Alles rund um unsere Leistungen im Bereich IT-Consulting.
NIS-2-Umsetzungsgesetz in Kraft – sind Sie betroffen?
Das NIS-2-Umsetzungsgesetz ist seit 6. Dezember 2025 in Kraft und setzt neue Maßstäbe für die Cyber- und Informationssicherheit in Deutschland. Mit dem Gesetz gelten nun verbindliche gesetzliche Pflichten für eine deutlich größere Anzahl von Unternehmen. Rund 30.000 Unternehmen sind erstmals verpflichtet, umfassende technische und organisatorische Sicherheitsmaßnahmen umzusetzen, um ihre Netzwerke und Informationssysteme zu schützen.
Von einem Risikomanagementsystem über Angriffserkennungen bis hin zu strengen Meldepflichten – die Anforderungen zielen auf ein einheitliches und angemessenes, Sicherheitsniveau in der EU ab.
Nutzen Sie die neuen NIS-2-Anforderungen proaktiv – nicht nur zur Erfüllung Ihrer Compliance-Pflichten, sondern zur nachhaltigen Stärkung Ihrer Cybersicherheit.
Unternehmen im Visier: Risiken im Cyberraum
Täglich werden sensible Informationen ausgetauscht, die Risiken im Cyberraum ausgesetzt sind. Ob Mittelstand oder global agiernde Konzerne - jedes Unternehmen ist ein potenzielles Ziel für Cyberkriminelle.
Das NIS-2-Umsetzungsgesetz: Wie Sie mit GKK Ihre Cybersicherheit verbessern
Mit dem Inkrafttreten des Gesetzes beginnt eine neue Phase der Cybersicherheitsregulierung in Deutschland: Es sorgt für mehr Rechtssicherheit, verschärft zugleich die Verantwortung der Unternehmensleitung und weitet die Pflichten zur Informationssicherheit auf eine Vielzahl mittelständischer Unternehmen aus.
Die Missachtung der vorgeschriebenen Maßnahmen kann nicht nur empfindliche Bußgelder für die Gesellschaft nach sich ziehen, sondern auch persönliche Haftungsansprüche gegenüber der Geschäftsleitung zur Folge haben.
Unsere Wirtschaftsprüfer und zertifizierten IT-Spezialisten von GKK IT-Consulting unterstützen Sie im Rahmen einer NIS-2 Betroffenheitsanalyse sowie bei der anschließenden Umsetzung der gesetzlichen NIS-2-Anforderungen.
NIS-2 Umsetzungsgesetz in Kraft
Wie Sie mit GKK Ihre IT-Sicherheit verbessern!
Welche Unternehmen sind betroffen?
Unternehmen welcher Sektoren sind betroffen?
| Anlage 1: Sektoren besonders wichtiger und wichtiger Einrichtungen | Anlage 2: Sektoren wichtiger Einrichtungen |
| Energie | Transport und Verkehr (Teilsektor Post- und Kurierdienste) |
| Transport und Verkehr | Abfallbewirtschaftung |
| Finanzwesen | Produktion, Herstellung und Handel mit chemischen Stoffen |
| Gesundheit | Produktion, Verarbeitung und Vertrieb von Lebensmitteln |
| Wasser (einschl. Abwasser) | Verarbeitendes Gewerbe/ Herstellung von Waren |
| Digitale Infrastruktur | Anbieter digitaler Dienste |
| Weltraum | Forschung |
Unternehmen welcher Größe sind betroffen?
Besonders wichtige Einrichtung: Unternehmen, das einer Einrichtungart in Anlage 1 zuzuordnen ist
- mindestens 250 Mitarbeiter oder
- Jahresumsatz > 50 Mio. € und Jahresbilanzsumme > 43 Mio. €
Wichtige Einrichtung: Unternehmen, das einer Einrichtungsart in Anlage 1 oder 2 zuzordnen ist
- Mindestens 50 Mitarbeiter oder
- Jahresumsatz > 10 Mio. € und Jahresbilanzsumme > 10 Mio. €
Betreiber kritischer Anlagen (bisher Kritische Infrastrukturen): Festlegung über Schwellenwerte per Rechtsverordnung (wie bisher)
- sind grundsätzlich auch besonders wichtige Einrichtungen
Welche Anforderungen bestehen?
Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen in neuer Fassung (BSIG n.F.) fordert:
Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen (§ 30)
Implementierung eines geeigneten und dem Stand der Technik entsprechenden Risikomanagementsystems
Registrierungspflicht (§ 33)
Verpflichtende Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI)
Meldepflichten (§ 32)
Meldung von Sicherheitsvorfällen an das Bundesamt
Unterrichtungspflichten (§ 35)
Bei erheblichen Sicherheitsvorfällen kann das Bundesamt anordnen, die Empfänger ihrer Dienste zu unterrichten
Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen (§ 38)
Umsetzung der nach § 30 zu ergreifenden Risikomanagementmaßnahmen sowie Implementierung geeigneter Governance-Prozesse zur Einhaltung und Überwachung von getroffenen Maßnahmen.
Regelmäßige Schulungsteilnahme durch die Geschäftsleitung, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste beurteilen zu können.
Unser Angebot
Betroffenheitsanalyse
Wir analysieren Ihre Unternehmensbereiche und Geschäftseinheiten anhand der komplexen, festgelegten Kriterien des BSIG (n.F.). Dabei berücksichtigen wir neben einer möglichen unmittelbaren Anwendbarkeit auch IT-sicherheitsbezogene Due-Diligence-Anforderungen, die sich zunehmend aus Geschäftsbeziehungen mit regulierten Kunden ergeben und vertraglich relevant werden können. Die Ergebnisse fassen wir übersichtlich in einem Management Letter zusammen und schaffen damit eine angemessene Entscheidungsgrundlage.
GAP-Analyse
Im Falle einer Betroffenheit bewerten wir im Rahmen einer NIS-2 GAP-Analyse, wie gut Ihr Unternehmen auf die festgelegten Anforderungen bereits vorbereitet ist und welche Schritte noch notwendig sind, um die gesetzlichen Anforderungen vollständig zu erfüllen.
NIS-2 Governance & Umsetzung der Maßnahmen
Wir unterstützen Sie bei der effizienten Steuerung und Koordination der NIS-2 Maßnahmen, damit Ihr Unternehmen die Anforderungen schnell und effektiv erfüllt. Dabei begleiten wir Sie bei der erfolgreichen Umsetzung und Dokumentation der geforderten Maßnahmen.
Berichterstattung
Wir gestalten einen für Sie optimalen Prozess zur Berichterstattung an die Aufsichtsbehörde und integrieren diesen in Ihre bestehenden Vorfalls- und Krisenmanagement-Prozesse.
Workshops & Schulungen
Wir bieten passend auf Ihren Bedarf ausgerichtete Schulungen und Workshops zur Cybersicherheit, um Sie und Ihr Team bestmöglich auf die bestehenden Herausforderungen vorzubereiten.
Ihre Vorteile auf einen Blick
Einhaltung der gesetzlichen NIS-2 Anforderungen
Die Einhaltung der gesetzlichen NIS-2 Anforderungen schützt Ihr Unternehmen vor rechtlichen Risiken.
Schutz vor sensiblen Daten und Informationswerten
Schützen Sie Ihr Unternehmen vor unbefugtem Zugriff und Missbrauch.
Vermeidung von finanziellen Schäden
Vermeiden Sie finanzielle Schäden, indem Risiken durch Cyberangriffe, Datenverlust und Betriebsunterbrechungen proaktiv reduziert werden.
Wettbewerbsvorteil und Stärkung des Kundenvertrauens
Profitieren Sie von einem Wettbewerbsvorteil durch nachweislich hohe Sicherheitsstandards und stärken Sie das Vertrauen Ihrer Kunden, indem Sie einen zuverlässigen Schutz sensibler Daten gewährleisten.
Umsetzung eines nachhaltigen Cybersicherheitsniveaus
Heben Sie Ihr Unternehmen auf ein Cybersicherheitsniveau, das langfristigen Schutz vor digitalen Bedrohungen gewährleistet und die Widerstandsfähigkeit Ihres Unternehmens stärkt.
Vermeidung Managementhaftung
Die Umsetzung der NIS-2 Vorgaben kann das Haftungsrisiko für das Management reduzieren.
FAQ zum Thema Cyber-Security
Was verbirgt sich hinter der NIS-2 Richtline?
Die NIS-2 Richtlinie (Richtlinie (EU) 2022/2555) wurde von der Europäischen Union eingeführt, um ein hohes gemeinsames Cybersicherheitsniveau innerhalb der EU (auf Länderebene) zu gewährleisten. Sie ersetzt die bisherige NIS-Richtlinie (Richtlinie (EU) 2016/1148) und trägt den gestiegenen Anforderungen durch die zunehmende Digitalisierung und wachsenden Bedrohungen aus dem Cyber-Raum Rechnung. Die Mitgliedstaaten sind verpflichtet, die Vorgaben der NIS-2 Richtlinie in nationales Recht umzusetzen. In Deutschland erfolgt dies durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetzes), welches am 6. Dezember 2025 in Kraft trat.
Welche Unternehmen sind davon betroffen?
Das NIS-2-Umsetzungsgesetz betrifft Unternehmen, die als "besonders wichtige Einrichtungen" und "wichtige Einrichtungen" eingestuft werden, sowie Betreiber kritischer Infrastrukturen (KRITIS). Die betroffenen Unternehmen und Organisationen werden anhand bestimmter Kriterien und Schwellenwerte definiert. Das NIS-2-Umsetzungsgesetz richtet sich primär an mittelständische und große Unternehmen aus kritischen und gesetzlich festgelegten Sektoren. Diese müssen ihre Cybersicherheitsvorkehrungen erheblich verbessern und strengere Anforderungen erfüllen.
Sind im aktuellen Gesetz Übergangsfristen vorgesehen?
Das NIS-2-Umsetzungsgesetz sieht keine allgemeine Übergangsfrist vor.
Betroffene Unternehmen müssen ihre Pflichten grundsätzlich ab Inkrafttreten des Gesetzes erfüllen, zum Beispiel die Registrierung, das Risikomanagement und die Meldepflichten.
Für die Registrierung beim BSI gelten jedoch konkrete Fristen:
Nach dem BSIG sind besonders wichtige und wichtige Einrichtungen sowie Anbieter von Domain-Name-Registry-Diensten verpflichtet, dem BSI bestimmte Angaben über das BSI-Portal zu übermitteln. Dies muss spätestens innerhalb von drei Monaten erfolgen, nachdem ein Unternehmen erstmals oder erneut als eine solche Einrichtung gilt bzw. entsprechende Dienste anbietet.
Gleiches gilt für Unternehmen, die einer der in § 60 Absatz 1 Satz 1 BSIG genannten Einrichtungsarten zuzuordnen sind z.B. Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen.
Wie können Sie prüfen, ob Ihr Unternehmen betroffen ist?
Eine Ersteinschätzung kann mit Hilfe des BSI-Betroffenheitschecks vorgenommen werden. Dieser liefert jedoch keine finale Bewertung für die NIS-2 Betroffenheit. Unser GKK IT Consulting Team unterstützt Sie bei der Durchführung einer auf die spezifischen Besonderheiten Ihres Unternehmens ausgerichteten NIS-2 Betroffenheitsanalyse.
Welche Anforderungen sind umzusetzen, wenn mein Unternehmen von dem NIS-2 Umsetzungsgesetz betroffen ist?
Abhängig von der jeweiligen Einrichtung sind angemessene technische und organisatorische Maßnahmen (Stand der Technik) z. B. in Form eines Risikomanagementsystems umzusetzen. Darüber hinaus bestehen Registrierungs- und Meldepflichten für betroffene Einrichtungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik.
Auszug wesentlicher Anforderungen im Überblick:
Strengere Cybersicherheitsanforderungen: Unternehmen müssen umfassende Maßnahmen und Anforderungen zum Schutz ihrer Netzwerke, IT-Systeme und Daten umsetzen. Dazu zählen das Aufsetzen eines Cyber-Risikomanagements, Notfallplänen sowie Incident-Response-Prozessen.
Meldepflichten: Sicherheitsvorfälle sind künftig in mehreren Stufen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dies umfasst eine Erstmeldung, eine Zwischenmeldung, ggf. eine Fortschrittsmeldung sowie eine Abschlussmeldung, jeweils innerhalb der gesetzlichen Fristen. Zusätzlich kann das BSI Nachweise und Berichte zur IT-Sicherheit anfordern. Betroffene Unternehmen sollten daher fortlaufend ihre getroffenen technischen und organisatorischen Maßnahmen dokumentieren und der zuständigen Behörde auf Anfrage vorlegen können.
Haftungsrisiken: Pflichtverletzungen können sowohl Bußgelder für die Gesellschaft als auch persönliche Haftungsansprüche gegen die Geschäftsleitung nach sich ziehen. In besonders schweren Fällen und in Abhängigkeit von der Art der Einrichtung können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden.
Die Geschäftsleitungen betroffener Einrichtungen sind verpflichtet, die nach § 30 BSIG (n.F.) zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Weiterhin besteht die Verpflichtung, regelmäßig an Informationssicherheits-Schulungen teilzunehmen, um die erforderlichen Kenntnisse zur Erfüllung ihrer Pflichten zu erlangen. Auch Mitarbeitende sollten gemäß der neuen Regulierung regelmäßig an Awareness-Trainings teilnehmen.
Muss ein Nachweis erbracht werden, wenn ein Unternehmen nicht unter die NIS-2 Regelung fällt?
Unternehmen können gemäß §§ 61, 62 BSIG n.F. verpflichtet werden, auf Anfrage des BSI nachzuweisen, dass sie die für sie gültigen NIS-2 Anforderungen erfüllen. Um diese Nachweise schnell und transparent bereitstellen zu können, stellt die NIS-2 Betroffenheitsanalyse eine initiale Ausgangsbasis dar. Gerne unterstützen wir Sie dabei.
Mit welchen Sanktionen müssen Unternehmen rechnen, wenn die NIS-2 Anforderungen nicht bzw. nicht vollständig umgesetzt werden?
Unternehmen, die ihre Pflichten im Rahmen des NIS-2 Umsetzungsgesetzes nicht erfüllen, müssen mit erheblichen Sanktionen rechnen. Diese können sowohl finanzielle Bußgelder als auch andere rechtliche und organisatorische Konsequenzen umfassen:
1. Finanzielle Bußgelder
Besonders wichtige Einrichtungen: Bußgelder von bis zu EUR 10 Mio. Euro oder bei einem Gesamtumsatz (i.S.d. § 65 (8) BSIG n.F.) von mehr als EUR 500 Mio. bis zu 2 % des weltweiten Jahresumsatzes des Vorjahres.
Wichtige Einrichtungen: Bußgelder von bis zu 7 Mio. Euro oder bei einem Gesamtumsatz (i.S.d. § 65 (8) BSIG n.F.) von mehr als EUR 500 Mio. bis zu 1,4 % des weltweiten Gesamtumsatzes des Vorjahres.
2. Haftung der Geschäftsleitung (§ 38 BSIG n.F.)
Die Geschäftsleitung ist verpflichtet, die nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.
Geschäftsleitungen, die ihre Pflichten verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz (BSIG n.F.) haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.
3. Mögliche zusätzliche Konsequenzen
Image- und Reputationsschäden: Sicherheitsvorfälle oder die Nichteinhaltung gesetzlicher Vorgaben können das Vertrauen von Kunden und Partnern beeinträchtigen.
