Header Nis2 Unternehmen

Das KRITIS-Dachgesetz und das NIS2-Umsetzungsgesetz sind verabschiedet

Was Unternehmen jetzt konkret umsetzen müssen

Neue regulatorische Verschärfungen für mehr Resilienz, Sicherheit und Krisenvorsorge

Nach mehrjähriger Verzögerung war es am 29. Januar 2026 so weit. Der Bundestag hat das KRITIS-Dachgesetz beschlossen und damit erstmals bundesweit einheitliche, sektorübergreifende Mindeststandards für den physischen Schutz kritischer Infrastrukturen festgelegt. Ziel ist es, deren Widerstandsfähigkeit gegenüber unterschiedlichsten ernsten Gefährdungslagen zu erhöhen und damit die Kontinuität zentraler Versorgungsleistungen auch in Krisen- und Störfällen sicherzustellen. Nur einige Wochen zuvor wurde die europäische NIS2-Richtlinie zum 6. Dezember 2025 in nationales Recht überführt. Das am 13. November 2025 verabschiedete NIS2-Umsetzungsgesetz schafft einen stabilen Rechtsrahmen für Informations- und Netzsicherheit.

Für Unternehmen bedeuten die neuen regulatorischen Verschärfungen, nicht mehr nur irgendwann einmal zu handeln, sondern konkret jetzt Strukturen zu schaffen, Prozesse anzupassen und Verantwortlichkeiten zu klären. Doch was genau ist zu tun?

Dach Nis2

KRITIS-Dachgesetz und NIS2: Zwei Regelwerke – ein gemeinsames Ziel

Beim kürzlich verabschiedeten KRITIS-Dachgesetz stehen nicht mehr nur einzelne IT-Systeme, sondern Strukturen für eine gesamtbetriebliche Resilienz im Fokus. Das beinhaltet die physische Sicherheit von Standorten, den Schutz kritischer Prozesse, ein effektives Notfall- und Krisenmanagement sowie organisatorische Vorsorgemaßnahmen. Betroffen ist das Rückgrat unserer Gesellschaft, also Unternehmen und Einrichtungen aus den Bereichen Energie, Wasser, Gesundheit, Ernährung, IT und Telekommunikation sowie Transport und Verkehr.

NIS2 erweitert den bisherigen Anwendungsbereich massiv. Künftig fallen deutlich mehr mittlere und große Unternehmen unter die verschärften Cybersicherheitsanforderungen – auch dann, wenn sie „nur“ eine kritische Rolle in Lieferketten einnehmen. Neu sind dabei vor allem klar definierte Mindeststandards, verschärfte Meldepflichten, eine persönliche Verantwortung des Managements sowie empfindliche Sanktionen bei Verstößen.

Unternehmen organisieren

Wer sollte jetzt also genau hinschauen?

Viele Unternehmen werden erst spät feststellen, dass sie betroffen sind. Erfahrungsgemäß zählen zu den Normadressaten nicht nur IT- und Cloud-Dienstleister, Managed Service Provider, Rechenzentrumsbetreiber und Softwareanbieter mit hoher Marktrelevanz. Auch Industrieunternehmen mit kritischer Produktionsrolle sowie Logistik- und Verkehrsunternehmen gehören zum Adressatenkreis.

Kurz: Wer für das Funktionieren von Wirtschaft oder Gesellschaft relevant ist, sollte seine Betroffenheit prüfen – proaktiv, nicht erst bei einer Anfrage der Aufsichtsbehörden.

Was Unternehmen jetzt konkret umsetzen müssen

1. Ganzheitliche Risikoanalyse etablieren

Sowohl das KRITIS-Dachgesetz als auch NIS2 verlangen eine systematische Risikoanalyse – und zwar nicht nur auf IT-Ebene.
Dazu gehören:

  • die Identifikation kritischer Geschäftsprozesse
  • die Bewertung von Cyber-, physischen und organisatorischen Risiken
  • die Analyse von Abhängigkeiten (z. B. Dienstleister, Energieversorgung, Lieferketten)

Wichtig: Die Risikoanalyse ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.

2. Sicherheitsmaßnahmen nachvollziehbar umsetzen

Unternehmen müssen angemessene technische und organisatorische Maßnahmen einführen und belegen können.
Das umfasst:

  • Netzwerksicherheit und Segmentierung
  • Zugriffskontrollen und Identity Management
  • Patch- und Schwachstellenmanagement
  • Backup- und Wiederanlaufkonzepte
  • den physischen Schutz kritischer Anlagen

Entscheidend dabei ist nicht nur die Umsetzung, sondern die nachprüfbare Dokumentation.

3. Incident Response und Meldeprozesse vorbereiten

Mit NIS2 werden Meldepflichten deutlich verschärft:

  • Frühwarnmeldung innerhalb von 24 Stunden
  • Detaillierte Berichte innerhalb weniger Tage
  • Nachvollziehbare Ursachen- und Maßnahmenanalyse

Dafür benötigen Unternehmen ein belastbares Incident-Response-Konzept, klare Rollen und Eskalationswege sowie regelmäßig getestete Abläufe (z. B. Tabletop-Übungen).

4. Cybersicherheit zur Managementaufgabe machen

Eine der größten Veränderungen: Die Unternehmensführung trägt nunmehr die Umsetzungsverantwortung – auch persönlich.

Konkret bedeutet das: Cybersicherheit gehört dringlich auch beim Top-Management auf die Agenda. Das beinhaltet eine regelmäßige Berichterstattung und Entscheidungsprozesse sowie gezielte Schulungen für die Führungskräfte. „Delegieren und vergessen“ funktioniert also nicht mehr.

5. Lieferketten und Dienstleister absichern

Beide Regelwerke verlangen den Blick über die eigene Organisation hinaus. Es geht auch um Sicherheitsanforderungen an Dienstleister, entsprechende vertragliche Regelungen und Nachweise sowie eine regelmäßige Überprüfung kritischer Partner. Gerade IT-Dienstleister stehen dabei zunehmend im Fokus der Aufsichtsbehörden.
Typische Fehler, die Unternehmen jetzt vermeiden sollten, sind also:

  • die Betroffenheit zu unterschätzen
  • den Fokus nur auf die IT und nicht auf eine Gesamtresilienz zu richten
  • Maßnahmen ohne eine saubere Dokumentation umzusetzen
  • Keine Einbindung der Geschäftsleitung
  • Fehlende Notfalltests

Diese Schwächen werden spätestens bei Audits oder Sicherheitsvorfällen sichtbar – mit entsprechend schwerwiegenden Konsequenzen.

Fazit: Verabschiedet heißt verbindlich –
jetzt strukturiert handeln

Die Normenumsetzungen in deutsches Recht zeigen: Resilienz und Cybersicherheit sind längst keine Zukunftsthemen mehr, sondern akute Managementaufgaben. Unternehmen, die jetzt strukturiert analysieren, pragmatisch umsetzen und Verantwortung klar regeln, schaffen nicht nur regulatorische Sicherheit, sondern stärken auch nachhaltig ihre eigene Stabilität.

Gemeinsam mit unserem starken Partnernetzwerk unterstützen wir Unternehmen aller Größenordnungen und Organisationsstrukturen dabei, die Anforderungen aus dem KRITIS-Dachgesetz und dem NIS2-Umsetzungsegesetz praxisnah, nachprüfbar und zukunftssicher umzusetzen – von der ersten Analyse bis zu einem belastbaren ganzheitlichen Sicherheitskonzept und einer erfolgreichen Maßnahmenimplementierung.

Contact:

Waldemar Ahrend-Reimche
CEO,
OEDIV SecuSys GmbH, Rostock

Patrick Piotrowski
Senior Business Consultant IAM
and Sales Representative,
OEDIV SecuSys GmbH, Rostock

vertrieb­@secusys.de