Digitale blaue Weltkugel mit NIS2 Beschriftung

NIS-2 jetzt umsetzen
mit Hays

Wir begleiten Sie von der Analyse bis zur regelkonformen NIS-2-Umsetzung

Jetzt Beratungsgespräch vereinbaren
Alle 6,4 Minuten
besetzen wir eine Position in Deutschland
Bewertungssterne: 4,6 von 5 Sternen
4.5/5
Kundenzufriedenheit
Über 50 Jahre
Erfahrung als Personalvermittler

Was ist NIS-2?

Icon - Triangle lightgreen
Das NIS-2-Umsetzungsgesetz zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements ist am 6. Dezember 2025 in Deutschland in Kraft getreten. Betroffene NIS-2-Unternehmen sind nun gesetzlich dazu verpflichtet, die Anforderungen an die Cybersicherheit zu erhöhen. Sie müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle fristgerecht melden und nachweisbares Risikomanagement etablieren.
Sie betrifft im Gegensatz zur vorherigen Richtlinie NIS, die nur Unternehmen aus kritischen Infrastrukturen (KRITIS) betraf, deutlich mehr Unternehmen und Sektoren. Dazu zählen zum Beispiel Forschung, digitale Dienste oder Produktion. Dies bedeutet für zahlreiche Unternehmen und insbesondere für deren Geschäftsleitung und Cyber-Security-Verantwortliche einen erheblichen Druck. Denn bei Verstößen gegen die Richtlinie können Geschäftsleitende persönlich haftbar gemacht werden.

Unser Lösungsportfolio:
Vom NIS-2-Audit bis zur Cybersicherheitsstrategie

Icon - User Check
Cyber Security Recruitment
Wir sind spezialisiert auf die Suche und Vermittlung von hoch qualifizierten Cyber-Security-Expertinnen und -Experten. Wir bringen von NIS-2 betroffene Unternehmen mit den Talenten zusammen, die sie zum Schutz ihrer Daten und digitalen Anlagen benötigen.
Icon - Fingerprint
Upskilling und Reskilling 
von Personal
Cyber Security ist dynamisch, denn die Cyberkriminalität entwickelt sich in rasantem Tempo weiter. Um den drohenden Gefahren immer einen Schritt voraus zu sein, helfen wir Ihnen, Ihr Personal wirksam und zielgerichtet weiterzubilden.
Icon - Hand with gearwheel
C-Level Advisory
Unsere Hays-internen Expertinnen und Experten sind Ihre Ansprech-personen, wenn es um die Gestaltung Ihrer-Cyber-Security-Strategie geht. Wir beraten sowohl Führungskräfte im C-Level als auch verantwortliche Fachkräfte, die das Thema NIS-2 im Unternehmen umsetzen.
Icon - Comments
Cyber Security Consulting
Services
Gemeinsam stemmen wir die NIS-2-Umsetzung. Wir beraten Sie in allen Fragen rund um die Verordnung. Von der Strategiebildung, über die konkreten Maßnahmen bis hin zu Cyber Security Assessments.
Icon - Wrench
Managed Security Services
Unsere professionellen Partner bieten ein umfassendes, auf Ihre Bedürfnisse zugeschnittenes Portfolio an Soft- und Hardware zur Bekämpfung von Cyberkriminalität, sowie eine reibungslose Integration und Instandhaltung der neuen Sicherheitslösungen.
Icon - Lightbulb
Technology Solutions
Unser Netzwerk aus mehr als 390 strategischen Partnern unterstützt Sie mit modernsten technologischen Cyber Security Solutions.

Das sind die von NIS-2 betroffenen Unternehmen

7 besonders wichtige Sektoren

  1. Energie: Das NIS2UmsuCG gilt insbesondere für Betreibende von kritischen Infrastrukturen (KRITIS) im Energie-Sektor. Dazu gehören Unternehmen, der Strom-, Gas-, Fernwärme-, Fernkälte-, Kraftstoff- und Heizölversorgung (Verteilung und Speicherung).
     
  2. Transport & Verkehr: Darunter fallen beispielsweise Luftfahrtunternehmen, Betreibende von Flughäfen, der Eisenbahninfrastruktur, Passagier- und Frachtbeförderungsunternehmen und Betreiber einer Anlage oder eines Systems zur Verkehrsbeeinflussung im Straßenverkehr.
     
  3. Finanzwesen: Im Sektor Finanzwesen, der vor allem Kreditinstitute und vereinzelt Handelsplätze beinhaltet, betrifft das NIS-2-Umsetzungsgesetz nur die Unternehmen, die nicht von der EU-weiten DORA-Verordnung betroffen sind.
     
  4. Gesundheit: Erbringer von Gesundheitsdienstleistungen, Forschungs-& Entwicklungseinrichtungen und Unternehmen, die pharmazeutische Erzeugnisse und Medizinprodukte herstellen, müssen sich aktiv mit Cybersicherheit befassen, konkrete Vorgaben zur Informationssicherheit umsetzen und diese Maßnahmen nachweisen können.
     
  5. Wasser: Betreiber von Trinkwasserversorgungsanlagen und Unternehmen der Abwasserbeseitigung müssen gegen Cyberangriffe geschützt werden und sind daher von NIS2UmsuCG unmittelbar betroffen.
     
  6. Digitale Infrastruktur: Die IT-Infrastruktur ist besonders vor digitalen Angriffen gefährdet und muss daher ausreichend geschützt werden. Betreiber von Internet Exchange Points, Anbieter von Cloud-Computing- und Rechenzentrumsdiensten, Betreiber öffentlicher Telekommunikationsnetze, Anbieter von öffentlich zugänglicher Telekommunikationsdienste, Managed Services und Managed Security Services Provider müssen das NIS2UmsuCG erfüllen.
     
  7. Weltraum: Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, müssen nach NIS-2 geschützt werden. Ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetzen.
  1. Energie: Das NIS2UmsuCG gilt insbesondere für Betreibende von kritischen Infrastrukturen (KRITIS) im Energie-Sektor. Dazu gehören Unternehmen, der Strom-, Gas-, Fernwärme-, Fernkälte-, Kraftstoff- und Heizölversorgung (Verteilung und Speicherung).
     
  2. Transport & Verkehr: Darunter fallen beispielsweise Luftfahrtunternehmen, Betreibende von Flughäfen, der Eisenbahninfrastruktur, Passagier- und Frachtbeförderungsunternehmen und Betreiber einer Anlage oder eines Systems zur Verkehrsbeeinflussung im Straßenverkehr.
     
  3. Finanzwesen: Im Sektor Finanzwesen, der vor allem Kreditinstitute und vereinzelt Handelsplätze beinhaltet, betrifft das NIS-2-Umsetzungsgesetz nur die Unternehmen, die nicht von der EU-weiten DORA-Verordnung betroffen sind.
     
  4. Gesundheit: Erbringer von Gesundheitsdienstleistungen, Forschungs-& Entwicklungseinrichtungen und Unternehmen, die pharmazeutische Erzeugnisse und Medizinprodukte herstellen, müssen sich aktiv mit Cybersicherheit befassen, konkrete Vorgaben zur Informationssicherheit umsetzen und diese Maßnahmen nachweisen können.
     
  5. Wasser: Betreiber von Trinkwasserversorgungsanlagen und Unternehmen der Abwasserbeseitigung müssen gegen Cyberangriffe geschützt werden und sind daher von NIS2UmsuCG unmittelbar betroffen.
     
  6. Digitale Infrastruktur: Die IT-Infrastruktur ist besonders vor digitalen Angriffen gefährdet und muss daher ausreichend geschützt werden. Betreiber von Internet Exchange Points, Anbieter von Cloud-Computing- und Rechenzentrumsdiensten, Betreiber öffentlicher Telekommunikationsnetze, Anbieter von öffentlich zugänglicher Telekommunikationsdienste, Managed Services und Managed Security Services Provider müssen das NIS2UmsuCG erfüllen.
     
  7. Weltraum: Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, müssen nach NIS-2 geschützt werden. Ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetzen.

7 wichtige Sektoren

  1. Transport & Verkehr: Das betrifft Unternehmen, die Postdienste, Paketdienste oder Kurierdienste anbieten.
     
  2. Abfallbewirtschaftung: Darunter fallen Unternehmen der Abfallbewirtschaftung die Siedlungsabfälle wie Restmüll, Biomüll, Papier, Glas oder Sperrmüll entsorgen. Ausgenommen sind Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist.
     
  3. Produktion, Herstellung & Handel mit chemischen Stoffen: Hier sind Unternehmen, die Chemikalien produzieren, importieren oder verkaufen, betroffen.
     
  4. Produktion, Verarbeitung & Vertrieb von Lebensmitteln: In diesem Sektor sind Lebensmittelunternehmen betroffen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind.
     
  5. Verarbeitendes Gewerbe / Herstellung von Waren: Unternehmen, die Produkte aus dem Medizinbereich und In-vitro Diagnostik herstellen, genauso wie Unternehmen aus den Bereichen Datenverarbeitungsgeräte, elektronischen und optischen Erzeugnisse, dem Maschinenbau oder Kraftfahrzeugherstellung, müssen durch Cyber-Security-Maßnahmen nach NIS-2 geschützt werden.
     
  6. Anbieter digitaler Dienste: Unternehmen und Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke müssen gemäß des NIS-2-Umsetzungesetzes mit Cyber-Security-Maßnahmen geschützt werden.
     
  7. Forschung: Forschungseinrichtungen sind heute stärker, denn je von digitalen Diensten abhängig. Dieser Sektor muss daher gemäß der NIS-2-Richtlinie mit Cyber-Security-Maßnahmen geschützt werden.
  1. Transport & Verkehr: Das betrifft Unternehmen, die Postdienste, Paketdienste oder Kurierdienste anbieten.
     
  2. Abfallbewirtschaftung: Darunter fallen Unternehmen der Abfallbewirtschaftung die Siedlungsabfälle wie Restmüll, Biomüll, Papier, Glas oder Sperrmüll entsorgen. Ausgenommen sind Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist.
     
  3. Produktion, Herstellung & Handel mit chemischen Stoffen: Hier sind Unternehmen, die Chemikalien produzieren, importieren oder verkaufen, betroffen.
     
  4. Produktion, Verarbeitung & Vertrieb von Lebensmitteln: In diesem Sektor sind Lebensmittelunternehmen betroffen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind.
     
  5. Verarbeitendes Gewerbe / Herstellung von Waren: Unternehmen, die Produkte aus dem Medizinbereich und In-vitro Diagnostik herstellen, genauso wie Unternehmen aus den Bereichen Datenverarbeitungsgeräte, elektronischen und optischen Erzeugnisse, dem Maschinenbau oder Kraftfahrzeugherstellung, müssen durch Cyber-Security-Maßnahmen nach NIS-2 geschützt werden.
     
  6. Anbieter digitaler Dienste: Unternehmen und Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke müssen gemäß des NIS-2-Umsetzungesetzes mit Cyber-Security-Maßnahmen geschützt werden.
     
  7. Forschung: Forschungseinrichtungen sind heute stärker, denn je von digitalen Diensten abhängig. Dieser Sektor muss daher gemäß der NIS-2-Richtlinie mit Cyber-Security-Maßnahmen geschützt werden.

Ihre Vorteile mit Hays

Icon - Haken im Kreis

Individuelle Betreuung

Von maßgeschneiderten Sicherheitsassessments bis hin zu Penetrationstests bieten wir Dienstleistungen, die Ihre digitale Infrastruktur auf Herz und Nieren prüfen.
Icon - Zwei Menschen im Kreis

Ein Team an Ihrer Seite

Unsere Expertinnen und Experten sind nicht nur Fachleute, sondern auch Ihre Partner. Gemeinsam gehen wir den Weg zur NIS-2-Compliance.
Icon - Layer im Kreis

Software- und Hardwarelösungen

Unsere Lösungen sind darauf ausgerichtet, Unternehmen kostenschonend nachhaltig resilienter zu machen.
Vom SOCaaS (Security Operations Center-as-a-Service) bis hin zur fortschrittlichen Deception & Detection-Plattform – wir haben die Werkzeuge.
Icon - Medaille im Kreis

Personaldienstleistungen von der #1

Wir bieten nicht nur technische Lösungen, sondern auch hoch qualifizierte Fachkräfte, die Ihre Sicherheitsstrategie und NIS-2-Prozesse vorantreiben.

Jetzt NIS-2-Ready werden mit Hays

Wir unterstützen Sie vom anfänglichen Assessments über die ganzheitliche Strategieerstellung bis hin zu regelmäßigen Tests.
Icon - Checkmark light green
Unternehmen schützen
Icon - Checkmark light green
Kundenvertrauen stärken
Icon - Checkmark light green
Profitabel bleiben

Bereit für die NIS-2-Umsetzung
mit unserem Cyber Security Team

Mit dem Cyber Security Team von Hays haben wir eine zentrale Anlaufstelle geschaffen, die Ihnen im 360-Grad-Prinzip für alle Cyber-Security-Belange und NIS-2-Anforderungen hoch kompetent zur Seite steht: von Projekt- und Beratungsleistungen über passende Technologie- und Softwarelösungen bis hin zu hoch qualifiziertem Fachpersonal. Zudem arbeiten wir mit strategischen und zertifizierten Partnerunternehmen zusammen, die Ihnen jederzeit die beste Lösung für Ihre Anliegen rund um das NIS-2-Umsetzungsgesetz bieten.
Cyber Security Services Theme Background

Unser Expertenteam

  • Michael Hartmann
    Head of Cyber Security (Deutschland)
  • Oualid Lkhaouni
    Cybersecurity Services & Solutions Lead
  • Neil Khatod
    Head of Cyber Security (The Americas)
  • Frank Apel
    Senior Abteilungsleiter
Bild von Michael Hartmann

Michael Hartmann

Head of Cyber Security (Deutschland)

  • Über 17 Jahre Erfahrung in den Bereichen Personaldienstleistung, Werk- und Dienstverträge, speziell im IT- und Engineeringsektor
  • Diplom Ingenieur Maschinenbau (FH) und CompTIA Security+ zertifiziert
  • Fundiertes Know-How im Cyber Security Trainings- und Weiterbildungsumfeld
Oualid Lkhaouni
Oualid Lkhaouni

Cybersecurity Services & Solutions Lead / Technology Expert , EMPOSO GmbH

  • Cybersecurity-Experte mit über 10 Jahren Erfahrung in offensiver Sicherheit und technischen Sicherheitsbewertungen
  • M.Sc. in IT-Sicherheit (Ruhr-Universität Bochum)
  • Durchführung von über 100 technischen Sicherheitsbewertungen in den Bereichen Web, Infrastruktur, Cloud und Red Teaming
  • Zertifizierungen: OSEP, OSCP, CRTO, CRTP, SAA-C02
Neil Khatod
Neil Khatod
Head of Cyber Security (The Americas)
  • Mehr als 25 Jahre Militärerfahrung
  • Leitete die Verteidigung der weltweit größten IT-Infrastruktur
  • COO Cyber Operations, U.S. Army Cyber Command
  • Verwaltete ein Cyber-Budget von 1,9 Milliarden US-Dollar und leitete 16.500 Mitarbeitende
Frank Apel
Frank Apel
Senior Abteilungsleiter
  • Über 15 Jahre Erfahrung im Bereich Personal-, Werkvertrags- und Rekrutierungsdienstleistungen
  • Langjährige Führungserfahrung mit Schwerpunkt auf strategische Steuerung und Business Development
  • Know-how in 8 verschiedenen Branchen

Ein Auszug unserer Kunden

Logo - Deutsch Bahn
Logo - Volkswagen
Logo - Bayer
Logo - IBM
Logo - Deutsch Bahn
Logo - Volkswagen
Logo - Bayer
Logo - IBM

Kontaktieren Sie uns jetzt

Yesterday's solutions don't solve tomorrow's problems!
Slogan - Protecting your future

FAQ

Was bedeutet NIS-2?

Die Abkürzung “NIS-2” steht für die “Network and Information Security Directive 2” (Richtlinie über Netz- und Informationssysteme). Diese europäische Gesetzgebung zielt darauf ab, die Cyberresilienz in der Europäischen Union zu stärken, indem sie Sicherheitsmaßnahmen für betroffene Unternehmen festlegt, um die Integrität, Verfügbarkeit, Vertraulichkeit und Robustheit ihrer Netz- und Informationssysteme sicherzustellen.

Die Abkürzung “NIS-2” steht für die “Network and Information Security Directive 2” (Richtlinie über Netz- und Informationssysteme). Diese europäische Gesetzgebung zielt darauf ab, die Cyberresilienz in der Europäischen Union zu stärken, indem sie Sicherheitsmaßnahmen für betroffene Unternehmen festlegt, um die Integrität, Verfügbarkeit, Vertraulichkeit und Robustheit ihrer Netz- und Informationssysteme sicherzustellen.


Welche Strafen drohen bei Verstößen?

Bei Verstößen gegen das NIS-2-Umsetzungsgesetz können je nach Sektor hohe Geldstrafen verhängt werden. Für besonders wichtige Einrichtungen können die Geldbußen bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Für wichtige Einrichtungen können sich die Bußgelder auf bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes belaufen.

Bei Verstößen gegen das NIS-2-Umsetzungsgesetz können je nach Sektor hohe Geldstrafen verhängt werden. Für besonders wichtige Einrichtungen können die Geldbußen bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen. Für wichtige Einrichtungen können sich die Bußgelder auf bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes belaufen.


Gibt es Übergangsfristen bei der Umsetzung?

Nein, das NIS-2-Umsetzungsgesetz und die daraus resultierenden Pflichten gelten seit dem 06.12.2025 ohne Übergangsfrist.

Nein, das NIS-2-Umsetzungsgesetz und die daraus resultierenden Pflichten gelten seit dem 06.12.2025 ohne Übergangsfrist.


Was ist der Unterschied zwischen NIS-2 und DORA?

NIS-2 ist eine EU-Richtlinie, die sich auf die Verbesserung der Cybersicherheit und den Informationsaustausch nach Cyberangriffen in 14 Sektoren konzentriert und durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) am 05.12.2025 national umgesetzt wurde. DORA hingegen ist eine Verordnung spezifisch für den Finanzsektor und zielt darauf ab, die Cyber-Resilienz in diesem Sektor zu gewährleisten.

NIS-2 ist eine EU-Richtlinie, die sich auf die Verbesserung der Cybersicherheit und den Informationsaustausch nach Cyberangriffen in 14 Sektoren konzentriert und durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) am 05.12.2025 national umgesetzt wurde. DORA hingegen ist eine Verordnung spezifisch für den Finanzsektor und zielt darauf ab, die Cyber-Resilienz in diesem Sektor zu gewährleisten.


NIS-2-Umsetzungsgesetz: Zusammenfassung

NIS (Network and Information Security Directive) legt seit 2016 Mindeststandards für die Cybersicherheit fest, zunächst v. a. für Betreiber kritischer Infrastrukturen (KRITIS).   

Die NIS-2‑Richtlinie erweitert den Anwendungsbereich deutlich und wurde in Deutschland mit dem Gesetz zur Umsetzung der NIS-2‑Richtlinie (NIS2UmsuCG) am 06.12.2025 in Kraft gesetzt – ohne Übergangsfrist

Das NIS-2-Umsetzungsgesetz hat das Ziel, die Widerstandsfähigkeit gegen Cyberangriffe in Deutschland zu stärken. Es tut dies, indem es sie Sicherheitsvorschriften für betroffene Unternehmen festlegt, um die Integrität, Zugänglichkeit, Vertraulichkeit und Robustheit ihrer Netzwerk- und Informationssysteme zu gewährleisten. Das NIS-2-Umsetzungsgesetz ist eine wichtige Maßnahme im Kampf gegen Cyberkriminalität. 

Neben den Betrieben der KRITIS, die bislang schon der NIS-Richtlinie unterlagen, ist nun auch eine breitere Masse an Unternehmen von der neuen NIS-2-Regelung betroffen. Die erweiterte Anzahl an betroffenen Sektoren stellt viele Geschäftsführungen vor eine Reihe kritischer Herausforderungen. 

Im ersten Schritt sollten sich Unternehmen über die Neuerungen informieren und prüfen, ob sie von NIS-2 betroffen sind (NIS-2 Gap Analyse). Ist dies der Fall, stehen sie vor der weitaus größeren Herausforderung der Umsetzung. Ein detailliertes NIS-2-Audit hilft ihnen dann, konkrete Maßnahmen zu definieren und umzusetzen.