Die Umsetzungsfrist auf EU-Ebene ist bereits abgelaufen. In Deutschland gilt das NIS-2-Umsetzungsgesetz seit dem 06.12.2025. Für betroffene Unternehmen heißt das: Cybersicherheit muss jetzt organisiert, dokumentiert und belastbar umgesetzt sein.

Wer unter NIS2 fällt, muss nicht nur technische Schutzmaßnahmen etablieren, sondern auch klare Verantwortlichkeiten in der Geschäftsleitung, belastbare Meldeprozesse und ein funktionierendes Risikomanagement nachweisen.

Besonders brisant: Verstöße können teuer werden. Je nach Einordnung der Einrichtung drohen Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes beziehungsweise bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes.

NIS2 ist damit längst kein IT-Randthema mehr. Es ist Management-, Haftungs- und Compliance-Thema zugleich.

Wer jetzt noch nicht geprüft hat, ob das eigene Unternehmen betroffen ist, sollte das dringend nachholen.