Fachwissen

NIS2-konforme IT-Infrastruktur: Was Unternehmen jetzt tun müssen

Die NIS2-Richtlinie ist seit Dezember 2025 in deutsches Recht umgesetzt. Für rund 30.000 Unternehmen bedeutet das: Handlungsbedarf bei der IT-Infrastruktur — mit Bußgeldern bis 10 Millionen Euro bei Verstößen.

7 min LesezeitStand: Februar 2026
Inhaltsverzeichnis

NIS2 im Überblick

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die umfassendste EU-Regulierung für Cybersicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen erheblich.

12/2025

In Kraft getreten in Deutschland

~30.000

Betroffene Unternehmen in Deutschland

10 Mio. EUR

Maximale Bußgelder bei Verstößen

Persönlich

Geschäftsführer haften mit ihrem Privatvermögen

Besonders kritisch: Die persönliche Haftung der Geschäftsführung. NIS2 verlangt, dass die Leitungsebene Cybersicherheitsmaßnahmen genehmigt, deren Umsetzung überwacht und bei Versäumnissen persönlich haftet. Das ist ein Paradigmenwechsel — IT-Sicherheit ist damit Chefsache.

Bin ich betroffen?

NIS2 betrifft Unternehmen, die alle drei der folgenden Kriterien erfüllen:

  1. 1Größe: Mehr als 50 Mitarbeiter oder mehr als 10 Mio. EUR Jahresumsatz
  2. 2Sektor: Tätigkeit in einem der 18 regulierten Sektoren (z. B. Energie, Gesundheit, Fertigung, digitale Infrastruktur, Lebensmittel, Abfallwirtschaft)
  3. 3Standort: Geschäftstätigkeit in der EU oder Dienstleistungen für EU-Kunden

Auch Unternehmen in der Lieferkette können indirekt betroffen sein: Wenn Ihr Auftraggeber unter NIS2 fällt, wird er von Ihnen Sicherheitsnachweise verlangen.

Was NIS2 für Ihre IT-Infrastruktur bedeutet

NIS2 formuliert konkrete technische und organisatorische Anforderungen. Drei Bereiche sind für die IT-Infrastruktur besonders relevant:

Ausfallsicherheit und Business Continuity

Artikel 21 der NIS2-Richtlinie verlangt Maßnahmen zur Aufrechterhaltung des Betriebs (Business Continuity Management). Das bedeutet: Ihre kritischen Systeme müssen bei einem Ausfall weiterlaufen oder schnellstmöglich wiederhergestellt werden. Fehlertolerante Infrastrukturen erfüllen diese Anforderung am vollständigsten, da sie gar keine Ausfallzeit haben.

Monitoring und Erkennung

NIS2 verlangt Systeme zur Erkennung und Meldung von Sicherheitsvorfällen. Vorfälle müssen innerhalb von 24 Stunden an die zuständige Behörde gemeldet werden, eine detaillierte Meldung muss innerhalb von 72 Stunden erfolgen. Das setzt ein professionelles 24/7-Monitoring voraus, das Anomalien in Echtzeit erkennt.

Incident Response und Wiederherstellung

Unternehmen müssen dokumentierte Prozesse für den Umgang mit Sicherheitsvorfällen haben. Dazu gehören klare Eskalationswege, Wiederherstellungspläne und regelmäßige Tests. Eine redundante Internetanbindung stellt sicher, dass Kommunikationswege auch im Krisenfall funktionieren.

Drei Säulen der NIS2-konformen Infrastruktur

Die NIS2-Anforderungen lassen sich auf drei infrastrukturelle Säulen abbilden — genau die Bereiche, die Diventus seit 2006 abdeckt:

1

Fehlertolerante Server (Stratus everRun)

NIS2-Anforderung: Business Continuity und Aufrechterhaltung des Betriebs.

Lösung: Synchrone Spiegelung auf Kernel-Ebene. Kein Datenverlust, keine Ausfallzeit. RPO und RTO gleich null.

2

Redundantes Internet (Multi-Carrier)

NIS2-Anforderung: Incident Response und Kommunikationsfähigkeit im Krisenfall.

Lösung: Mehrere Provider, automatisches Failover. Cloud-Dienste und Meldewege bleiben erreichbar — auch wenn ein Provider ausfällt.

3

24/7-Monitoring (NOC)

NIS2-Anforderung: Erkennung und Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden.

Lösung: Proaktive Überwachung aller kritischen Systeme. Anomalie-Erkennung in Echtzeit. Dokumentierte Eskalationsprozesse.

Nächste Schritte

NIS2 ist kein Projekt, das man einmal abschließt — es ist ein fortlaufender Prozess. Aber es gibt klare erste Schritte:

  1. 1Betroffenheitsanalyse: Prüfen Sie, ob Ihr Unternehmen unter NIS2 fällt. Im Zweifel: ja.
  2. 2Infrastruktur-Audit: Bewerten Sie Ihre aktuelle IT-Infrastruktur hinsichtlich Ausfallsicherheit, Monitoring und Incident Response.
  3. 3Lücken identifizieren: Wo sind die Single Points of Failure? Welche Systeme haben kein Monitoring? Gibt es dokumentierte Wiederherstellungspläne?
  4. 4Maßnahmenplan erstellen: Priorisieren Sie nach Risiko und Aufwand. Beginnen Sie mit den kritischsten Systemen.
  5. 5Partner einbinden: Arbeiten Sie mit spezialisierten IT-Infrastruktur-Partnern zusammen, die NIS2-Anforderungen technisch umsetzen können.

Unsicher, ob Ihre Infrastruktur NIS2-konform ist?

In einem kostenlosen Infrastruktur-Check prüfen wir Ihre Systeme auf NIS2-Relevanz und zeigen konkrete Handlungsempfehlungen auf.

Weiterführend

Weiterführende Artikel

Fehlertoleranz vs. Hochverfügbarkeit

Der Unterschied zwischen HA und FT — und warum er für NIS2-Compliance entscheidend sein kann.

Weiterlesen

VMware-Alternative: Stratus everRun

VMware-Lizenzkosten explodiert? Stratus everRun bietet echte Fehlertoleranz auf KVM-Basis.

Weiterlesen

Kostenlose Beratung

Ihre IT-Infrastruktur auf Ausfallsicherheit prüfen lassen.

Beratungsgespräch vereinbaren