Neue Anforderungen durch NIS-2

Die Umsetzung der EU-Richtlinie NIS-2 (NIS-2-Richtlinie) in deutsches Recht markiert einen entscheidenden Schritt für die digitale Sicherheit. Mit dem am 13. November 2025 vom Bundestag verabschiedeten Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit (NIS2UmsuCG) werden verbindliche Standards für Unternehmen und öffentliche Einrichtungen eingeführt. Nicht nur KRITIS-Betreiber, sondern auch neu eingestufte wichtige Einrichtungen (WE) als auch besonders wichtige Einrichtungen (BWE) sowie Hersteller für Sicherheitsrelevanter Komponenten müssen, je nach Einstufung, künftig strengere Sicherheitsmaßnahmen umsetzen und Nachweisen.

Ein zentrales Element der NIS-2-Umsetzung ist das neue dreistufige Melderegime für Sicherheitsvorfälle – zunächst als Frühwarnung binnen 24 Stunden, dann detailliert innerhalb von 72 Stunden und abschließend binnen 30 Tagen Diese Regelung sorgt für schnellere Reaktionen auf Cyberangriffe und verbessert die Transparenz im Krisenfall. Für Anlagenbetreiber bedeutet dies, dass bereits vorhandene Sicherheitskonzepte überprüft und angepasst werden müssen, um den neuen Anforderungen zu entsprechen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält durch das Gesetz eine stärkere Aufsichtsfunktion. Es hat die Befugnis, Maßnahmen zur Verbesserung der Informationssicherheit anzuweisen und Vorschläge zur Beseitigung festgestellter Mängel zu machen und auch Anordnungen zur Maßnahmen oder Behebung von Sicherheitsvorfällen aussprechen. Dies stärkt die Sicherheitslage insgesamt und sorgt für eine einheitliche Anwendung von IT-Grundschutzmaßnahmen. Für Anlagenbetreiber bedeutet dies: Die Einhaltung von Standards wie dem IT-Grundschutz wird zentraler Bestandteil der Betriebsführung.

Die neue Gesetzeslage zielt darauf ab, die Resilienz der Wirtschaft gegenüber Cyberangriffen zu erhöhen. Unternehmen in der Anlagenindustrie müssen daher nicht nur technische Schutzmaßnahmen implementieren, sondern auch prozessuale Strukturen aufbauen, etwa durch Risikobewertungen, Störungsmonitoring und Notfallpläne. Ein zentraler Koordinator (CISO-Bund) unterstützt die Bundesverwaltung bei der Umsetzung, was auch für private Unternehmen eine Vorbildfunktion haben kann.

Die Erweiterung des Anwendungsbereichs betrifft zunehmend auch kleinere und mittlere Unternehmen, die durch gesenkte Schwellenwerte nun unter den Schutz der NIS-2 fallen. Dies erfordert eine gezielte Beratung und Unterstützung, etwa durch ein „One-Stop-Shop“-Verfahren. Die NIS-2-Umsetzung ist mehr als ein Compliance-Thema, sie ist ein strategischer Schritt zur Stärkung der digitalen Infrastruktur. Unternehmen sind gefordert, ihre Sicherheitskonzepte zu modernisieren und proaktiv auf neue Risiken zu reagieren. Mit fachlicher Unterstützung können sie nicht nur gesetzliche Anforderungen erfüllen, sondern auch ihre Wettbewerbsfähigkeit und langfristige Stabilität sichern.

Mit der Umsetzung der NIS-2-Richtlinie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) werden Unternehmensleitungen künftig ausdrücklich verpflichtet, Cybersicherheit als strategische Führungsaufgabe zu betrachten. Dies umfasst die Einführung eines Risikomanagementsystems, die Erfüllung strenger Meldepflichten, die Einhaltung organisatorischer und technischer Sicherheitsmaßnahmen sowie die Dokumentation und Nachweisführung im Rahmen von Compliance-Anforderungen.

Unternehmensleitungen müssen künftig regelmäßig an Schulungen teilnehmen, um Risiken einordnen, gesetzliche Vorgaben verstehen und die Wirksamkeit der Sicherheitsmaßnahmen bewerten zu können.

Für Führungskräfte, die ihre rechtlichen Verpflichtungen im Detail verstehen und die Umsetzung in ihrem Verantwortungsbereich sicherstellen müssen, bietet sich ein praxisorientiertes Intensivseminar an. In mehreren Modulen werden zentrale Inhalte der NIS-2 behandelt: Einführung und Anwendungsbereich, Verantwortung und Haftung der Führungsebene, Umsetzung von Sicherheitsmaßnahmen in IT und OT, Risikomanagement und Meldepflichten sowie Compliance und Dokumentation. Anhand von Beispielen und praxisnahen Szenarien erarbeiten die Teilnehmenden, wie NIS-2-konforme Prozesse in der Unternehmensführung etabliert werden können. Nach erfolgreicher Teilnahme erhalten sie ein Zertifikat, das ihre Kompetenz in der strategischen Führung von Cybersicherheit bestätigt und gleichzeitig die neue Schulungspflicht der Unternehmensleitungen erfüllt.

Die weyer gruppe unterstützt Sie dabei, nicht nur die gesetzlichen Anforderungen zu erfüllen, sondern auch langfristig widerstandsfähige und zukunftssichere Systeme zu gestalten, mit einem Ansatz, der Technik, Prozesse und Führung verbindet.

Die weyer gruppe bringt über 45 Jahre Erfahrung in den Bereichen Engineering und Consulting mit. Ergänzt wird dieses Know-how durch ein Team mit langjähriger Erfahrung im IT- und OT-Sicherheitsumfeld. Zudem sind wir nach ISO 9001 zertifiziert, was die Qualität unserer internen Prozesse unterstreicht und uns zu einem zuverlässigen Partner macht.

Unsere Leistungen umfassen:

• Unterstützung bei der Umsetzung von Standards wie ISO 27001, IEC 62443 oder TRBS 1115-1
• Technische Dokumentation, Risikoanalysen und Compliance-Management
• Sicherheitskonzepte und Schulungen speziell für IT- und OT-Infrastrukturen
• Ergänzung der IT/OT-Sicherheit durch unsere jahrzehntelange Erfahrung in der „klassischen“ Anlagen- und Prozesssicherheit sowie der Anlagenplanung (z.B. Brandschutz, Gewässerschutz, Explosionsschutz, Anlagen- und Arbeitssicherheit).

Mit unserem interdisziplinären Ansatz helfen wir Unternehmen, technische und organisatorische Herausforderungen zu meistern, für sichere und effiziente Prozesse, die langfristig Bestand haben.