IS2-Richtlinie ab 2025: Cyberschutz-Verpflichtung für Unternehmen in Hamburg und Schleswig-Holstein

NIS2 Richtlinie Hamburg Schleswig-Holstein:
Was 2025 das neue Cyber-Schutz-Pflichten für Unternehmen bringt.
Cyber‑Sicherheitsgesetz 2025 – Was Unternehmen jetzt wissen müssen

Die digitale Bedrohungslandschaft verändert sich rasant, und mit ihr die gesetzlichen Anforderungen an die Cybersicherheit. Die Bundesregierung will die NIS2-Richtlinie der EU für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen in Deutschland bis Anfang 2026 gesetzlich verankern, wie BSI-Präsidentin Claudia Plattner der Deutschen Presse-Agentur mitteilte.

Die Zeit des Abwartens ist vorbei: Unternehmen in Hamburg und Schleswig-Holstein müssen sich jetzt auf weitreichende Cybersicherheits-Verpflichtungen vorbereiten, die ihre IT-Infrastruktur, Geschäftsprozesse und sogar die persönliche Haftung der Geschäftsführung betreffen.

Sind Sie betroffen? Die kritischen Schwellenwerte der NIS2 Umsetzung

Die NIS2-Richtlinie wird das bisherige System der kritischen Infrastrukturen (KRITIS) erheblich erweitern. Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach der NIS-2-Richtlinie „wesentliche“ (essential) und „wichtige“ Einrichtungen (important entities) ergeben sich erstmals gesetzliche Pflichten.

Größenkriterien: Wann Ihr Unternehmen reguliert wird

Welche Unternehmen die NIS-2-Vorgaben erfüllen müssen, richtet sich nach der Unternehmensgröße und dem Umsatz. Unterschieden werden dabei mittlere und große Unternehmen:

Mittlere Unternehmen – 50 bis 250 Mitarbeiter, 10 bis 50 Millionen EUR Umsatz, Bilanzsumme kleiner als 43 Millionen EUR

Große Unternehmen – mehr als 250 Mitarbeiter, mehr als 50 Millionen EUR Umsatz, Bilanzsumme größer als 43 Millionen EUR

Betroffene Sektoren: Von Energie bis Lebensmittelproduktion

Die NIS2-Richtlinie erfasst 18 kritische Sektoren, darunter:

• Energie: Stromversorgung, Gasverteilung, Ladestationen für Elektromobilität
• Transport und Verkehr: Besonders relevant für Hamburg als Hafenstadt
• Lebensmittelproduktion und -verteilung
• Trinkwasser- und Abwasserentsorgung
• Gesundheitswesen
• Telekommunikation und digitale Dienste
• Finanz- und Versicherungswesen
• Siedlungsabfallentsorgung

Der BSI-Entscheidungsbaum: Ihr Weg zur Betroffenheitsprüfung

Die NIS-2-Betroffenheitsprüfung stellt Ihnen konkrete, an der Richtlinie orientierte Fragen, um Ihr Unternehmen einzuordnen. Die Fragen sind kurz und präzise gehalten und werden bei Bedarf im Kleingeschriebenen tiefergehend erläutert. Nachdem Sie den Fragenkatalog durchlaufen haben, erhalten Sie ein auf Ihren Angaben basierendes Ergebnis.

Wichtiger Hinweis: Das BSI speichert keine personenbezogenen Daten der Webseitenbesucher bei der Nutzung des Entscheidungsbaums. Sie können die Prüfung anonym durchführen.

So funktioniert die BSI-Betroffenheitsprüfung:

1. Sektor-Zuordnung: Bestimmen Sie, in welchem der 18 Sektoren Ihr Unternehmen tätig ist
2. Größenprüfung: Überprüfen Sie Mitarbeiterzahl, Umsatz und Bilanzsumme
3. Automatisierte Auswertung: Das System gibt eine erste Einschätzung Ihrer Betroffenheit

Aktuelle Entwicklungen: Verzögerungen bei der deutschen Umsetzung

Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Ein NIS-2-Umsetzungsgesetz ist noch nicht erlassen, ein Termin kann heute noch nicht genannt werden.

Die ursprüngliche EU-Frist lief bereits am 17. Oktober 2024 ab. Deutschland gehört zu den EU-Mitgliedstaaten, die diese Frist versäumt haben. „Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert“, mahnt die BSI-Präsidentin.

Was Unternehmen in Hamburg und Schleswig-Holstein jetzt tun müssen

1. Sofortige Betroffenheitsprüfung

Nutzen Sie die kostenlose BSI-Betroffenheitsprüfung unter: https://www.bsi.bund.de/nis2-betroffenheitspruefung

2. Risikomanagement etablieren

Bereiten Sie sich als Unternehmensleitung darauf vor, Verantwortung im Bereich Risikomanagement übernehmen zu können und informieren Sie sich über entsprechende Schulungsangebote.

Kernelemente des künftigen Risikomanagements:

• Risikoanalyse und -bewertung
• Incident Response Pläne
• Business Continuity Management
• Supply Chain Security
• Backup- und Recovery-Strategien

3. Cybersicherheits-Verantwortliche benennen

Suchen, benennen und befähigen Sie mindestens zwei Personen Ihres Unternehmens, eine koordinierende Rolle für die Informationssicherheit zu übernehmen.

4. Meldeprozesse vorbereiten

Eine Meldepflicht für Sicherheitsvorfälle wird kommen. Legen Sie daher schon heute die Grundlagen dafür, einen Vorfall unverzüglich melden zu können. Legen Sie Prozesse und Rollen fest, damit es im Fall der Fälle dann schnell gehen kann.

Besondere Herausforderungen für die Metropolregion Hamburg

Hafenwirtschaft und Logistik

Hamburg als drittgrößter Hafen Europas steht vor besonderen Herausforderungen. Die Hafenwirtschaft, Logistikunternehmen und Verkehrsbetriebe fallen unter mehrere NIS2-Sektoren:

• Transport und Verkehr: Hafenbetrieb, Schifffahrt, Bahnverkehr
• Energie: Stromversorgung für Hafenanlagen, Ladestationen
• Telekommunikation: Digitale Hafenlogistik, Verkehrsleitsysteme

Maritime Infrastruktur Schleswig-Holstein

Die Küstenregion Schleswig-Holstein mit ihren Windparks, Fährbetrieben und maritimen Dienstleistern ist besonders betroffen:

• Offshore-Windenergie: Kritische Energieinfrastruktur
• Fährverbindungen: Transport zu den Inseln
• Fischerei und Aquakultur: Lebensmittelproduktion

Sanktionen und Haftungsrisiken: Was Geschäftsführer wissen müssen

Empfindliche Bußgelder

Sanktionen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, wobei der höhere Betrag maßgeblich ist. Bei wichtigen Einrichtungen belaufen sich die Bußgelder auf bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes.

Persönliche Haftung der Geschäftsführung

Achtung: Gem. des Entwurfs des Bundesinnenministeriums werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit Ihrem Privatvermögen haften. Die Obergrenze für diese Haftung entspricht 2 % des globalen Jahresumsatzes des Unternehmens.

Kostenschätzung für mittelständische Unternehmen

Für alle 30.000 betroffenen Unternehmen berechnet der Entwurf Aufwände: 2,2 Mrd. EUR einmalige Kosten und 2,3 Mrd. EUR jährliche Kosten.

Das entspricht für ein durchschnittliches mittelständisches Unternehmen:

• Einmalige Implementierungskosten: 70.000 – 150.000 €
• Jährliche Betriebskosten: 75.000 – 120.000 €

Aktuelle Bedrohungslage: Warum NIS2 notwendig ist

Aktuell beobachtet das BSI nach eigenen Angaben viele Lieferketten-Angriffe. Dabei geht es etwa um Ingenieursbüros oder IT-Firmen, bei denen sich hinterher oft herausstellt, dass nicht der Dienstleister das eigentliche Angriffsziel war, sondern Firmen oder Institutionen, die ihre Kunden sind.

Hybride Bedrohungen

„Es gibt da unheilige Allianzen zwischen finanziell motivierten und politischen Akteuren“, berichtet die BSI-Präsidentin. Diese Entwicklung macht deutlich, warum strengere Cybersicherheitsstandards unerlässlich sind.

BSI-Unterstützung für betroffene Unternehmen

Wer eine gute IT-Abteilung habe und sich auch jetzt schon um Cybersicherheit kümmere, werde die Herausforderungen häufig auch „mit Bordmitteln“ bewältigen können. Bei denjenigen, die sich noch nie um das Thema gekümmert hätten, werde dagegen „die Lernkurve deutlich steiler sein“.

Verfügbare Hilfsangebote:

• Kostenlose BSI-Betroffenheitsprüfung
• Technische Richtlinien und Standards
• Schulungsangebote und Webinare
• Allianz für Cyber-Sicherheit (kostenlose Mitgliedschaft)

Handlungsempfehlungen für Unternehmen in Hamburg und Schleswig-Holstein

Sofortmaßnahmen (nächste 4 Wochen):

1. Betroffenheitsprüfung durchführen
2. Ist-Analyse der aktuellen IT-Sicherheit
3. Verantwortliche Person für NIS2-Compliance benennen
4. Budget für Implementierung planen

Mittelfristige Maßnahmen (nächste 6 Monate):

1. Risikomanagement-Framework entwickeln
2. Incident Response Prozesse etablieren
3. Mitarbeiterschulungen zur Cybersicherheit
4. Lieferantenbewertung und Supply Chain Security

Langfristige Vorbereitung (bis Inkrafttreten):

1. Vollständige Umsetzung der technischen Maßnahmen
2. Dokumentation und Nachweisführung
3. Registrierung beim BSI vorbereiten
4. Kontinuierliche Überwachung und Verbesserung

Fazit: Jetzt handeln, später profitieren

Die NIS2-Richtlinie stellt Unternehmen vor erhebliche Herausforderungen, bietet aber auch die Chance, die eigene Cyber-Resilienz nachhaltig zu stärken. Unternehmen sollten sich vor allem auf die NIS-2-Regulierung vorbereiten, indem sie ihre Informationssicherheit verbessern und konkrete technisch-organisatorische Maßnahmen umsetzen.

Die wichtigste Botschaft: Warten Sie nicht auf das finale Gesetz. Die Anforderungen der NIS2-Richtlinie sind bereits bekannt, und eine frühzeitige Vorbereitung schützt nicht nur vor Sanktionen, sondern macht Ihr Unternehmen widerstandsfähiger gegen die wachsenden Cyber-Bedrohungen.

Kontakt für NIS2-Beratung in Hamburg und Schleswig-Holstein

Sie sind unsicher, ob und wie NIS2 Ihr Unternehmen betrifft? Als erfahrene IT-Sicherheitsexperten in der Metropolregion Hamburg unterstützen wir Sie bei:

• Kostenloser Erstberatung zur NIS2-Betroffenheit
• Gap-Analyse Ihrer aktuellen IT-Sicherheit
• Entwicklung eines NIS2-konformen Risikomanagements
• Implementierung der erforderlichen technischen Maßnahmen

Vereinbaren Sie noch heute einen unverbindlichen Beratungstermin und sichern Sie sich einen Vorsprung bei der NIS2-Umsetzung.

Dieser Artikel wurde mit Informationen des BSI und aktuellen Entwicklungen zum NIS2UmsuCG erstellt. Stand: Juli 2025. Für rechtliche Beratung wenden Sie sich an entsprechende Fachanwälte.