Seit dem 6. Dezember 2025 ist die NIS2-Richtlinie in Deutschland geltendes Recht. Ein halbes Jahr später wird das Thema auf Führungsebene unserer Kunden erst richtig spannend – und das hat einen Grund.
Wir werden in den letzten Wochen immer öfter zu einem Punkt befragt, der in den allermeisten NIS2-Beiträgen im Netz nur theoretisch behandelt wird: der Netzwerksegmentierung. Was steckt eigentlich konkret hinter dieser Anforderung? Welche Zonen brauchen Sie? Welche Hardware? Wo machen mittelständische Unternehmen die typischen Fehler?
Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Dass es nun ein halbes Jahr später erst richtig zu greifen beginnt, liegt an drei Faktoren:
Erstens ging im Januar 2026 das BSI-Registrierungsportal live. Etwa 29.500 Unternehmen in Deutschland sind direkt betroffen – und müssen sich selbst einstufen, registrieren und nachweisbare Cybersicherheitsmaßnahmen vorhalten. Eine Übergangsfrist gibt es nicht, ebenso wenig wie eine Benachrichtigung durch die Behörden, ob man betroffen ist. Diese Pflicht liegt vollständig beim Unternehmen.
Zweitens sind die Sanktionen real: Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes. Hinzu kommt die persönliche Haftung der Geschäftsführung. BSI-Präsidentin Claudia Plattner hat es deutlich formuliert: Cybersicherheit ist mit NIS2 zur Chefinnen- und Chefsache geworden.
Drittens beginnt sich die Verwaltung gerade jetzt zu organisieren. Mitte März 2026 hat das BSI seine NIS-2-Checkliste veröffentlicht, FAQ und sektorspezifische Hinweise folgen kontinuierlich. Anders gesagt: Die Werkzeuge, mit denen geprüft wird, stehen den Behörden und Unternehmen erst seit wenigen Wochen konkret zur Verfügung. Wer jetzt handelt, ist vorne – wer wartet, riskiert nicht nur Bußgelder, sondern auch hektische Last-Minute-Projekte.
Die NIS2 verlangt zehn Risikomanagementmaßnahmen. Eine davon und für unser Thema die zentrale, ist die Netzsegmentierung.
Sehr verkürzt: Ihr Netzwerk darf nicht mehr eine große Halle sein, in der jeder Client jedes System erreichen kann. Sie müssen es risikobasiert in Zonen aufteilen, klare Grenzen zwischen vertrauenswürdigen und weniger vertrauenswürdigen Bereichen ziehen und den Datenverkehr zwischen diesen Zonen auf das Notwendige beschränken.
Die NIS2 verlangt unter anderem:
Das klingt zunächst sehr theoretisch. In der Praxis bedeutet es: Jeder Drucker, jede IP-Kamera, jeder Server, jeder Switch braucht einen klar definierten Platz im Netz – und die Berechtigungen zwischen diesen Plätzen müssen dokumentiert, durchgesetzt und überprüfbar sein.
Die Struktur bei einem NIS2-Projekt ist bewusst nicht für Großkonzerne entwickelt, sondern für Mittelständler mit 20 bis 250 Mitarbeitenden – also genau die Zielgruppe, die durch NIS2 zum ersten Mal vor solchen Anforderungen steht.
Ohne ein vollständiges Inventar geht gar nichts. Jedes Projekt startet mit der Frage: Was steht eigentlich in Ihrem Netz? Sie wären überrascht, wie häufig Geräte gefunden werden, von denen niemand mehr wusste – alte NAS-Systeme, vergessene Test-Server, IP-Telefonanlagen, IoT-Kameras vom letzten Umbau. Jedes dieser Geräte ist potenziell ein Einfallstor.
Konkret: alle Endgeräte, Server, Drucker, IoT- und OT-Komponenten, Switches, Access Points, Firewalls werden erfasst – und welche Software darauf läuft, in welcher Version. Diese Liste ist auch eine NIS2-Pflicht. Ohne sie können Sie keine Risikobewertung machen.
Welches System ist kritisch für den Geschäftsbetrieb? Welches enthält schutzwürdige Daten? Welches ist besonders angreifbar (etwa weil es alte Firmware hat)? Diese Bewertung entscheidet darüber, in welche Zone ein System gehört.
Im einfachsten Fall reicht eine Einteilung in hoch / mittel / niedrig – wichtig ist, dass die Bewertung nachvollziehbar dokumentiert ist. Audits prüfen nicht nur das Ergebnis, sondern auch den Weg dorthin.
Hier wird es konkret. Für die meisten Mittelständler hat sich ein Fünf-Zonen-Modell als praktikabel erwiesen:
1. Office-Zone: Arbeitsplatz-PCs, Notebooks, Drucker für die Mitarbeiter.
2. Server-/Produktivzone: Domänencontroller, ERP, Fileserver, kritische Anwendungen.
3. Management-Zone: Konfigurations-Interfaces von Switches, Firewalls, Access Points, Servern (BMC/iLO), USV-Management.
4. Gäste-/WLAN-Zone: Besucher-Netz, BYOD-Geräte, Mitarbeiter-Smartphones.
5. IoT-/OT-Zone: IP-Kameras, Türsteuerung, Drucker (falls netzwerkkritisch), Produktions- und Steuerungstechnik.
Je nach Branche kommen Spezialzonen dazu – etwa eine DMZ für extern erreichbare Dienste oder eine isolierte Backup-Zone. In Produktionsbetrieben ist die Trennung von IT- und OT-Netzen praktisch immer Pflicht.
Jede Zone bekommt ihre eigenen VLANs und IP-Bereiche. Das klingt trivial, ist aber oft genau die Stelle, an der es in gewachsenen Netzwerken kracht: Subnetze überlappen, VLAN-IDs sind doppelt vergeben, niemand weiß mehr, was hinter VLAN 17 eigentlich steht.
Wir empfehlen managed Switches, die VLANs sauber abbilden können – häufig aus dem Portfolio von LANCOM oder NETGEAR, je nach Anforderung und Budget. Unmanaged Switches verarbeiten keine VLAN-Tags. Überall, wo an einem Switch mehrere Zonen zusammenlaufen sollen, sind sie deshalb keine Option. An Stellen, an denen ausschließlich Geräte einer einzigen Zone hängen – etwa ein kleiner Switch unter dem Schreibtisch für zwei Office-PCs – bleiben sie dagegen unbedenklich.
Hier kommt der eigentliche Sicherheitsgewinn. VLANs allein trennen nur logisch – ohne Firewall-Regeln zwischen den Zonen ist die Segmentierung nahezu wertlos. Eine Next-Generation Firewall, etwa aus der SonicWall-NSa- oder TZ-Reihe, übernimmt diese Aufgabe als Inter-VLAN-Router mit Inspection. Wie Unternehmen die Anforderungen der NIS2 mit Lösungen von SonicWall umsetzen können, zeigen wir in unserem Blogbeitrag „So erreichen Sie Compliance mit SonicWall“.
Faustregel: Standardmäßig wird zwischen Zonen alles geblockt und es werden nur die wirklich nötigen Verbindungen freigeschaltet. Nicht andersherum. Das ist der Kern des Zero-Trust-Gedankens und entspricht direkt der NIS2-Anforderung, Zugriffe „auf das Notwendige zu beschränken".
In der Praxis bedeutet das: Office-PCs dürfen auf den Fileserver, aber nicht auf das Management-VLAN. Drucker dürfen Aufträge entgegennehmen, aber nicht ins Internet. Die Gästezone hat überhaupt keinen Zugriff auf interne Systeme, nur auf das Internet – über die Firewall, nicht direkt.
Das ist der Punkt, der bei NIS2-Audits regelmäßig zu Beanstandungen führt, weil ihn fast jeder unterschätzt. Die Konfigurations-Oberflächen Ihrer Switches, Firewalls, Access Points, NAS-Systeme und USVs sind für Angreifer das attraktivste Ziel überhaupt – wer hier reinkommt, kontrolliert die Infrastruktur. Genau deshalb fordert die NIS2 ausdrücklich, Verwaltungsnetze vom operativen Netz zu trennen.
Praktisch heißt das: Eigenes VLAN, eigener IP-Bereich, Zugriff nur über einen Jump-Host mit Mehr-Faktor-Authentifizierung oder über einen dedizierten Admin-Arbeitsplatz. Kein Web-Interface eines Switches darf einfach so vom Office-PC eines Sachbearbeiters erreichbar sein.
Was nicht dokumentiert ist, existiert für einen Auditor nicht. Sie brauchen ein aktuelles Netzwerkdiagramm, eine Zonen- und VLAN-Übersicht, dokumentierte Firewall-Regeln und einen festen Zeitraum, in dem Sie die Wirksamkeit überprüfen. Die NIS2 schreibt diese Überprüfung in festen Intervallen vor – mindestens einmal jährlich ist ein vernünftiger Richtwert.
1. VLANs ohne Firewall dazwischen. Die Trennung existiert auf dem Papier, im Switch-Konfigurationsdialog – aber zwischen den Zonen passiert keine Inspection. Schadsoftware, die ein Office-Notebook befällt, kann sich trotzdem ungehindert ausbreiten.
2. Drucker und IoT-Geräte im Office-VLAN. Drucker, IP-Kameras und smarte Türsensoren sind notorisch unsicher – häufig mit alter Firmware, festen Standard-Passwörtern und einer Lebensdauer jenseits jeglichen Sicherheits-Supports. Sie gehören in ein eigenes Segment, nicht zwischen die Mitarbeiter-Geräte.
3. Backup-Server im Produktiv-VLAN. Wird ein Produktivsystem durch Ransomware verschlüsselt, ist das Backup bei dieser Konstellation in der Regel mit erwischt. Das Backup-System gehört in eine eigene Zone mit unidirektionalem Datenfluss – schreibend von außen, lesend nur durch Admins mit dediziertem Zugang.
4. Externe Dienstleister mit Office-VPN-Zugang. Servicepartner, IT-Dienstleister, Wartungsfirmen – sie brauchen häufig nur Zugriff auf einen einzelnen Server, bekommen aber Zugang zum kompletten Office-Netz. Hier hilft eine eigene Dienstleister-Zone mit minimalen Berechtigungen, ideal kombiniert mit Zero-Trust-Lösungen wie SonicWall Cloud Secure Edge.
5. Management-Interfaces in der Standard-Zone. Siehe Schritt 6 oben. Die Verwaltungsnetze müssen vom operativen Netz getrennt werde.
Eine NIS2-konforme Segmentierung steht und fällt mit der eingesetzten Technik. Drei Komponenten sind dafür entscheidend:
Wer tiefer in die Möglichkeiten von SonicWall im NIS2-Kontext einsteigen möchte, dem empfehlen wir den hauseigenen Leitfaden Navigating NIS2: SonicWall's Guide to Compliance – ein kostenloses Dokument, das die wichtigsten Anforderungen und passende Lösungen kompakt zusammenfasst.
Unternehmen, die ein NIS2-Audit erfolgreich bestehen, halten in der Regel folgende Unterlagen vollständig und nachvollziehbar bereit:
Das BSI stellt unter bsi.bund.de eine Reihe von Checklisten und Onepagern bereit, die wir Ihnen für die Vorbereitung wärmstens empfehlen.
Die Richtlinie ist bereits gesetzlich festgelegt und die Behörden bereiten die Umsetzung vor. Gleichzeitig steigt der Aufwand für eine saubere Netzwerksegmentierung, wenn Inventarisierungen fehlen und unübersichtliche Strukturen nicht bereinigt werden.
Wenn Sie unsicher sind, wo Ihr Unternehmen bei NIS2 steht oder wie Sie Ihre Netzwerksegmentierung pragmatisch ans Ziel bringen: Sprechen Sie uns an. Wir bieten eine kostenlose Erstberatung zur NIS2-Netzwerksegmentierung an, in der wir gemeinsam einen groben Status Quo aufnehmen und Sie wissen, wo Sie stehen.
Jetzt unverbindlich Kontakt aufnehmen
