FAQ NIS-2

Die NIS-2-Richtlinie ist eine EU-Vorgabe zur Stärkung der Cyber- und Informationssicherheit. Sie verpflichtet bestimmte Unternehmen und Organisationen, angemessene technische und organisatorische Maßnahmen einzuführen, Sicherheitsvorfälle zu melden und ihr Risikomanagement nachweisbar zu verbessern. Ziel ist es, ein einheitliches Sicherheitsniveau in allen EU-Mitgliedstaaten zu schaffen.

Die Zahl und Professionalität von Cyberangriffen hat in den letzten Jahren stark zugenommen. Angreifer legen zunehmend ganze Lieferketten oder kritische Dienste lahm. Mit NIS-2 reagiert die EU auf diese Entwicklung und will den Schutz von Gesellschaft und Wirtschaft verbessern. Ein zentrales Ziel ist auch, die Widerstandsfähigkeit (Resilienz) von Unternehmen und staatlichen Stellen zu erhöhen und einheitliche Standards in allen Mitgliedstaaten durchzusetzen.

Deutschland hätte die Richtlinie eigentlich bis Oktober 2024 umsetzen müssen. Tatsächlich befindet sich das nationale Gesetzgebungsverfahren noch in Arbeit. Der aktuelle Zeitplan sieht vor, dass die deutschen Vorgaben Ende 2025 oder Anfang 2026 in Kraft treten. Ab diesem Zeitpunkt sind Unternehmen verpflichtet, die Anforderungen umzusetzen und gegenüber Behörden nachzuweisen.

Die ursprüngliche NIS-Richtlinie galt nur für einen kleinen Kreis von „Betreibern kritischer Infrastrukturen“. NIS-2 geht deutlich weiter:

• Der Kreis der betroffenen Branchen wurde stark erweitert.

• Es gibt eine neue Einteilung in „wesentliche“ und „wichtige“ Einrichtungen.

• Die Pflichten für Risikomanagement, Sicherheitsmaßnahmen und Vorfallmeldungen sind deutlich strenger.

• Geschäftsleitungen haften persönlich für die Umsetzung.

• Die Bußgelder sind massiv erhöht und orientieren sich an der DSGVO.

Mit NIS-2 sind nicht mehr nur Energieversorger, Wasserwerke oder große Telekommunikationsanbieter erfasst, sondern auch zahlreiche mittelständische Unternehmen. Maßgeblich sind neben der Branche auch Unternehmensgröße und Bedeutung für die Versorgung. Betroffen sein können zum Beispiel IT-Dienstleister, Cloud-Anbieter, Post- und Kurierdienste, Lebensmittelhersteller oder Zulieferer der Industrie. Damit werden auch Unternehmen in den Fokus genommen, die bisher nicht als „kritisch“ galten, deren Ausfall aber erhebliche Auswirkungen auf andere Bereiche haben könnte.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichts- und Koordinierungsstelle für NIS-2 in Deutschland. Es überwacht die Einhaltung der Vorgaben, nimmt Meldungen über Sicherheitsvorfälle entgegen und gibt technische Empfehlungen zur Umsetzung. Zudem entwickelt das BSI branchenspezifische Sicherheitsstandards und führt Prüfungen durch. Unternehmen können sich beim BSI auch über Mindestanforderungen und anerkannte Standards informieren. Damit ist das BSI die wichtigste Anlaufstelle für betroffene Unternehmen.

Die NIS-2-Richtlinie ist Teil einer umfassenden EU-Cybersicherheitsstrategie. Sie ergänzt bestehende Vorgaben wie die DSGVO im Bereich Datenschutz, die CER-Richtlinie zum physischen Schutz kritischer Einrichtungen und den geplanten Cyber Resilience Act, der Produktsicherheit für IT-Komponenten regeln soll. Für Unternehmen bedeutet das: Informationssicherheit, Datenschutz und Resilienz wachsen enger zusammen. Wer NIS-2 umsetzt, berücksichtigt automatisch auch Anforderungen, die aus anderen EU-Regelwerken entstehen.

Die EU verfolgt mit NIS-2 drei Kernziele. Erstens sollen Mindeststandards für Cybersicherheit in allen Mitgliedstaaten gelten, um ein einheitliches Schutzniveau sicherzustellen. Zweitens soll die Zusammenarbeit zwischen nationalen Behörden, insbesondere bei Vorfällen, verbessert werden. Drittens sollen Unternehmen verpflichtet werden, Vorfälle zeitnah zu melden und aktiv ein Risikomanagement zu betreiben. Damit steigt die Transparenz und die Abwehrfähigkeit gegen Cyberangriffe wird gestärkt.

Deutschland setzt die Vorgaben der Richtlinie durch ein eigenes NIS-2-Umsetzungsgesetz in nationales Recht um. Dieses Gesetz baut auf bestehenden Strukturen wie dem IT-Sicherheitsgesetz auf und erweitert diese. Die Umsetzung erfordert Anpassungen für viele Unternehmen, die bisher nicht in den Geltungsbereich gefallen sind. Bundestag und Bundesrat müssen das Gesetz beschließen. Erst dann stehen die konkreten Vorgaben für deutsche Unternehmen fest.

Ob ein Unternehmen von der NIS-2-Richtlinie erfasst ist, entscheidet sich anhand von Branche und Größe. Unternehmen müssen prüfen, ob sie zu den betroffenen Sektoren gehören und ob sie bestimmte Schwellenwerte überschreiten. Erst wenn beide Kriterien erfüllt sind, greifen die Pflichten.

Die NIS-2-Richtlinie legt in zwei Anhängen fest, welche Branchen und Sektoren unter die Anforderungen fallen. Dabei wird zwischen Sektoren mit hoher Kritikalität (Anhang I) und weiteren kritischen Sektoren (Anhang II) unterschieden.

Sektoren mit hoher Kritikalität (Anhang I):

• Energie (Elektrizität, Fernwärme, Öl, Gas, Wasserstoff)

• Verkehr (Luftfahrt, Schifffahrt, Eisenbahn, Straßenverkehr)

• Bankwesen (Kreditinstitute)

• Finanzmarktinfrastrukturen (z. B. Börsen, Clearingstellen)

• Gesundheitswesen (Krankenhäuser, private Kliniken, Hersteller kritischer Medizinprodukte)

• Trinkwasserversorgung und -verteilung

• Abwasserentsorgung

• Digitale Infrastruktur (Internet-Knoten, DNS-Dienste, TLD-Registries, Rechenzentren, Content Delivery Networks, Cloud- und Managed-Service-Provider, Telekommunikationsnetze und -dienste)

• Öffentliche Verwaltung (zentrale Stellen auf nationaler und regionaler Ebene, ausgewählte kommunale Behörden)

• Raumfahrt (Betreiber von Weltrauminfrastrukturen, insbesondere wenn sie Kommunikations- oder Navigationsdienste erbringen)

Weitere kritische Sektoren (Anhang II):

• Post- und Kurierdienste

• Abfallbewirtschaftung (Sammlung, Behandlung, Entsorgung)

• Chemische Industrie (Herstellung und Handel mit gefährlichen Chemikalien)

• Lebensmittel (Produktion, Verarbeitung und Vertrieb von Lebensmitteln)

• Herstellung von Medizinprodukten, Computern, elektronischen und optischen Produkten

• Maschinenbau

• Kraftfahrzeugbau und Zulieferer

• Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)

• Forschungseinrichtungen in sicherheitsrelevanten Bereichen

Diese Liste zeigt, dass nicht nur klassische kritische Infrastrukturen betroffen sind. Auch viele mittelständische Unternehmen in Industrie, IT und Logistik fallen in den Geltungsbereich.

Die NIS-2-Richtlinie knüpft die Betroffenheit in vielen Fällen an die Unternehmensgröße. Grundlage ist die EU-KMU-Definition.

Ein Unternehmen ist in der Regel betroffen, wenn:

• es mindestens 50 Beschäftigte hat und

• mindestens 10 Millionen Euro Jahresumsatz oder Bilanzsumme erreicht.

Damit sind mittlere und große Unternehmen im Anwendungsbereich. Kleinere Unternehmen sind grundsätzlich nicht betroffen, außer sie fallen in eine besondere Kategorie.

Kleine Unternehmen unterhalb der Schwellenwerte sind nicht automatisch befreit. Es gibt Ausnahmen, bei denen auch Kleinst- und Kleinunternehmen einbezogen werden. Das gilt insbesondere, wenn:

• sie der einzige Anbieter einer kritischen Dienstleistung in Deutschland sind,

• ihr Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit, Gesundheit oder Versorgung hätte,

• sie von Behörden ausdrücklich als kritisch eingestuft wurden, zum Beispiel nach der CER-Richtlinie.

Einige Einrichtungen sind immer verpflichtet, die Anforderungen einzuhalten, egal wie viele Mitarbeitende sie haben oder wie hoch ihr Umsatz ist. Dazu gehören:

• Anbieter von Vertrauensdiensten nach eIDAS, etwa elektronische Signaturen oder Zeitstempel

• Betreiber von Top-Level-Domains (TLD) und DNS-Dienste

• Anbieter öffentlicher Telekommunikationsnetze oder -dienste

• Einrichtungen, die von einer zuständigen Behörde als besonders kritisch eingestuft werden

Wesentliche Einrichtungen:

• gehören zu hochkritischen Sektoren,

• sind meist große Unternehmen,

• werden von den Behörden streng überwacht, auch durch vorbeugende Kontrollen,

• müssen mit härteren Sanktionen rechnen.

Wichtige Einrichtungen:

• gehören zu den übrigen erfassten Sektoren,

• unterliegen nur anlassbezogener Aufsicht, etwa nach einem Sicherheitsvorfall,

• haben die gleichen inhaltlichen Pflichten, aber weniger intensive Kontrolle.

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik die zentrale Aufsichts- und Koordinierungsstelle. Das BSI übernimmt mehrere Aufgaben:

• Entgegennahme der Registrierung betroffener Unternehmen, in der Regel innerhalb von drei Monaten nach Betroffenheit

• Überwachung der Umsetzung und Durchführung von Kontrollen

• Entgegennahme von Sicherheitsvorfall-Meldungen und deren Bewertung

• Veröffentlichung von Mindestanforderungen und branchenspezifischen Sicherheitsstandards

• Unterstützung und Beratung durch Leitfäden und Empfehlungen

Unternehmen sollten ihre Betroffenheit Schritt für Schritt prüfen und dokumentieren:

1. Abgleich der eigenen Branche mit den Anhängen der Richtlinie

2. Überprüfung der Unternehmensgröße nach Mitarbeiterzahl und Finanzkennzahlen

3. Berücksichtigung möglicher Sonderfälle, zum Beispiel Alleinanbieter oder kritische Rolle in der Versorgung

4. Erstellung einer Selbsteinstufung mit nachvollziehbarer Begründung

5. Vorbereitung auf die Registrierung beim BSI, sobald das deutsche Umsetzungsgesetz in Kraft tritt

Nicht nur unmittelbar betroffene Einrichtungen müssen die Anforderungen der NIS-2-Richtlinie erfüllen. Auch Unternehmen in den Liefer- und Dienstleistungsketten geraten in den Fokus, wenn sie für den Betrieb einer betroffenen Einrichtung wichtig sind.

Indirekte Betroffenheit entsteht in folgenden Fällen:

• Ein Unternehmen ist Dienstleister oder Zulieferer für eine betroffene Einrichtung und verarbeitet oder überträgt kritische Daten.

• Ein Unternehmen erbringt Wartungs-, IT- oder Cloud-Leistungen, die für den Betrieb der betroffenen Systeme erforderlich sind.

• Ein Unternehmen liefert Komponenten oder Produkte, deren Ausfall die Sicherheit oder Verfügbarkeit kritischer Dienste beeinträchtigen könnte.

• Betroffene Einrichtungen sind verpflichtet, die Sicherheitsstandards ihrer Lieferkette zu überprüfen und einzufordern. Dadurch müssen auch nicht direkt regulierte Unternehmen oft vergleichbare Maßnahmen nachweisen.

Praktisch bedeutet das: Auch wenn ein Unternehmen formal nicht unter die NIS-2-Richtlinie fällt, kann es durch Verträge, Sicherheitsanforderungen oder Audits seiner Kunden dazu gezwungen sein, ähnliche Vorgaben umzusetzen.

Unternehmen können in verschiedenen Bereichen gleichzeitig aktiv sein. Entscheidend ist, ob eine der Tätigkeiten in einem der betroffenen Sektoren der NIS-2-Richtlinie liegt. In diesem Fall gelten die Anforderungen zumindest für diesen Teil des Unternehmens. Praktisch bedeutet das: Ein IT-Dienstleister mit einer zusätzlichen Produktionssparte muss prüfen, ob beide oder nur eine Tätigkeit in den Anwendungsbereich fällt. Eine getrennte Betrachtung nach Geschäftsbereichen oder Einrichtungen ist sinnvoll.

Bei Unternehmensgruppen oder Konzernen wird die Betroffenheit nicht immer nur auf Ebene der einzelnen Gesellschaft geprüft. Wenn mehrere Unternehmen rechtlich verbunden sind, können Mitarbeiterzahlen und Umsätze zusammengezählt werden. Das kann dazu führen, dass auch kleinere Gesellschaften innerhalb eines Konzerns unter die NIS-2-Regeln fallen. Wichtig ist daher eine Gesamtbewertung der Gruppe und eine klare Dokumentation, welche Gesellschaften tatsächlich betroffen sind.

Die Mitgliedstaaten müssen Verzeichnisse der betroffenen Einrichtungen führen. Unternehmen dürfen jedoch nicht abwarten, bis sie offiziell auf einer Liste stehen. Sie sind verpflichtet, selbst zu prüfen, ob sie betroffen sind, und sich bei der zuständigen Behörde – in Deutschland dem BSI – zu registrieren. Wer untätig bleibt, riskiert Bußgelder und eine verspätete Umsetzung.

Die NIS-2-Richtlinie bezieht erstmals auch Teile der öffentlichen Verwaltung ein. In Deutschland bedeutet das, dass bestimmte Behörden auf nationaler, regionaler und kommunaler Ebene die Vorgaben erfüllen müssen. Betroffen sind insbesondere Verwaltungen, die zentrale Dienstleistungen für Bürger oder Unternehmen bereitstellen. Für Kommunen ist zu prüfen, ob kritische Bereiche wie Versorgung, Infrastruktur oder Verwaltungstätigkeiten in den Anwendungsbereich fallen.

Ja. Betroffene Unternehmen sind verpflichtet, sich innerhalb einer festgelegten Frist bei der zuständigen Behörde zu registrieren. In Deutschland wird diese Aufgabe das BSI übernehmen. Die Registrierung muss spätestens drei Monate nach der Einstufung als betroffene Einrichtung erfolgen und umfasst Angaben zu Unternehmen, Sektor und den erbrachten Diensten.

Die Registrierung dient der Übersicht der Aufsichtsbehörden und enthält mindestens:

• Name und Kontaktdaten des Unternehmens

• Zuordnung zum betroffenen Sektor (Anhang I oder II der Richtlinie)

• Beschreibung der erbrachten kritischen Dienstleistungen

• zentrale Kontaktstelle für Sicherheitsvorfälle

• weitere Informationen, die für eine schnelle Kommunikation im Ernstfall erforderlich sind

Die NIS-2-Richtlinie verpflichtet betroffene Unternehmen, ein Mindestniveau an Informationssicherheit umzusetzen. Dazu hat sie zehn zentrale Anforderungen definiert, die alle Einrichtungen unabhängig von Branche oder Größe erfüllen müssen. Diese Maßnahmen bilden den Kern eines wirksamen Sicherheitsmanagements und dienen als Leitlinie für die praktische Umsetzung.

1. Richtlinien für Risikoanalyse und Informationssicherheit
2. Incident-Handling (Erkennung und Reaktion auf Sicherheitsvorfälle)
3. Business Continuity, Backups und Krisenmanagement
4. Sicherheit der Lieferkette
5. Sicherheit beim Erwerb, der Entwicklung und Wartung von Systemen
6. Wirksamkeitsprüfung der Sicherheitsmaßnahmen
7. Basale Cyberhygiene und Schulungen
8. Richtlinie für Kryptographie und Verschlüsselung
9. Personal- und Zugriffssicherheit (Identity & Access Management)
10. Starke Authentisierung und gesicherte Kommunikation

Unternehmen müssen ihre Risiken systematisch erfassen und darauf basierend eine Sicherheitsstrategie entwickeln. Ziel ist es, Gefahren frühzeitig zu erkennen und geeignete Maßnahmen einzuleiten.
Beispiele:

• Einführung eines standardisierten Risikomanagement-Prozesses, zum Beispiel nach ISO 27005 oder BSI-Standard 200-3

• Erstellung einer Sicherheitsrichtlinie, die Verantwortlichkeiten und Verfahren verbindlich festlegt

• Regelmäßige Aktualisierung der Risikoanalyse, mindestens einmal jährlich oder nach wesentlichen Änderungen

Jede Einrichtung muss Sicherheitsvorfälle erkennen, bewerten und darauf reagieren können. Damit soll sichergestellt werden, dass Angriffe schnell eingedämmt und Folgeschäden begrenzt werden.
Beispiele:

• Aufbau eines Incident-Response-Prozesses mit klaren Eskalationswegen

• Nutzung von Monitoring- und SIEM-Systemen zur Früherkennung von Angriffen

• Dokumentation und Nachbereitung jedes Vorfalls, um aus Fehlern zu lernen

• Benennung eines Teams oder Ansprechpartners für Sicherheitsvorfälle

Unternehmen müssen sicherstellen, dass kritische Prozesse auch bei Ausfällen weiterlaufen. Dazu gehören Notfallpläne, Backups und Wiederanlaufstrategien.
Beispiele:

• Erstellung eines Notfallhandbuchs mit klaren Abläufen und Verantwortlichkeiten

• Durchführung von Business-Impact-Analysen, um kritische Prozesse zu identifizieren

• Regelmäßige Backup-Tests, um sicherzustellen, dass Daten im Ernstfall wiederhergestellt werden können

• Aufbau eines Krisenstabs mit festgelegten Kommunikationswegen

Die Informationssicherheit endet nicht an der eigenen Unternehmensgrenze. Auch Zulieferer und Dienstleister müssen überprüft und vertraglich verpflichtet werden, bestimmte Sicherheitsstandards einzuhalten.
Beispiele:

• Aufnahme von Sicherheitsklauseln in Verträge mit Dienstleistern

• Anforderung von Zertifikaten oder Prüfberichten, etwa ISO 27001 oder BSI-Grundschutz

• Durchführung von Lieferantenaudits oder Fragebögen zur Sicherheitsbewertung

• Festlegung klarer Prozesse für das On- und Offboarding von Partnern

Sicherheit muss in allen Phasen des Systemlebenszyklus berücksichtigt werden. Schwachstellen dürfen nicht erst im Betrieb auffallen, sondern müssen schon bei Planung und Entwicklung adressiert werden.
Beispiele:

• Nutzung sicherer Programmierstandards und Code-Reviews in der Softwareentwicklung

• Etablierung eines Patch- und Schwachstellenmanagement-Prozesses

• Einrichtung eines Verfahrens für Responsible Vulnerability Disclosure

• Dokumentierte Change-Management-Prozesse für Updates und Erweiterungen

Maßnahmen müssen regelmäßig überprüft werden, um sicherzustellen, dass sie tatsächlich wirksam sind. Nur so lassen sich Lücken frühzeitig erkennen.
Beispiele:

• Durchführung interner Audits nach einem festen Jahresplan

• Externe Prüfungen durch unabhängige Stellen, etwa Penetrationstests

• Nutzung von Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs) zur Erfolgsmessung

• Management-Reviews, um Ergebnisse zu bewerten und Verbesserungen einzuleiten

Mitarbeitende sind ein entscheidender Faktor für die Sicherheit. Ohne Bewusstsein für Risiken greifen technische Maßnahmen nur eingeschränkt.
Beispiele:

• Regelmäßige Awareness-Schulungen zu Phishing, Social Engineering und sicherem Umgang mit Daten

• Einführung verbindlicher Regeln für Passwörter und den Einsatz von Mehrfaktor-Authentisierung

• Sicherheitsunterweisungen für neue Mitarbeitende und bei Rollenwechseln

• Durchführung von simulierten Phishing-Kampagnen zur Überprüfung des Sicherheitsbewusstseins

Der Einsatz von Verschlüsselung ist Pflicht, wenn dies technisch und wirtschaftlich angemessen ist. Dadurch sollen Vertraulichkeit und Integrität von Daten geschützt werden.
Beispiele:

• Verschlüsselung von Datenübertragungen (z. B. TLS 1.3 für Webdienste)

• Verschlüsselung von Datenträgern und Backups mit aktuellen Algorithmen

• Einsatz von Hardware-Sicherheitsmodulen (HSM) für Schlüsselmanagement

• Richtlinien für den Einsatz und die Rotation von Schlüsseln

Der Zugang zu Systemen und Daten muss streng geregelt und dokumentiert werden. Nur wer es für seine Arbeit benötigt, darf Zugriff erhalten.
Beispiele:

• Einführung eines rollenbasierten Berechtigungskonzepts (Role-Based Access Control)

• Regelmäßige Überprüfung und Rezertifizierung von Berechtigungen

• Dokumentierte Prozesse für Eintritt, Wechsel und Austritt von Mitarbeitenden

• Führen eines vollständigen Inventars aller Systeme und Endgeräte

Die Authentisierung von Nutzern und die Kommunikation zwischen Systemen müssen besonders geschützt sein. Unsichere Verfahren wie einfache Passwörter reichen nicht mehr aus.
Beispiele:

• Einführung von Mehrfaktor-Authentisierung für alle kritischen Systeme

• Absicherung externer Zugänge durch VPN oder Zero-Trust-Architekturen

• Verschlüsselung von Sprach-, Video- und Textkommunikation, auch für mobile Geräte

• Einrichtung alternativer Kommunikationskanäle für den Krisenfall

Betroffene Einrichtungen müssen jederzeit belegen können, dass sie die Anforderungen umgesetzt haben. Dazu gehören:

• Dokumentation der Risikoanalysen und Sicherheitsrichtlinien

• Nachweise über durchgeführte Audits, Tests und Schulungen

• Protokolle zu Sicherheitsvorfällen und deren Behandlung

• Unterlagen zu Backup-Tests, Business-Continuity-Plänen und Krisenübungen

• Verträge und Nachweise zur Absicherung der Lieferkette

Die Aufsicht unterscheidet sich je nach Einstufung:

• Wesentliche Einrichtungen unterliegen einer proaktiven Kontrolle (ex-ante). Das bedeutet, dass Behörden auch ohne konkreten Anlass Audits oder Prüfungen durchführen können.

• Wichtige Einrichtungen werden anlassbezogen überwacht (ex-post). Eine Prüfung erfolgt zum Beispiel nach einem gemeldeten Vorfall oder bei Hinweisen auf Mängel.

Die Behörden haben weitreichende Befugnisse, um die Umsetzung sicherzustellen. Dazu zählen:

• Anforderung von Unterlagen und Nachweisen

• Durchführung von Vor-Ort-Prüfungen oder Remote-Audits

• Verpflichtung zu zusätzlichen Maßnahmen, wenn Mängel festgestellt werden

• Verhängung von Bußgeldern bei Verstößen gegen die Vorgaben

Ja. Betroffene Unternehmen müssen eine feste Kontaktstelle für die Kommunikation mit den Aufsichtsbehörden und den nationalen CSIRTs benennen. Diese Stelle dient als verbindlicher Ansprechpartner für Sicherheitsmeldungen und Rückfragen. Sie kann innerhalb des Unternehmens angesiedelt sein oder an eine externe Funktion vergeben werden. Wichtig ist, dass die Kontaktstelle rund um die Uhr erreichbar ist oder klare Eskalationsregeln hat.

Unternehmen müssen mit den zuständigen Stellen aktiv zusammenarbeiten. Dazu gehört:

• die unverzügliche Weitergabe von sicherheitsrelevanten Informationen

• die Mitwirkung bei der Untersuchung von Vorfällen

• das Befolgen von Anordnungen der Behörde, wenn zusätzliche Maßnahmen erforderlich sind

• die Beteiligung an Übungen oder Informationsaustauschprogrammen, wenn dies vorgesehen ist

• die Unterstützung bei der Bewertung grenzüberschreitender Vorfälle

Die Kooperation soll sicherstellen, dass Vorfälle schneller eingeordnet werden können und andere Einrichtungen von den Erfahrungen profitieren.

Die Geschäftsleitung trägt die Gesamtverantwortung für die Umsetzung der Sicherheitsanforderungen. Sie muss die Strategien billigen, die Einhaltung überwachen und für angemessene Ressourcen sorgen. Damit wird Informationssicherheit zu einer echten Managementaufgabe und kann nicht allein an die IT-Abteilung delegiert werden.

Ja. Sicherheitsmaßnahmen dürfen nicht stillschweigend eingeführt werden, sondern müssen formell durch die Leitungsebene beschlossen werden. Dies umfasst die Genehmigung von Sicherheitsrichtlinien, Budgets und organisatorischen Prozessen. Nur so ist sichergestellt, dass Sicherheit in der Unternehmensstrategie verankert ist.

Die Leitung muss sich regelmäßig über den Stand der Sicherheitsmaßnahmen informieren. Dazu gehören:

• regelmäßige Berichte der Sicherheitsverantwortlichen (z. B. CISO, ISB)

• Auswertung von Kennzahlen und Auditergebnissen

• Nachverfolgung von offenen Maßnahmen und Risiken

• Dokumentation der Entscheidungen und Freigaben

Verstöße gegen die NIS-2-Pflichten können zu persönlichen Konsequenzen führen. Die Richtlinie sieht vor, dass Mitglieder der Geschäftsleitung bei grober Pflichtverletzung haftbar gemacht werden können. In Deutschland werden Bußgelder gegen das Unternehmen verhängt, können aber auch auf die Geschäftsführung durchschlagen, wenn Vorsatz oder Fahrlässigkeit nachgewiesen wird.

Die Mitglieder der Geschäftsleitung müssen über ausreichendes Wissen zur Cybersicherheit verfügen, um ihre Pflichten erfüllen zu können. Dazu gehören regelmäßige Schulungen oder Weiterbildungen, etwa zu Risikomanagement, Incident-Handling und aufsichtsrechtlichen Vorgaben. Unternehmen sollten diese Qualifizierung dokumentieren, um ihre Sorgfaltspflicht nachzuweisen.

Die Umsetzung erfordert klare Strukturen und Nachweise. Sinnvolle Maßnahmen sind:

• Benennung einer verantwortlichen Person für Informationssicherheit

• Einrichtung eines regelmäßigen Berichtswesens an die Geschäftsführung

• Teilnahme der Leitung an Notfallübungen oder Krisenstabsübungen

• Protokollierte Beschlüsse zu Sicherheitsbudgets und Maßnahmen

• Durchführung und Dokumentation von Führungskräfteschulungen

Die Richtlinie sieht hohe Strafen für Unternehmen vor, die ihre Pflichten nicht erfüllen. Damit soll sichergestellt werden, dass Cybersicherheit ernst genommen wird und Verstöße nicht als „Kavaliersdelikt“ behandelt werden.

Bußgelder drohen nicht nur bei Sicherheitsvorfällen, sondern bereits dann, wenn grundlegende Pflichten nicht erfüllt werden. Typische Gründe sind:

• keine oder verspätete Registrierung bei der zuständigen Behörde

• fehlende oder unzureichende Sicherheitsmaßnahmen

• unterlassene oder verspätete Meldung von Vorfällen

• mangelnde Kooperation mit den Aufsichtsbehörden

• vorsätzliche oder grob fahrlässige Verstöße der Geschäftsleitung

Die Bußgelder orientieren sich an der Unternehmensgröße und sind erheblich:

• Wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes

• Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes
  Es gilt stets der höhere Betrag.

Neben Bußgeldern können Aufsichtsbehörden Unternehmen verpflichten, bestimmte Maßnahmen sofort umzusetzen. Dazu gehören:

• Durchführung von Sicherheitsupdates oder Konfigurationsänderungen

• Duldung externer Prüfungen oder Vor-Ort-Kontrollen

• Einschränkung oder vorübergehende Stilllegung von Diensten bei akuter Gefahr

• Vorgabe zusätzlicher Berichte und Nachweise

Ja. Behörden können schwerwiegende Verstöße veröffentlichen, um Transparenz zu schaffen. Diese Praxis wird oft als „Naming and Shaming“ bezeichnet und kann erhebliche Reputationsschäden nach sich ziehen.

Unternehmen, die gegen Pflichten verstoßen haben, müssen mit intensiverer Überwachung rechnen. Das kann bedeuten:

• häufigere Audits durch die Aufsichtsbehörden

• strengere Berichtspflichten

• zusätzliche Auflagen bei Sicherheitsmaßnahmen

• engere Fristen zur Behebung von Mängeln

Die NIS-2 selbst enthält keine Strafvorschriften, überlässt diesen Bereich aber den Mitgliedstaaten. In Deutschland könnte es ergänzende strafrechtliche Konsequenzen geben, wenn durch Pflichtverletzungen vorsätzlich erhebliche Schäden für Dritte entstehen.

Neben Bußgeldern und Haftung drohen weitere Nachteile:

• behördlich angeordnete Sofortmaßnahmen, etwa verpflichtende Sicherheitsupdates oder externe Prüfungen

• Reputationsschäden durch die Pflicht zur Kundeninformation bei Vorfällen

• erhöhte Versicherungskosten oder Ausschluss von Ausschreibungen, wenn Sicherheitsmängel bekannt werden

• mögliche Schadensersatzforderungen von Geschäftspartnern oder Kunden

Neben den rechtlichen Sanktionen können auch wirtschaftliche Nachteile entstehen:

• Reputationsverlust durch öffentliche Bekanntmachung oder Medienberichte

• Ausschluss von Ausschreibungen oder Projekten

• höhere Versicherungsprämien oder Leistungsverweigerung durch Versicherer

• Schadensersatzforderungen von Kunden oder Partnern

Die beste Vorsorge ist eine rechtzeitige und vollständige Umsetzung der Anforderungen. Dazu gehören:

• klare Prozesse für Risikoanalyse, Incident-Handling und Meldungen

• Nachweise über durchgeführte Maßnahmen und Audits

• Schulungen für Mitarbeitende und Geschäftsleitung

• frühzeitige Registrierung und Benennung einer Kontaktstelle

• aktive Zusammenarbeit mit Behörden und CSIRTs im Ernstfall

Nicht nur unmittelbar regulierte Einrichtungen müssen NIS-2-Anforderungen erfüllen. Auch Unternehmen in der Lieferkette geraten in den Fokus, wenn ihre Leistungen für den Betrieb einer betroffenen Einrichtung wesentlich sind. Dazu zählen etwa IT-Dienstleister, Cloud-Anbieter, Wartungsunternehmen oder Zulieferer kritischer Komponenten. Diese Unternehmen müssen zwar nicht immer selbst NIS-2 einhalten, werden aber über Vertragsbedingungen verpflichtet, ähnliche Standards nachzuweisen.

Betroffene Einrichtungen sind verpflichtet, die Sicherheit ihrer gesamten Lieferkette zu berücksichtigen. Das bedeutet:

• Sicherheitsstandards müssen auch bei Zulieferern eingefordert werden.

• Verträge müssen entsprechende Pflichten enthalten, etwa zu Risikomanagement und Meldungen.

• Dienstleister müssen auf Anfrage Nachweise erbringen, dass sie angemessene Maßnahmen umgesetzt haben.

• Kritische Abhängigkeiten sind zu dokumentieren und zu überwachen.

Viele Unternehmen verlangen von ihren Partnern konkrete Nachweise. In der Praxis sind das:

• Zertifikate wie ISO/IEC 27001 oder BSI IT-Grundschutz

• Auditberichte oder Testate externer Prüfer

• interne Sicherheitsrichtlinien oder Risikoanalysen

• Nachweise über bestehende Notfall- und Meldeprozesse
  Diese Nachweise helfen, Vertrauen aufzubauen und rechtliche Anforderungen zu erfüllen.

Auftragsverarbeiter und externe IT-Dienstleister sind besonders relevant, weil sie direkten Zugriff auf Daten und Systeme haben. Sie können selbst nicht unmittelbar unter NIS-2 fallen, müssen aber auf vertraglicher Ebene verpflichtet werden. Unternehmen sollten sicherstellen, dass Dienstleister:

• Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen

• bei Vorfällen unverzüglich informieren

• sich in Audits oder Kontrollen einbinden lassen

• klar dokumentierte Verantwortlichkeiten haben

Ja, Cloud- und Managed-Service-Provider sind ausdrücklich in den Anhängen der NIS-2-Richtlinie genannt. Sie sind daher direkt betroffen, sobald sie die Größenkriterien erfüllen. Selbst wenn ein Unternehmen nicht unmittelbar reguliert ist, muss es sicherstellen, dass sein Cloud-Anbieter oder Service-Provider NIS-2-konform arbeitet.

Das ist in der Praxis sehr wahrscheinlich. Betroffene Einrichtungen müssen ihre Lieferkette absichern und geben diese Anforderungen an ihre Partner weiter. Deshalb kann ein Unternehmen auch dann verpflichtet sein, vergleichbare Maßnahmen umzusetzen, wenn es formal nicht in den Anwendungsbereich fällt. Für viele Mittelständler entsteht die Pflicht also indirekt durch Verträge.

Ausschreibungen enthalten zunehmend Anforderungen zur Informationssicherheit. Wer Dienstleistungen für betroffene Einrichtungen anbieten möchte, muss NIS-2-konforme Prozesse nachweisen können. Das betrifft insbesondere:

• Nachweise über Sicherheitsmaßnahmen

• definierte Meldewege bei Vorfällen

• regelmäßige Sicherheitsprüfungen

• klare Vereinbarungen zu Verantwortlichkeiten
  Unternehmen, die hier vorbereitet sind, haben Wettbewerbsvorteile.

Es ist ratsam, frühzeitig zentrale Nachweise zu sammeln und aktuell zu halten. Dazu gehören:

• Sicherheitsrichtlinien und Risikoberichte

• Zertifizierungen (z. B. ISO 27001)

• Notfall- und Incident-Response-Pläne

• Protokolle über Mitarbeiterschulungen

• Nachweise über regelmäßige Audits oder Penetrationstests
  Diese Dokumente erleichtern die Zusammenarbeit und vermeiden Verzögerungen in Projekten oder Ausschreibungen.

Beide Regelwerke ergänzen sich, haben aber unterschiedliche Schwerpunkte. Die DSGVO schützt personenbezogene Daten, während NIS-2 die Sicherheit von Netz- und Informationssystemen regelt. In der Praxis überschneiden sich beide Bereiche: Ein Sicherheitsvorfall kann zugleich eine Datenschutzverletzung sein, was eine Meldung an die Aufsichtsbehörde nach DSGVO und an das BSI nach NIS-2 auslösen kann. Unternehmen sollten diese Prozesse miteinander verzahnen.

Das deutsche IT-Sicherheitsgesetz (IT-SiG) regelt bereits seit Jahren die Pflichten von Betreibern kritischer Infrastrukturen. Mit der Umsetzung von NIS-2 wird es angepasst und erweitert. Viele Unternehmen, die bisher nicht betroffen waren, fallen neu unter die Regelungen. Für bestehende KRITIS-Betreiber bedeutet das zusätzliche Anforderungen, vor allem bei Meldepflichten und Lieferkettensicherheit.

Das IT-Sicherheitsgesetz und die KRITIS-Verordnung verpflichten bestimmte Betreiber bereits seit Jahren zu Sicherheitsmaßnahmen und Meldungen. Mit NIS-2 erweitert sich der Kreis der betroffenen Unternehmen deutlich. Für KRITIS-Betreiber bedeutet das: Sie müssen weiterhin die KRITIS-Vorgaben einhalten, zusätzlich aber auch die neuen NIS-2-Pflichten. In vielen Bereichen überschneiden sich die Anforderungen, etwa bei Risikomanagement, Meldepflichten und Lieferkettensicherheit.

Die DORA-Verordnung (Digital Operational Resilience Act) gilt ab 2025 für den Finanzsektor in der EU. Sie verpflichtet Banken, Versicherungen und andere Finanzunternehmen zu strengen Regeln im Umgang mit IT-Risiken. Viele Pflichten ähneln denen aus NIS-2, zum Beispiel beim Vorfallmanagement, bei Meldungen oder in der Überwachung von Dienstleistern. Finanzunternehmen müssen deshalb beide Regelwerke umsetzen und sollten Synergien nutzen, um Doppelarbeit zu vermeiden.

Die CER-Richtlinie betrifft den physischen Schutz kritischer Einrichtungen. NIS-2 fokussiert auf Cybersicherheit. Zusammen bilden beide Richtlinien ein Sicherheitsnetz, das physische und digitale Risiken abdeckt. Unternehmen in kritischen Sektoren müssen daher sowohl technische Sicherheitsmaßnahmen als auch physische Schutzmaßnahmen berücksichtigen.

Ja. Während NIS-2 die Sicherheit von Betreibern regelt, betrifft der Cyber Resilience Act vor allem Hersteller und Anbieter von Produkten mit digitalen Elementen. Beide Regelwerke greifen ineinander: Unternehmen, die sichere Produkte entwickeln oder nutzen, erfüllen leichter auch die Vorgaben der NIS-2.

Einige Sektoren haben eigene Sicherheits- oder Compliance-Regeln, die parallel zu NIS-2 gelten. Beispiele sind:

• Gesundheitswesen: B3S-Standards und Vorgaben der Gematik

• Finanzsektor: BAIT, MaRisk und DORA-Verordnung

• Energie: EnWG und branchenspezifische Sicherheitskataloge
  Unternehmen müssen beide Regelwerke zusammen betrachten, um Doppelarbeit und Widersprüche zu vermeiden.

NIS-2 nennt keine konkrete Zertifizierung, orientiert sich aber stark an gängigen Standards. Ein Informationssicherheits-Managementsystem nach ISO/IEC 27001 deckt viele Anforderungen ab. Auch der BSI-Grundschutz ist geeignet, die Umsetzung strukturiert nachzuweisen. Zertifizierungen bieten nicht nur Rechtssicherheit, sondern erleichtern auch den Nachweis gegenüber Aufsichtsbehörden und Geschäftspartnern.

Der BSI-Grundschutz ist ein deutscher Standard für Informationssicherheit, der ein systematisches Vorgehen mit Bausteinen und Maßnahmenkatalogen bietet. Er deckt viele Anforderungen der NIS-2 direkt ab und eignet sich als praktische Umsetzungshilfe. Unternehmen, die bereits nach Grundschutz arbeiten, können bestehende Dokumentation und Prozesse nutzen, um die Einhaltung der NIS-2 nachzuweisen.

Der Startpunkt ist eine Bestandsaufnahme: Unternehmen müssen klären, ob sie betroffen sind, welche Prozesse sicherheitsrelevant sind und welche Vorgaben bereits umgesetzt werden. Auf dieser Grundlage lässt sich ein Projektplan erstellen, der in Etappen vorgeht.

Eine Gap-Analyse zeigt die Lücken zwischen dem Ist-Zustand und den NIS-2-Anforderungen. Sie ist die Grundlage für einen Umsetzungsfahrplan.
Typische Schritte:

• Abgleich mit den zehn zentralen Anforderungen (z. B. Incident-Handling, Lieferkettensicherheit, Kryptographie)

• Prüfung vorhandener Strukturen (z. B. Backup, Zugriffskontrolle, Schulungen)

• Bewertung vorhandener Zertifizierungen (ISO 27001, BSI-Grundschutz)

• Dokumentation der Lücken und Festlegung von Prioritäten

Unabhängig von der Branche gibt es Maßnahmen, die fast jedes Unternehmen umsetzen sollte, um grundlegende Sicherheit sicherzustellen.
Dazu gehören:

• Einführung von Mehrfaktor-Authentisierung für kritische Systeme

• Einrichtung einer zentralen Meldestelle und eines Incident-Response-Prozesses

• Test von Backups und Wiederanlaufplänen

• Benennung einer Kontaktstelle für das BSI

• erste Awareness-Schulungen für Mitarbeitende

Ein Projekt sollte in zwei Phasen aufgebaut sein:

• Kurzfristig: Maßnahmen zur Erfüllung der Meldepflichten, Kontaktstelle, Incident-Handling, grundlegende Cyberhygiene (Passwörter, MFA, Schulungen).

• Mittelfristig: Aufbau eines ISMS, Lieferkettenmanagement, Kryptographierichtlinien, Audits und kontinuierliche Risikobewertung.
  Ein realistischer Zeitplan hängt von Unternehmensgröße und Ausgangsniveau ab, umfasst aber meist 12 bis 24 Monate.

Alle Maßnahmen müssen so dokumentiert werden, dass sie gegenüber den Behörden nachweisbar sind.
Dazu gehören:

• Risikoanalysen und Sicherheitsrichtlinien

• Protokolle zu Vorfällen, Audits und Übungen

• Nachweise über Mitarbeiterschulungen

• technische Dokumentation zu Backups, Patch-Management und Kryptographie

• Verträge mit Lieferanten, die Sicherheitsanforderungen enthalten

Die Umsetzung ist mit organisatorischem und technischem Aufwand verbunden.
Typische Kostenblöcke sind:

• Personal: Aufbau oder Erweiterung von Rollen wie CISO, Informationssicherheitsbeauftragter oder IT-Security-Team

• Technik: Security-Monitoring, Backup-Lösungen, MFA-Infrastruktur, Notfallkommunikation

• Externe Unterstützung: Beratung, Audits, Penetrationstests, Schulungen

• Zertifizierung: ISO 27001 oder BSI-Grundschutz können zusätzliche Kosten verursachen, bieten aber Rechtssicherheit

Die NIS-2 verlangt, dass Sicherheitsmaßnahmen nicht nur eingeführt, sondern auch regelmäßig getestet werden.
Praxisbeispiele:

• Wiederherstellungstests von Backups (z. B. alle sechs Monate)

• Krisenstabsübungen mit Geschäftsleitung und Fachbereichen

• Penetrationstests für kritische Systeme

• Phishing-Simulationen, um Awareness-Trainings zu überprüfen

Unternehmen sollten jede Anforderung mit praktischen Maßnahmen hinterlegen:

• Risikoanalyse: jährliche Bewertung mit dokumentiertem Prozess

• Incident-Handling: klarer Ablaufplan mit Eskalationswegen

• Business Continuity: Notfallhandbuch und getestete Wiederanlaufziele

• Lieferkettensicherheit: Sicherheitsklauseln in Verträgen, Lieferantenaudits

• Systementwicklung: Patch-Prozess, sichere Softwareentwicklung

• Wirksamkeitsprüfung: interne Audits und externe Tests

• Cyberhygiene: verbindliche Passwortregeln, Sensibilisierungskampagnen

• Kryptographie: Einsatz aktueller Standards, Schlüsselmanagement

• Zugriffskontrolle: Rollen- und Rechtemanagement, Rezertifizierung

• Authentisierung: MFA für kritische Systeme, verschlüsselte Kommunikation

NIS-2 ist kein einmaliges Projekt, sondern ein dauerhaftes Sicherheitsniveau. Bedrohungen ändern sich ständig, daher müssen auch die Maßnahmen regelmäßig angepasst werden.
Dazu gehören:

• jährliche Updates der Risikoanalyse

• Monitoring neuer Bedrohungen (Threat Intelligence)

• Überprüfung der Wirksamkeit von Schulungen

• Anpassung der Sicherheitsrichtlinien an technische und organisatorische Veränderungen

Nicht alle Anforderungen lassen sich gleichzeitig umsetzen. Unternehmen sollten deshalb mit den Bereichen beginnen, die das höchste Risiko haben. Dazu gehören Maßnahmen gegen Ransomware, die Absicherung kritischer Systeme, die Einführung von Mehrfaktor-Authentisierung und die Einrichtung eines funktionierenden Meldesystems für Vorfälle. Erst wenn diese Grundpfeiler stehen, folgt der Ausbau weiterer Sicherheitsmaßnahmen.

NIS-2 betrifft nicht nur die IT-Abteilung, sondern das gesamte Unternehmen. Einkauf, Personalwesen, Fachbereiche und Management müssen eingebunden werden, weil auch Lieferketten, Mitarbeiterschulungen und organisatorische Prozesse betroffen sind. Nur wenn alle relevanten Stellen mitwirken, können die Anforderungen wirksam umgesetzt werden.

Die Umsetzung erfordert Zusammenarbeit verschiedener Funktionen. Relevante Schnittstellen sind:

• IT und Informationssicherheit für technische Maßnahmen

• Datenschutzbeauftragter für Überschneidungen mit der DSGVO

• Compliance und Rechtsabteilung für Vertragsgestaltung und Meldepflichten

• Einkauf für die Absicherung von Lieferantenbeziehungen

• Notfall- und Krisenmanagement für Business Continuity
  Diese Schnittstellen sollten in einem klaren Governance-Modell festgelegt sein.

Die Geschäftsleitung trägt die Verantwortung für die Umsetzung von NIS-2 und muss daher regelmäßig informiert werden. Dazu gehören Berichte über den aktuellen Umsetzungsstand, offene Risiken und notwendige Investitionen. Eine transparente Kommunikation erleichtert die Bereitstellung von Budgets und die Freigabe wichtiger Maßnahmen.

Externe Audits oder Bewertungen helfen, den eigenen Umsetzungsstand objektiv einzuschätzen. Viele Unternehmen nutzen externe Berater oder Auditoren, um Lücken zu identifizieren, die aus der Innensicht übersehen werden. Diese Nachweise sind auch hilfreich, um gegenüber Behörden oder Geschäftspartnern die Einhaltung der Vorgaben glaubwürdig zu belegen.

Die Kosten hängen stark von Unternehmensgröße, Branche und bestehendem Sicherheitsniveau ab. Typische Kostenblöcke sind:

• Aufbau oder Erweiterung eines Informationssicherheits-Managementsystems (ISMS)

• Investitionen in technische Maßnahmen wie Monitoring, Firewalls, Backup- und Wiederanlauf­systeme

• Schulungen für Mitarbeitende und Geschäftsleitung

• externe Beratung, Audits oder Penetrationstests

• mögliche Zertifizierungen wie ISO 27001 oder BSI-Grundschutz
  Je früher Unternehmen mit der Umsetzung beginnen, desto besser lassen sich die Kosten über mehrere Jahre verteilen.

In Deutschland und auf EU-Ebene gibt es verschiedene Förderprogramme für Informationssicherheit. Beispiele sind das Förderprogramm „go-digital“ des BMWK oder regionale Fördermittel für KMU. Auch Brancheninitiativen wie UP KRITIS oder Verbände stellen Leitfäden, Checklisten und Netzwerke zur Verfügung. Es lohnt sich, frühzeitig Fördermöglichkeiten zu prüfen.

Unternehmen können auf bewährte Werkzeuge zurückgreifen:

• ISMS-Software für Dokumentation, Risiko- und Maßnahmenmanagement

• Schwachstellen-Scanner und Patch-Management-Systeme

• Security-Information- und Event-Management (SIEM) für Monitoring und Alarmierung

• Backup- und Desaster-Recovery-Lösungen

• Awareness-Tools für Mitarbeiterschulungen und Phishing-Simulationen
  Die Auswahl sollte immer zur Unternehmensgröße und zum vorhandenen Sicherheitsniveau passen.

Viele Ausschreibungen enthalten bereits heute Anforderungen an Informationssicherheit. Mit NIS-2 wird das verbindlicher. Unternehmen müssen Nachweise vorlegen, etwa Zertifikate, Auditberichte oder Sicherheitskonzepte. Wer diese Unterlagen nicht liefern kann, riskiert den Ausschluss von Ausschreibungen oder die Ablehnung als Lieferant.

Die Umsetzung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Erste Maßnahmen wie Vorfallmeldungen, Backups und MFA lassen sich innerhalb weniger Monate umsetzen. Der vollständige Aufbau eines ISMS und die Verankerung aller Prozesse dauert in der Regel 12 bis 24 Monate, abhängig von Größe und Ausgangsniveau des Unternehmens.

Unternehmen, die früh starten, profitieren doppelt: Sie reduzieren ihr Risiko für Sicherheitsvorfälle und sie haben Wettbewerbsvorteile bei Ausschreibungen oder in der Zusammenarbeit mit Kunden. Zudem sinkt das Risiko hoher Bußgelder, wenn die Behörden mit Inkrafttreten des Gesetzes Kontrollen aufnehmen.

Wer die Umsetzung verschiebt, riskiert Sanktionen, Bußgelder und Schäden durch Sicherheitsvorfälle. Außerdem steigt der Druck über die Lieferkette: Betroffene Unternehmen geben die Anforderungen an ihre Partner weiter. Spätestens dann müssen auch bislang nicht direkt regulierte Unternehmen vergleichbare Maßnahmen nachweisen.

NIS-2 verlangt, dass Sicherheitsmaßnahmen regelmäßig auf ihre Wirksamkeit geprüft werden. Unternehmen sollten mindestens einmal pro Jahr eine umfassende Überprüfung durchführen. Zusätzlich sind Prüfungen erforderlich, wenn es wesentliche Änderungen gibt – etwa bei neuen IT-Systemen, Fusionen oder organisatorischen Anpassungen. Auch nach größeren Sicherheitsvorfällen müssen Prozesse überarbeitet und aktualisiert werden.

Ja. Die Anforderungen sind für alle betroffenen Unternehmen gleich, die Umsetzungstiefe variiert aber. Große Unternehmen setzen meist auf ein formelles ISMS, regelmäßige Audits und eigene Sicherheitsteams. Mittlere Unternehmen können pragmatischer vorgehen, etwa mit schlanken Prozessen, externer Unterstützung und standardisierten Tools. Wichtig ist, dass die Maßnahmen angemessen sind und nachweisbar umgesetzt werden.

Eine Versicherung ersetzt keine NIS-2-Pflichten. Sie kann aber helfen, finanzielle Schäden nach einem Vorfall abzufedern. Viele Versicherer verlangen inzwischen Nachweise über grundlegende Sicherheitsmaßnahmen, bevor sie Policen anbieten. Unternehmen profitieren daher doppelt: Wer NIS-2-konform arbeitet, erfüllt meist auch die Mindestanforderungen für eine Cyber-Versicherung.

NIS-2 wirkt stark über die Lieferkette. Betroffene Unternehmen müssen ihre Dienstleister und Zulieferer prüfen und Anforderungen vertraglich festlegen. In der Praxis bedeutet das:

• Sicherheitsklauseln in Verträgen und Rahmenvereinbarungen

• regelmäßige Abfragen oder Audits bei kritischen Partnern

• gegenseitige Information bei Sicherheitsvorfällen

• Nachweisführung durch Zertifikate oder Testate
  Auch Kunden werden Nachweise fordern, zum Beispiel bei Ausschreibungen oder Vertragsverlängerungen.