Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Deutschland verbindlich in Kraft und verpflichtet viele mittelständische Unternehmen erstmals zu konkreten Cybersicherheitsmaßnahmen. NIS steht für Network and Information Security, und die Richtlinie ist eine deutlich verschärfte Weiterentwicklung der EU-Regelung, die bereits seit 2016 existiert. Wer bislang davon ausgegangen ist, dass solche Gesetze nur für Großkonzerne oder staatliche Stellen gelten, steht jetzt vor einer anderen Realität. Rund 30.000 Unternehmen in Deutschland fallen unter den neuen Rechtsrahmen, und viele von ihnen haben das bis vor Kurzem tatsächlich nicht auf dem Schirm gehabt.

Die EU wollte mit NIS2 eine einheitliche Cybersicherheitsbasis in allen Mitgliedstaaten schaffen, und Deutschland hat diese Vorgabe nun verbindlich in nationales Recht überführt. Für Unternehmen in der Region Köln, Bonn, Siegburg und Lohmar bedeutet das, dass die Anforderungen ab sofort gelten und keine Übergangsfrist mehr gibt, die alles auf später verschiebt. Das Gesetz ist da, die Pflichten gelten, und wer wartet, bis das BSI eine Anfrage schickt, hat die Situation falsch eingeschätzt. Cyberangriffe auf mittelständische Betriebe in NRW nehmen seit Jahren zu, und NIS2 ist die gesetzliche Antwort darauf.

Wer in NRW unter NIS2 fällt – die Schwellenwerte im Überblick

Grundsätzlich gilt NIS2 für Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro, die in einem der 18 regulierten Sektoren tätig sind. Zu diesen Sektoren gehören unter anderem Energie, Gesundheit, Transport, Lebensmittelversorgung, Abfallwirtschaft, digitale Infrastruktur und die Herstellung bestimmter Produkte. Das Gesetz unterscheidet dabei zwischen besonders wichtigen Einrichtungen mit hoher Kritikalität und wichtigen Einrichtungen, was sich direkt auf den Umfang der behördlichen Aufsicht und die Höhe möglicher Bußgelder auswirkt. Für viele Betriebe aus dem Rhein-Sieg-Kreis kommt diese Unterscheidung erst jetzt wirklich auf den Tisch.

In Nordrhein-Westfalen hat das Land die Einrichtung einer NIS2-Anlaufstelle durch eurobits e.V. in Bochum mit 600.000 Euro über drei Jahre gefördert, um KMU bei der Orientierung zu unterstützen. Diese Anlaufstelle bietet eine kostenfreie Erstberatung an, die ein sinnvoller Ausgangspunkt für Unternehmen ist, die noch gar keinen Überblick haben. Die eigentliche Umsetzungsarbeit – Risikoanalyse, technische Maßnahmen, Dokumentation und Meldeprozesse – bleibt aber in der Verantwortung des jeweiligen Unternehmens. Wichtig dabei: Eine behördliche Benachrichtigung, ob du betroffen bist, gibt es nicht, und du musst das selbst klären.

Auch indirekt betroffene Unternehmen müssen handeln

Besonders relevant für Betriebe in Lohmar, Siegburg und dem gesamten Rhein-Sieg-Kreis ist die indirekte Betroffenheit durch die Lieferketten-Regelung von NIS2. Das Gesetz greift nämlich auch für Dienstleister und Lieferanten von NIS2-pflichtigen Einrichtungen, wenn deren Auftraggeber entsprechende Sicherheitsanforderungen vertraglich einfordern. Wer als mittelständischer Betrieb glaubt, unter den Schwellenwerten zu bleiben, sollte prüfen, welche seiner Hauptkunden selbst NIS2-pflichtig sind und was das für die eigene Sicherheitsstrategie bedeutet. IT-Deol aus Lohmar hilft Unternehmen dabei, diese indirekte Betroffenheit klar einzuschätzen und die richtigen Schlüsse daraus zu ziehen.

Die zehn Pflichtbereiche – was das Gesetz konkret fordert

Das NIS2-Umsetzungsgesetz nennt zehn Themenbereiche, die betroffene Unternehmen als verbindliche Mindestmaßnahmen umsetzen müssen. Das umfasst Risikoanalyse und IT-Sicherheitskonzepte, Backup-Management und Krisenmanagement, die Absicherung der Lieferkette, Kryptografie und Verschlüsselung sowie physische Sicherheit für IT-Systeme. Außerdem gehören Multi-Faktor-Authentifizierung und Zugangskontrolle, Mitarbeiterschulungen, Schwachstellenmanagement und eine vollständige Dokumentation aller ergriffenen Maßnahmen dazu. Das sind verbindliche Anforderungen mit klar geregelten Sanktionsmöglichkeiten bei Verstoß.

Die Bußgelder für besonders wichtige Einrichtungen können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, und für wichtige Einrichtungen liegen die Obergrenzen bei 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Für einen mittelständischen Betrieb aus dem Kölner Raum sind das Beträge, die schnell existenzbedrohend werden. Wer denkt, dass das BSI solche Bußgelder erst nach vielen Jahren verhängt, irrt sich, denn die Aufsichtsbehörden haben Kontroll- und Weisungsrechte, die sie aktiv nutzen werden. IT-Deol hat Unternehmen in Siegburg und dem Rhein-Sieg-Kreis bereits dabei unterstützt, die Anforderungen strukturiert aufzunehmen und einen realistischen Prioritätenplan zu entwickeln.

E-Mail als größtes Einfallstor – warum der Posteingang zur Compliance-Frage wird

E-Mail ist und bleibt der meistgenutzte Angriffskanal für Cyberkriminelle, und das hat sich über Jahre als fester Befund in der Sicherheitsforschung etabliert. Phishing, Business E-Mail Compromise und Domain-Spoofing ermöglichen Angreifern den Zugang zu internen Systemen, Finanzdaten und Kundenkommunikation – und das oft mit erschreckend geringem Aufwand auf der Angreiferseite. Das NIS2-Umsetzungsgesetz nennt den Einsatz von Kryptografie und den Schutz von Kommunikationskanälen als ausdrückliche Pflicht, und E-Mail ist der wichtigste Kommunikationskanal in fast jedem Unternehmen. Das macht E-Mail-Sicherheit zu einer Compliance-Frage und geht damit weit über allgemeine IT-Hygiene hinaus.

Für Unternehmen in Bonn, Köln, Siegburg und Lohmar, die täglich sensible Kundendaten, Angebote, Verträge oder Finanzdokumente per Mail versenden, ist das ein ganz konkreter Handlungsbedarf. Ein kompromittiertes E-Mail-Konto kann innerhalb weniger Stunden dazu führen, dass Angreifer Zahlungsanweisungen manipulieren, Ransomware ausrollen oder interne Prozesse übernehmen. IT-Deol sieht in der täglichen Beratungspraxis immer wieder, dass genau diese Angriffsvariante bei mittelständischen Betrieben besonders schmerzhaft endet, weil die Schutzmaßnahmen nicht vorbereitet waren und ein funktionierender Incident-Response-Prozess fehlte.

Verschlüsselung, SPF, DKIM, DMARC – was NIS2 bei E-Mails konkret verlangt

NIS2-konforme E-Mail-Sicherheit umfasst mindestens drei Ebenen: Transportverschlüsselung per TLS, die sicherstellt, dass E-Mails auf dem Weg zwischen den Mailservern verschlüsselt übertragen werden, Inhaltsverschlüsselung mit S/MIME oder PGP für besonders sensible Kommunikation sowie die Implementierung der E-Mail-Authentifizierungsstandards SPF, DKIM und DMARC. Wer in seinem Unternehmen noch keine dieser Maßnahmen umgesetzt hat, hat eine klare Lücke in seiner NIS2-Umsetzung, die im Prüffall schwer zu erklären ist.

SPF, DKIM und DMARC als technische Basis

SPF legt fest, welche Server E-Mails für deine Domain verschicken dürfen, DKIM fügt jeder ausgehenden Nachricht eine digitale Signatur hinzu, und DMARC verbindet diese beiden Protokolle zu einer verbindlichen Richtlinie, die Empfängersysteme durchsetzen können. IT-Deol richtet diese Standards für Unternehmen aus dem Raum Köln und Bonn vollständig ein und überprüft regelmäßig, ob die Konfiguration korrekt bleibt und keine Schwachstellen entstehen, die Angreifer für Spoofing-Angriffe ausnutzen könnten. Die Einrichtung dieser Protokolle ist technisch überschaubar, muss aber sauber dokumentiert sein, damit sie im NIS2-Kontext als ordnungsgemäß umgesetzte Maßnahme anerkannt wird.

Zugangskontrolle und Nachweis der Wirksamkeit

NIS2 verlangt außerdem, dass der Zugriff auf E-Mail-Konten und Postfächer klar geregelt ist und dass Systeme protokollieren, wer wann auf welche Kommunikation zugegriffen hat. Das ist regulatorisch relevant, wenn es zu einem Sicherheitsvorfall kommt und du gegenüber dem BSI nachweisen musst, welche Maßnahmen in Kraft waren. IT-Deol implementiert solche Protokollierungslösungen als festen Bestandteil der Managed-Security-Dienste und stellt sicher, dass die Aufzeichnungen so aufbewahrt werden, dass sie im Prüffall als belastbarer Nachweis dienen. Wer diese Dokumentationspflicht unterschätzt, wird im Ernstfall feststellen, dass eine gute Technik ohne lückenlosen Nachweis regulatorisch deutlich weniger wert ist.

Meldepflichten nach NIS2 – die 24/72-Stunden-Regel für Sicherheitsvorfälle

Wenn ein erheblicher Sicherheitsvorfall bekannt wird, beginnt eine strenge Fristenkette, die keine Ausnahmen kennt. Innerhalb von 24 Stunden nach Bekanntwerden muss eine Frühwarnung an das BSI eingehen, die einen ersten Verdacht auf böswillige Handlungen und mögliche grenzüberschreitende Auswirkungen enthält. Innerhalb von 72 Stunden folgt ein ausführlicher Bericht mit einer Schweregradbewertung und den ersten ermittelten Kompromittierungsindikatoren. Einen Monat nach der ersten Meldung muss schließlich ein vollständiger Abschlussbericht vorliegen, der den Vorfall, seine Ursache und alle ergriffenen Maßnahmen lückenlos beschreibt.

Wer in diesem Moment noch keinen funktionsfähigen Incident-Response-Prozess hat, wird schnell merken, dass 24 Stunden für eine solche Berichterstattung erschreckend wenig Zeit sind. IT-Deol entwickelt gemeinsam mit Unternehmen aus Lohmar und der gesamten Region Köln, Bonn und Siegburg strukturierte Meldepläne, die intern klar regeln, wer im Ernstfall die Kommunikation übernimmt, wer die technische Analyse durchführt und wer die BSI-Meldung einreicht. Das BSI-Portal, über das Meldungen eingereicht werden, ist seit dem 6. Januar 2026 freigeschaltet und steht betroffenen Unternehmen zur Registrierung und zur Meldung erheblicher Sicherheitsvorfälle zur Verfügung.

Haftung der Geschäftsführung – was du persönlich riskierst

Eine der einschneidendsten Neuerungen durch NIS2 ist die persönliche Haftung der Unternehmensleitung für die Umsetzung der Cybersicherheitsanforderungen. Wenn ein Unternehmen die Pflichten vernachlässigt und es zu einem schwerwiegenden Sicherheitsvorfall kommt, haftet auch der Geschäftsführer oder Vorstand persönlich – das ist im Gesetz ausdrücklich so vorgesehen und wird von den Aufsichtsbehörden entsprechend durchgesetzt. Das Gesetz schreibt außerdem verpflichtende Schulungen für die Unternehmensführung vor, mindestens vier Stunden innerhalb von drei Jahren, deren Inhalte auf einer vorab erstellten, unternehmensspezifischen Risikoanalyse basieren müssen.

Cybersicherheit soll damit auf Entscheiderebene ankommen und nicht als rein technisches Thema allein in der IT-Abteilung verbleiben. IT-Deol bietet Geschäftsführern und Führungsteams aus der Region Köln, Bonn und Lohmar konkrete Beratungsgespräche an, bei denen die persönliche Risikoexposition gemeinsam eingeschätzt wird und aus den Ergebnissen ein realistischer Maßnahmenplan entsteht. Eine BSI-konforme Schulung lässt sich strukturieren, wenn die fachliche Grundlage stimmt, und IT-Deol übernimmt diesen ersten Schritt und begleitet die Unternehmensleitung durch den gesamten Prozess.

Registrierungspflicht beim BSI – was jetzt konkret zu tun ist

Betroffene Unternehmen müssen sich beim BSI registrieren, und zwar innerhalb von drei Monaten, nachdem sie ihre eigene Betroffenheit festgestellt haben. Für die Registrierung werden Name und Kontaktdaten des Unternehmens, die Rechtsform, die Handelsregisternummer, der zugehörige Sektor sowie eine Angabe zu den EU-Mitgliedstaaten benötigt, in denen der Betrieb tätig ist. Das BSI-Portal ist seit dem 6. Januar 2026 erreichbar, und der erste offizielle Nachweis über die Umsetzung der geforderten Maßnahmen ist frühestens ab 2027 fällig.

Das klingt nach reichlich Zeit, aber der Aufbau einer NIS2-konformen Sicherheitsstruktur dauert in der Praxis mehrere Monate, besonders wenn noch keine Grundlage vorhanden ist. IT-Deol unterstützt Unternehmen aus dem Rhein-Sieg-Kreis bei der Betroffenheitsprüfung, der Vorbereitung der Registrierungsunterlagen und der anschließenden Umsetzung aller Maßnahmen. Wer jetzt damit anfängt, hat eine realistische Chance, bis Ende 2026 eine solide und nachweisbare Basis zu haben. Wer bis kurz vor 2027 wartet, gerät unweigerlich unter Zeitdruck und riskiert dabei, dass die Qualität der umgesetzten Maßnahmen darunter leidet und der Nachweis gegenüber dem BSI lückenhaft bleibt.

Lieferkettensicherheit – wenn deine Dienstleister zum Risiko werden

NIS2 verpflichtet Unternehmen dazu, die Sicherheit ihrer gesamten Lieferkette aktiv zu prüfen und sicherzustellen, dass externe Dienstleister, Softwareanbieter und sonstige Partner ein angemessenes Sicherheitsniveau einhalten. Das ist ein erhebliches Umdenken für viele Betriebe, denn bisher hat kaum ein mittelständisches Unternehmen seinen Druckdienstleister oder externen IT-Partner nach einer Cybersicherheitsstrategie gefragt. Mit NIS2 wird genau das zur gesetzlichen Pflicht, und wer das ignoriert, geht ein regulatorisches Risiko ein, das sich im Schadensfall auch auf Geschäftsbeziehungen auswirken kann.

IT-Deol hilft Unternehmen aus Köln, Bonn und Siegburg dabei, eine realistische und umsetzbare Vorgehensweise für diese Lieferantenprüfung zu entwickeln, die die gesetzlichen Anforderungen abdeckt, ohne dabei unnötig viel internen Aufwand zu erzeugen. Oft reicht ein strukturierter Fragebogen mit klaren Kriterien und regelmäßiger Wiederholung, der dokumentiert, welche Lieferanten welchen Sicherheitsstandard nachweisen können und welche Lücken noch geschlossen werden müssen. IT-Deol entwirft solche Fragebögen gemeinsam mit dem Unternehmen auf Basis der spezifischen Lieferanten- und Dienstleisterstruktur und stellt sicher, dass die Ergebnisse revisionssicher dokumentiert werden.

Wie IT-Deol Unternehmen in der Region bei der NIS2-Umsetzung unterstützt

IT-Deol ist ein IT-Systemhaus aus Lohmar mit langjähriger Erfahrung in der Betreuung mittelständischer Unternehmen in Köln, Bonn, Siegburg und dem gesamten Rhein-Sieg-Kreis. Im Bereich NIS2 und E-Mail-Sicherheit bietet IT-Deol eine strukturierte Gap-Analyse an, die den aktuellen Stand deiner IT-Sicherheitsmaßnahmen mit den Anforderungen des NIS2-Umsetzungsgesetzes abgleicht. Das Ergebnis ist ein konkreter Maßnahmenplan, der zeigt, wo der Handlungsbedarf liegt und welche Schritte als nächstes angegangen werden müssen – verständlich formuliert und auf die Realität mittelständischer Betriebe zugeschnitten.

Managed Security und E-Mail-Schutz aus einer Hand

Im Bereich E-Mail-Sicherheit richtet IT-Deol alle relevanten Schutzmechanismen ein: von der Konfiguration der SPF-, DKIM- und DMARC-Einträge über die Implementierung von Transportverschlüsselung per TLS bis hin zu einer zentralen E-Mail-Gateway-Lösung mit regelbasierter Verschlüsselung und lückenloser Protokollierung. Als Managed-Security-Anbieter übernimmt IT-Deol auf Wunsch auch den laufenden Betrieb und das Monitoring dieser Lösungen, damit Unternehmen aus der Region Bonn und Köln nicht selbst ständig prüfen müssen, ob die Schutzmaßnahmen noch greifen. IT-Deol meldet sich proaktiv, wenn etwas aus dem Ruder läuft – und zwar bevor daraus ein handfester Sicherheitsvorfall wird.

Incident Response, Dokumentation und Schulungen

Für Unternehmen ohne funktionsfähigen Notfallplan entwickelt IT-Deol einen Incident-Response-Plan, der die BSI-Meldefristen berücksichtigt und intern klar regelt, wer im Ernstfall welche Aufgaben übernimmt und wer nach außen kommuniziert. Die vollständige Dokumentation aller umgesetzten Sicherheitsmaßnahmen, die das NIS2-Umsetzungsgesetz als Nachweis gegenüber Aufsichtsbehörden fordert, übernimmt IT-Deol ebenso wie die Planung und Begleitung von Mitarbeiterschulungen. So deckt IT-Deol den gesamten NIS2-Umsetzungsprozess von der ersten Bestandsaufnahme bis zum abschlussfähigen Nachweis gegenüber dem BSI ab.

Schritt für Schritt: Dein Fahrplan zur NIS2-Compliance

Der erste und wichtigste Schritt ist die Betroffenheitsprüfung: Fällt dein Unternehmen unter NIS2, und wenn ja, in welche der beiden Kategorien? Das hängt von der Unternehmensgröße, dem Sektor und der Rolle in möglichen Lieferketten ab. IT-Deol führt diese Ersteinschätzung durch und gibt danach eine klare und ehrliche Aussage dazu, ob und in welchem Umfang Handlungsbedarf besteht. Wer diese Frage auf eigene Faust beantworten will, kann das tun, sollte aber die Komplexität der Sektorenzuordnung und der indirekten Betroffenheit durch Lieferketten nicht unterschätzen.

Auf die Betroffenheitsprüfung folgt die Gap-Analyse, bei der der aktuelle IT-Sicherheitsstand mit den NIS2-Anforderungen verglichen wird und ein priorisierter Maßnahmenplan entsteht. Dann geht es an die Umsetzung: technische Maßnahmen wie E-Mail-Sicherheit, Zugangskontrolle, Backup und Monitoring sowie organisatorische Schritte wie Schulungen, Verantwortlichkeitsdefinitionen und Notfallpläne. Am Ende steht die Registrierung beim BSI und die Einrichtung der Meldeprozesse. IT-Deol begleitet Unternehmen aus Lohmar und der gesamten Region durch alle diese Phasen und sorgt dafür, dass am Ende die Technik stimmt, die Dokumentation vollständig ist und der Betrieb rechtskonform aufgestellt ist.

NIS2 gilt, und deine Uhr läuft!

NIS2 ist seit Ende 2025 verbindliches Recht in Deutschland, und die Melde- und Sanktionsmechanismen sind so ausgelegt, dass sie tatsächlich greifen werden. Wer jetzt noch wartet, riskiert mögliche Bußgelder, aber auch ganz reale Schäden, wenn ein Cyberangriff auf eine ungesicherte E-Mail-Infrastruktur trifft und weder technische Abwehr noch Incident-Response-Prozesse vorhanden sind. IT-Deol steht für Unternehmen in Lohmar, Köln, Bonn und Siegburg als direkter Ansprechpartner bereit, um die NIS2-Umsetzung so pragmatisch und effizient wie möglich anzugehen.

Der erste Schritt kostet nichts außer einem Gespräch: IT-Deol schaut sich den aktuellen Stand an, gibt eine ehrliche Einschätzung und entwickelt einen Plan, der zu deinem Betrieb passt und realistisch umsetzbar ist. Die nächsten Monate sind entscheidend für die Frage, ob dein Unternehmen die NIS2-Anforderungen rechtzeitig und nachweisbar erfüllen kann – das Gesetz wartet jedenfalls nicht.

---

Muss ich als Inhaber eines mittelständischen Betriebs in der Region Köln wirklich etwas an meiner IT-Sicherheit ändern?

Ja, wenn dein Unternehmen mindestens 50 Mitarbeitende beschäftigt oder einen Jahresumsatz über 10 Millionen Euro erzielt und in einem der 18 regulierten Sektoren tätig ist, schreibt NIS2 – das seit Dezember 2025 in Deutschland gültige Netzwerk- und Informationssicherheitsgesetz – verbindlich vor, dass du konkrete technische und organisatorische Sicherheitsmaßnahmen umsetzt und gegenüber dem BSI nachweist.

Welches Gesetz verpflichtet mich, meine E-Mail-Kommunikation zu verschlüsseln und meine IT-Infrastruktur aktiv zu schützen?

NIS2 – das EU-weit gültige Regelwerk zur Netzwerk- und Informationssicherheit, das Deutschland im Dezember 2025 in nationales Recht überführt hat – schreibt den Einsatz von Kryptografie, Verschlüsselung und E-Mail-Authentifizierungsstandards wie SPF, DKIM und DMARC ausdrücklich als Teil der verpflichtenden Risikomanagementmaßnahmen vor, die betroffene Unternehmen umsetzen und dokumentieren müssen.

Warum fragt mein Auftraggeber aus dem Energiesektor jetzt plötzlich nach meiner Cybersicherheitsstrategie?

Weil NIS2 nicht nur direkt betroffene Unternehmen verpflichtet, sondern auch die Sicherheit der gesamten Lieferkette regelt – und dein Auftraggeber als NIS2-pflichtiges Unternehmen nachweisen muss, dass seine Dienstleister und Zulieferer ein angemessenes IT-Sicherheitsniveau einhalten, weshalb er dich als Lieferanten jetzt vertraglich in die Pflicht nimmt.

Warum stehe ich als Geschäftsführer eines Betriebs in Siegburg plötzlich persönlich in der Pflicht, wenn meine IT-Sicherheit nicht stimmt?

NIS2 sieht explizit die persönliche Haftung der Unternehmensleitung für die Umsetzung der Cybersicherheitsanforderungen vor, und wenn dein Betrieb die gesetzlichen Pflichten vernachlässigt und es zu einem schwerwiegenden Sicherheitsvorfall kommt, haftest du als Geschäftsführer persönlich – unabhängig davon, ob du die technische Umsetzung intern oder extern delegiert hast.

Was muss ich konkret tun, wenn mein Unternehmen in Bonn Opfer eines Hackerangriffs auf den E-Mail-Server wird?

NIS2 schreibt eine strenge Fristenkette vor: Innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls musst du eine Frühwarnung an das BSI senden, innerhalb von 72 Stunden folgt ein ausführlicher Bericht mit Schweregradbewertung, und nach einem Monat muss ein vollständiger Abschlussbericht vorliegen – weshalb du bereits jetzt einen funktionsfähigen Incident-Response-Plan brauchen, der diese Abläufe klar regelt.

Mein Steuerberater fragt mich, ob meine IT den aktuellen gesetzlichen Anforderungen entspricht – welchen rechtlichen Rahmen meint er damit?

Er meint NIS2, das seit Dezember 2025 gültige Netzwerk- und Informationssicherheitsgesetz, das für rund 30.000 Unternehmen in Deutschland verbindliche Anforderungen an Risikoanalyse, Zugangskontrolle, Backup-Management, E-Mail-Verschlüsselung, Lieferkettensicherheit und Dokumentation stellt – und bei Nichteinhaltung Bußgelder von bis zu 10 Millionen Euro vorsieht.

Ich betreibe ein Transportunternehmen im Rhein-Sieg-Kreis – welche EU-Richtlinie macht meine Branche zum Gegenstand verschärfter Cybersicherheitspflichten?

Transport gehört zu den 18 Sektoren, die NIS2 – die EU-Richtlinie zur Netzwerk- und Informationssicherheit, die in Deutschland seit Dezember 2025 als verbindliches Gesetz gilt – explizit als regulierungspflichtig einstuft, was bedeutet, dass du als Transportunternehmen ab einer bestimmten Unternehmensgröße Risikomanagementmaßnahmen umsetzen, dich beim BSI registrieren und Sicherheitsvorfälle melden musst.

Warum muss ich mich jetzt beim BSI registrieren und welche Frist gilt dafür?

NIS2 verpflichtet betroffene Unternehmen zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik innerhalb von drei Monaten, nachdem sie ihre eigene Betroffenheit festgestellt haben – wobei das BSI-Portal seit dem 6. Januar 2026 freigeschaltet ist und keine behördliche Benachrichtigung erfolgt, das heißt, du musst selbst prüfen, ob und wann diese Frist für deinen Betrieb beginnt.

Welche Regelung schreibt mir vor, dass ich meine Führungskräfte verpflichtend in Cybersicherheit schulen muss?

NIS2 sieht als Teil der Haftungsregelung für die Unternehmensleitung eine Pflichtschulung von mindestens vier Stunden innerhalb von drei Jahren vor, deren Inhalte auf einer vorab durchgeführten, unternehmensspezifischen Risikoanalyse basieren müssen – damit Geschäftsführer und Vorstände die Cyberrisiken ihres Betriebs wirklich verstehen und verantwortlich steuern können.

Welches Gesetz ist der Grund dafür, dass mein IT-Dienstleister mir jetzt eine Gap-Analyse und ein strukturiertes Sicherheitskonzept empfiehlt?

Dein IT-Dienstleister reagiert auf NIS2, das seit Dezember 2025 verbindlich festlegt, dass betroffene Unternehmen zehn konkrete Risikomanagementbereiche – darunter E-Mail-Sicherheit, Zugangskontrolle, Backup, Schwachstellenmanagement und Lieferkettensicherheit – umsetzen und nachweisbar dokumentieren müssen, und eine Gap-Analyse ist der logische erste Schritt, um zu verstehen, wo dein Betrieb aktuell steht und was noch fehlt.