Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft – und damit beginnt für rund 30.000 Unternehmen eine neue Ära der Cybersicherheit. Was gestern noch Empfehlung war, ist heute Gesetz. Wer jetzt zu lange zögert, riskiert Bußgelder in Millionenhöhe und persönliche Haftung der Geschäftsführung. Aber: Mit der richtigen Infrastruktur lässt sich NIS-2 nicht nur umsetzen, sondern als echte Chance für Ihr Unternehmen nutzen. Wir zeigen Ihnen, wie!
Lessons Learned aus großen Ausfällen
Das vergangene Jahr war ein Weckruf für die IT-Branche. Im Oktober 2025 legte ein massiver AWS-Ausfall weltweit Dienste lahm – Slack, Canva und Tausende weitere Unternehmen mussten ihre digitalen Geschäftsprozesse unfreiwillig unterbrechen. Nur wenige Wochen später, am 18. November 2025, traf es Cloudflare: Ein Spike ungewöhnlichen Traffics sorgte dafür, dass Millionen Websites und Dienste wie ChatGPT und Spotify offline gingen – ausgerechnet bei dem Anbieter, der DDoS-Schutz als Kernkompetenz vermarktet. Und wer sich noch an den CrowdStrike-Vorfall vom Juli 2024 erinnert, weiß: Selbst ein fehlerhaftes Software-Update kann Windows-Systeme weltweit zum Absturz bringen.
Die Politik hat daraus Konsequenzen gezogen. Seit dem 6. Dezember 2025 verlangt die NIS-2-Richtlinie von Unternehmen, dass sie sich gegen Cyberangriffe schützen. Dazu müssen sie nachweisen können, dass ihr Geschäftsbetrieb bei IT-Ausfällen weiterläuft – inklusive dokumentierter Notfallpläne, getesteter Wiederanlaufverfahren und einer lückenlosen Meldekette an die Behörden.
NIS-2 in aller Kürze: Was steckt dahinter?
Die NIS-2-Richtlinie (Network and Information Security Directive) ist die Weiterentwicklung der ursprünglichen EU-Richtlinie zur Netz- und Informationssicherheit. In Deutschland wurde sie durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Das Gesetz gilt ohne Übergangsfrist, die Sicherheitsmaßnahmen müssen also sofort umgesetzt werden. Für die Registrierung beim Bundesamt für Sicherheit und Informationstechnik (BSI) haben wesentliche Einrichtungen bis zum 6. März 2026 Zeit.
Was NIS-2 von früheren Regelwerken unterscheidet, ist vor allem der erweiterte Anwendungsbereich: Nicht mehr nur die klassischen KRITIS-Betreiber wie Energieversorger oder Krankenhäuser sind betroffen, sondern rund 30.000 Organisationen in Deutschland. Darunter auch Unternehmen aus Bereichen wie Logistik, Lebensmittelproduktion, Chemie, Maschinenbau und digitale Infrastruktur.
Wen betrifft NIS-2?
Das Gesetz unterscheidet zwei Kategorien:
- Wesentliche Einrichtungen: Unternehmen ab 250 Mitarbeiter oder über 50 Mio. Euro Jahresumsatz bei einer Bilanzsumme über 43 Mio. Hier greift eine proaktive Überwachung durch das BSI. Beispiele sind Energiekonzerne, Gesundheitseinrichtungen, digitale Infrastruktur und das Bankwesen.
- Wichtige Einrichtungen: Unternehmen ab 50 Mitarbeiter oder über 10 Mio. Euro Jahresumsatz bei einer Bilanzsumme über 10 Mio. Euro. Hier gilt eine reaktive Aufsicht – das BSI wird erst bei konkreten Vorfällen aktiv. Beispiele sind die Post, die Chemieindustrie, der Lebensmittelsektor und das verarbeitende Gewerbe.
Auch kleine und mittlere Unternehmen, die formal unter den Schwellenwerten liegen, können indirekt betroffen sein – nämlich dann, wenn ihre Auftraggeber NIS-2-konform wirtschaften müssen und diese Anforderungen an die gesamte Lieferkette weitergeben. NIS-2-Compliance wird damit zur Voraussetzung, um Geschäftsbeziehungen aufrechtzuerhalten.
Was fordert NIS-2?
Das Gesetz definiert zehn Mindestmaßnahmen, darunter:
- Systematisches Risikomanagement und Sicherheitskonzepte
- Incident Management mit klaren Meldeprozessen (24-Stunden-Frühwarnung, 72-Stunden-Zwischenmeldung, Abschlussbericht innerhalb eines Monats)
- Business Continuity Management mit Backup, Disaster Recovery und Krisenmanagement
- Sicherheit der Lieferkette, einschließlich vertraglicher Anforderungen an Dienstleister
- Verschlüsselung, Zugriffskontrolle und Multi-Faktor-Authentifizierung
- Regelmäßige Schulungen und Sensibilisierung der Belegschaft
Die Geschäftsführung ist persönlich verpflichtet, die Umsetzung zu überwachen – und haftet bei Versäumnissen mit dem Privatvermögen. Die Bußgelder betragen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Der erste Schritt: Drei wichtige Reflexionen für Ihr Unternehmen
1. Kennen Sie Ihre versteckten Abhängigkeiten?
Die gefährlichsten Abhängigkeiten sind die, von denen Sie nichts wissen. Ihr CRM-Tool, Ihr Buchhaltungsprogramm, Ihre Videokonferenz-Software – sie alle laufen womöglich in einer Cloud-Region. Wenn diese Region ausfällt, hilft Ihnen Ihr eigenes Backup wenig. NIS-2 verlangt deshalb eine ehrliche Bestandsaufnahme aller IT-Abhängigkeiten, bis hinunter in die Lieferkette.
2. Ist Ihr Notfallplan mehr als ein PDF?
Hand aufs Herz: Wann haben Sie Ihren Disaster-Recovery-Plan zum letzten Mal unter realen Bedingungen getestet? NIS-2 fordert nicht nur, dass Notfallpläne existieren – sie müssen funktionieren. Getestete Meldeprozesse, abgestimmte Wiederanlaufpläne und dokumentierte Lessons Learned aus Übungen sind Pflicht.
3. Wer hilft Ihnen, wenn es brennt?
Wenn ein Hyperscaler wie AWS ausfällt, informiert er über automatisierte Statusseiten. Aber niemand ruft bei Ihnen an und erklärt, was das konkret für Ihr Unternehmen bedeutet. Bei regionalen Infrastrukturanbietern wie NMMN ist das anders: Ein Anruf, ein persönlicher Ansprechpartner, eine konkrete Einschätzung. Diese Nähe ist im NIS-2-Kontext ein wertvoller Vorteil.
Ihr erster Schritt zur NIS-2-Compliance: Vereinbaren Sie einen persönlichen Beratungstermin und lassen Sie Ihre IT-Infrastruktur von NMMN auf Herz und Nieren prüfen. Gemeinsam schauen wir, welche Anforderungen NIS-2 an Ihre IT stellt, wie Ihre aktuelle Infrastruktur aufgestellt ist und welche Maßnahmen Ihr Unternehmen auf den sicheren Weg bringen.
Für Websites und Webanwendungen ergänzt das Managed CDN von NMMN den Infrastrukturschutz um eine Web Application Firewall (WAF) und Layer-7-DDoS-Schutz – damit auch raffinierte Angriffe auf Anwendungsebene abgewehrt werden.
Anforderungen und Lösungen für Ihre IT-Infrastruktur
NIS-2 ist keine reine Papierübung. Die Richtlinie hat sehr konkrete Implikationen für die physische und logische IT-Infrastruktur, auf der Ihre Geschäftsprozesse laufen:
Hochverfügbarkeit und Redundanz
NIS-2 fordert, dass kritische Systeme auch bei Teilausfällen weiterlaufen. Das bedeutet: redundante Stromversorgung, redundante Netzwerkanbindung, georedundante Backup-Standorte. Ein Rechenzentrum, das nach dem TIER-3-Standard gebaut ist, bietet genau das – einen unterbrechungsfreien Betrieb, selbst während laufender Wartungsarbeiten.
Die Rechenzentren von NMMN erfüllen diese Anforderung an mehreren Standorten: Die Hamburger Standorte an der Wendenstraße sind Uptime-TIER-3-konform und TÜV-geprüft nach erhöhten Sicherheitsstandards (TSI Level 2). Die Standorte an der Obenhauptstraße (Hamburg) und in Berlin sind nach TIER-3-Standard gebaut und halten mehrere relevante ISO-Zertifizierungen. Der Standort in Ahrensburg ist nach EN 50600 Level 3 zertifiziert, dem europäischen Standard für Rechenzentrumssicherheit.
Datensouveränität und DSGVO-Konformität
Wer seine IT-Infrastruktur bei einem US-amerikanischen Hyperscaler betreibt, muss sich Fragen zur Datensouveränität gefallen lassen – insbesondere im Kontext des US CLOUD Act, der amerikanischen Behörden potenziell Zugriff auf in den USA gespeicherte Daten ermöglicht. NIS-2 erhöht den Handlungsdruck, weil Unternehmen nun dokumentieren müssen, wo ihre Daten verarbeitet werden und wer darauf Zugriff hat.
NMMN unterliegt als deutsches Unternehmen nicht dem US CLOUD Act. Alle Daten verbleiben in zertifizierten Rechenzentren in Deutschland: in Hamburg, Berlin, Düsseldorf, Leverkusen, Ahrensburg, Norderstedt und Stuttgart. Das schafft die Grundlage für echte Datensouveränität, die über ein bloßes Marketing-Versprechen hinausgeht.
Zertifizierte Sicherheitsstandards
NIS-2 verlangt den Nachweis eines funktionierenden Informationssicherheits-Managementsystems (ISMS) und eines Business Continuity Management Systems (BCMS). Wer seine Infrastruktur bei einem Anbieter betreibt, der bereits nach ISO 27001 (Informationssicherheit) und ISO 22301 (Business Continuity) zertifiziert ist, hat einen entscheidenden Vorsprung.
NMMN verfügt bereits über die wichtigsten Zertifizierungen für NIS-2-Compliance: ISO 27001, ISO 22301, ISO 9001, ISO 14001, ISAE 3402 Type II und weitere. Darüber hinaus hat NMMN die Zertifizierung der eigenen Serviceprozesse nach ISO 27001 und ISO 14001 erlangt – ein Qualitätsstandard, der vom Rechenzentrum bis zum Kundensupport die gesamte Dienstleistungskette einschließt.
Ein zusätzlicher Vorteil für NMMN-Kunden: Durch die vorhandenen Zertifizierungen können Sie im Rahmen eines Shared-Responsibility-Modells auf die auditierten Nachweise von NMMN verweisen – etwa für physische Sicherheit, Zutrittskontrolle oder Backup-Prozesse. Dadurch sparen Sie einen Großteil ihrer eigenen Dokumentationspflicht.
Sie wollen wissen, wie NIS-2-konforme Infrastruktur in der Praxis aussieht? Buchen Sie eine Tour durch eines unserer Rechenzentren und überzeugen Sie sich vor Ort.
Für Websites und Webanwendungen ergänzt das Managed CDN von NMMN den Infrastrukturschutz um eine Web Application Firewall (WAF) und Layer-7-DDoS-Schutz – damit auch raffinierte Angriffe auf Anwendungsebene abgewehrt werden.
Ihre Ausfallstrategie mit NMMN: Colocation und Private Cloud als Compliance-Fundament
Anders als reine Rackspace-Vermieter bietet NMMN ein integriertes Ökosystem: Von der Colocation über Private Cloud und Managed Services bis zur Glasfaser-Anbindung – alle Bausteine für eine NIS-2-konforme Infrastruktur kommen aus einer Hand.
Colocation: Ihre Hardware, unser Sicherheit
Mit Colocation bei NMMN betreiben Sie Ihre eigene Hardware in einem professionell gesicherten Rechenzentrum. Sie behalten die volle Kontrolle über Ihre Systeme und profitieren gleichzeitig von der physischen Sicherheit, redundanten Stromversorgung und Netzwerkanbindung eines TIER-3-Rechenzentrums. Für NIS-2 ist das ein starkes Argument: Sie können lückenlos dokumentieren, wo Ihre Daten verarbeitet werden, wer physischen Zugang hat und wie die Ausfallsicherheit gewährleistet wird.
Das NMMN-eigene City-Netz verbindet die Hamburger Rechenzentrumsstandorte über redundante Glasfaser-Anbindungen mit dynamischem Routing (BGPv4 und HSRP). Das bedeutet: Fällt ein Standort aus, übernehmen die anderen automatisch – ohne manuelle Eingriffe, ohne Ausfallzeit.
Private Cloud: Maximale Kontrolle, maximale Compliance
Eine Private Cloud von NMMN vereint die Flexibilität von Cloud-Computing mit der Kontrolle einer dedizierten Infrastruktur. Im Gegensatz zu Public-Cloud-Diensten teilen Sie sich hier keine Ressourcen mit anderen Kunden. Ihre Daten, Ihre Rechenleistung, Ihre Netzwerkumgebung: Alles exklusiv für Ihr Unternehmen, gehostet in deutschen Rechenzentren.
Für die NIS-2-Compliance bietet das entscheidende Vorteile: dedizierte Zugriffskontrollen, individuell konfigurierbare Sicherheitsrichtlinien und die vollständige Nachvollziehbarkeit aller Datenflüsse. Kombiniert mit DDoS Protection und Managed Services entsteht eine Infrastruktur, die den Anforderungen des BSI-Gesetzes nachweisbar gerecht wird.
NIS-2-Compliance-Check: So starten Sie mit NMMN
Wer jetzt noch keinen konkreten Plan hat, sollte nicht in Panik verfallen – aber zügig handeln. NMMN unterstützt Sie beim Einstieg in eine zertifizierte, NIS-2-konforme IT-Infrastruktur. Folgende Schritte bringen Sie auf den richtigen Weg:
- Betroffenheitsanalyse: Prüfen Sie anhand der Sektoren und Größenkriterien, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt. Das BSI bietet dafür auf seinem Portal eine entsprechende Betroffenheitsprüfung an.
- Infrastruktur-Audit: Wo stehen Ihre Systeme heute? Welche Abhängigkeiten bestehen? Welche Zertifizierungen fehlen? NMMN analysiert gemeinsam mit Ihnen den Ist-Zustand Ihrer IT-Infrastruktur.
- Registrierung beim BSI: Betroffene Unternehmen müssen sich über das Portal „Mein Unternehmenskonto“ (MUK) registrieren und anschließend das BSI-Portal für die Meldung von Sicherheitsvorfällen nutzen.
- Infrastruktur-Migration: Ob Colocation, Private Cloud oder eine hybride Lösung – NMMN plant und realisiert Ihre NIS-2-konforme Infrastruktur individuell, DSGVO-konform und in zertifizierten deutschen Rechenzentren.
- Laufende Compliance: NIS-2 ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Mit Managed Services übernimmt NMMN auf Wunsch das laufende Monitoring, Patch-Management und Security-Reporting – inklusive 24/7-Support!
Starten Sie Ihren NIS-2-Compliance-Check: Lassen Sie NMMN Ihre IT-Infrastruktur bewerten – kostenlos und unverbindlich.
Für Websites und Webanwendungen ergänzt das Managed CDN von NMMN den Infrastrukturschutz um eine Web Application Firewall (WAF) und Layer-7-DDoS-Schutz – damit auch raffinierte Angriffe auf Anwendungsebene abgewehrt werden.
Fazit: NIS-2 als Chance für echte Cyber-Resilienz
Ja, NIS-2 ist eine regulatorische Pflicht. Die Bußgelder sind saftig, die Haftung persönlich, die Fristen knapp. Aber wer die Richtlinie nur als Last betrachtet, übersieht das Potenzial.
Unternehmen, die NIS-2 ganzheitlich umsetzen, gewinnen mehr als nur Compliance. Sie gewinnen Resilienz gegen Cyberangriffe und IT-Ausfälle. Sie gewinnen Klarheit über ihre IT-Abhängigkeiten und Verantwortlichkeiten. Und Sie gewinnen Vertrauen – bei Kunden, Partnern und in der Lieferkette.
Die Cloud-Ausfälle des Jahres 2025 haben gezeigt, dass digitale Souveränität und physische Nähe zum Infrastrukturanbieter strategisch notwendig sind. NIS-2 formalisiert das, was kluge Unternehmen längst verstanden haben: Wer die Kontrolle über seine IT-Infrastruktur behält, behält die Kontrolle über sein Geschäft.
Bereit für die NIS-2-Ära? Nehmen Sie Kontakt zu den Experten von NMMN auf und machen Sie Cybersicherheit zur Stärke Ihres Unternehmens.
Lars Sommerfeldt
Geschäftsführer, NMMN