Expertise
B2B Change & Intern Digital Dialogkampagne Food Kliniken Akzeptanzdialog Krise Nachhaltigkeit Public Affairs Verbände
Branchen
Energie & Akzeptanzdialog Kliniken Handel, Finanzen & Dienstleistungen Industrie & Investitionsgüter Nahrungsmittel & FMCG Öffentliche Auftraggeber & Verbände
Cases
Agentur
Über uns Team Nachhaltigkeit Netzwerk Unsere Kunden Kontakt
Insights
Blog Termine Whitepaper Presse
Jobs
de
en
Kontakt
Home Insights Blog NIS-2-Richtlinie umgesetzt

NIS-2-Richtlinie umgesetzt

Peter Jordan
08. Dezember 2025
Krisenkommunikation

Inhalt

Pflicht zur Cybersicherheit – mit Kommunikation als zentraler Aufgabe
Mittelständische Unternehmen im Fokus
Was sollten mittelständische Unternehmen jetzt tun?
Fokus auf aktive Information
Fazit: Sicherheit als Chance begreifen
Blick auf einige Branchen

Pflicht zur Cybersicherheit – mit Kommunikation als zentraler Aufgabe

Keine Frage, die Gefahren im Cyberraum wachsen stetig. Eine Antwort darauf ist NIS-2-Richtlinie der Europäischen Union, die Cybersicherheit für Unternehmen und Behörden auf ein neues Niveau heben soll. Überführt in nationales Recht hat der Bundestag diese Richtlinie nun verabschiedet, die bald in Kraft treten soll. Doch was bedeutet die NIS-2-Richtlinie konkret für mittelständische Unternehmen?

Mittelständische Unternehmen im Fokus

Die Richtlinie betrifft einen größeren Kreis von Unternehmen – darunter explizit auch viele mittelständische Unternehmen. Wer in bestimmten Sektoren wie Energie, Transport, Gesundheit, Wasser, Finanzwesen, digitale Infrastruktur oder anderen kritischen Bereichen tätig ist, muss sich jetzt mit den neuen Vorgaben auseinandersetzen. Schätzungsweise sind dies rund 30.000 Unternehmen in Deutschland. Das bedeutet: Für viele Mittelständler, die bislang nicht unter besondere Cybersicherheitsregeln fielen, ist die NIS-2-Richtlinie ein Gamechanger.

Und es wird Zeit, denn der Mittelstand ist ein attraktives Ziel, steht er doch für einen Großteil der Wirtschaft und ist häufig noch zu unzureichend aufgestellt bei IT-Sicherheit. Zudem sind auch kleinere Unternehmen über Lieferketten gut verflechtet und so ist der Schaden schnell größer bei geringem Aufwand für den Angreifer.

Diese Zusammenhänge sind der Hintergrund für die Richtlinie. Es gilt, die digitale Resilienz insgesamt zu stärken, insbesondere von kritischen Infrastrukturen. Neben dezidierten Dokumentations-, Melde und Registrierungspflichten und der Optimierung der IT-Sicherheitsmaßnahmen geht es vor allem darum, dass die Unternehmen ein umfangreiches Risikomanagement etablieren. Und Teil davon ist eine begleitende Kommunikationsstrategie.

Was sollten mittelständische Unternehmen jetzt tun?

Für den Mittelstand bedeutet die NIS-2-Richtlinie vor allem eines: endlich zu handeln. Wer frühzeitig die eigenen IT-Systeme und Prozesse überprüft und anpasst, minimiert Risiken und stärkt die eigene Wettbewerbsfähigkeit. Folgende Schritte sind nötig:

  1. Bestandsaufnahme: Prüfen Sie, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt und welche Vorgaben relevant sind.
  2. IT-Sicherheitskonzept erstellen: Entwickeln Sie ein umfassendes Konzept, das technische und organisatorische Maßnahmen beinhaltet.
  3. Schulungen durchführen: Sensibilisieren Sie Ihre Mitarbeitenden für Sicherheitsrisiken und Meldepflichten. Ihre Geschäftsführer sind verpflichtet, regelmäßige Cybersicherheitsschulungen zu absolvieren.
  4. Lieferantenmanagement: Überprüfen Sie die IT-Sicherheit Ihrer Dienstleister und Zulieferer.
  5. Notfallpläne ausarbeiten: Stellen Sie sicher, dass Sie bei Sicherheitsvorfällen schnell und effektiv reagieren können und alle Verantwortlichkeiten geklärt sind.

Fokus auf aktive Information

Ein Kern des Risikomanagements und explizit gefordert von der europäischen Richtlinie ist auch eine umfassende Informationsstrategie gegenüber Dritten. Konkret bedeutet dies: Kommt es zu einem gravierenden Cyberangriff oder einer anderen erheblichen Störung der IT-Sicherheit, müssen Unternehmen – abhängig vom Ausmaß und den möglichen Auswirkungen des Vorfalls – auch ihre Kunden und Mitarbeitenden informieren.

Dies dient mehreren Zwecken: Zum einen soll betroffenen Personen ermöglicht werden, selbst geeignete Schutzmaßnahmen zu ergreifen, beispielsweise indem Passwörter geändert oder Vorsicht bei verdächtigen Nachrichten gewahrt wird. Zum anderen schafft Transparenz Vertrauen, denn die Stakeholder erwarten von Unternehmen, dass sie verantwortungsvoll mit digitalen Risiken umgehen und die Sicherheit ihrer Daten gewährleisten.

In der Praxis bedeutet dies, dass Unternehmen klare interne Prozesse definieren sollten: Wer ist im Ernstfall verantwortlich für die Kommunikation nach außen? Welche Informationen müssen wie schnell bereitgestellt werden? Wie wird sichergestellt, dass alle relevanten Gruppen schnell und verständlich informiert werden? Vorlagen für Informationsschreiben und Krisenkommunikation sollten vorbereitet und regelmäßig überprüft werden.

Nicht zuletzt ist es ratsam, diese Informationspflichten in die unternehmensweite IT-Sicherheitsstrategie zu integrieren und Mitarbeitende durch regelmäßige Schulungen auf mögliche Szenarien vorzubereiten. Eine offene, proaktive Kommunikation im Ernstfall kann helfen, das Vertrauen in die Organisation zu stärken – und ist ein wesentlicher Baustein, um den Anforderungen der NIS-2-Richtlinie gerecht zu werden.

Fazit: Sicherheit als Chance begreifen

Die NIS-2-Richtlinie ist ein wichtiger Schritt, um Europas digitale Infrastruktur gegen die wachsenden Gefahren im Cyberraum zu schützen. Für mittelständische Unternehmen bedeutet sie neue Pflichten – aber auch die Chance, sich zukunftssicher aufzustellen. So gilt es, Cybersicherheit nicht nur als ein IT-Thema zu verstehen, sondern als strategische Aufgabe in einem wirtschaftlichen Umfeld, das zunehmend von Meta-Krisen gekennzeichnet ist. Wer frühzeitig handelt und sich gut aufstellt, minimiert Risiken, stärkt das Vertrauen von Kunden und Partnern – und erfüllt nebenbei die neuen gesetzlichen Anforderungen.

Blick auf einige Branchen

Der Gesetzgeber hat für die Definition von Unternehmen und Institutionen der kritischen Infrastruktur auch konkrete Branchen genannt, zu ihnen gehören u.a. Kliniken und die Energieversorger in der Kategorisierung „Wesentliche Einrichtungen“ und zur Kategorie „Wichtige Einrichtungen“ etwa die Ernährungsbranche.

Kliniken

Kliniken gehören zu den kritischen Infrastrukturen, da sie eine zentrale Rolle für die Gesundheitsversorgung und das öffentliche Leben spielen. Ein Ausfall oder eine Beeinträchtigung ihrer IT-Systeme kann gravierende Folgen für die Patientenversorgung und das gesamte Gesundheitssystem haben. Die NIS-2-Richtlinie nimmt deshalb Kliniken besonders in den Fokus, um sicherzustellen, dass sie ihre digitalen Systeme vor Cyberangriffen und technischen Störungen schützen und im Ernstfall handlungsfähig bleiben.

Hinzu kommt, dass Kliniken mit sensiblen personenbezogenen Daten arbeiten, deren Schutz besondere technische und organisatorische Maßnahmen erfordert. So soll verhindert werden, dass Cyberkriminelle Zugang zu vertraulichen Informationen erhalten oder die Funktionsfähigkeit von Behandlungseinrichtungen gefährden. Auch hier gilt, betroffene Patienten, Mitarbeitende und gegebenenfalls Partnerunternehmen zeitnah und transparent zu informieren. Die frühzeitige und klare Information ist somit ein zentraler Bestandteil der Resilienz und der Erfüllung der regulatorischen Anforderungen der NIS-2-Richtlinie.

Energieversorger

Energieversorger zählen zu den „wesentlichen Einrichtungen“, da ein Ausfall oder eine Beeinträchtigung ihrer IT-Systeme unmittelbare und weitreichende Folgen für Wirtschaft, Gesellschaft und das tägliche Leben hätte – von der Strom- und Gasversorgung bis hin zur Funktionsfähigkeit anderer systemrelevanter Bereiche wie Transport, Gesundheit und Kommunikation. Die Richtlinie legt deshalb besonderes Augenmerk darauf, dass Energieversorger durch geeignete technische und organisatorische Maßnahmen ihre Systeme gegen Cyberangriffe und technische Störungen schützen, um die Versorgungssicherheit jederzeit zu gewährleisten.

Gerade die weitreichenden Folgen eines Energieausfalls machen es besonders wichtig, über die Situation zu informieren. Nur so lassen sich Schäden begrenzen und Verbraucher können ggf. auf alternative Versorgungswege und -lösungen zurückgreifen. Eine offene Kommunikation trägt dazu bei, Unsicherheiten zu reduzieren, koordiniertes Handeln zu ermöglichen und das öffentliche Interesse zu schützen.

Lebensmittelbranche

Lebensmittelproduzenten, -verarbeiter und -händler sind zentrale Akteure in der Lieferkette und gewährleisten, dass Nahrungsmittel jederzeit verfügbar sind. Ein Ausfall oder eine Störung dieser Systeme – etwa durch Cyberangriffe auf Produktionsanlagen, Lager oder Logistik – könnte weitreichende Folgen für die öffentliche Versorgung und Gesundheit haben. Die kontinuierliche Verfügbarkeit sicherer Lebensmittel ist eine gesellschaftliche Grundvoraussetzung, um im Krisenfall agieren zu können.

Darüber hinaus verarbeitet die Lebensmittelbranche häufig sensible Daten, beispielsweise bei der Rückverfolgbarkeit von Produkten oder im Zusammenhang mit Kundendaten in digitalen Bestellsystemen. Die NIS-2-Richtlinie verlangt deshalb von Unternehmen in diesem Sektor, besondere technische und organisatorische Maßnahmen zu ergreifen, um sowohl die IT-Systeme als auch die Datenintegrität zu schützen. So soll verhindert werden, dass Angriffe nicht nur die Versorgung gefährden, sondern auch Vertrauen und Sicherheit der Verbraucher beeinträchtigen. Als zentraler Wert gilt hier besonders, durch offene Kommunikation die Grundlage für das Vertrauen in Lebensmittel- und Versorgungssicherheit auch im Krisenfall zu sichern.

Das könnte Sie auch interessieren

Krisenkommunikation
Blog
Cyberkrise: Bezahlen oder nicht bezahlen?
Krisenkommunikation
Blog
Sabotage – die neue Dimension der Krise und wie man sich schützen kann
Artikel weiterempfehlen
Mehr zu unseren Expertisen erfahren
Agentur für Dialogkampagne
Agentur für LinkedIn Kommunikation
B2B Kommunikation
Change-Kommunikation
Digitale Kommunikation
Food-Kommunikation
Klinikkommunikation
Krisenkommunikation
Nachhaltigkeitskommunikation
Politische Kommunikation
Akzeptanzdialog
Verbandskommunikation