Zum Inhalt springen
Startseite
IT-Sicherheit
NIS2

NIS2

Mehr Cybersicherheit in Europa –
und neue Pflichten für Unternehmen

NIS2 - Was nun?

Mit der NIS2-Richtlinie (Network and Information Security Directive 2) hebt die Europäische Union die Anforderungen an die Cyber- und Informationssicherheit deutlich an. Die Richtlinie erweitert den Anwendungsbereich der bisherigen NIS-Regelung erheblich und verpflichtet künftig deutlich mehr Unternehmen und Organisationen, wirksame Sicherheitsmaßnahmen umzusetzen.

Was oft übersehen wird: Sicherheit ist ein umfassendes Konzept, das weit über den Schutz vor unbefugtem Zugriff, Datendiebstahl und Datenverlust hinausgeht.

Ziel der NIS2 ist es:

  • ein hohes und einheitliches Cybersicherheitsniveau in der EU zu schaffen, 

  • die Widerstandsfähigkeit gegen Cyberangriffe nachhaltig zu stärken und

  • klare Verantwortlichkeiten auf Management-Ebene zu etablieren.

Wen betrifft die NIS2 Richtlinie?

Die NIS2-Richtlinie richtet sich an Unternehmen und Organisationen mit erhöhter Bedeutung für die Cyber- und Versorgungssicherheit. Der Anwendungsbereich wurde gegenüber der bisherigen NIS-Richtlinie deutlich ausgeweitet.

 

Betroffene Unternehmensarten

Grundsätzlich gilt die NIS2 für mittlere und große Unternehmen, die: mindestens 50 Mitarbeitende beschäftigen und/oder einen Jahresumsatz oder eine Jahresbilanzsumme von über 10 Mio. € erreichen.

 

(Kleinstunternehmen sind in der Regel ausgenommen – mit bestimmten Ausnahmen, z. B. bei besonderer Kritikalität.)

Betroffene Branchen (Auswahl)

Die Richtlinie unterscheidet zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Dazu zählen unter anderem Unternehmen aus folgenden Bereichen:

  • Energie & Versorgung
    (z. B. Strom, Gas, Wasser, Fernwärme)

  • IT- und digitale Dienste
    (z. B. Rechenzentren, Cloud-Dienste, Managed Service Provider)

  • Industrie & Produktion
    (insbesondere bei systemrelevanter Rolle)

  • Transport & Logistik
    (z. B. Verkehr, Lager, Lieferketten)

  • Gesundheitswesen
    (z. B. Krankenhäuser, Labore, Gesundheitsdienstleister)

  • Finanz- und Versicherungswesen

  • Öffentliche und private Infrastruktur
    (z. B. Abfallwirtschaft, Abwasser, kritische Dienstleistungen)

Sofern Sie intern bereits eine Prüfung durchgeführt haben und als „wichtiges“ oder „besonders wichtiges“ Unternehmen eingestuft wurden, können Sie die Registrierung vornehmen. VORAUSSETZUNG: Sie benötigen vorab ein „ELSTER-Unternehmenskonto“ und ein hierüber ausgestelltes Organisationszertifikat.

Registrierung beginnen:

Zum BSI-Portal

NIS2 Infopaket des Bunds:

Infopaket herunterladen

Der Unterschied von Microsoft NAV zu Microsoft Dynamics 365 Business Central

Die NIS2-Roadmap – strukturierte Umsetzung für Unternehmen

Die Roadmap des BSI führt NIS2-betroffene Unternehmen in klaren Schritten von der ersten Einordnung bis zur dauerhaften Etablierung wirksamer Sicherheitsmaßnahmen.

 

Phase 1: Analyse & Grundsatzklärung

Ziel: Klarheit über Betroffenheit, Pflichten und Verantwortung schaffen.

  • Betroffenheit prüfen
    Einstufung als „wichtige“ oder „besonders wichtige Einrichtung“, Prüfung der Schwellenwerte und Dokumentation der Ergebnisse.

  • Registrierung vornehmen
    Unterstützung bei der Registrierung im BSI-Portal, Festlegung von Zuständigkeiten und vollständige Dokumentation.

  • NIS2 verstehen
    Analyse der relevanten Anforderungen, branchenspezifischer Besonderheiten, Übergangsfristen, Sanktionen sowie nationaler Umsetzungsvorgaben.

  • Rechts- und Haftungsfragen klären
    Bewertung von Verantwortlichkeiten, Haftungsrisiken der Geschäftsleitung, Anpassung von Governance-Strukturen und internen Richtlinien.

  • Geschäftsführung und Leitungsgremien einbinden
    Sensibilisierung der Führungsebene, Etablierung von Berichtspflichten und Verankerung von Cybersicherheit als Führungsaufgabe.

  • NIS2-Programm aufsetzen
    Aufbau einer klaren Projekt- und Governance-Struktur mit Meilensteinen, Zuständigkeiten und Qualitätskontrollen.

Phase 2: Organisation & Verantwortung

Ziel: Klare Strukturen, Rollen und Nachweisfähigkeit etablieren.

  • Stakeholder und Verantwortlichkeiten festlegen
    Definition von Rollen für IT-Sicherheit, Recht, Datenschutz, Einkauf, BCM und Incident Response sowie Aufbau eines interdisziplinären Steuerungsteams.

  • Dokumentation und Nachweisführung aufbauen
    Systematische Dokumentation aller Entscheidungen, Maßnahmen und Prozesse zur Vorbereitung auf Prüfungen durch Aufsichtsbehörden.

  • Lieferketten- und Drittparteirisiken managen
    Einführung von Sicherheitsanforderungen für Dienstleister, Vertragsprüfungen und Third-Party-Risk-Management.

  • Internationale Abhängigkeiten berücksichtigen
    Harmonisierung von Sicherheits- und Meldeprozessen bei internationaler oder konzernweiter Tätigkeit.

Phase 3: Ist-Zustand & Risikobewertung

Ziel: Transparenz über Sicherheitsniveau und Handlungsbedarf gewinnen.

  • Gap-Analyse durchführen
    Bewertung des technischen, organisatorischen und prozessualen Reifegrads anhand anerkannter Standards (z. B. ISO 27001, NIST, BSI-Grundschutz).

  • Risiken priorisieren
    Ableitung und Priorisierung von Maßnahmen anhand von Kritikalität, Risiken und Umsetzbarkeit.

  • IT- und Sicherheits-Roadmap anpassen
    Weiterentwicklung der Sicherheitsarchitektur (z. B. Zero Trust, MFA, IAM, Monitoring, Cloud Security).

Phase 4: Ressourcen sichern & Umsetzung vorbereiten

Ziel: Voraussetzungen für eine wirksame Umsetzung schaffen.

  • Ressourcen und Budget planen
    Planung von Personal, Technologien, externen Leistungen sowie Krisen- und Sonderbudgets.

  • Schulungen und Awareness etablieren
    Einführung verpflichtender Schulungen, zielgruppenspezifischer Trainings und kontinuierlicher Sensibilisierungsmaßnahmen.

Phase 5: Umsetzung der Kernmaßnahmen

Ziel: NIS-2-Anforderungen wirksam in die Praxis umsetzen.

  • Risikomanagement implementieren
    Einführung eines formalen Informationssicherheits-Risikomanagements mit regelmäßigem Reporting an die Geschäftsleitung.

  • Krisenmanagement und Incident Response aufbauen
    Entwicklung von Notfallplänen, Meldeketten, Eskalationsstufen sowie Durchführung von Übungen und Simulationen.

  • Meldepflichten vorbereiten
    Aufbau interner Meldeprozesse, automatisierter Überwachung sowie Vorbereitung der Meldungen an Behörden.

Phase 6: Verstetigung & kontinuierliche Verbesserung

Ziel: Nachhaltige Cybersicherheit sicherstellen.

  • Wirksamkeit regelmäßig prüfen
    Kontinuierliches Monitoring, Audits, Schwachstellen- und Patchmanagement sowie KPI-gestützte Steuerung.

  • Cybersicherheit in der Unternehmenskultur verankern
    Förderung einer gelebten Sicherheitskultur durch Kommunikation, Führungsvorbilder und kontinuierliche Weiterentwicklung.

Welche Maßnahmen müssen umgesetzt werden?

  • Konzepte für die Risikoanalyse und Sicherheit für Informationssysteme
  • Aufrechterhaltung des Betriebs und Wiederherstellung nach einem Notfall
  • Incident-Response-Plan zur schnellen Bewältigung von Sicherheitsvorfällen
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagenmanagement

IHR ANSPRECHPARTNER

Vernetzen Sie sich mit unserem Experten.
Unverbindlich, unkompliziert, aber immer mit
Mehrwert für Sie.

MAX GIESSLER

Geschäftsführer bitformer GmbH