Die NIS2-Richtlinie erhöht europaweit die Anforderungen an Informationssicherheit und Cyber-Resilienz. Seit dem 6. Dezember 2025 ist NIS2 national wirksam – in Deutschland sind davon rund 30.000 Unternehmen betroffen. Und weil das Gesetz auch die Wahrung der IT-Sicherheit in der Lieferkette vorschreibt, werden viele Anforderungen voraussichtlich auch an nicht direkt betroffene Unternehmen „durchgereicht“.
Willis, ein Geschäftsbereich von WTW, unterstützt Unternehmen dabei, mit der Richtlinie NIS2 effizient, effektiv und risikoorientiert umzugehen – von der Betroffenheitsanalyse über die Planung operativer Maßnahmen bis zu deren Umsetzung. Dabei werden auch Synergien für die Cyber-Versicherung geschaffen.
Was NIS2 für Unternehmen bedeutet
Die Richtlinie verpflichtet Organisationen, ihre Sicherheitsstrukturen umfassend auszubauen. Dazu gehören:
- der Aufbau eines systematischen Informationssicherheits- und Risikomanagements,
- Nachweise über technische und organisatorische Maßnahmen die geeignet, verhältnismäßig und wirksam sind und
- Meldepflichten bei Sicherheitsvorfällen; die erste Meldung muss unverzüglich, binnen 24 Stunden erfolgen.
Unternehmen müssen ihre NIS2-Betroffenheit dabei eigenständig bestimmen; die Behörden informieren sie nicht aktiv.
NIS2-Compliance: der Ansatz von Willis
Für viele Unternehmen liegt die größte Herausforderung darin, zu bestimmen, was für sie geeignete, verhältnismäßige und wirksame Maßnahmen im Sinne des Gesetzes sind.
Durch unsere umfangreiche Erfahrung mit Cyber-Vorfällen kennen wir die Zusammenhänge zwischen Maßnahmen und Schadenauswirkungen, weshalb wir Unternehmen auf ihrem Weg zu angemessenen Maßnahmen gut zur Seite stehen können.
Dabei gehen wir in folgenden Schritten vor:
