Logo Gepardec IT Services GmbH
Kontakt

Die NIS2-Richtlinie: Umsetzung und Auswirkungen auf Unternehmen mit Individualsoftware

Die NIS2-Richtlinie (EU) 2022/2555 ist die neue europäische Cybersicherheitsvorgabe, die Unternehmen verpflichtet, stärkere Sicherheitsmaßnahmen für ihre Netz- und Informationssysteme umzusetzen.

Zielgruppe:

C-Level, CISOs, CTOs und technische Leiter in Unternehmen, die Individualsoftware nutzen oder selbst entwickeln.

Warum ist das wichtig?

Ab Oktober 2024 (lt. EU) müssen betroffene Unternehmen konkrete Sicherheitsmaßnahmen umsetzen, um hohe Bußgelder zu vermeiden und ihre Cyber-Resilienz zu stärken.

NIS2 Logo

Wer muss NIS2 umsetzen?

NIS2 betrifft alle Unternehmen, die:

  • Mehr als 50 Mitarbeiter oder über 10 Mio. € Umsatz haben
  • Kritische oder wichtige IT-Dienstleistungen erbringen
  • Individualsoftware entwickeln oder nutzen, wenn sie in einer NIS2-pflichtigen Branche tätig sind

 

Betroffene Sektoren

  • IT-Dienstleister & Softwareentwickler (auch Anbieter von Individualsoftware)
  • Cloud-Computing & Rechenzentren
  • Banken, Versicherungen & Fintechs
  • Gesundheitswesen & MedTech-Unternehmen
  • Produzierende Unternehmen mit vernetzten IT-Systemen

 

Wer ist ausgenommen?

Unternehmen, die weniger als 50 Mitarbeiter haben und keine kritischen digitalen Services bereitstellen, sind nicht direkt betroffen – es sei denn, sie sind ein wesentlicher Teil der Lieferkette eines NIS2-pflichtigen Unternehmens.

Die 10 wichtigsten Maßnahmen zur NIS2-Compliance

Die „Implementation Guidance on Security Measures“ (2) gibt konkrete Vorgaben für Unternehmen. Hier sind die wichtigsten Maßnahmen, die du in deinem Unternehmen umsetzen musst:

 

1. Sicheres Software Development Lifecycle (SDLC)

 

2. Schwachstellenmanagement & Patch-Management

  • Zentrale Patch-Strategie für deine Individualsoftware.
    Solltest du die Software nicht selbst entwickeln, bist du dennoch für deine Zulieferer verantwortlich.
  • Regelmäßige Sicherheits-Scans und automatisierte Update-Prozesse
  • Kritische Sicherheitslücken innerhalb von 24 Stunden schließen

 

3. Sicherheitsüberwachung & Incident Response

  • Security Operations Center (SOC) oder Managed Detection & Response (MDR) nutzen
  • Meldepflicht: Sicherheitsvorfälle innerhalb von 24 bis 72 Stunden an Behörden melden
  • Forensische Analysen durchführen und Schwachstellen nachhaltig schließen

 

4. Identitäts- & Zugriffsmanagement (IAM & Zero Trust)

  • Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge
  • Zero-Trust-Strategie einführen: Prinzip der minimalen Rechtevergabe
  • Sichere API-Authentifizierung und OAuth2.0 / OpenID Connect verwenden

 

5. Lieferketten-Sicherheit (Supply Chain Risk Management)

  • Sicherheitsanforderungen an Drittanbieter definieren
  • Verträge mit Sicherheitsstandards (ISO 27001, NIST 800-53) absichern
  • Regelmäßige Audits und Risikoanalysen für Zulieferer durchführen

 

6. Sichere Cloud- & SaaS-Nutzung

  • Cloud Security Posture Management (CSPM) einsetzen
  • Datenverschlüsselung in der Cloud und Zugriffskontrollen implementieren
  • Zero-Knowledge-Architektur für vertrauliche Daten nutzen

 

7. Betriebskontinuität & Notfallplanung (BCM & DRP)

  • Business Continuity Management (BCM) und Disaster Recovery Plan (DRP) regelmäßig testen
  • Redundante Systeme und Backup-Strategien gemäß 3-2-1-Regel umsetzen
  • Sicherstellen, dass Individualsoftware auch bei Cyberangriffen betriebsfähig bleibt

 

8. Sensibilisierung & Cybersecurity-Trainings für Mitarbeiter:innen

  • Regelmäßige Schulungen zu Phishing und Social Engineering
  • Awareness-Programme für Entwickler, Admins und Führungskräfte
  • Live-Hacking-Demos und Tabletop-Exercises für Incident Response

 

9. Logging & Monitoring gemäß SIEM-Standards

  • Security Information & Event Management (SIEM) für zentralisierte Logs nutzen
  • Echtzeitüberwachung von Anomalien und Angriffsmustern sicherstellen
  • Retention Policy für Logs: Mindestens sechs Monate

 

10. Datenschutz & Compliance mit DSGVO & NIS2

  • End-to-End-Verschlüsselung (E2EE) und Pseudonymisierung von Daten
  • NIS2-konformes Datenschutzkonzept gemäß Art. 32 DSGVO umsetzen
  • Zusammenarbeit mit Datenschutzbehörden bei Cybervorfällen sicherstellen

Wer haftet bei NIS2-Verstößen?

Unternehmen

Unternehmen sind direkt haftbar, wenn sie:

  • Unzureichende Cybersicherheitsmaßnahmen haben
  • Sicherheitsvorfälle nicht rechtzeitig melden
  • Pflichten zur Risikobewertung oder Lieferkettensicherheit vernachlässigen

 

Mögliche Konsequenzen:

  • Wesentliche Unternehmen: Bis zu 10 Mio. € oder 2 % des Jahresumsatzes
  • Wichtige Unternehmen: Bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes

Regulatorische Sanktionen (z. B. Betriebsbeschränkungen, Lizenzentzug)

 

Geschäftsführung & C-Level-Verantwortliche

Führungskräfte haften persönlich, wenn sie ihre Pflichten zur Cybersicherheit vernachlässigen.
Dazu gehören:

  • Fehlende Überwachung und Steuerung der Sicherheitsstrategie
  • Ignorieren von bekannten Sicherheitsrisiken
  • Unzureichende Reaktion auf Vorfälle

Mögliche Konsequenzen:

  • Persönliche Geldbußen
  • Temporäres Berufsverbot für IT- und Sicherheitsverantwortliche
  • Zivil- und strafrechtliche Verfahren in besonders schweren Fällen

 

IT-Dienstleister & Lieferanten

Externe Dienstleister haften mit, wenn sie:

  • Sicherheitslücken in ausgelagerter IT-Infrastruktur verursachen
  • Vertragliche Sicherheitsanforderungen nicht einhalten

Unternehmen müssen daher in Verträgen mit Lieferanten klare Sicherheitskriterien (ISO 27001, NIST 800-53) festlegen.

Wie kann dein Unternehmen Haftungsrisiken minimieren?

  • Nachweisbare Cybersicherheitsstrategie auf Basis von NIS2
  • Regelmäßige Sicherheitsüberprüfungen & Audits
  •  Klare Verantwortlichkeiten für IT-Sicherheit & Incident Response
  •  Sichere Lieferkettentransparenz & vertragliche Sicherheitsvorgaben

Warum du jetzt handeln solltest

Unternehmen mit Individualsoftware müssen dringend ihre Sicherheitsstrategie überarbeiten, um NIS2-konform zu werden.

Obwohl das NIS2 Gesetz in Österreich (4) und Deutschland (3) Stand März 2025 noch nicht in Kraft sind, ist das nur eine Frage von wenigen Monaten. 

  • Softwareentwickler müssen Secure by Design & Secure by Default umsetzen
  • CISOs und CTOs brauchen klare Risikomanagement- und Compliance-Strategien
  • IT-Abteilungen müssen Security Monitoring und Incident Response optimieren. 

Jetzt ist der richtige Zeitpunkt, um eine NIS2-Strategie für deine Individualsoftware zu entwickeln.

Hier kann gepardec’s Auto-Update Service unterstützen, da es das Update von Individualsoftware automatisiert.

Du möchtest NIS2 für deine Individualsoftware umsetzen?

Wir helfen dir bei der praktischen Umsetzung deiner Updates deiner Individualsoftware.

Kontaktiere uns für ein kostenloses Erstgespräch!
  1. Richtlinie (EU) 2022/2555 
  2. Implementing Guidance der ENISA 
  3. Umsetzungsgesetz-Entwurf Deutschland
  4. Umsetzungsgesetz-Entwurf Österreich
  5. NIST Cybersecurity Framework & Secure Software Development Framework (SSDF)
  6. Software Assurance Maturity Model
  7. ISO/IEC 27034

Relevante Blog Posts

Software-Modernisierung

{KI-gestützte Testgenerierung}: Die besten Tools für Software-Modernisierung

Eine hohe Testabdeckung ist essenziell, um Software zuverlässig weiterzuentwickeln. Besonders bei Software-Modernisierung oder der Migration von Legacy-Software können KI-gestützte Tools helfen, Testfälle automatisiert zu generieren. Doch welche Tools liefern wirklich gute Ergebnisse? Wir haben GitHub Copilot, Diffblue Cover, JetBrains AI Assistant und weitere getestet – mit spannenden Erkenntnissen! Erfahre, wie KI die Testautomatisierung verbessern kann und wo man besser manuell nachjustiert. 🔍✨

Auto-Update Service / Cloud Native / Events & Meetups / Software-Modernisierung

Cloud Native Meetup Linz #2

Im Februar war es wieder soweit – am 26.02.2025 haben sich Entwickler:innen, DevOps-Spezialist:innen und IT-Interessierte versammelt, um sich über aktuelle Trends und Best Practices im Cloud-Native-Bereich auszutauschen.

Auch dieses Mal dürften wir uns auf zwei hochkarätige Speaker freuen: Christoph Ruhsam, Tech Lead für das Auto-Update Service bei Gepardec und Damjan Gjurovski, CTO bei Posedio, teilten ihr Wissen über moderne Automatisierungstechniken in CI/CD-Pipelines sowie Zero Trust Security in Cloud-Native-Architekturen.

Auto-Update Service / Events & Meetups / Software-Modernisierung

Webinar: Deine Individual-Software up-to-date halten? So geht's!

Cloud Native / Software-Modernisierung

{Wegen Inventur geschlossen?!?}

Bei der Erstellung von Software-Anwendungen ist es fast unabdingbar, dass man auf bestehende 3rd-Party-Libraries zurückgreifen muss. Selbst triviale Web-Anwendungen weisen mittlerweile Abhängigkeiten auf Libraries im mittleren zweistelligen Bereich auf.

Doch das Einbinden von externen Libraries bringt auch Risiken mit sich, da durch deren Nutzung unbeabsichtigt Sicherheitslücken in die eigene Anwendung integriert werden können.

Man muss nicht weit in die Vergangenheit blicken, um Beispiele für Anwendungen und Unternehmen zu finden, die von solchen Problemen betroffen waren (z.B. Equifax 2017, Log4J 2021).

Vorfälle wie diese haben dazu geführt, dass Software-Hersteller ein größeres Augenmerk auf die verwendeten Software-Dependencies und die Software-Supply-Chain ihrer Applikationen richten.

Auto-Update Service / Events & Meetups / OpenShift - Kubernetes

Vienna DevOps Meetup 01/2025: Auto-Updating Dependencies & Building a Kubernetes Packet Manager

Rückblick auf unser ViennaDevOps Meetup vom 28.01.25.

Erstes Meetup im Jahr – und wir sind direkt mit voller Power gestartet! Dieses Mal durften wir das ViennaDevOps Meetup in unserer Wiener Steppe hosten. Über 60 Anmeldungen zeigen: Die Community ist hungrig auf spannende DevOps-Insights.

 

Events & Meetups / Software-Modernisierung

OOP 2025: Update or Die - Wie IT-Führungskräfte ihre Software sicher und compliant halten

Mit neuen Anforderungen wie NIS2, dem DORA (Digital Operational Resilience Act) und dem Cyber Resilience Act (CRA) stehen IT-Führungskräfte vor einer wachsenden Herausforderung: Software muss kontinuierlich aktualisiert werden, um sicher und compliant zu bleiben. Doch während Updates in der IT-Infrastruktur längst Standard sind, tun sich viele Entwicklungsteams schwer damit, Updates nahtlos in ihren Software Development Lifecycle (SDLC) zu integrieren.

Warum ist das so? Und wie kannst du als CTO, IT-Leiter:in oder Software-Architekt:in sicherstellen, dass deine Software nicht nur up-to-date bleibt, sondern auch langfristig effizient weiterentwickelt werden kann?

In diesem Beitrag zeigen wir, warum kontinuierliche Updates entscheidend sind, welche Herausforderungen es gibt und welche Lösungen helfen, den Update-Prozess zu automatisieren.

WordPress Cookie Plugin von Real Cookie Banner