Mit dem Mitte November im Bundestag beschlossenen NIS-2-Umsetzungsgesetz erreicht die europäische Cybersicherheitsrichtlinie endgültig die nationale Realität. Was lange als europäisches Fernziel erschien, liegt nun in verbindlicher Form auf dem Tisch und wird in den kommenden Monaten schrittweise wirksam. Für viele Unternehmen bedeutet dies einen tiefgreifenden Wandel, der weit über klassische IT-Themen hinausreicht und unmittelbar Governance, Organisation und Geschäftsprozesse berührt. Die Bedrohungslage durch zunehmend professionelle Cyberangriffe wächst parallel zu den gesetzlichen Anforderungen, sodass Unternehmen sich an einem entscheidenden Wendepunkt befinden: Cybersicherheit wird zu einem zentralen Baustein ihrer Zukunftsfähigkeit.
Wer ist von NIS 2 betroffen?
Die Richtlinie richtet sich an „wesentliche“ und „wichtige“ Einrichtungen aus insgesamt 18 Sektoren. Dazu zählen Energie, Transport, Gesundheitswesen, Trinkwasser- und Abwasserinfrastruktur, öffentliche Verwaltung, Post- und Kurierdienste, digitale Dienste, Abfallwirtschaft, Produktion und weitere wirtschaftlich bedeutende Bereiche. Die Zugehörigkeit zum Sektor allein entscheidet jedoch nicht über die Betroffenheit. Ausschlaggebend sind zusätzlich wirtschaftliche Schwellenwerte, insbesondere mindestens 50 Beschäftigte oder ein Jahresumsatz ab 10 Millionen Euro.
Damit steigt die Zahl der verpflichteten Organisationen deutlich. In Deutschland werden über 30 000 Unternehmen erstmals oder erneut unter die Regulierung fallen, viele von ihnen mit bislang geringer Erfahrung im regulatorischen Cybersicherheitsumfeld. Dies stellt die betroffenen Organisationen vor die Aufgabe, ihre Rolle im Rahmen der Richtlinie präzise zu bestimmen und ihre Prozesse an die neue Gesetzeslage anzupassen.
Wie Unternehmen feststellen, ob sie unter NIS 2 fallen
Bevor konkrete Maßnahmen umgesetzt werden, ist eine systematische Betroffenheitsprüfung notwendig. Unternehmen müssen klären, ob sie als „wesentliche“ oder „wichtige“ Einrichtung einzustufen sind und welche Tätigkeiten für die Erbringung ihrer wesentlichen Dienste maßgeblich sind. Tätigkeitsbereiche zu streichen oder als „vernachlässigbar“ einzuordnen, sollte sorgfältig überlegt werden. Angreifer orientieren sich nicht an juristischen Abgrenzungen, sondern an Schwachstellen im System.
Eine nachvollziehbare, dokumentierte Betroffenheitsprüfung bildet daher das Fundament aller weiteren Schritte. Sie schafft Klarheit über Pflichten, Verantwortlichkeiten und den Umfang der organisatorischen und technischen Maßnahmen, die künftig einzuhalten sind.
Erste Orientierung: Die Betroffenheitsprüfung des BSI
Das Bundesamt für Sicherheit in der Informationstechnik bietet mit seiner NIS-2-Betroffenheitsprüfung ein niedrigschwelliges, anonymes Online-Tool, das Unternehmen eine erste Einschätzung liefert. Die enthaltenen Leitfragen ermöglichen einen schnellen Überblick über mögliche Betroffenheit. Diese Orientierung ersetzt allerdings keine rechtsverbindliche Selbstidentifikation, die im nächsten Schritt zwingend notwendig ist. Link siehe unten.
Die Ergebnisse des Tools sollten daher als Ausgangspunkt für eine vertiefte juristische Prüfung und eine organisationsinterne Auseinandersetzung genutzt werden.
Umsetzungspflichten: Was Unternehmen konkret erwartet
Nach der Feststellung der Betroffenheit beginnt die eigentliche Umsetzung der Richtlinie. NIS 2 verlangt ein höheres, messbares und dokumentiertes Sicherheitsniveau, das organisatorische wie technische Maßnahmen umfasst.
Registrierungspflicht
„Wesentliche“ und „wichtige“ Einrichtungen müssen sich innerhalb von drei Monaten nach erstmaliger oder erneuter Betroffenheit bei der gemeinsamen Registrierungsstelle von BSI und BBK registrieren. Für Betreiber bestimmter kritischer Anlagen und digitaler Dienste gelten darüber hinaus sektorspezifische Meldewege. Die Registrierung dient der zentralen Erfassung und der Schaffung eines direkten Kommunikationskanals mit den zuständigen Behörden.
Meldepflicht bei Sicherheitsvorfällen
Ein zentrales Element der Regulierung sind die Meldepflichten. Unternehmen müssen erhebliche Sicherheitsvorfälle an das BSI melden, insbesondere solche mit spürbaren betrieblichen oder finanziellen Auswirkungen oder wesentlichen Beeinträchtigungen Dritter. Die Meldefristen sind klar definiert:
- 24 Stunden für eine erste frühzeitige Meldung,
- 72 Stunden für eine weiterführende Meldung und
- 30 Tage für eine Abschluss- oder Folgemeldung.
Die Meldungen müssen unter anderem eine Bewertung des Vorfalls, eine Beschreibung der Auswirkungen, Kompromittierungsindikatoren und die relevanten Kontaktinformationen enthalten. Damit schafft die Richtlinie eine transparente Meldekultur, die der übergreifenden Resilienz des europäischen Cyberraums dient.
Risikomanagement: Dokumentiert, wirksam und verhältnismäßig
Unternehmen müssen ein umfassendes Risikomanagement etablieren, das alle Systeme und Prozesse einschließt, die für die Dienstbereitstellung wesentlich sind. Die Maßnahmen müssen dem Stand der Technik entsprechen und auf einem gefahrenübergreifenden Ansatz beruhen. Dazu gehören regelmäßige Risikoanalysen, das Management von Sicherheitsvorfällen, Backup- und Wiederherstellungsstrategien, die Sicherheit der Lieferkette sowie klare Anforderungen an Entwicklung, Erwerb und Wartung von IT-Systemen.
Ebenso verlangt die Richtlinie, Beschäftigte systematisch zu schulen und zu sensibilisieren. Multi-Faktor-Authentifizierung, gesicherte Kommunikation und Notfallkommunikation gehören ebenfalls zu den Mindestanforderungen, die zur Absicherung des Betriebs erfüllt werden müssen.
Risiken bei Nichteinhaltung: Sichtbare und kostspielige Folgen
NIS 2 verschärft die Konsequenzen für Organisationen, die ihre Pflichten nicht erfüllen. Bußgelder orientieren sich am Jahresumsatz und können erhebliche Höhen erreichen. Behörden können zudem konkrete Maßnahmen anordnen oder sogar Leitungsfunktionen untersagen.
Besonders folgenschwer sind mögliche Reputationsschäden durch öffentliche Warnungen sowie operative Verluste, etwa durch längere Ausfallzeiten oder steigende Versicherungsanforderungen. Untätigkeit wird damit nicht nur teuer, sondern auch sichtbar – intern wie extern.
Jetzt Orientierung schaffen und aktiv handeln
Unternehmen, die frühzeitig mit der Umsetzung beginnen, können die Regulierung als strategische Chance nutzen. Ein hohes Sicherheitsniveau stärkt die Resilienz, verbessert Governance-Strukturen und erhöht die Glaubwürdigkeit gegenüber Kunden und Partnern.
Das BSI stellt umfangreiche Hilfsmaterialien bereit, darunter Infopakete mit Schritt-für-Schritt-Anleitungen, Checklisten und kompakten Übersichten zu Registrierung und Meldepflichten. Webinare und Veranstaltungen unterstützen zusätzlich beim Einstieg in die neuen Anforderungen.
NIS 2 markiert damit nicht nur einen regulatorischen Meilenstein, sondern auch einen Weckruf. Cybersicherheit wird mehr denn je zu einem strategischen Erfolgsfaktor. Wer jetzt strukturiert handelt, positioniert sich zukunftsfähig, resilient und verantwortungsbewusst im digitalen Raum.
Prüfen Sie Ihren Status hier:
Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.
Dr. Spörrer und Team