28. August 2025
Europa, Cybersecurity, Daten und Digitales, Sicherheit, Informationssicherheitsmanagement, Digitalisierung, Cybersicherheit, Nis-2-Richtlinie
Cybersicherheit im Fokus - stark im digitalen Sturm
Man könnte auch sagen „Die Spatzen pfeifen es von den Dächern: Cyberangriffe häufen sich in Anzahl und Intensität.“ Und: Diese Risiken betreffen längst nicht nur einzelne große Unternehmen. Die TÜV Cybersecurity Studie 2025 zeigt, dass grundsätzlich jedes siebte Unternehmen in den vergangenen 12 Monaten von einem IT-Sicherheitsvorfall betroffen war. Phishing und KI-basierte Attacken nehmen rasant zu. Auch wenn dieser Umstand durchaus Grund zur Sorge bietet, ist er jedoch aus positivem Blickwinkel gesehen in jedem Fall eine Chance für eine Cybersicherheitsoffensive!
In unserem Beitrag zeigen wir, wie Sie Cybersecurity strategisch nutzen, um Compliance, Resilienz und Wettbewerbsvorteile zu sichern. Handeln Sie jetzt, bevor Angriffe und deren Folgen Ihrer Geschäftstätigkeit ernsthaften Schaden zufügen!
Lesezeit: 5 Minuten
Nach einer Flaute im letzten Herbst hat die Gesetzgebung zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nun wieder Fahrt aufgenommen. Am 30. Juli 2025 wurde der Regierungsentwurf verabschiedet. Die Verkündung des Gesetzes wird für Ende 2025 erwartet. Es verfolgt im Sinne der zugrundliegenden zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) das Ziel, kritische Infrastruktur und wichtige Unternehmen besser vor Cyberangriffen zu schützen. Die ambitionierten Vorgaben betreffen in Deutschland im engeren Sinne ca. 29.000 Unternehmen, im weiteren Sinne zwischen 30.000 und 40.000 Unternehmen aus 18 Sektoren (darunter Energie, Gesundheit, Transport, Verwaltung, Raumfahrt, IT Dienste und produzierendes Gewerbe).
Kurz zusammengefasst wird das Gesetz nach heutigem Stand nachfolgende Pflichten für betroffene Unternehmen im Gepäck haben:
Harte Ansagen für betroffene Unternehmen - jedoch nicht nur für diese. Auch wenn die Regelungen in der Hauptsache nur definierte Einrichtungen, sog. „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ betreffen, müssen diese Organisationen folgerichtig die Cybersicherheitspraxis ihrer Dienstleister und Lieferanten beachten und eventuelle Schwachstellen berücksichtigen. Das heißt im Umkehrschluss: Dienstleister und Lieferanten von betroffenen Unternehmen müssen ebenso Sicherheitsvorkehrungen treffen und einhalten.
Darüber hinaus sollte es im Interesse eines jeden Unternehmens liegen, Produktions- und Dienstleistungsprozesse sicher zu gestalten, Ausfälle und Havarien zu vermeiden sowie jegliche seiner Werte zu
schützen, seien es materielle oder immaterielle.
Die Frage ist also nicht: „Bin ich unmittelbar von NIS-2-betroffen?“. Die Frage ist: „Wie sicher ist mein Unternehmen wirklich?“.
Was heißt das? Angreifer lauern permanent, während Unternehmen oft ihre Cyberresilienz überschätzen. Auf KI gestützte Bedrohungen sind viele nicht vorbereitet sind. In Verbindung mit der Feststellung, dass es schon lange nicht mehr die Frage ist, ob man angegriffen wird, sondern nur noch wann, ergibt sich ein Szenario, welches geradewegs zum Handeln auffordert.
In unserem Beitrag zeigen wir, wie Sie Cybersecurity strategisch nutzen, um Compliance, Resilienz und Wettbewerbsvorteile zu sichern. Handeln Sie jetzt, bevor Angriffe und deren Folgen Ihrer Geschäftstätigkeit ernsthaften Schaden zufügen!
Lesezeit: 5 Minuten
AUF DEN PUNKT
|
Von der Pflicht zur Kür: Cybersicherheit als Wettbewerbsvorteil
Stellen Sie sich vor, Sie hätten ein digitales Schutzschild, das Angriffe abwehrt, bevor diese Schaden anrichten. Klingt nach Science-Fiction? Nein, ist es nicht. Unternehmen, ganz gleich welcher Branche, ob aus der kritischen Infrastruktur bzw. von den anstehenden NIS-2-Regelungen betroffen oder als Kleinbetrieb, können sich wirkungsvoll schützen. Unabhängig, ob Pflicht oder Kür: Cybersicherheit ist wie eine gute Versicherung - nur viel smarter. Sie schützt nicht nur, sie stärkt auch Vertrauen, Innovationskraft und Zukunftsfähigkeit.Nach einer Flaute im letzten Herbst hat die Gesetzgebung zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nun wieder Fahrt aufgenommen. Am 30. Juli 2025 wurde der Regierungsentwurf verabschiedet. Die Verkündung des Gesetzes wird für Ende 2025 erwartet. Es verfolgt im Sinne der zugrundliegenden zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) das Ziel, kritische Infrastruktur und wichtige Unternehmen besser vor Cyberangriffen zu schützen. Die ambitionierten Vorgaben betreffen in Deutschland im engeren Sinne ca. 29.000 Unternehmen, im weiteren Sinne zwischen 30.000 und 40.000 Unternehmen aus 18 Sektoren (darunter Energie, Gesundheit, Transport, Verwaltung, Raumfahrt, IT Dienste und produzierendes Gewerbe).
Kurz zusammengefasst wird das Gesetz nach heutigem Stand nachfolgende Pflichten für betroffene Unternehmen im Gepäck haben:
- technisch-organisatorische Anforderungen
- Registrierungs-, Melde-, Berichts- und Nachweiserfordernisse
- Überwachungsverantwortlichkeiten
- Schulungspflichten der Leitung
- Sanktions- und Bußgeldvorschriften mit einem Rahmen zwischen 100.000 Euro und 10 Millionen Euro bzw. von bis zu 2 Prozent des weltweit getätigten Jahresumsatzes (abhängig von der Art der Ordnungswidrigkeit, der Bedeutung des Unternehmens und der Höhe des Jahresumsatzes)
Harte Ansagen für betroffene Unternehmen - jedoch nicht nur für diese. Auch wenn die Regelungen in der Hauptsache nur definierte Einrichtungen, sog. „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ betreffen, müssen diese Organisationen folgerichtig die Cybersicherheitspraxis ihrer Dienstleister und Lieferanten beachten und eventuelle Schwachstellen berücksichtigen. Das heißt im Umkehrschluss: Dienstleister und Lieferanten von betroffenen Unternehmen müssen ebenso Sicherheitsvorkehrungen treffen und einhalten.
Darüber hinaus sollte es im Interesse eines jeden Unternehmens liegen, Produktions- und Dienstleistungsprozesse sicher zu gestalten, Ausfälle und Havarien zu vermeiden sowie jegliche seiner Werte zu
schützen, seien es materielle oder immaterielle.
Die Frage ist also nicht: „Bin ich unmittelbar von NIS-2-betroffen?“. Die Frage ist: „Wie sicher ist mein Unternehmen wirklich?“.
Die im Frühjahr 2025 veröffentlichte TÜV Cybersecurity Studie 2025 zeigt
- 15 % aller Unternehmen: gehackt in den letzten 12 Monaten.
- Phishing-Attacken bei 84 % der Unternehmen: ein Plus von 12 Prozentpunkten in nur zwei Jahren.
- Mehr als 50 % vermuten Attacken mit KI-Power, nur 10 % nutzen KI zur Abwehr.
- 70 % der Unternehmen sehen IT Sicherheitsstandards als wichtig an, aber nur 22 % setzen sie umfassend um.
- Weit über die Hälfte der Unternehmen wünscht sich verbindliche Vorgaben, doch nur 50 % kennen die NIS 2 Richtlinie überhaupt. • 91 % sagen „Unsere Sicherheit ist gut“ und unterschätzen damit die Risiken massiv.
Was heißt das? Angreifer lauern permanent, während Unternehmen oft ihre Cyberresilienz überschätzen. Auf KI gestützte Bedrohungen sind viele nicht vorbereitet sind. In Verbindung mit der Feststellung, dass es schon lange nicht mehr die Frage ist, ob man angegriffen wird, sondern nur noch wann, ergibt sich ein Szenario, welches geradewegs zum Handeln auffordert.
Was jetzt für alle Unternehmen zählt -
Ihre Checkliste für mehr Cybersicherheit
Ob gesetzlich verpflichtet oder nicht: Die folgenden Schritte bringen jedes Unternehmen in Sachen Cybersicherheit nach vorne und machen aus der Pflicht eine echte Sicherheitsstrategie mit Mehrwert:
Fazit: Cybersicherheit ist fundamental wichtig -
Auch wenn es so scheint, dass die NIS-2-Regelungen nur betroffene Einrichtungen in Sachen Cybersicherheit verpflichten, ist letztlich ein belastbares Cyberresilienz-Fundament für alle Unternehmen im digitalen Sturm überlebenswichtig. Ob Start-up oder Konzern: Wer jetzt proaktiv handelt, schützt nicht nur Systeme, sondern auch Reputation und Wettbewerbsfähigkeit - für Sicherheit, Vertrauen und digitale Souveränität.
- Klare Strukturen: Verantwortung statt Chaos
- Sicherheitsbeauftragte/n benennen (z.B. CISO oder IT-Leiter)
- Notfallpläne erstellen: Wer informiert wen? Wer entscheidet?
- Rollen und Kommunikationswege im Unternehmen klar dokumentieren
- Risikoanalysen: Schwachstellen finden, bevor Angreifer es tun
- Inventarliste aller Systeme, Anwendungen und Daten erstellen
- Risikoanalyse nach anerkannten Standards (z.B. ISO 27005) durchführen
- Bedrohungsmodelle wie MITRE ATT&CK einbinden
- Prioritätenliste für dringendste Sicherheitslücken festlegen
- Regelmäßige Phishing-Simulationen durchführen
- Rollenbasierte Security-Schulungen für Mitarbeitende aller Ebenen anbieten
- Einfachen Meldeweg einrichten (z.B. Phishing-Button, Hotline)
- Erfolge sichtbar machen: Klick- und Melderaten kommunizieren, Lernfortschritte feiern
- Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme aktivieren
- Zero-Trust-Prinzip einführen: Vertrauen ist gut, Kontrolle ist besser
- Starke Verschlüsselung für Daten im Ruhezustand und bei Übertragung nutzen
- Netzwerksegmentierung einführen, um Angreifern die Bewegung im Netz zu erschweren
- Mindestens zweimal pro Jahr realitätsnahe Angriffssimulationen fahren
- Incident-Response-Übungen inkl. Kommunikation mit IT, PR und Management
- Ergebnisse dokumentieren und Lessons Learned ableiten
- Verbesserungen direkt in Notfallpläne und Prozesse integrieren
Fazit: Cybersicherheit ist fundamental wichtig -
mit oder ohne NIS-2
Auch wenn es so scheint, dass die NIS-2-Regelungen nur betroffene Einrichtungen in Sachen Cybersicherheit verpflichten, ist letztlich ein belastbares Cyberresilienz-Fundament für alle Unternehmen im digitalen Sturm überlebenswichtig. Ob Start-up oder Konzern: Wer jetzt proaktiv handelt, schützt nicht nur Systeme, sondern auch Reputation und Wettbewerbsfähigkeit - für Sicherheit, Vertrauen und digitale Souveränität. Bleiben Sie wissbegierig!
