Čeština English Deutsch
Kundenportal
New Telekom
Startseite Über uns Dienstleistungen Blog Kontakt

Sprache

🇨🇿 CZ 🇬🇧 EN 🇩🇪 DE
Kundenportal
Kontakt aufnehmen
Startseite Blog NIS2 und das neue Cybersicherheitsgesetz: Der vollständige Leitfaden für Unternehmensnetzwerke im Jahr 2026
IT-Sicherheit

NIS2 und das neue Cybersicherheitsgesetz: Der vollständige Leitfaden für Unternehmensnetzwerke im Jahr 2026

NT
New Telekom
New Telekom Expertenteam
NIS2 und das neue Cybersicherheitsgesetz: Der vollständige Leitfaden für Unternehmensnetzwerke im Jahr 2026

Die NIS2-Richtlinie und das darauf aufbauende neue Cybersicherheitsgesetz, das 2026 in Kraft tritt, verändern die technischen und prozessualen Anforderungen an die Unternehmenskonnektivität in der Tschechischen Republik grundlegend. Der Einsatz moderner Netzwerktechnologien wie SD-WAN und CloudConnect ermöglicht es Unternehmen, die strengen NÚKIB-Standards zu erfüllen, eine End-to-End-Verschlüsselung mit AES-256 sicherzustellen und eine Zero-Trust-Architektur für maximalen Schutz der Lieferketten zu implementieren.

Warum ist die NIS2-Richtlinie für Lieferketten im Jahr 2026 von kritischer Bedeutung?

Die Europäische Richtlinie EU 2022/2555 (bekannt als NIS2) stellt den bisher umfassendsten gesetzlichen Rahmen für Cybersicherheit dar. Ihre volle Durchsetzbarkeit durch nationale Behörden – in der Tschechischen Republik vertreten durch die Nationale Behörde für Cyber- und Informationssicherheit (NÚKIB) – bedeutet 2026 die Verpflichtung zur Absicherung nicht nur von Schlüsselsystemen, sondern der gesamten Infrastruktur der Lieferkette.

Auswirkungen auf Lieferanten in regulierten Sektoren

Unternehmen, die in die Lieferkette kritischer Infrastrukturen eingebunden sind, müssen nachweislich Sicherheitsstandards erfüllen.
  • Betrifft rund 6.000 bis 10.000 Unternehmen innerhalb der Tschechischen Republik
  • Erfordert die Anwendung der Standards ISO/IEC 27001 und ISO/IEC 27002 auf die Netzwerkinfrastruktur
  • Verpflichtung, Vorfälle im Bereich der Cybersicherheit innerhalb von 24 Stunden nach Entdeckung an das NÚKIB zu melden
  • Führt das Prinzip des proaktiven Schutzes und der kontinuierlichen Schwachstellenprüfung ein

Ein Paradigmenwechsel in der Netzwerksicherheit

Der traditionelle Perimeterschutz durch eine zentrale Firewall ist gesetzlich nicht mehr ausreichend. Die Sicherheit muss vielmehr über die gesamte Netzwerktopologie verteilt werden.
  • Notwendigkeit zur Implementierung einer Mikrosegmentierung innerhalb von lokalen Netzwerken (LAN)
  • Übergang zu einer Zero Trust Network Access (ZTNA)-Architektur
  • Strenge Isolierung des Datenverkehrs von kritischen Anwendungen (z. B. SCADA / ICS-Systeme)
  • Verschlüsselung aller Datenübertragungen über öffentliche (Internet) und private Netzwerke (MPLS)

Welche spezifischen technischen Anforderungen stellt das neue Cybersicherheitsgesetz an Unternehmensnetzwerke?

Das neue Cybersicherheitsgesetz (ZoKB), das die NIS2-Richtlinie widerspiegelt, schreibt die Implementierung technischer Gegenmaßnahmen vor, um definierte Risiken zu mindern. Organisationen, die strengeren Verpflichtungen unterliegen, müssen kryptografische Mittel und Intrusion-Detection-Systeme einsetzen sowie die Redundanz von Netzwerkrouten für die Geschäftskontinuität gewährleisten.

Anforderungen an den kryptografischen Schutz

Die Datenverschlüsselung bei der Übertragung (Data in Transit) ist der Grundpfeiler des Schutzes gegen Lauschangriffe (Man-in-the-middle-Angriffe).
  • Verwendung des Verschlüsselungsstandards von mindestens AES-256 für alle externen Datentunnel
  • Konfiguration von IPsec-Protokollen (Internet Protocol Security) mit IKEv2-Schlüsselaustausch
  • Ausschluss veralteter Hashing-Algorithmen (MD5, SHA-1) und ausschließlicher Übergang auf SHA-384 oder SHA-512
  • Absicherung von Routing-Protokollen, wie beispielsweise Nachbar-Authentifizierung in BGP und OSPF

Anforderungen an Überwachung und Vorfallerkennung

Ohne volle Transparenz des Netzwerkverkehrs kann die gesetzliche Pflicht zur Erkennung und Meldung von Vorfällen nicht erfüllt werden.
  • Einsatz von IDS/IPS-Systemen (Intrusion Detection/Prevention System) an allen Netzwerkrandgeräten (Edge Devices)
  • Kontinuierliche Sammlung von Netzwerk-Telemetriedaten (z. B. über NetFlow oder IPFIX)
  • Zentrale Protokollierung und Log-Korrelation mittels SIEM-Tools (Security Information and Event Management)
  • Automatisierte Anomalie-Analysen unter Nutzung von Signaturen, die durch NÚKIB-Datenbanken und CERT/CSIRT-Teams freigegeben werden

Wie erfüllt die SD-WAN-Technologie die Sicherheitsanforderungen der NIS2-Richtlinie?

Die SD-WAN-Technologie (Software-Defined Wide Area Network) ist im Jahr 2026 der effektivste Weg, um Sicherheitsrichtlinien flächendeckend über verteilte Unternehmensstandorte zu implementieren. Wir bei Newtel empfehlen diese Architektur als zentralen Baustein zur Erfüllung der Anforderungen an Ausfallsicherheit und Redundanz.

Trennung von Control- und Data-Plane

Die SD-WAN-Architektur zentralisiert die Verwaltung und eliminiert dadurch menschliche Fehler bei der Konfiguration einzelner Endgeräte in Filialen.
  • Ein zentraler Orchestrator definiert die Sicherheitsrichtlinien für das gesamte Netzwerk von einem einzigen Punkt aus
  • Automatische Rotation der IPsec-Verschlüsselungsschlüssel ohne Eingreifen eines Administrators
  • Sofortige Verteilung aktualisierter Sicherheitsregeln (sogenannte Firewall-Richtlinien) an alle Endpunkte innerhalb von Sekunden
  • Völlige Unabhängigkeit von der physischen Transportschicht (Glasfaser, 5G, CETIN-Infrastruktur, Satellitenverbindungen)

SASE-Integration und Applikations-Firewall

Die Kombination von SD-WAN mit dem SASE-Konzept (Secure Access Service Edge) ermöglicht eine umfassende Untersuchung des Netzwerkverkehrs direkt am Netzwerkrande (Edge).
  • Deep Packet Inspection (DPI) zur Identifizierung von schädlichen Inhalten, selbst im verschlüsselten Datenverkehr
  • Automatisches Blockieren des Zugriffs auf C&C-Server (Command and Control) von Botnetzen
  • Anwendung von QoS-Regeln (Quality of Service) zur Priorisierung kritischer Anwendungsströme (z. B. VoIP, ERP-Systeme)
  • Segmentierung des Netzwerkverkehrs über VRF (Virtual Routing and Forwarding) auf Ebene einzelner Abteilungen oder Tochtergesellschaften

Was ist der Unterschied zwischen einem traditionellen Unternehmensnetzwerk und einem SD-WAN-Ansatz mit SASE?

Die traditionelle Hub-and-Spoke-Topologie, bei der jeglicher Netzwerkverkehr aus Zweigstellen zur Sicherheitsüberprüfung über MPLS in die Zentrale geleitet wurde, ist im Zeitalter der Cloud unzureichend. Der SD-WAN-Ansatz bringt die Sicherheit direkt zum Endanwender.
BewertungsparameterTraditionelles Netzwerk (MPLS + VPN)SD-WAN + SASE
In-Transit DatenverschlüsselungOft abhängig von internem NetzwerkvertrauenStandardmäßig End-to-End (AES-256)
Zero-Trust-Anwendung (ZTNA)Schwer umsetzbar, perimeterbasierter AnsatzNative Unterstützung, Überprüfung jeder Sitzung
Reaktion auf VerbindungsausfallAusfall von 30–120 s (BGP-Konvergenz)Umschaltung in Sekundenbruchteilen
KapazitätskostenHohe Preise für dedizierte StandleitungenOptimierung (Internet + 5G)
AnwendungstransparenzNur L3/L4 (IP-Adressen, Ports)Volle L7-Sichtbarkeit (SaaS)

Wie implementiert man CloudConnect für eine sichere Verbindung zu Cloud-Diensten?

Da sich die meisten Unternehmensdaten heute außerhalb von lokalen Rechenzentren befinden, legt die NIS2-Richtlinie großen Wert auf die Absicherung des Zugriffs auf Cloud-Betreiber (CSP). Der CloudConnect-Dienst ermöglicht die Schaffung einer dedizierten, privaten Verbindung, die das öffentliche Internet gänzlich meidet und das Risiko von DDoS-Angriffen eliminiert.

1. Entwurf der Topologie und Auswahl der Verbindungs-Knoten

Im ersten Schritt analysieren wir die Datenflüsse zu Plattformen wie Microsoft Azure, Amazon Web Services (AWS) oder der Google Cloud Platform (GCP).
  • Identifizierung der kritischen Cloud-Workloads, die unter das ZoKB fallen
  • Auswahl des optimalen Peering-Centers (z. B. NIX.CZ in Prag, DE-CIX in Frankfurt)
  • Zuteilung einer garantierten Bandbreite (in der Regel im Bereich von 100 Mbit/s bis 10 Gbit/s)
  • Sicherstellung physischer Georedundanz (Führung von Glasfasertrassen in getrennten geografischen Korridoren)

2. Konfiguration dezidierter L2/L3-Leitungen

Der Zusammenschluss wird auf der Netzwerkebene ohne Zugang zum öffentlichen Internet umgesetzt.
  • Einrichten eines VLAN (Virtual Local Area Network), das ausschließlich für Cloud-Traffic reserviert ist
  • Konfiguration eines Dienstes vom Typ Azure ExpressRoute oder AWS Direct Connect
  • Ausrollen von MACsec (Media Access Control Security) zur L2-Verschlüsselung der optischen Strecke
  • Integration in die bestehende BGP-Topologie des Unternehmens

3. Einführung von Sicherheitsrichtlinien und Audits

Die Verbindung muss kontinuierlich überwacht werden, um die Einhaltung (Compliance) von NIS2 zu gewährleisten.
  • Anwendung von Firewall-Richtlinien an der Schnittstelle zwischen Unternehmensnetzwerk und Cloud-Umgebung
  • Sammeln von Telemetriedaten von Cloud-Schnittstellen in das unternehmensweite SIEM-System
  • Verhindern von asymmetrischem Routing sowie das Vorbeugen gegen Leckagen in den Routingtabellen (Route Leaks)
  • Regelmäßiger Penetrationstest des Cloud-Perimeters laut NÚKIB-Methodik

Wie viel kostet die Migration eines Unternehmensnetzwerks auf eine NIS2-konforme Architektur?

Die Kosten für die Netzwerktransformation hängen von der Anzahl der Filialen, dem Datenflussvolumen und dem Grad der Redundanz ab. Die angegebenen Beträge sind Schätzwerte für das Jahr 2026.
LösungskomponenteCAPEX (Einmalig)OPEX (Monatlich)
Zentraler SD-WAN-Orchestrator45.000 – 120.000 CZK15.000 – 35.000 CZK
Edge-Router (pro Zweigstelle)18.000 – 55.000 CZK3.000 – 8.000 CZK
CloudConnect (1 Gbit/s Leitung)15.000 – 30.000 CZK8.000 – 25.000 CZK
SIEM / Log-Management80.000 – 250.000 CZK20.000 – 60.000 CZK
Auditierung & Reporting nach ZoKB0 CZK (im Projektumfang)12.000 – 30.000 CZK

Was sind reelle Sanktionen bei Nichteinhaltung der Cybersicherheit nach dem ZoKB?

Das Cybersicherheitsgesetz führt drastische Strafen ein, die ein Unternehmen existenziell bedrohen können. Diese Geldstrafen spiegeln die Grundsätze der DSGVO wider und werden je nach Umfang und Auswirkung des Sicherheitsvorfalls verhängt.

Finanzielle und operative Strafmaßnahmen

Außerordentlich hohe Bußgelder sollen sicherstellen, dass Unternehmen Sicherheitsempfehlungen nicht ignorieren und die Geldbuße nicht einfach als Betriebsausgaben abbuchen können.
  • Die Höchststrafe kann 10 Millionen Euro bzw. 2 % des weltweiten Jahresumsatzes des Unternehmens betragen (je nachdem, welcher Betrag höher ist)
  • Möglichkeit der Suspendierung von Mitgliedern eines Vertretungsorgans (Geschäftsführer) wegen grober Fahrlässigkeit
  • Für Zulieferer in der Lieferkette droht der sofortige Ausschluss aus Ausschreibungen sowie die Stornierung von Verträgen durch regulierte Partner
  • Das NÚKIB hat die Befugnis, das Aussetzen von Zertifizierungen zu veranlassen, die für die Ausübung der Tätigkeit einer Organisation zwingend erforderlich sind

Häufig gestellte Fragen

Gilt die NIS2-Richtlinie auch für kleinere Subunternehmer, die nicht zur kritischen Infrastruktur gehören?

Ja, die NIS2-Richtlinie regelt ausdrücklich die Sicherheit der Lieferkette (Supply Chain Security). Wenn Ihr Unternehmen ein direkter Lieferant von IT-Dienstleistungen, Komponenten oder Service-Support für eine Organisation ist, die der Regulierung durch das NÚKIB unterliegt (z. B. Energieversorgung, Bankwesen, Gesundheitswesen), so müssen Sie die entsprechenden Sicherheitsstandards erfüllen; andernfalls darf der regulierte Betreiber keinen Vertrag mit Ihnen schließen.

Kann eine SD-WAN-Bereitstellung unsere bestehenden MPLS-Leitungen vollständig ersetzen?

In den meisten Fällen ja. Die SD-WAN-Technologie nutzt fortschrittliche Algorithmen zur Fehlerkorrektur (Forward Error Correction) sowie Bandbreitenbündelung. Dadurch können aus handelsüblichen Breitbandanschlüssen (VDSL, Glasfaser, 5G) äußerst robuste Verbindungen aufgebaut werden, deren Leistungsparameter denjenigen privater MPLS-Schaltungen ebenbürtig oder überlegen sind. Gleichzeitig liefert SD-WAN nativ eine 256-Bit-Verschlüsselung, etwas, das traditionelle MPLS in Standardausführung nicht anbietet.

Worin besteht der Unterschied zwischen einem herkömmlichen IPSec-Tunnel und einer Verbindung via CloudConnect?

Ein regulärer IPsec-Tunnel wird über das öffentliche Internet aufgebaut. Dies bedeutet, dass der Netzwerkverkehr Latenzschwankungen (Jitter), Durchsatzvariabilität und der Gefahr eines Denial-of-Service (DDoS) unterliegt. CloudConnect greift hingegen auf physisch reservierte Leitungen in den Backbone-Netzen der Telekommunikationsbetreiber zu, welche das Rechenzentrum des Unternehmens auf direktem Wege mit dem Port des Cloud-Anbieters koppeln. Als Resultat erhält man garantierte Latenzzeiten unter 5 Millisekunden, eine überlegene Sicherheit auf der L2-Ebene und eine strikte Trennung vom öffentlichen Internet.

Was bedeutet die Einführung einer Zero-Trust-Architektur (ZTNA) in der Praxis?

In der Praxis bedeutet Zero Trust, dass von der Prämisse eines vertrauenswürdigen internen Netzwerkes abgerückt wird. Wenn also beispielsweise ein Mitarbeiter via LAN im Büro angemeldet ist, hat er nicht automatisch Zugang zu Firmenservern. Für jede einzelne Verbindungsanfrage (ob lokal oder in der Cloud) muss zunächst die Benutzeridentität geprüft werden, gefolgt von der Überprüfung des Sicherheitsstatus auf dem Endgerät (wie laufende Antiviren-Software) und anschließend findet eine kontextuelle Begutachtung statt.

Wie lange dauert ein Audit und die Netzwerkmigration zu einem „NIS2 konformen“ Zustand?

Eine umfassende Transformation der Netzwerkinfrastruktur hin zu einem gesetzeskonformen Stand nimmt typischerweise 3 bis 6 Monate in Anspruch. Dieser Vorgang umfasst die initiale Abweichungsanalyse (Gap Analysis) nach den Standards ISO/IEC 27001, den Entwurf des Systemdesigns (Low Level Design, LLD), die konkrete Bereitstellung von Hard- und Softwarekomponenten (wie SD-WAN Firewalls) und zuletzt den Penetrationstest sowie den Nachweis zur Validierung. Aufgrund eines europaweiten Mangels an zertifizierten Netzwerkingenieuren raten wir nachdrücklich davon ab, die Migration bis kurz vor dem Stichtag aufzuschieben.

Fazit

Die Erfüllung der Vorgaben der NIS2-Richtlinie und des neuen Cybersicherheitsgesetzes erfordert von tschechischen IT-Zulieferern die Abkehr von veralteten Netzwerkkonzepten. Die Implementierung einer zentral verwalteten Infrastruktur, die sich durch Mikrosegmentierung, fortschrittliche Verschlüsselung und detaillierte Analysewerkzeuge auszeichnet, wird bis 2026 unverzichtbar. Bei New Telekom prüfen, konzipieren und erstellen wir seit über 20 Jahren Hochsicherheitsnetze für Unternehmen. Vereinbaren Sie eine Beratung für das Design Ihres Firmennetzwerkes und schützen Sie Ihre Lieferketten vor ernstzunehmenden NÚKIB-Sanktionen oder dem Verlust wichtiger Auftraggeber. Der Artikel wurde vom Expertenteam der New Telekom s.r.o. verfasst. Die präsentierten Informationen geben die gesetzliche Lage mit Stand März 2026 wieder.

Verwendete Quellen und Gesetzestexte

  1. Richtlinie des Europäischen Parlaments und des Rates (EU) 2022/2555 (NIS2) vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union.
  2. Nationale Behörde für Cyber- und Informationssicherheit (NÚKIB) – Entwurf und Wortlaut des neuen Cybersicherheitsgesetzes.
  3. ČSN EN 50600 - Informationstechnik - Einrichtungen und Infrastrukturen von Rechenzentren.
  4. ISO/IEC 27001:2022 – Informationssicherheits-Managementsysteme (ISMS).
  5. ISO/IEC 27002:2022 – Leitfaden für Informationssicherheits-Maßnahmen.
  6. Verordnung des Europäischen Parlaments und des Rates (EU) 2016/679 (DSGVO) – im Hinblick auf den Schutz der Vertraulichkeit und Integrität bei der Übertragung personenbezogener Daten.
Zurück zum Blog