpflichtet (ca. 30.000 statt bisher ca. 4.500). Es gelten strenge Anforderungen an das Risikomanagement, eine Verschärfung der Meldepflichten bei Sicherheitsvorfällen und strengere Sanktionen bei Verstößen
Das deutsche Umsetzungsgesetz wurde im Juli 2025 als Entwurf vom Bundeskabinett beschlossen und war in erster Lesung im September 2025 im Bundestag. Eine Verabschiedung des Gesetzes wird frühestens Ende 2025 oder Anfang 2026 erwartet.
Obwohl das Gesetz noch nicht verabschiedet ist, sollten sich betroffene Unternehmen bereits jetzt vorbereiten, da es unmittelbar nach Verkündung in Kraft treten soll.
Ein ISMS nach ISO/IEC 27001 gilt als geeignete Grundlage zur Erfüllung der Anforderungen. Eine Norm ist allerdings kein Gesetz, sondern lediglich ein „Rezept“, mit dessen Hilfe ein Gesetz eingehalten werden kann. Deshalb ist eine Zertifizierung nach ISO 27001 nur eine von vielen Möglichkeiten das (noch zu verabschiedende) Gesetz einzuhalten.
Maschinenbauunternehmen, die unter die NIS 2 fallen, müssen Maßnahmen ergreifen, um die Cybersicherheit in ihren IT-Systemen und Netzwerken zu verbessern. Das betrifft sowohl die technische Sicherheit als auch die organisatorische Ebene.
Zu berücksichtigende Aspekte sind:
Risikoanalyse gemäß NIS-2 für Maschinenbauunternehmen (Muster ohne Anspruch auf Vollständigkeit)
| Risiko / Bedrohung | Schwachstelle | Auswirkung | Maßnahme / Kontrolle |
|---|---|---|---|
| Ransomware-Angriff | Veraltete Betriebssysteme, fehlende Patches | Produktionsausfall, Datenverlust | Regelmäßige Updates, Backup-Strategie |
| Phishing / Social Engineering | Unzureichende Schulung der Mitarbeitenden | Kompromittierung von Zugangsdaten | Awareness-Trainings, 2-Faktor-Authentifizierung |
| Ausfall von IT-Systemen | Keine Redundanz, unzureichende Wartung | Stillstand der Produktion | Notfallkonzepte, redundante Systeme |
| Manipulation von Maschinensteuerung | Unzureichende Netztrennung | Gefährdung von Mitarbeitenden, Schäden | Segmentierung, Zugriffskontrollen |
| Lieferkettenangriff | Unsichere Zulieferer | Einschleusung von Malware | Lieferantenbewertung, Sicherheitsanforderungen |
| Insider-Bedrohung | Fehlende Zugriffsbeschränkungen | Datenverlust, Sabotage | Rollenbasierte Zugriffsrechte, Logging |
| Stromausfall / physische Störung | Keine unterbrechungsfreien Stromversorgungssysteme (USV), keine Notfallpläne | Produktionsunterbrechung | USV-Systeme, Business Continuity Management |
Sie haben Fragen zu NIS-2?
Wir unterstützen Sie gerne kostenfrei und unabhängig bei grundlegenden Fragen zu Anforderungen, Pflichten und Vorbereitungsschritten.
Quellen
- Titelbildquelle: AdobeStock_237523422
