Seit Dezember 2025 gilt in Deutschland ein Gesetz, das viele Unternehmen noch gar nicht auf dem Schirm haben. Die NIS-2-Richtlinie der Europäischen Union verpflichtet Tausende Betriebe dazu, ihre Cybersicherheit nachweislich auf ein bestimmtes Niveau zu bringen. Wer das ignoriert, riskiert empfindliche Bußgelder und im schlimmsten Fall die persönliche Haftung der Geschäftsführung.
In diesem Artikel erklären wir, was NIS-2 bedeutet, wen es betrifft und was du konkret tun musst.
Was ist NIS-2 überhaupt?
NIS-2 steht für Network and Information Security Directive 2, eine europäische Richtlinie, die Unternehmen in bestimmten Sektoren gesetzlich dazu verpflichtet, Maßnahmen zur Cybersicherheit umzusetzen und zu dokumentieren. Sie ist die Nachfolgerin der ursprünglichen NIS-Richtlinie aus dem Jahr 2016, aber deutlich umfangreicher und mit scharfen Konsequenzen.
Das Ziel dahinter ist klar: Cyberangriffe nehmen zu, sie treffen nicht mehr nur Konzerne, sondern auch mittelständische Unternehmen, Krankenhäuser, Energieversorger und viele weitere. Der Schaden, den sie anrichten, geht weit über das einzelne Unternehmen hinaus. NIS-2 soll dafür sorgen, dass kritische Bereiche der Wirtschaft und Gesellschaft besser geschützt sind.
Wer ist betroffen?
Das ist die Frage, die viele Unternehmer zuerst stellen, und die Antwort überrascht oft. Betroffen sind Unternehmen aus 18 festgelegten Sektoren, darunter Energie, Verkehr und Logistik, Gesundheitswesen, Finanz- und Versicherungsdienstleistungen, IT und Telekommunikation, Maschinenbau, Lebensmittelproduktion, Pharma und Chemie sowie digitale Dienste.
Entscheidend sind dabei zwei Schwellenwerte: Ab 50 Mitarbeitenden oder einem Jahresumsatz von 10 Millionen Euro in einem der genannten Sektoren kann NIS-2 bereits gelten. Bei größeren Unternehmen ab 250 Mitarbeitenden oder 50 Millionen Euro Umsatz sind die Anforderungen noch strenger.
Wichtig: Wer Teil einer Unternehmensgruppe ist, sollte auch die konsolidierten Zahlen des Konzerns prüfen. Tochtergesellschaften, die allein unter den Schwellenwerten liegen, können über die Konzernklausel trotzdem betroffen sein.
Und selbst wer nicht direkt unter NIS-2 fällt, sollte aufmerksam sein. Viele Auftraggeber und Geschäftspartner sind NIS-2-pflichtig und geben diese Anforderungen zunehmend an ihre Lieferanten und Dienstleister weiter.
Was verlangt NIS-2 konkret?
Die Richtlinie schreibt eine Reihe von Maßnahmen vor, die Unternehmen umsetzen und nachweisen müssen. Dazu gehören unter anderem:
Besonders wichtig für die Praxis: NIS-2 verlangt auch den Nachweis, dass Mitarbeitende regelmäßig im Bereich Cybersicherheit geschult wurden. Es reicht nicht aus, eine Schulung einmalig durchzuführen. Auditoren und Versicherer prüfen zunehmend, ob die Maßnahmen dokumentiert, aktuell und wiederholbar sind.
Was passiert, wenn man nichts tut?
Die Konsequenzen sind empfindlich. Für wichtige Einrichtungen sind Busgelder von bis zu 7 Millionen Euro möglich, für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Was viele noch nicht wissen: Seit Dezember 2025 haften Geschäftsführer persönlich, wenn im Unternehmen ein Cybervorfall passiert und nachweislich keine ausreichenden Maßnahmen getroffen wurden. Das ist keine abstrakte Drohung, das steht im Gesetz.
Wie hilft MindRefined dabei?
Einer der konkreten Nachweise, den NIS-2 fordert, ist die dokumentierte Schulung von Mitarbeitenden im Bereich Cybersicherheit. Genau dabei helfen wir.
Unsere Security Awareness Schulung ist ein hochwertiges E-Learning-Programm im flexiblen Abomodell. Alle Lernfortschritte und Zertifikate werden automatisch dokumentiert, sodass du jederzeit einen rechtssicheren Nachweis hast. Die Inhalte werden jährlich aktualisiert und decken alle relevanten Themen ab: von Phishing und Passwortsicherheit über Social Engineering bis hin zum richtigen Verhalten im Ernstfall.
Das Programm ist vollständig DSGVO- und ISO-27001-konform und lässt sich ohne administrativen Aufwand in deinen Arbeitsalltag integrieren. Dein Team wird automatisch an fällige Auffrischungen erinnert, Zertifikate werden automatisch erstellt und du behältst über ein zentrales Dashboard jederzeit den Überblick.
Hier erfährst du mehr über die Security Awareness Schulung
Fazit
NIS-2 ist kein IT-Thema, das du an die Technik delegieren kannst. Es ist Chefsache. Wer jetzt handelt, schützt nicht nur sein Unternehmen, sondern auch sich selbst.
Wenn du wissen möchtest, ob dein Unternehmen betroffen ist und wie du die Anforderungen konkret erfüllst, sprich uns gerne an. Wir begleiten dich Schritt für Schritt.
