Die EU-Sicherheitsrichtlinie NIS 2 wurde Ende 2025 in deutsches Recht umgesetzt. Betroffene Unternehmen müssen nun schnell handeln, um rechtliche Folgen und Bußgelder zu vermeiden. Dieser Leitfaden zeigt Ihnen, wie Sie in 90 Tagen NIS-2-konform werden können.
Inhalt:
Im Jahr 2022 hat die Europäische Union eine Novellierung der Sicherheitsrichtlinie für Netze und Informationssysteme (NIS) beschlossen. Das als NIS 2 bezeichnete Gesetzeswerk erweitert den Kreis der betroffenen Unternehmen erheblich und verschärft die Anforderungen an die Planung, Durchführung und Dokumentation von Cybersicherheitsmaßnahmen. Betroffene Unternehmen sind zudem verpflichtet, auch in ihrer Lieferkette für ein angemessenes Cybersicherheitsniveau zu sorgen.
NIS 2 hätte eigentlich bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen, doch in den meisten Mitgliedstaaten wurde diese Frist nicht eingehalten. Das in Deutschland geplante „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) scheiterte am Zerbrechen der Ampelregierung. Die neue Bundesregierung hat ein eigenes Umsetzungsgesetz auf den Weg gebracht, das Ende 2025 in Kraft trat.
Betroffene Unternehmen müssen nun schnell handeln, um rechtliche Folgen eines Verstoßes zu vermeiden. Bei Nichteinhaltung drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Dieser Leitfaden stellt Ihnen ein Vier-Phasen-Modell vor, mit dem Sie innerhalb von 90 Tagen NIS-2-Compliance erreichen können. Checklisten und weiterführende Tipps ergänzen das Informationsangebot.
Originalauszug aus dem Dokument:
Die NIS-2-Richtlinie lässt wenig Spielraum für Experimente – gefragt ist ein strukturiertes Vorgehen mit messbaren Ergebnissen. Mit dem standardisierten, erprobten Vier-Phasen- Modell von q.beyond wird Ihr Unternehmen in 90 Tagen von der ersten Standortbestimmung zur belastbaren NIS-2-Readiness geführt. Jede Phase liefert klare Outputs, die direkt in Ihre Compliance-Nachweise einfließen. Dieses Umsetzungsprogramm richtet sich an Unterneh- men, die von NIS-2 betroffen sind oder voraussichtlich betroffen sein werden, unabhängig davon, ob sie bereits begonnen haben oder erst starten.
Phase 1
Analyse & Gap Assessment (Woche 1–4):
Aufnahme des Ist-Status, Bewertung der NIS-2-Betroffenheit und Identifikation der wichtigsten Lücken.Phase 2
Quick Wins & Sofortmaßnahmen (Woche 4–8):
Umsetzung schnell wirksamer organisatorischer und technischer Maßnahmen zur Erhöhung von Transparenz und Reaktionsfähigkeit.
Phase 3
Umsetzung priorisierter Maßnahmen (Woche 8–12):
Systematische Bearbeitung der priorisierten Handlungs- felder in Technik, Prozessen und Governance.Phase 4
Ergebnisse & Roadmap:
Dokumentation des erreichten Reifegrads, Zusammenstellung der Nachweise und Planung der weiteren Vertiefung.