Skip to content

NIS2 ist da – Hurra!

Posted byMarkus OlbringPosted inBlogpost, Datenschutz & Informationssicherheit, Markus OlbringTags:, , , ,

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland offiziell in Kraft. Deutschland hat damit die EU-Richtlinie NIS2 in nationales Recht überführt. Ziel ist es, die Cybersicherheit in Europa spürbar zu stärken und ein einheitliches hohes Sicherheitsniveau für Netz- und Informationssysteme sicherzustellen.

Unternehmen müssen die Anforderungen ohne Übergangsfrist erfüllen – sofortige Maßnahmen sind also erforderlich.

Erweiterter Geltungsbereich

Das Gesetz betrifft nun deutlich mehr Organisationen als die frühere KRITIS-Regulierung. Neben klassischen und etablierten Betreibern kritischer Infrastrukturen (KRITIS) sind jetzt auch Unternehmen aus folgenden Branchen betroffen:

  • Transport und Verkehr
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Verarbeitendes Gewerbe / Herstellung von Waren (z.B. Maschinenbau, Medizingerätehersteller, Fahrzeugbau)
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Digitale Infrastruktur, Anbieter digitaler Dienste und Informationstechnologie (Digitale Dienste, Cloud-Anbieter und Managed Service Provider)
  • Weltraum
  • Forschung
  • Gesundheit
  • Wasser
  • Finanzwesen
  • Energie
  • Telekommunikation

Betroffen sind Unternehmen mit mindestens 50 Beschäftigten oder mehr als 10 Mio. € Jahresumsatz und Jahresbilanzsumme größer 10 Mio €. Schätzungsweise rund 29.500 Unternehmen in Deutschland fallen unter die neuen Bestimmungen. Hinzu kommen die Unternehmen, die z.B. im Rahmen einer Lieferkette nur mittelbar betroffen sind, da die Umsetzung der Maßnahmen von Kunden / Interessenten eingefordert werden könnte.

Zu den zentralen Anforderungen gehören:

  • Aufbau und Pflege eines Informationssicherheits-Managementsystems (ISMS).
  • Regelmäßige Risikobewertungen und Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen.
  • Meldung von Sicherheitsvorfällen an das BSI (Bundesamt für Sicherheit in der Informationstechnik) innerhalb fest definierter und sehr kurzer Fristen.
  • Absicherung der Lieferketten und Überwachung von Dienstleistern.
  • Schulung der Mitarbeitenden und Aufbau von Awareness-Programmen.
  • Schulung der Geschäftsleiter, denen die Gesamtverantwortung obliegt.
  • Dokumentations- und Nachweispflicht.

Damit steigt die Cyber-Resilienz auf ein neues Niveau und Unternehmen müssen deutlich mehr Transparenz und Sicherheitskontrollen gewährleisten. Der Stand der Technik sowie einschlägige Normen sollen berücksichtigt werden, um einen gefahrenübergreifendes Schutzniveau zu generieren. Hierbei sollte Folgendes in die Maßnahmen aufgenommen werden:

  • Konzepte in Bezug auf Risikoanalyse und die Sicherheit der Informationstechnik
  • Bewältigung von Sicherheitsvorfällen
  • Business Continuity Management, Backup-Management sowie Notfall und Krisenmanagement
  • Lieferkettensicherheit einschließlich Aspekte der Beziehungen mit Anbietern
  • Betrachtung der Sicherheit von Informationstechnik bei Erwerb, Wartung und Entwicklung. Zudem die Prüfung von Komponenten, Prozessen und Schwachstellen
  • Verfahren zur Überprüfung der Wirksamkeit des Risikomanagements und der Sicherheit der Informationstechnik
  • Grundlegende Awarenessmaßnahmen und Schulungen im Bereich der Informationssicherheit
  • Prozesse zum Einsatz kryptographischer Verfahren
  • Erstellung von Konzepten für die Sicherheit des Personals und der Informations- und Telekommunikationstechnik sowie für die Zugriffskontrolle auf alle Systeme
  • Verwendung von einer Multi-Faktor-Authentifizierung oder eine kontinuierliche Authentifizierung. Gegebenenfalls zudem die Einrichtung eines internen Notfallkommunikationssystems.

Vorschlag für einen Projektplan / Handlungsleitfaden

  1. Betroffenheitsprüfung: Prüfen, ob das Unternehmen in den erweiterten Geltungsbereich fällt. Diese kann beim Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt werden (Link: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html).
  2. GAP-Analyse: Abgleich der bestehenden Sicherheitsmaßnahmen mit NIS2-Anforderungen.
  3. Risikobewertung: Systematisch Cyber-Risiken identifizieren und priorisieren.
  4. Konkrete Maßnahmen planen: ISMS aufbauen oder anpassen, Meldeprozesse etablieren, Mitarbeiterschulungen durchführen.
  5. Implementierung: Technische und organisatorische Sicherheit umsetzen.
  6. Monitoring & Audit-Vorbereitung: Kontinuierliches Monitoring einrichten, regelmäßige interne Audits planen und durchführen und sich auf mögliche externe Audits vorbereiten.
  7. Dokumentation: Alle Maßnahmen und Vorfälle sorgfältig dokumentieren, damit eine Nachvollziehbarkeit der Maßnahmen und Verfahren gegeben ist.

Dieser strukturierte Ansatz hilft, Panik durch die gesetzliche Neuregelung zu vermeiden und das Compliance-Risiko zu minimieren.

Zertifizierungen und Audits

Das NIS2-Gesetz sieht vor, dass Unternehmen Nachweise über die Einhaltung erbringen müssen. Zwar sind keine pauschalen Zertifizierungs- oder Auditpflichten für alle Unternehmen vorgesehen, mit Ausnahme der kritischen Infrastrukturen (KRITIS). Zertifizierungen von Informationssicherheitsmanagementsystemen (ISMS) nach ISO/IEC 27001, VdS 10000, VdS 10100 oder IT-Grundschutz sind sehr hilfreich, gewährleisten aber nicht automatisch die vollständige NIS2-Konformität. Auch ohne Zertifizierung ist die Nachvollziehbarkeit von sehr großer Bedeutung, d.h. es müssen angemessene dokumentierte Informationen zu den Maßnahmen vorhanden sein.

Bestehende Zertifizierungen und Informationssicherheit

Unternehmen, die bereits ISMS-Zertifikate besitzen, müssen prüfen, ob sie die erweiterten NIS2-Anforderungen erfüllen. Dazu gehört die Integration der neuen Meldepflichten, der erweiterten Risikobewertung, der Lieferkettensicherheit, der umfassenden Geschäftsleiterschulung und der aktualisierten Dokumentationspflichten. Bestehende Managementsysteme zur Informationssicherheit sollten entsprechend aktualisiert und die Prozesse auf die NIS2-Pflichten ausgerichtet werden, um Rechts- und Bußgeldrisiken zu vermeiden.

Wichtige Fristen und Aufgaben

  • NIS2 ist seit dem 6. Dezember 2025 in Kraft. Ab diesem Zeitpunkt läuft eine Frist von 3 Monaten zur Registrierung und Meldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • In einem ersten Schritt muss ein Unternehmenskonto („Mein Unternehmenskonto“ (MUK)) eingerichtet werden. Dies kann jetzt schon erfolgen.
  • Ab Anfang Januar 2026 ist auf Basis des Unternehmenskontos eine Registrierung im neuen BSI-Portal möglich. Hierfür ist eine Frist von 3 Monaten relevant, d.h. bis spätestens 6. März 2026 muss die Registrierung für betroffene Unternehmen beim BSI eingegangen sein.
  • Erhebliche Sicherheitsvorfälle sind für „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ meldepflichtig. Folgende Fristen sind zu beachten:
    • 24 Stunden für die frühe Erstmeldung
    • 72 Stunden für eine Meldung
    • 30 Tage für Abschlussmeldung bzw. Folgemeldung

Das MUK basiert auf der Elster-Technologie. Die erstmalige Einrichtung nimmt mehrere Tage in Anspruch, da unter anderem ein postalischer Meldeweg vorgesehen ist. Es ist daher ratsam, diesen Prozess zeitnah anzugehen.

Weitere Informationen zu „Mein Unternehmenskonto“ (MUK) können über diesen Link abgerufen werden: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-MUK/MUK_node.html

Weitere hilfreiche Informationen, ebenfalls beim BSI, können über diesen Link abgerufen werden: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Pflichten/nis-2-pflichten_node.html

Kein Grund zur Panik

Auch wenn es sich zunächst nach viel Bürokratie und neuen Bußgeldrisiken anhört: Die NIS2-Richtlinie ist ein weiterer Schritt hin zu mehr Cyber-Sicherheit und Stabilität in digitalen Geschäftsprozessen. Unternehmen, die jetzt strukturiert und Schritt für Schritt vorgehen, profitieren langfristig durch weniger Sicherheitsvorfälle, mehr Vertrauen bei Partnern und Kunden und rechtliche Absicherung. Auch eine eventuell negative erste Betroffenheitsprüfung ist kein Freifahrtschein, bleiben Sie einfach wachsam, denn Lieferketten und Dienstleisterverflechtungen können Veränderungen bringen.

Wir von der comdatis helfen Ihnen selbstverständlich gerne weiter.

Das Beitragsbild ist mit Unterstützung von KI generiert.

Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.