Professionelle Digitalisierung   Wege zur digitalen Resilienz

Die NIS-2-Richtlinie ist ein verbindliches EU-Gesetz, das durch das NIS-2-Umsetzungsgesetz seit Ende 2025 auch in Deutschland als nationales Recht gilt. Ziel des europäischen und deutschen Gesetzgebers ist die Stärkung der Cybersicherheit von Netz- und Informationssystemen. 

NIS-2 erweitert den Anwendungsbereich auf mehr kritische Sektoren und verpflichtet vor allem mittlere und große Organisationen zu verbindlichen Sicherheitsmaßnahmen, Risikomanagement und Meldepflichten bei schweren IT-Vorfällen.

Zudem verpflichtet NIS-2 Aufsicht, Sanktionen, die Verantwortung der Geschäftsleitung sowie die grenzüberschreitende Zusammenarbeit der EU-Staaten zur besseren Abwehr von Cyberbedrohungen.

Wir befragen Patrick Bedué, IT-Auditor bei bdp Berlin, was dies für Unternehmen bedeutet.

Herr Bedué, warum wurde NIS-2 entwickelt?

NIS-2 wurde eingeführt, um auf die stark zunehmenden Cyberbedrohungen in Europa zu reagieren. Sie ersetzt NIS1, schafft ein höheres einheitliches Sicherheitsniveau, erweitert den Geltungsbereich und sorgt für klarere Regeln, strengere Aufsicht und bessere Zusammenarbeit in der EU.

Wer ist von NIS-2 betroffen?

Die NIS-2-Richtlinie gilt ab 2025/2026 für eine breite Palette von Unternehmen und Einrichtungen in 18 Sektoren, die als „besonders wichtig“ oder „wichtig“ eingestuft werden, insbesondere solche mit mindestens 50 Mitarbeitern oder über 10 Mio. Euro Jahresumsatz. Betroffen sind vor allem kritische Branchen wie Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung sowie neu Nahrungsmittel, Postdienste, Abfallwirtschaft und verarbeitendes Gewerbe.

Werden betroffene Unternehmen davon informiert?

Nein, es gibt keine offizielle Benachrichtigung. Unternehmen müssen selbst prüfen, ob sie betroffen sind. Auf der Website des Bundesamts für Sicherheit in der Informationstechnologie (BSI) gibt es die Möglichkeit einer anonymen Betroffenheitsprüfung. Natürlich steht auch bdp hier beratend zur Seite.

Würde es für digitale Resilienz nicht ausreichen, eine kompetente IT-Abteilung zu unterhalten?

Cyberangriffe sind längst kein rein technisches Risiko mehr, sondern stellen eine erhebliche betriebswirtschaftliche und haftungsrelevante Gefahr dar. Aktuelle Studien zeigen, dass erfolgreiche Angriffe auf mittelständische Unternehmen regelmäßig Schäden im hohen sechs- bis siebenstelligen Bereich verursachen, etwa durch Produktionsausfälle, Wiederanlaufkosten, Vertragsstrafen und Reputationsschäden. 

Wird NIS-2 zu einem höheren Schutz vor Cyberangriffen führen?

Ja, das wird jedoch nicht automatisch geschehen. NIS-2 wird den Sicherheitsstandard insbesondere im Mittelstand signifikant anheben, allerdings primär durch verbindliche Governance- und Haftungsmechanismen. NIS-2 beinhaltet unter anderem verpflichtende Risikoanalysen, Incident-Response-Konzepte, robuste Business-Continuity-Pläne, persönliche Verantwortung der Geschäftsleitung einschließlich Haftungsrisiken sowie strengere Meldepflichten und behördliche Prüfungen.

NIS-2 schützt daher nicht unmittelbar auf technischer Ebene vor Cyberangriffen, sondern zwingt Unternehmen zu einem professionellen und strukturierten Risikomanagement. Wer die Anforderungen lediglich formal erfüllt („Papier-Compliance“), bleibt weiterhin hochgradig angreifbar. Wer sie hingegen konsequent operationalisiert, erhöht das Schutzniveau nachweislich.

Wie kann präventiv die Zusammenarbeit mit Wirtschaftsprüfern und Steuerberatern gestaltet werden, um im Falle eines Cyberangriffs Ausfälle im Finanzsystem zu vermeiden und beispielsweise Lohnzahlungen sicherzustellen?

Empfehlenswert ist eine frühzeitige, strukturierte und präventive Verzahnung. Bereits seit einigen Jahren gewinnt die IT-Prüfung zunehmend an Bedeutung und ist ein unverzichtbarer Bestandteil jeder Jahresabschlussprüfung. Sie umfasst unter anderem das IT-Risikomanagement, Notfallkonzepte, Datensicherheit und Datensicherung sowie Zugriffs- und Berechtigungskonzepte und deckt damit bereits zentrale Anforderungen ab, die auch NIS-2 fordert. Ein vorhandenes Notfallkonzept mit klaren Zuständigkeiten, das regelmäßig aktualisiert und getestet wird, kann entscheidend dazu beitragen, schnell wieder handlungsfähig zu sein und beispielsweise Lohnzahlungen auszuführen. Ein Notfallkonzept, das ausschließlich auf einem Server liegt, auf den im Cyberangriff nicht mehr zugegriffen werden kann, ist hingegen wirkungslos.

Wie kann bei einem Cyberangriff sichergestellt werden, dass andere Dienstleister (z. B. Steuerberater, Wirtschaftsprüfer) nicht in Mitleidenschaft gezogen werden?

Hier ist eine strikte digitale Entkopplung der entscheidende Faktor, um eine „Ansteckung“ zu vermeiden. Zentrale Prinzipien sind die Anwendung des Zero-Trust-Modells für Zugriffe, mandantenspezifische Zugangssysteme, der Verzicht auf gemeinsame Benutzerkonten, die technische Trennung von Netzwerken und Cloud-Tenants sowie klar definierte Incident-Protokolle, die regeln, wer wann informiert wird und welche Zugänge im Ernstfall sofort zu sperren sind. Diese Maßnahmen schützen nicht nur externe Dienstleister, sondern reduzieren auch Haftungs- und Reputationsrisiken.

Welchen Rat gibt bdp dazu?

Cyberresilienz ist kein „Nice-to-have“, sondern eine unternehmenskritische Überlebensvoraussetzung. Unternehmen müssen sicherstellen, dass kritische Geschäftsprozesse (z. B. Lohnabrechnung, Zahlungsverkehr) auch ohne die Kern-IT handlungsfähig bleiben, ein tragfähiger Notfallbetrieb existiert oder die Kernfunktionalitäten innerhalb eines vertretbaren Zeitraums zuverlässig wiederhergestellt werden können. Unternehmen sollten sich daher bewusst fragen, wie lange ein Wiederanlauf dauern darf, ohne die Existenz zu gefährden. Diese Zeitspanne ist je nach Branche und Unternehmensgröße sehr unterschiedlich und sollte die Ausgestaltung des Notfallkonzepts bestimmen.

Investitionen in Prävention sind wirtschaftlich deutlich günstiger als die Folgen eines einzigen erfolgreichen Angriffs. bdp unterstützt Unternehmen bei risikoorientierten IT-Prüfungen nach den anerkannten Standards des Instituts der Wirtschaftsprüfer (IDW).