Thought Leadership
Die Bundesregierung hat die Umsetzung von NIS2 beschlossen. Ab Anfang 2026 treten die neuen Vorschriften in Kraft, die für Unternehmen weitreichende Auswirkungen haben werden.
Cybersicherheit rückt damit auf der Prioritätenliste vieler Organisationen deutlich nach oben. Das IT-Sicherheitsunternehmen Obrela zeigt, welche Branchen besonders betroffen sind und worauf Unternehmen achten müssen.
Erweiterter Geltungsbereich trifft 30.000 Unternehmen
Eine zentrale Neuerung von NIS2 ist der deutlich erweiterte Geltungsbereich. Neben klassischen KRITIS-Betreibern fallen nun auch Industrie-, Technologie- und Dienstleistungsunternehmen unter die Richtlinie. Insgesamt betrifft das rund 30.000 Organisationen in Deutschland.
NIS2 unterscheidet zwischen „wesentlichen“ Einrichtungen, deren Ausfall die öffentliche Versorgung unmittelbar gefährden würde, und „wichtigen“ Unternehmen, deren Ausfall kritisch, aber nicht sofort versorgungsrelevant ist. Dazu zählen beispielsweise Maschinenbauer, Medizintechnikunternehmen, Elektronikhersteller oder Lebensmittelproduzenten.
Branchen mit besonders hohem Umsetzungsdruck
Die praktische Umsetzung zeigt: Fünf Sektoren stehen vor besonders großen Herausforderungen. Grund sind komplexe Strukturen, zahlreiche Dienstleisterketten und hohe operative Kritikalität.
Energieversorgung
Die Digitalisierung der Energieversorgung schafft neue Angriffsflächen. Smart-Meter, automatisierte Laststeuerung und digitale Netzleittechnik treffen auf veraltete OT-Anlagen. Kleine Stadtwerke stehen vor der Aufgabe, verteilte Netze zu überwachen und Bedrohungen frühzeitig zu erkennen – oft mit begrenzten Budgets und Personal.
Gesundheitswesen
Krankenhäuser und medizinische Einrichtungen sind besonders anfällig für Ransomware-Angriffe. Shared Devices, veraltete Medizingeräte und unkontrollierte Zugriffe erhöhen das Risiko. NIS2 verlangt hier vor allem Transparenz über MedTech-Geräte und strikte Kontrolle privilegierter Zugänge, auch von Herstellern.
Industrielle Produktion
Im Maschinen- und Anlagenbau treffen jahrzehntealte OT-Systeme auf moderne IIoT-Sensorik, MES- und ERP-Systeme. Angreifer nutzen häufig Schwachstellen in der Lieferkette. NIS2 setzt deshalb einen Schwerpunkt auf Kontrolle externer Dienstleister und sichere Remote-Zugriffe.
Finanzsektor
Banken, Zahlungsdienste und Finanzinfrastrukturen sind besonders lukrative Ziele. Die Branche steht unter hohem Druck, privilegierte Zugänge zu sichern, Dienstleister zu auditieren und Zahlungsströme in Echtzeit zu überwachen. 32 Prozent der Angriffe sind sektorspezifisch auf Finanzsysteme zugeschnitten.
Transport
Der Transportsektor umfasst Luftfahrt, Eisenbahn, Straßen- und Schiffsverkehr. Hier erschwert die Kombination aus regulierten Alt-Systemen und zahlreichen externen Schnittstellen die Umsetzung von NIS2. Leit- und Dispositionssoftware sowie Cargo-Systeme erfordern präzise Koordination und Dokumentation bei Updates.
NIS2 ist vor allem ein Ressourcenproblem
„Viele Organisationen scheitern nicht an der Technik, sondern an fehlender Transparenz, begrenzten Teams und der Vielzahl an Schnittstellen“, erklärt Stefan Bange, Managing Director Germany bei Obrela. NIS2 verlangt durchgängiges Monitoring und schnelle Reaktionsfähigkeit – Anforderungen, die viele Unternehmen nur mit externen Partnern rund um die Uhr erfüllen können.
Security-as-a-Service-Modelle wie Managed Detection and Response oder Managed Risk and Controls bieten eine realistische Entlastung. Externe Anbieter übernehmen zentrale Sicherheitsaufgaben, pflegen Richtlinien und bewerten neue Schwachstellen. So entstehen klare Verantwortlichkeiten, lückenlose Übersicht über Risiken und eine kontinuierliche Reaktionsfähigkeit, die die Anforderungen von NIS2 abdecken.
