NIS2 - Was nun?

Mehr Cybersicherheit in Europa – und neue Pflichten für Unternehmen

Mit der NIS2-Richtlinie (Network and Information Security Directive 2) hebt die Europäische Union die Anforderungen an die Cyber- und Informationssicherheit deutlich an. Die Richtlinie erweitert den Anwendungsbereich der bisherigen NIS-Regelung erheblich und verpflichtet künftig deutlich mehr Unternehmen und Organisationen, wirksame Sicherheitsmaßnahmen umzusetzen.

Ziel der NIS2 ist es,

  • ein hohes und einheitliches Cybersicherheitsniveau in der EU zu schaffen,

  • die Widerstandsfähigkeit gegen Cyberangriffe nachhaltig zu stärken und

  • klare Verantwortlichkeiten auf Management-Ebene zu etablieren.

Für viele Unternehmen bedeutet das: konkreter Handlungsbedarf – jetzt.
Denn die NIS2 ist keine reine IT-Empfehlung, sondern eine verbindliche Richtlinie mit klaren Anforderungen, Meldepflichten und möglichen Sanktionen.

Registrierung bis 06.03.

Wen betrifft die NIS2 Richtlinie?

Die NIS2-Richtlinie richtet sich an Unternehmen und Organisationen mit erhöhter Bedeutung für die Cyber- und Versorgungssicherheit. Der Anwendungsbereich wurde gegenüber der bisherigen NIS-Richtlinie deutlich ausgeweitet.

Betroffene Unternehmensarten

Grundsätzlich gilt die NIS2 für mittlere und große Unternehmen, die:

  • mindestens 50 Mitarbeitende beschäftigen und/oder

  • einen Jahresumsatz oder eine Jahresbilanzsumme von über 10 Mio. € erreichen

(Kleinstunternehmen sind in der Regel ausgenommen – mit bestimmten Ausnahmen, z. B. bei besonderer Kritikalität.)

Betroffene Branchen (Auswahl)

Die Richtlinie unterscheidet zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Dazu zählen unter anderem Unternehmen aus folgenden Bereichen:

  • Energie & Versorgung
    (z. B. Strom, Gas, Wasser, Fernwärme)

  • IT- und digitale Dienste
    (z. B. Rechenzentren, Cloud-Dienste, Managed Service Provider)

  • Industrie & Produktion
    (insbesondere bei systemrelevanter Rolle)

  • Transport & Logistik
    (z. B. Verkehr, Lager, Lieferketten)

  • Gesundheitswesen
    (z. B. Krankenhäuser, Labore, Gesundheitsdienstleister)

  • Finanz- und Versicherungswesen

  • Öffentliche und private Infrastruktur
    (z. B. Abfallwirtschaft, Abwasser, kritische Dienstleistungen)

 Sofern Sie intern bereits eine Prüfung durchgeführt haben und als „wichtiges“ oder „besonders wichtiges“ Unternehmen eingestuft wurden, können Sie die Registrierung vornehmen.
VORAUSSETZUNG: Sie benötigen vorab ein „ELSTER-Unternehmenskonto“ und ein hierüber ausgestelltes Organisationszertifikat. 

Registrierung beginnen:

Zum BSI-Portal

NIS2 Infopaket des Bunds:

NIS2 Infopaket herunterladen

Die NIS2-Roadmap – strukturierte Umsetzung für Unternehmen

Die Roadmap des BSI führt NIS2-betroffene Unternehmen in klaren Schritten von der ersten Einordnung bis zur dauerhaften Etablierung wirksamer Sicherheitsmaßnahmen.

Ziel: Klarheit über Betroffenheit, Pflichten und Verantwortung schaffen.

  • Betroffenheit prüfen
    Einstufung als „wichtige“ oder „besonders wichtige Einrichtung“, Prüfung der Schwellenwerte und Dokumentation der Ergebnisse.

  • Registrierung vornehmen
    Unterstützung bei der Registrierung im BSI-Portal, Festlegung von Zuständigkeiten und vollständige Dokumentation.

  • NIS2 verstehen
    Analyse der relevanten Anforderungen, branchenspezifischer Besonderheiten, Übergangsfristen, Sanktionen sowie nationaler Umsetzungsvorgaben.

  • Rechts- und Haftungsfragen klären
    Bewertung von Verantwortlichkeiten, Haftungsrisiken der Geschäftsleitung, Anpassung von Governance-Strukturen und internen Richtlinien.

  • Geschäftsführung und Leitungsgremien einbinden
    Sensibilisierung der Führungsebene, Etablierung von Berichtspflichten und Verankerung von Cybersicherheit als Führungsaufgabe.

  • NIS2-Programm aufsetzen
    Aufbau einer klaren Projekt- und Governance-Struktur mit Meilensteinen, Zuständigkeiten und Qualitätskontrollen.

Ziel: Klare Strukturen, Rollen und Nachweisfähigkeit etablieren.

  • Stakeholder und Verantwortlichkeiten festlegen
    Definition von Rollen für IT-Sicherheit, Recht, Datenschutz, Einkauf, BCM und Incident Response sowie Aufbau eines interdisziplinären Steuerungsteams.

  • Dokumentation und Nachweisführung aufbauen
    Systematische Dokumentation aller Entscheidungen, Maßnahmen und Prozesse zur Vorbereitung auf Prüfungen durch Aufsichtsbehörden.

  • Lieferketten- und Drittparteirisiken managen
    Einführung von Sicherheitsanforderungen für Dienstleister, Vertragsprüfungen und Third-Party-Risk-Management.

  • Internationale Abhängigkeiten berücksichtigen
    Harmonisierung von Sicherheits- und Meldeprozessen bei internationaler oder konzernweiter Tätigkeit.

Ziel: Transparenz über Sicherheitsniveau und Handlungsbedarf gewinnen.

  • Gap-Analyse durchführen
    Bewertung des technischen, organisatorischen und prozessualen Reifegrads anhand anerkannter Standards (z. B. ISO 27001, NIST, BSI-Grundschutz).

  • Risiken priorisieren
    Ableitung und Priorisierung von Maßnahmen anhand von Kritikalität, Risiken und Umsetzbarkeit.

  • IT- und Sicherheits-Roadmap anpassen
    Weiterentwicklung der Sicherheitsarchitektur (z. B. Zero Trust, MFA, IAM, Monitoring, Cloud Security).

Ziel: Voraussetzungen für eine wirksame Umsetzung schaffen.

  • Ressourcen und Budget planen
    Planung von Personal, Technologien, externen Leistungen sowie Krisen- und Sonderbudgets.

  • Schulungen und Awareness etablieren
    Einführung verpflichtender Schulungen, zielgruppenspezifischer Trainings und kontinuierlicher Sensibilisierungsmaßnahmen.

Ziel: NIS-2-Anforderungen wirksam in die Praxis umsetzen.

  • Risikomanagement implementieren
    Einführung eines formalen Informationssicherheits-Risikomanagements mit regelmäßigem Reporting an die Geschäftsleitung.

  • Krisenmanagement und Incident Response aufbauen
    Entwicklung von Notfallplänen, Meldeketten, Eskalationsstufen sowie Durchführung von Übungen und Simulationen.

  • Meldepflichten vorbereiten
    Aufbau interner Meldeprozesse, automatisierter Überwachung sowie Vorbereitung der Meldungen an Behörden.

Ziel: Nachhaltige Cybersicherheit sicherstellen.

  • Wirksamkeit regelmäßig prüfen
    Kontinuierliches Monitoring, Audits, Schwachstellen- und Patchmanagement sowie KPI-gestützte Steuerung.

  • Cybersicherheit in der Unternehmenskultur verankern
    Förderung einer gelebten Sicherheitskultur durch Kommunikation, Führungsvorbilder und kontinuierliche Weiterentwicklung.

Welche Maßnahmen müssen umgesetzt werden?

  • Konzepte für die Risikoanalyse und Sicherheit für Informationssysteme
  • Aufrechterhaltung des Betriebs und Wiederherstellung nach einem Notfall
  • Incident-Response-Plan zur schnellen Bewältigung von Sicherheitsvorfällen
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Anlagenmanagement

IHR PARTNER FÜR DIE UMSETZUNG

bitformer begleitet Sie ganzheitlich auf dem Weg zu einer NIS2-konformen IT-Sicherheitsstrategie. Wir analysieren Ihre Ausgangssituation, prüfen Ihre Betroffenheit und identifizieren gezielt Abweichungen zu den Anforderungen der NIS2-Richtlinie. Darauf aufbauend entwickeln und implementieren wir gemeinsam mit Ihnen wirksame technische und organisatorische Maßnahmen – ergänzt durch kontinuierliche, automatisierte Überwachung für nachhaltige und nachweisbare Cybersicherheit.

JETZT UNVERBINDLICH BERATEN LASSEN

Ralph Dörfler

Head of IT-Security

t.: +49 531 23 44 87 58

doerfler@bitformer.net