NIS2 und Cyber-Schutz

Michael Pflügl | mp group GmbH | 11.09.2025

Einleitung 

Cyberangriffe sind längst kein Randthema mehr – sie treffen Unternehmen aller Größen und Branchen. Laut einer TÜV-Studie aus 2025 meldeten bereits 15 % der Firmen in Deutschland mindestens einen IT-Sicherheitsvorfall. Die Dunkelziffer ist vermutlich deutlich höher, denn viele Vorfälle werden aus Angst vor Reputationsschäden oder aus Unkenntnis gar nicht gemeldet. Besonders häufig handelt es sich um Phishing-Mails, die täuschend echt aussehen und Mitarbeiter verleiten, auf Links zu klicken oder Zugangsdaten preiszugeben. Aber auch Ransomware, die ganze Systeme verschlüsselt und Unternehmen lahmlegt, nimmt weiter zu.

Die EU hat deshalb die NIS2-Richtlinie beschlossen, die europaweit einheitliche Mindeststandards für IT-Sicherheit festlegt. In Deutschland wird diese Richtlinie mit dem NIS2UmsG umgesetzt.

Im Vortrag von Michael Pflügl wurde deutlich: Cybersicherheit ist heute nicht mehr nur ein Thema für Konzerne oder kritische Infrastrukturen, sondern betrifft direkt oder indirekt auch kleine und mittlere Unternehmen. Geschäftsleitungen sind in der Verantwortung – nicht nur, weil es der Gesetzgeber verlangt, sondern weil ein einzelner Vorfall den Betrieb existenziell gefährden kann. 

Kapitel 1: Warum NIS2 und Cybersicherheit? 

Die Bedrohungslage im Bereich IT-Sicherheit hat sich in den letzten Jahren dramatisch verändert. Cyberkriminelle agieren heute hochprofessionell, oftmals sogar organisiert wie Unternehmen. Laut TÜV-Studie 2025 waren 15 % der Firmen von Angriffen betroffen – Tendenz steigend. Besonders Phishing ist allgegenwärtig: Mitarbeiter erhalten E-Mails, die aussehen, als kämen sie von Geschäftspartnern oder Behörden. Ein Klick genügt, und Schadsoftware gelangt ins System. Weitere Angriffe betreffen Passwörter, Ransomware oder Social Engineering, bei dem Angreifer das Vertrauen von Mitarbeitern missbrauchen. 
 
Die NIS2-Richtlinie will hier einen verbindlichen Rahmen schaffen. Unternehmen sollen nicht länger nur reagieren, wenn bereits etwas passiert ist, sondern präventiv handeln. Klare Standards und Pflichten sorgen dafür, dass IT-Sicherheit planbar und überprüfbar wird. Die Botschaft: Cyberschutz ist heute nicht mehr optional, sondern überlebenswichtig. 

Kapitel 2: Was ist NIS2? 

Die NIS2-Richtlinie ist die Weiterentwicklung der bisherigen NIS-Richtlinie. Ihr Ziel: ein europaweit einheitliches, hohes Niveau an Cybersicherheit. In Deutschland wird sie durch das NIS2UmsG umgesetzt. Unternehmen werden in zwei Kategorien eingeteilt: „wichtige“ Einrichtungen (wE) und „besonders wichtige“ Einrichtungen (bwE). Beide müssen umfangreiche Sicherheitsmaßnahmen einführen, sich registrieren und Sicherheitsvorfälle melden. 
 
Während bisher nur kritische Infrastrukturen (KRITIS), wie Energieversorger, Krankenhäuser oder Verkehrsunternehmen, betroffen waren, gilt NIS2 für eine viel breitere Unternehmenslandschaft. In Deutschland rechnet man mit rund 29.500 betroffenen Betrieben. Damit erreicht NIS2 auch Branchen, die sich bisher nicht stark mit regulatorischen Sicherheitsanforderungen beschäftigen mussten. 

Kapitel 3: Wer ist betroffen? 

Die rechtliche Definition ist komplex: NIS2 betrifft natürliche und juristische Personen sowie Organisationseinheiten, die entgeltlich Waren oder Dienstleistungen anbieten und bestimmten Sektoren zugeordnet werden können. Für viele KMUs stellt sich die Frage: Bin ich betroffen oder nicht? Das BSI hat dafür eine Online-Betroffenheitsprüfung bereitgestellt, die Unternehmen erste Klarheit verschafft. 
 
Doch selbst wer formal nicht unter die Richtlinie fällt, kann indirekt betroffen sein – etwa als Teil einer Lieferkette. Denn größere Kunden werden von ihren Zulieferern Nachweise zu IT-Sicherheitsmaßnahmen verlangen. Somit betrifft NIS2 auch KMUs, die auf den ersten Blick nicht im Fokus stehen. Geschäftsführer sollten sich daher rechtzeitig informieren und Strategien entwickeln, wie sie Anforderungen erfüllen können. 

Kapitel 4: Gesetzliche Pflichten 

NIS2 schreibt umfangreiche Anforderungen an das Risikomanagement vor. Unternehmen müssen regelmäßig Risikoanalysen durchführen, die Ergebnisse dokumentieren und geeignete Maßnahmen umsetzen. Diese müssen angemessen, wirksam und verhältnismäßig sein. Zu den Kernpflichten gehören:

– Absicherung von Informationssystemen gegen Angriffe 
– Strukturen für Notfall- und Vorfallmanagement 
– Sicherheit in der gesamten Lieferkette 
– Zugangskontrollen, Multifaktor-Authentifizierung, Verschlüsselung 
– Schulungen für Mitarbeiter und Management 
– Registrierung beim BSI als „wichtige“ oder „besonders wichtige Einrichtung“ 
– Meldepflicht bei erheblichen Sicherheitsvorfällen, insbesondere wenn finanzielle Schäden oder Betriebsunterbrechungen entstehen 

Die Einhaltung wird durch Aufsichtsbehörden wie das BSI überwacht. Wer Anforderungen ignoriert, riskiert nicht nur Bußgelder, sondern auch erhebliche Reputationsschäden. Für Unternehmen bedeutet das: Sicherheit ist ab sofort ein kontinuierlicher Prozess, der gelebt werden muss. 

Kapitel 5: Organisation & Sensibilisierung 

Cybersicherheit beginnt in der Unternehmensführung. Die Geschäftsleitung trägt die Verantwortung, Risiken zu bewerten und Maßnahmen umzusetzen. Dazu gehört auch, dass Führungskräfte selbst weitergebildet werden, um ihre Aufgaben wahrnehmen zu können. 
 
Ein weiterer Schlüssel ist die Sensibilisierung aller Mitarbeiter. Awareness-Trainings helfen, Gefahren wie Phishing-Mails oder Social Engineering zu erkennen. Zudem muss ein klarer Prozess existieren, wie bei einem Sicherheitsvorfall gehandelt wird: Wer meldet was, wann und an wen? Nur mit klaren Zuständigkeiten bleibt das Unternehmen im Ernstfall handlungsfähig. 
 
NIS2 fordert außerdem, dass Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) aufbauen. Dieses sorgt dafür, dass Prozesse, Dokumentationen und Maßnahmen systematisch verankert sind. 

Kapitel 6: IT & OT schützen 

NIS2 unterscheidet nicht mehr zwischen klassischer IT (Server, Netzwerke, PCs) und OT (Produktionsanlagen, Steuerungen, Maschinen). Beide Bereiche müssen geschützt werden. Gerade die Schnittstellen zwischen IT und OT sind oft ein Einfallstor für Angreifer. 
 
Zu den Pflichtmaßnahmen gehören regelmäßige Backups, redundante Systeme, unterbrechungsfreie Stromversorgung, Firewalls, Endpoint Security und ein konsequentes Patchmanagement. Auch Produktionsdaten und Steuerungsanlagen müssen abgesichert werden, da ein Angriff hier nicht nur Datenverlust, sondern Produktionsstillstand bedeutet. 
 
Ein ganzheitlicher Ansatz ist entscheidend: Nur wer IT und OT zusammendenkt, kann die Risiken wirklich minimieren. 

Kapitel 7: Aktuelle Bedrohungen  

Die Angriffe von heute sind raffinierter als je zuvor. Advanced Persistent Threats (APT) bleiben oft monatelang unentdeckt im Netzwerk und schlagen erst zu, wenn der Schaden maximal ist. Credential Harvesting zielt darauf ab, Zugangsdaten zu stehlen, die dann mehrfach genutzt werden können. Invoice Fraud – gefälschte Rechnungen mit falschen Bankverbindungen – verursacht hohe finanzielle Verluste. Und Schatten-IT, also unkontrollierte Geräte oder Software im Netzwerk, schafft zusätzliche Einfallstore. 
 
Die Herausforderung: Viele Angriffe sind auf den ersten Blick nicht erkennbar. Deshalb braucht es Systeme, die Anomalien automatisch erkennen, und Mitarbeiter, die geschult sind, Warnsignale zu deuten und richtig zu reagieren. 

Fazit    

NIS2 ist ein Meilenstein für die Cybersicherheit in Europa. Auch wenn nicht jedes KMU direkt betroffen ist, so entstehen durch Lieferketten, Kundenanforderungen und die allgemeine Bedrohungslage indirekt Pflichten. Die klare Botschaft von Michael Pflügl: Jetzt handeln, bevor man später unter Druck reagieren muss. 
 
Cybersicherheit beginnt mit einer fundierten Risikoanalyse. Darauf aufbauend sollten Unternehmen klare Maßnahmen umsetzen und eine Sicherheitskultur etablieren, die von der Geschäftsleitung vorgelebt und von allen Mitarbeitern getragen wird. Wer rechtzeitig investiert, schützt nicht nur seine IT-Systeme, sondern auch seine Geschäftsfähigkeit, Wettbewerbsfähigkeit und seinen Ruf.