Logo Gepardec IT Services GmbH
Kontakt

Die NIS2-Richtlinie: Umsetzung und Auswirkungen auf Unternehmen mit Individualsoftware

Die NIS2-Richtlinie (EU) 2022/2555 ist die neue europäische Cybersicherheitsvorgabe, die Unternehmen verpflichtet, stärkere Sicherheitsmaßnahmen für ihre Netz- und Informationssysteme umzusetzen. Gerade für Unternehmen, die Individualsoftware entwickeln oder nutzen, ergeben sich hier spezielle Herausforderungen hinsichtlich der NIS2 Anforderungen und der sicheren Software Lieferkette.

Zielgruppe:

C-Level, CISOs, CTOs und technische Leiter:innen in Unternehmen, die Individualsoftware nutzen oder selbst entwickeln.

Warum ist das wichtig?

Ab Oktober 2024 (lt. EU) müssen betroffene Unternehmen konkrete Sicherheitsmaßnahmen umsetzen, um hohe Bußgelder zu vermeiden und ihre Cyber-Resilienz zu stärken. Dies gilt insbesondere auch für die sichere Entwicklung und den Betrieb von Individualsoftware im Kontext von NIS2, wobei Aspekte wie Dependency Management und die Transparenz durch eine Software Bill of Materials (SBOM) eine wichtige Rolle spielen.

NIS2 Logo

Wer muss NIS2 umsetzen?

NIS2 betrifft alle Unternehmen, die:

  • Mehr als 50 Mitarbeiter oder über 10 Mio. € Umsatz haben
  • Kritische oder wichtige IT-Dienstleistungen erbringen
  • Individualsoftware entwickeln oder nutzen, wenn sie in einer NIS2-pflichtigen Branche tätig sind

 

Betroffene Sektoren

  • IT-Dienstleister & Softwareentwickler (auch Anbieter von Individualsoftware müssen die NIS2 Richtlinien erfüllen)
  • Cloud-Computing & Rechenzentren
  • Banken, Versicherungen & Fintechs
  • Gesundheitswesen & MedTech-Unternehmen
  • Produzierende Unternehmen mit vernetzten IT-Systemen

 

Wer ist ausgenommen?

Unternehmen, die weniger als 50 Mitarbeiter haben und keine kritischen digitalen Services bereitstellen, sind nicht direkt betroffen – es sei denn, sie sind ein wesentlicher Teil der Lieferkette eines NIS2-pflichtigen Unternehmens.

Die 10 wichtigsten Maßnahmen zur NIS2-Compliance für Individualsoftware und sichere Software Lieferketten

Die „Implementation Guidance on Security Measures“ (2) gibt konkrete Vorgaben für Unternehmen. Hier sind die wichtigsten Maßnahmen, die du in deinem Unternehmen umsetzen musst, speziell im Hinblick auf die Sicherheit von Individualsoftware und die Integrität der Software Lieferkette:

 

1. Sicheres Software Development Lifecycle (SDLC)

  • Sichere Entwicklung von Individualsoftware nach Standards wie OWASP SAMM (6), ISO 27034 oder NIST SSDF (5). Integriere Automated Code Refactoring und Code Migration Frameworks für mehr Sicherheit.
  • Code-Reviews, Penetrationstests und Bedrohungsanalysen in den Entwicklungsprozess von Individualsoftware integrieren.
  • Regelmäßige Sicherheitsupdates und Patching-Prozesse für Individualsoftware sicherstellen, inklusive eines effektiven Dependency Update Managements.

 

2. Schwachstellenmanagement & Patch-Management

  • Zentrale Patch-Strategie für deine Individualsoftware.
    Solltest du die Software nicht selbst entwickeln, bist du dennoch für deine Zulieferer verantwortlich. Achte auf sichere Update-Mechanismen bei extern bezogener Individualsoftware und fordere idealerweise eine SBOM (Software Bill of Materials) an.
  • Regelmäßige Sicherheits-Scans und automatisierte Update-Prozesse
  • Kritische Sicherheitslücken innerhalb von 24 Stunden schließen

 

3. Sicherheitsüberwachung & Incident Response

  • Security Operations Center (SOC) oder Managed Detection & Response (MDR) nutzen, um Sicherheitsvorfälle im Zusammenhang mit deiner Individualsoftware zu erkennen und zu behandeln.
  • Meldepflicht: Sicherheitsvorfälle innerhalb von 24 bis 72 Stunden an Behörden melden
  • Forensische Analysen durchführen und Schwachstellen nachhaltig schließen

 

4. Identitäts- & Zugriffsmanagement (IAM & Zero Trust)

  • Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge
  • Zero-Trust-Strategie einführen: Prinzip der minimalen Rechtevergabe
  • Sichere API-Authentifizierung und OAuth2.0 / OpenID Connect verwenden

 

5. Lieferketten-Sicherheit (Supply Chain Risk Management)

  • Sicherheitsanforderungen an Drittanbieter definieren
  • Verträge mit Sicherheitsstandards (ISO 27001, NIST 800-53) absichern
  • Regelmäßige Audits und Risikoanalysen für Zulieferer durchführen

 

6. Sichere Cloud- & SaaS-Nutzung

  • Cloud Security Posture Management (CSPM) einsetzen, wenn deine Individualsoftware in der Cloud gehostet wird oder Cloud-Dienste nutzt.
  • Datenverschlüsselung in der Cloud und Zugriffskontrollen implementieren
  • Zero-Knowledge-Architektur für vertrauliche Daten nutzen

 

7. Betriebskontinuität & Notfallplanung (BCM & DRP)

  • Business Continuity Management (BCM) und Disaster Recovery Plan (DRP) regelmäßig testen
  • Redundante Systeme und Backup-Strategien gemäß 3-2-1-Regel umsetzen
  • Sicherstellen, dass Individualsoftware auch bei Cyberangriffen betriebsfähig bleibt

 

8. Sensibilisierung & Cybersecurity-Trainings für Mitarbeiter:innen

  • Regelmäßige Schulungen zu Phishing und Social Engineering
  • Awareness-Programme für Entwickler:innen, Admins und Führungskräfte
  • Live-Hacking-Demos und Tabletop-Exercises für Incident Response

 

9. Logging & Monitoring gemäß SIEM-Standards

  • Security Information & Event Management (SIEM) für zentralisierte Logs nutzen
  • Echtzeitüberwachung von Anomalien und Angriffsmustern sicherstellen
  • Retention Policy für Logs: Mindestens sechs Monate

 

10. Datenschutz & Compliance mit DSGVO & NIS2

  • End-to-End-Verschlüsselung (E2EE) und Pseudonymisierung von Daten
  • NIS2-konformes Datenschutzkonzept gemäß Art. 32 DSGVO umsetzen
  • Zusammenarbeit mit Datenschutzbehörden bei Cybervorfällen sicherstellen

Wer haftet bei NIS2-Verstößen?

Unternehmen

Unternehmen sind direkt haftbar, wenn sie:

  • Unzureichende Cybersicherheitsmaßnahmen haben
  • Sicherheitsvorfälle nicht rechtzeitig melden
  • Pflichten zur Risikobewertung oder Lieferkettensicherheit vernachlässigen

 

Mögliche Konsequenzen:

  • Wesentliche Unternehmen: Bis zu 10 Mio. € oder 2 % des Jahresumsatzes
  • Wichtige Unternehmen: Bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes

Regulatorische Sanktionen (z. B. Betriebsbeschränkungen, Lizenzentzug)

 

Geschäftsführung & C-Level-Verantwortliche

Führungskräfte haften persönlich, wenn sie ihre Pflichten zur Cybersicherheit vernachlässigen.
Dazu gehören:

  • Fehlende Überwachung und Steuerung der Sicherheitsstrategie
  • Ignorieren von bekannten Sicherheitsrisiken
  • Unzureichende Reaktion auf Vorfälle

Mögliche Konsequenzen:

  • Persönliche Geldbußen
  • Temporäres Berufsverbot für IT- und Sicherheitsverantwortliche
  • Zivil- und strafrechtliche Verfahren in besonders schweren Fällen

 

IT-Dienstleister & Lieferanten

Externe Dienstleister haften mit, wenn sie:

  • Sicherheitslücken in ausgelagerter IT-Infrastruktur verursachen
  • Vertragliche Sicherheitsanforderungen nicht einhalten

Unternehmen müssen daher in Verträgen mit Lieferanten klare Sicherheitskriterien (ISO 27001, NIST 800-53) festlegen.

Wie kann dein Unternehmen Haftungsrisiken minimieren?

  • Nachweisbare Cybersicherheitsstrategie auf Basis von NIS2 Richtlinien
  • Regelmäßige Sicherheitsüberprüfungen & Audits, einschließlich Software Composition Analysis.
  •  Klare Verantwortlichkeiten für IT-Sicherheit & Incident Response
  •  Sichere Lieferkettentransparenz & vertragliche Sicherheitsvorgaben

Warum du jetzt handeln solltest

Unternehmen mit Individualsoftware müssen dringend ihre Sicherheitsstrategie überarbeiten, um NIS2-konform zu werden.

Obwohl das NIS2 Gesetz in Österreich (4) und Deutschland (3) Stand März 2025 noch nicht in Kraft sind, ist das nur eine Frage von wenigen Monaten. 

  • Softwareentwickler müssen Secure by Design & Secure by Default umsetzen
  • CISOs und CTOs brauchen klare Risikomanagement- und Compliance-Strategien
  • IT-Abteilungen müssen Security Monitoring und Incident Response optimieren und Tools für Dependency Scanning implementieren.

Jetzt ist der richtige Zeitpunkt, um eine umfassende NIS2-Strategie für deine Individualsoftware zu entwickeln.

Hier kann gepardec’s Auto-Update Service unterstützen, da es das Update von Individualsoftware automatisiert.

Du möchtest NIS2 für deine Individualsoftware umsetzen?

Wir helfen dir bei der praktischen Umsetzung deiner Updates deiner Individualsoftware.

Kontaktiere uns für ein kostenloses Erstgespräch!
  1. Richtlinie (EU) 2022/2555 
  2. Implementing Guidance der ENISA 
  3. Umsetzungsgesetz-Entwurf Deutschland
  4. Umsetzungsgesetz-Entwurf Österreich
  5. NIST Cybersecurity Framework & Secure Software Development Framework (SSDF)
  6. Software Assurance Maturity Model
  7. ISO/IEC 27034

Relevante Blog Posts

Software-Modernisierung

Wie sicher ist deine Software-Lieferkette?

Aus welchen Teilen besteht deine Software eigentlich?
Wer hat sie geliefert?
Ist die Software auf Schwachstellen geprüft?

Wie du eine sichere Lieferkette (Secure Software Supply Chain) etablierst – für zugelieferte Software und deine Eigenentwicklungen – erfährst du in diesem Blogrtikel.

Gruppenfoto beim ERFA-Treffen von Gepardec und ITcluster zur Zukunft von Software-Updates
Auto-Update Service / Events & Meetups / Software-Modernisierung

Alte Software, neue Haftung?

Es gibt Dinge, die niemand besonders gern macht. Steuererklärung. Reifenwechsel. Und – ganz oben auf der Liste vieler Entwickler:innen – Software-Updates.

Dabei sind genau diese Updates heute entscheidend. Nicht für irgendeinen Schönheitsfehler. Sondern für’s Überleben. Klingt dramatisch? Vielleicht. Aber wenn man sich anschaut, was aktuell passiert – Cyberangriffe, neue Gesetze, steigende Anforderungen – dann wird klar: Wer nicht regelmäßig pflegt, verliert. Im schlimmsten Fall alles.

Titelblatt der Studie „Software-Modernisierung im Fokus“ mit Gepardec-Branding, Notizbuch und Kaffee auf hellem Schreibtisch
Auto-Update Service / Software-Modernisierung

Software-Modernisierung im Fokus: Warum du jetzt aktiv werden solltest

Code ist kein Beiwerk – er ist dein Wettbewerbsvorteil. In einer Zeit, in der Innovation über den Erfolg deines Unternehmens entscheidet, ist es keine Frage mehr, OB du modernisierst – sondern WIE. In diesem Beitrag erfährst du, worauf es ankommt, wenn du deinen Code zukunftssicher machen willst – basierend auf echten Erfahrungen und klaren Learnings aus der Praxis. Zusätzlich kannst du dir gratis die Studie  „Software-Modernisierung im Fokus“ herunterladen 👇

Netzwerkgraph mit gelb-orangenen Knoten, stilisiert im GP-Design auf dunklem Hintergrund
Auto-Update Service / Cloud Native / Software-Modernisierung

Visualize IT: Komplexe Softwarearchitekturen sichtbar machen mit Gephi

Wie macht man komplexe Legacy-Software sichtbar?
In unserem neuesten Learning-Friday-Projekt haben wir mit dem Visualisierungstool Gephi gearbeitet – und zeigen, wie man damit Architektur, Abhängigkeiten und Zyklen in großen Softwaresystemen auf einen Blick erkennt.

Mit Beispielen, Tipps & einem praktischen Cookbook!

Logo mit stilisierter Buchstabenmarke „JAI“, kombiniert mit abstrakten Schaltkreis- und Netzwerkstrukturen – Symbol für KI-gestützte Testautomatisierung
Software-Modernisierung

KI-gestützte Testgenerierung: Die besten Tools für Software-Modernisierung

Eine hohe Testabdeckung ist essenziell, um Software zuverlässig weiterzuentwickeln. Besonders bei Software-Modernisierung oder der Migration von Legacy-Software können KI-gestützte Tools helfen, Testfälle automatisiert zu generieren. Doch welche Tools liefern wirklich gute Ergebnisse? Wir haben GitHub Copilot, Diffblue Cover, JetBrains AI Assistant und weitere getestet – mit spannenden Erkenntnissen! Erfahre, wie KI die Testautomatisierung verbessern kann und wo man besser manuell nachjustiert. 🔍✨

Vier Sprecher beim Cloud Native Meetup Linz vor gepardec-Brandingwand, darunter Christoph Ruhsam und Damjan Gjurovski
Auto-Update Service / Cloud Native / Events & Meetups / Software-Modernisierung

Cloud Native Meetup Linz #2

Im Februar war es wieder soweit – am 26.02.2025 haben sich Entwickler:innen, DevOps-Spezialist:innen und IT-Interessierte versammelt, um sich über aktuelle Trends und Best Practices im Cloud-Native-Bereich auszutauschen.

Auch dieses Mal dürften wir uns auf zwei hochkarätige Speaker freuen: Christoph Ruhsam, Tech Lead für das Auto-Update Service bei Gepardec und Damjan Gjurovski, CTO bei Posedio, teilten ihr Wissen über moderne Automatisierungstechniken in CI/CD-Pipelines sowie Zero Trust Security in Cloud-Native-Architekturen.

WordPress Cookie Plugin von Real Cookie Banner