Auf den Punkt: NIS-2 betrifft etwa 30.000 deutsche Firmen und zwingt CISOs zur Umsetzung neuer Governance-, Risikomanagementsysteme und Meldepflichten.
Die NIS-2-Richtlinie der EU verpflichtet etwa 30.000 deutsche Unternehmen zu erweiterten Cybersicherheitsmaßnahmen. Für CISOs bedeutet dies konkrete Compliance-Anforderungen und erhebliche organisatorische Anpassungen.
Die NIS-2-Richtlinie der Europäischen Union legt verbindliche Cybersicherheitsstandards für Betreiber kritischer Infrastrukturen und wichtiger Dienste fest. Etwa 30.000 deutsche Unternehmen fallen unter diese Regelung — deutlich mehr als unter der Vorgängerrichtlinie NIS-1. Der Kreis der betroffenen Sektoren ist gestiegen und umfasst nun auch Dienstleister aus Bereichen wie Energie, Verkehr, Wasser, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung sowie Raumfahrt und Industrie.
Für CISOs entstehen durch NIS-2 konkrete operative Anforderungen: Die Richtlinie verlangt die Einführung oder Stärkung von Governance-Strukturen, das Aufbau von Risikomanagementsystemen, die Dokumentation von Sicherheitsmaßnahmen und ein proaktives Incident-Reporting. Unternehmen müssen ihre Boards und Geschäftsleitungen stärker in Cybersicherheitsfragen einbinden und regelmaßig über den Status von Sicherheitsmaßnahmen berichten.
Die Compliance-Anforderungen sind teilweise detailliert ausgestaltet: NIS-2 schreibt etwa vor, dass Sicherheitsvorfälle mit erheblichen Auswirkungen innerhalb von 24 Stunden den Behörden gemeldet werden müssen. Unternehmen müssen Penetrationstests, Sicherheitsaudits und regelmäßige Schulungen durchführen sowie Supply-Chain-Risiken bewerten. Sanktionen bei Nicht-Erfüllung reichen bis zu Geldstrafen von 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Quelle: news.google.com · Erschienen 6. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.