NIS2-Umsetzung ab 2026: Diese 5 Branchen trifft es am stärksten

München, 4. Dezember 2025 - Die Bundesregierung hat die Umsetzung von NIS2 beschlossen, das Gesetz soll Anfang 2026 in Kraft treten. Für Unternehmen bedeutet das: Cybersicherheit macht auf der Prioritätenliste noch einmal einen gewaltigen Sprung nach oben. Die Cybersecurity-Experten von Obrela zeigen, welche Branchen besonders betroffen sind.

Eine der gravierendsten Änderungen von NIS2 betrifft den deutlich erweiterten Geltungsbereich: Neben klassischen KRITIS-Betreibern rücken nun auch zahlreiche Industrie-, Technologie- und Dienstleistungsbranchen in den Fokus. Insgesamt sind damit rund 30.000 Unternehmen in Deutschland erfasst.

Die Richtlinie unterscheidet dabei zwischen "wesentlichen" und "wichtigen" Einrichtungen. Wesentlich sind Organisationen, deren Ausfall die Grundversorgung oder die öffentliche Sicherheit unmittelbar gefährdet. Wichtig sind dagegen Unternehmen, deren Ausfall kritisch, aber nicht sofort versorgungsrelevant ist - etwa Medizintechnik-, Elektronik- oder Maschinenbauer, Lebensmittelproduzenten oder Forschungseinrichtungen.

Fünf Sektoren, die NIS2 besonders fordert
Entscheidend ist jedoch weniger die Frage, ob ein Unternehmen unter NIS2 fällt, sondern wie stark es die neuen Vorgaben spürt. Branchen mit verteilten OT-Systemen, tiefen Dienstleisterketten oder hohen Versorgungsrisiken stehen vor besonders hohem Aufwand. In der Umsetzung zeigt sich: Fünf Sektoren trifft es deutlich härter als den Rest - aufgrund ihrer Strukturen, Abhängigkeiten und operativen Kritikalität.

1. Energieversorgung (Strom, Gas, Wasser, Fernwärme)
Der Energiesektor ist durch die Energiewende einer der am stärksten digitalisierten OT-Sektoren in Deutschland. Smart-Meter-Gateways, automatisierte Laststeuerung, digitale Netzleittechnik und tausende dezentral angebundene Erzeuger treffen hier auf jahrzehntealte OT-Anlagen. Dieser Mix schafft eine Angriffsfläche, die Angreifer gezielt ausnutzen: Laut Digital Universe Report H1 2025 von Obrela entfallen 27 % der Sicherheitsvorfälle auf externe Angriffe.

Dass der Druck steigt, zeigt sich u. a. bei Stadtwerken: In fast jedem Landkreis betreiben kleine Energie- und Wasserbetriebe Netze mit knappen Teams, begrenzten Budgets und zunehmend digital verteilten Anlagen - von Ladeinfrastruktur bis Photovoltaikfeldern. Sie müssen dieselben NIS2-Pflichten erfüllen wie Großversorger, verfügen aber kaum über die Ressourcen, um ihre OT- und IT-Landschaften vollständig zu überblicken. Für sie bedeutet NIS2 vor allem: Transparenz in verteilten OT-Netzen schaffen und Bedrohungen erkennen, bevor Leitstellen, Versorgungsnetze oder Kundendaten betroffen sind.

2. Gesundheitssektor (Krankenhäuser und Gesundheitseinrichtungen)
Finanziell motivierte Ransomware-Gruppen wie FIN12 oder Conti-nahe Akteure wissen um den Druck in Kliniken und Gesundheitseinrichtungen. Intensivstationen, OP-Planung und Patientenmanagement sind überwiegend digital organisiert. Das Einschleusen von Malware - 25 % aller Vorfälle - gefährdet hier nicht nur Daten, sondern unmittelbar Menschenleben. Wie gefährlich dieser Grad der Vernetzung ist, gerät im hektischen Klinikalltag leicht aus dem Blickfeld: Auf Station greifen mehrere Personen auf ein Gerät zu (Shared Devices), Zugänge werden von der nächsten Schicht übernommen und kritische Situationen verlangen notgedrungen Workarounds. Entsprechend hoch ist der Anteil an Verstößen gegen interne Sicherheitsvorgaben - rund 20 % aller Vorfälle.

Hinzu kommt, dass viele Medizingeräte technisch überholt sind. Alte Bildgebungsgeräte wie MRTs oder CTs laufen beispielsweise auf ungepatchten Windows-Versionen. Ein Laborgerät hängt in einem separaten VLAN, mit unbekanntem Betriebssystem oder Patchlevel. Viele Kliniken wissen schlicht nicht, welche Geräte im Netz hängen, welche Softwareversionen laufen, welche Remote-Zugänge existieren und wo veraltete Komponenten stehen. Für Krankenhäuser bedeutet NIS2 deshalb vor allem: MedTech-Landschaften transparent machen und privilegierte Zugänge - auch von Herstellern - strikt kontrollieren.

3. Industrielle Produktion (Fertigung, Maschinen- und Anlagenbau)
In der fertigenden Industrie sind Stillstände, Lieferunterbrechungen und lange Wiederanlaufzeiten längst reale Szenarien. 7 % aller beobachteten Vorfälle entfallen auf diesen Sektor - rund 800 Angriffe allein im ersten Halbjahr 2025. Die Spannbreite reicht von kompromittierten Bediener-Accounts über Manipulationen an Maschinenabläufen bis zu Eingriffen in Logistikprozesse oder unerlaubten Änderungen an Steuerungssystemen. Die Motive dahinter reichen von finanziellen Interessen bis zu gezielter Betriebsspionage.

Ein Kernproblem: Klassische OT wurde nie für das Internet gebaut. Viele Steuerungen laufen seit Jahrzehnten, sind kaum patchbar oder basieren noch auf Windows XP Embedded. Gleichzeitig hängen heute IIoT-Sensorik, Cloud-Dienste, MES- und ERP-Systeme am selben Netz. Der zweite Schwachpunkt ist die globale Lieferkette: Hersteller werden selten direkt angegriffen, sondern über Umwege - manipulierte Software-Updates, kompromittierte Logistikpartner oder unsichere Remote-Zugänge von Wartungsfirmen. Genau deshalb setzt NIS2 einen besonderen Schwerpunkt auf Lieferkettenkontrollen.

4. Finanzsektor (Banken, Zahlungsdienste, Finanzinfrastrukturen)
Die Finanzbranche zählt zu den lukrativsten und mit 19 % aller beobachteten Vorfälle auch zu den betroffensten Zielen für Cyberangriffe. Allein im ersten Halbjahr 2025 verzeichnete Obrela 2.150 Attacken - also rein rechnerisch alle zwei Stunden ein Angriff. Besonders auffällig: 32 % der Vorfälle sind sektorspezifisch, also präzise auf Finanzsysteme zugeschnitten. Dazu zählen unautorisierte Zugriffe auf Transaktionsplattformen, Manipulationen in Zahlungs- und Handelsprozessen bis hin zu Web-Injection-Angriffe, die Zugangsketten für späteren Betrug aufbauen.

Der Druck entsteht vor allem durch die Architektur der Finanz-IT: Jahrzehntelang gewachsene Kernbankensysteme (COBOL) treffen auf moderne API-Chains, Cloud-Dienste und ausgelagerte Zahlungsprozesse. Host-Systeme, Middleware-Schichten, Kartenabwicklung, SWIFT-Anbindungen, Marktinterfaces - all das hängt über hunderte Schnittstellen zusammen. Schon ein einzelner kompromittierter Dienstleister oder eine fehlerhafte API reicht, um in hochkritische Systeme vorzudringen. NIS2 adressiert genau diese Schwachstellen: Dienstleister und Cloud-Anbieter strikt auditieren, privilegierte Zugänge härten, maschinenbasierte Identitäten absichern und Zahlungsströme in Echtzeit auf Anomalien prüfen.

5. Transport (Luftfahrt, Eisenbahnverkehr, Straßenverkehr, Schifffahrt)
Der Transportsektor gehört in NIS2 zu den "wesentlichen Einrichtungen" - und das aus gutem Grund. Die Abläufe hängen an einem dichten Netz aus Betriebssteuerung, Disposition, Fracht-Tracking und Wartungsprozessen, von denen viele über externe Dienstleister laufen. 28 % der beobachteten Vorfälle betreffen Malware, oft dort, wo Systeme nur selten aktualisiert werden - etwa in Routen- oder Ladeplanungssoftware.

Besonders anspruchsvoll wird die Umsetzung von NIS2 durch die Kombination aus stark regulierten Alt-Systemen und einer außergewöhnlich hohen Zahl externer Schnittstellen. Viele zentrale Anwendungen - von Leit- und Dispositionssoftware bis zu Flughafen- oder Cargo-Systemen - unterliegen strengen Zertifizierungen, weshalb Updates nur selten und mit langen Freigabeprozessen möglich sind. Gleichzeitig stützen sich Bahn-, Airline- und Logistikbetreiber auf ein dichtes Geflecht aus Wartungsfirmen, Abfertigern und technischen Dienstleistern mit direktem Zugriff auf operative Systeme oder Datenflüsse. Diese Breite der Integrationen macht selbst kleine Änderungen koordinations- und dokumentationsintensiv.

NIS2 wird für viele Unternehmen vor allem eines: ein Ressourcenproblem. "Wir erleben das immer wieder: Viele Organisationen scheitern nicht an der Technik, sondern an fehlender Transparenz, begrenzten Teams und der Vielzahl an Schnittstellen", erklärt Stefan Bange, Managing Director Germany bei Obrela. "NIS2 verlangt durchgängiges Monitoring und schnelle Reaktionsfähigkeit - Anforderungen, die viele Unternehmen nur mit externen Partnern rund um die Uhr abdecken können."

Security-as-a-Service-Modelle bieten hier eine realistische Entlastung. Externe Partner übernehmen Aufgaben wie Managed Detection and Response (MDR), Managed Risk and Controls (MRC), die Pflege zentraler Sicherheitsrichtlinien sowie die Bewertung neuer Schwachstellen. "So entstehen klare Verantwortlichkeiten, ein durchgängiger Überblick über Risiken und eine Reaktionsfähigkeit, die rund um die Uhr funktioniert. Das sind alles Voraussetzungen, die NIS2 jetzt verpflichtend macht und viele Organisationen aus eigener Kraft nur schwer erfüllen können."

(Bildquelle: (Obrela/Canva))

---

04. Dezember 2025 | ID: 5171 | Artikel löschen | Firmen- & Pressekontakt