IT-AuditDirectory
Alle Artikel
Compliance8 Min. Lesezeit

NIS2 in Deutschland: Checkliste für betroffene Unternehmen

IT-Audit Directory

Die NIS2-Richtlinie (Network and Information Security Directive 2) markiert einen Paradigmenwechsel in der europäischen Cybersicherheitsregulierung. Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird Deutschland die EU-Vorgaben in nationales Recht überführen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt dabei als zentrale Aufsichtsbehörde eine Schlüsselrolle. Für Unternehmen bedeutet das: deutlich erweiterte Pflichten, strengere Meldeanforderungen und empfindliche Bußgelder bei Verstößen. Schätzungen zufolge werden rund 30.000 Unternehmen in Deutschland erstmals von Cybersicherheitsregulierung betroffen sein. Dieser Leitfaden zeigt Ihnen, ob Ihr Unternehmen betroffen ist, welche Maßnahmen Sie ergreifen müssen und wie Sie sich systematisch vorbereiten.

Wer ist von NIS2 betroffen?

NIS2 unterscheidet zwischen zwei Kategorien betroffener Organisationen: **wesentliche Einrichtungen** (Essential Entities) und **wichtige Einrichtungen** (Important Entities). Die Einstufung hängt von der Branche, der Unternehmensgröße und der gesellschaftlichen Bedeutung der erbrachten Dienstleistungen ab.

Grundsätzlich fallen Unternehmen in den Anwendungsbereich, wenn sie in einem der regulierten Sektoren tätig sind und mindestens eines der folgenden Kriterien erfüllen: **50 oder mehr Mitarbeiter** oder ein **Jahresumsatz bzw. eine Jahresbilanzsumme von 10 Millionen Euro oder mehr**. Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) gelten, sind unabhängig von ihrer Größe betroffen. Gleiches gilt für Vertrauensdiensteanbieter, DNS-Dienstleister, TLD-Namenregister und Anbieter öffentlicher elektronischer Kommunikationsnetze.

Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen hat erhebliche praktische Konsequenzen: Wesentliche Einrichtungen unterliegen einem proaktiven Aufsichtsregime mit regelmäßigen Prüfungen durch das BSI. Wichtige Einrichtungen werden reaktiv überwacht, das heißt, das BSI wird erst bei konkreten Hinweisen auf Verstöße oder nach Sicherheitsvorfällen tätig. Lassen Sie Ihren Betroffenheitsstatus von einem qualifizierten Berater prüfen, um Klarheit zu erhalten.

Betroffene Sektoren im Überblick

NIS2 erweitert den Geltungsbereich gegenüber der ursprünglichen NIS-Richtlinie erheblich. Die folgende Tabelle gibt einen Überblick über die regulierten Sektoren und ihre Einstufung:

SektorEinstufungBeispiele
EnergieWesentlichStrom-, Gas-, Öl-, Fernwärmeversorgung, Wasserstoff
Transport und VerkehrWesentlichLuftfahrt, Schienenverkehr, Schifffahrt, Straßenverkehr
BankwesenWesentlichKreditinstitute gemäß CRR
FinanzmarktinfrastrukturenWesentlichHandelsplätze, zentrale Gegenparteien
GesundheitswesenWesentlichKrankenhäuser, Labore, Pharmaunternehmen, Medizinproduktehersteller
TrinkwasserversorgungWesentlichWasserversorger und -aufbereiter
AbwasserwirtschaftWesentlichAbwasserentsorgung und -behandlung
Digitale InfrastrukturWesentlichIXPs, DNS, TLD-Register, Cloud-Anbieter, Rechenzentren, CDNs
ICT-Dienstleistungsmanagement (B2B)WesentlichManaged Service Provider, Managed Security Service Provider
Öffentliche VerwaltungWesentlichBundes- und Landesbehörden (ohne Kommunen)
WeltraumWesentlichBetreiber von Bodeninfrastrukturen
Post- und KurierdiensteWichtigBriefpost, Paketdienste, Kurierdienste
AbfallwirtschaftWichtigAbfallsammlung, -behandlung und -entsorgung
Chemische IndustrieWichtigHerstellung, Produktion und Vertrieb chemischer Stoffe
LebensmittelwirtschaftWichtigLebensmittelherstellung, -verarbeitung und -großhandel
Verarbeitendes GewerbeWichtigMedizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau
Digitale DiensteWichtigOnline-Marktplätze, Suchmaschinen, soziale Netzwerke
ForschungseinrichtungenWichtigHochschulen und Forschungsinstitute

Kernpflichten unter NIS2

Das NIS2UmsuCG definiert umfangreiche Pflichten für betroffene Unternehmen. Diese gehen weit über die bisherigen KRITIS-Anforderungen hinaus und betreffen sowohl technische als auch organisatorische Maßnahmen. Die Geschäftsführung trägt eine persönliche Verantwortung für die Umsetzung und kann bei Pflichtverletzungen haftbar gemacht werden.

1. Risikomanagement und technische Maßnahmen

Unternehmen müssen ein umfassendes Risikomanagementsystem für die Cybersicherheit einführen. Dieses muss verhältnismäßig sein und den aktuellen Stand der Technik berücksichtigen. Konkret umfasst dies mindestens die folgenden Maßnahmen:

  • Risikoanalyse und Sicherheitskonzepte für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen (Incident Response)
  • Business Continuity Management und Krisenmanagement
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu Zulieferern und Dienstleistern
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen, einschließlich Schwachstellenmanagement
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit der Maßnahmen
  • Grundlegende Cyberhygiene und Schulungen für alle Mitarbeiter
  • Kryptografie und gegebenenfalls Verschlüsselung
  • Personalsicherheit, Zugangssteuerung und Asset Management
  • Multi-Faktor-Authentifizierung und gesicherte Kommunikationssysteme

2. Meldepflichten bei Sicherheitsvorfällen

NIS2 verschärft die Meldepflichten erheblich. Bei einem erheblichen Sicherheitsvorfall gilt ein dreistufiges Meldeverfahren an das BSI:

  • **Frühwarnung innerhalb von 24 Stunden**: Erste Meldung an das BSI mit Angabe, ob der Vorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob grenzüberschreitende Auswirkungen möglich sind
  • **Vorfallmeldung innerhalb von 72 Stunden**: Aktualisierte Meldung mit einer ersten Bewertung des Vorfalls, einschließlich Schweregrad, Auswirkungen und – soweit bekannt – Kompromittierungsindikatoren (Indicators of Compromise)
  • **Abschlussbericht innerhalb eines Monats**: Ausführlicher Bericht mit Beschreibung des Vorfalls, der Ursache, der ergriffenen Maßnahmen und der grenzüberschreitenden Auswirkungen

Ein Sicherheitsvorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste für das Unternehmen verursacht hat oder verursachen kann, oder wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

3. Lieferkettensicherheit

Die Absicherung der Lieferkette ist unter NIS2 keine freiwillige Maßnahme mehr, sondern eine gesetzliche Pflicht. Unternehmen müssen die spezifischen Schwachstellen jedes unmittelbaren Zulieferers und Dienstleisters sowie die Gesamtqualität der Produkte und Cybersicherheitspraktiken ihrer Zulieferer bewerten. Dazu gehören auch deren Verfahren für die sichere Entwicklung. Konkret bedeutet das: vertragliche Sicherheitsanforderungen an Lieferanten, regelmäßige Überprüfung der Einhaltung und dokumentierte Prozesse für das gesamte Lieferantenmanagement.

4. Geschäftsführerhaftung

Eine der einschneidendsten Neuerungen von NIS2 ist die persönliche Haftung der Geschäftsleitung. Leitungsorgane müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und können bei Verstößen persönlich haftbar gemacht werden. Zudem sind Mitglieder der Geschäftsleitung verpflichtet, an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Cyberrisiken zu erwerben. Diese Pflicht kann nicht delegiert werden.

Bußgelder und Sanktionen

NIS2 sieht empfindliche Strafen bei Verstößen vor. Die Höhe der Bußgelder richtet sich nach der Einstufung des Unternehmens:

AspektWesentliche EinrichtungenWichtige Einrichtungen
Maximales Bußgeld10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
AufsichtsregimeProaktiv: regelmäßige Audits und Prüfungen durch das BSIReaktiv: Prüfungen bei konkretem Anlass oder nach Vorfall
GeschäftsführerhaftungJa – persönliche Haftung für PflichtverletzungenJa – persönliche Haftung für Pflichtverletzungen
Weitere SanktionenAnordnungen, Untersagungsverfügungen, öffentliche BekanntmachungAnordnungen, Untersagungsverfügungen, öffentliche Bekanntmachung
Temporäre AussetzungBSI kann leitenden Personen vorübergehend die Ausübung untersagenNicht vorgesehen

Bemerkenswert ist, dass das BSI bei wesentlichen Einrichtungen die Befugnis erhalten soll, leitenden Personen vorübergehend die Wahrnehmung ihrer Leitungsaufgaben zu untersagen, wenn diese ihren NIS2-Pflichten wiederholt nicht nachkommen. Diese Maßnahme unterstreicht den Ernst, mit dem der Gesetzgeber die Cybersicherheit behandelt.

Umsetzungs-Checkliste: 10 Schritte zur NIS2-Compliance

Die folgenden zehn Schritte bilden einen strukturierten Fahrplan für Ihre NIS2-Umsetzung. Beginnen Sie frühzeitig – die Implementierung eines umfassenden Cybersicherheitsprogramms benötigt erfahrungsgemäß 12 bis 18 Monate.

  • **Betroffenheitsanalyse durchführen**: Prüfen Sie systematisch, ob Ihr Unternehmen in den Anwendungsbereich fällt. Berücksichtigen Sie Sektor, Mitarbeiterzahl, Umsatz und eventuell bestehende KRITIS-Einstufungen. Dokumentieren Sie das Ergebnis nachvollziehbar.
  • **Registrierung beim BSI vorbereiten**: Betroffene Unternehmen müssen sich beim BSI registrieren und eine Kontaktstelle benennen. Bereiten Sie die erforderlichen Informationen vor, damit Sie die Frist einhalten können.
  • **Gap-Analyse zum Ist-Zustand erstellen**: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den NIS2-Anforderungen. Identifizieren Sie Lücken in den Bereichen Risikomanagement, Incident Response, Lieferkettensicherheit und Governance. Ein erfahrener NIS2-Berater kann diese Analyse effizient durchführen.
  • **Governance-Struktur anpassen**: Stellen Sie sicher, dass die Geschäftsleitung ihre NIS2-Pflichten kennt und wahrnimmt. Etablieren Sie klare Verantwortlichkeiten für Cybersicherheit auf Leitungsebene und planen Sie Schulungen für Geschäftsführer und Vorstände ein.
  • **Risikomanagement implementieren oder erweitern**: Führen Sie ein systematisches Risikomanagementsystem ein, das alle NIS2-Anforderungen abdeckt. Nutzen Sie etablierte Standards wie ISO 27001 oder BSI IT-Grundschutz als Grundlage.
  • **Meldeprozesse etablieren**: Richten Sie Prozesse ein, die eine Meldung erheblicher Sicherheitsvorfälle an das BSI innerhalb der vorgegebenen 24-Stunden-Frist gewährleisten. Testen Sie diese Prozesse regelmäßig durch Übungen.
  • **Lieferkettensicherheit aufbauen**: Erstellen Sie ein Lieferantenverzeichnis mit Risikoeinstufung. Definieren Sie vertragliche Sicherheitsanforderungen und etablieren Sie Prozesse zur regelmäßigen Überprüfung Ihrer Lieferanten.
  • **Incident-Response-Plan erstellen und testen**: Entwickeln Sie einen detaillierten Plan für den Umgang mit Sicherheitsvorfällen. Führen Sie mindestens jährlich Übungen und Simulationen durch, um die Wirksamkeit zu prüfen.
  • **Schulungsprogramm aufsetzen**: Implementieren Sie ein Schulungsprogramm für alle Mitarbeiter, das Cyberhygiene, Phishing-Erkennung und den korrekten Umgang mit Sicherheitsvorfällen umfasst. Vergessen Sie nicht die spezielle Schulungspflicht für die Geschäftsleitung.
  • **Dokumentation und Nachweisfähigkeit sicherstellen**: Dokumentieren Sie alle Maßnahmen, Risikoanalysen, Schulungen und Vorfälle lückenlos. Das BSI kann jederzeit Nachweise anfordern – bei wesentlichen Einrichtungen auch proaktiv im Rahmen regulärer Prüfungen.

NIS2-Compliance rechtzeitig umsetzen

Lassen Sie Ihren NIS2-Betroffenheitsstatus prüfen und erhalten Sie einen maßgeschneiderten Umsetzungsplan von einem qualifizierten Auditor.

NIS2-Beratung anfragen

NIS2 und bestehende Standards: ISO 27001, BSI IT-Grundschutz und KRITIS

Unternehmen, die bereits nach anerkannten Standards arbeiten, haben einen erheblichen Vorsprung bei der NIS2-Umsetzung. Allerdings reicht kein einzelner Standard allein aus, um vollständige NIS2-Compliance herzustellen.

**ISO 27001** bietet ein solides Fundament, da der Standard ein systematisches Informationssicherheits-Managementsystem (ISMS) vorschreibt. Viele der NIS2-Anforderungen an Risikomanagement, Zugangssteuerung und Incident Management werden durch eine ISO 27001-Zertifizierung bereits abgedeckt. Allerdings müssen die NIS2-spezifischen Meldepflichten, die explizite Geschäftsführerhaftung und die Anforderungen an die Lieferkettensicherheit gesondert adressiert werden.

**BSI IT-Grundschutz** ist besonders für deutsche Unternehmen und Behörden relevant, da er detaillierte Handlungsempfehlungen und Maßnahmenkataloge bietet, die eng an die deutschen Gegebenheiten angepasst sind. Das BSI hat bereits angekündigt, den IT-Grundschutz als Referenzrahmen für die Umsetzung der NIS2-Anforderungen weiterzuentwickeln.

**KRITIS-Regulierung**: Unternehmen, die bereits als Betreiber kritischer Infrastrukturen eingestuft sind und die Anforderungen des BSI-Gesetzes (BSIG) erfüllen, haben einen Großteil der NIS2-Anforderungen bereits implementiert. Dennoch bringt NIS2 auch für KRITIS-Betreiber Neuerungen, insbesondere bei den Meldepflichten, der Geschäftsführerhaftung und den erweiterten Anforderungen an die Lieferkettensicherheit.

Standard / RegelwerkAbdeckung NIS2-AnforderungenZusätzlicher Handlungsbedarf
ISO 27001Hoch – ISMS, Risikomanagement, ZugangssteuerungMeldepflichten (24h/72h), Geschäftsführerverantwortung, Lieferkettensicherheit
BSI IT-GrundschutzHoch – detaillierte Maßnahmenkataloge, deutschlandspezifischNIS2-spezifische Meldefristen, Governance-Anforderungen
Bestehende KRITIS-EinstufungSehr hoch – langjährige Erfahrung mit BSI-AufsichtErweiterte Meldepflichten, explizite Geschäftsführerhaftung
Kein bestehendes ISMSGering – Aufbau von Grund auf erforderlichVollständige Implementierung aller NIS2-Maßnahmen notwendig

Zeitplan und Fristen

Die EU-Mitgliedstaaten waren verpflichtet, die NIS2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland hat sich das Gesetzgebungsverfahren für das NIS2UmsuCG verzögert. Das Gesetz wird voraussichtlich 2025 in Kraft treten. Unternehmen sollten die verbleibende Zeit aktiv nutzen, denn die Anforderungen gelten ab Inkrafttreten unmittelbar – Übergangsfristen für die wesentlichen Pflichten sind nicht vorgesehen.

  • **Ab Inkrafttreten des NIS2UmsuCG**: Pflichten gelten unmittelbar für alle betroffenen Einrichtungen
  • **Innerhalb von 3 Monaten nach Inkrafttreten**: Registrierung beim BSI und Benennung einer Kontaktstelle
  • **Laufend**: Meldepflichten bei erheblichen Sicherheitsvorfällen (24h/72h/1 Monat)
  • **Regelmäßig**: Nachweis der Umsetzung gegenüber dem BSI (bei wesentlichen Einrichtungen: proaktive Prüfungen, bei wichtigen Einrichtungen: anlassbezogen)

Warten Sie nicht auf das finale Inkrafttreten des Gesetzes. Die Anforderungen der NIS2-Richtlinie sind bekannt, und der Aufbau eines vollständigen Cybersicherheitsprogramms benötigt erhebliche Zeit und Ressourcen. Unternehmen, die jetzt mit der Umsetzung beginnen, vermeiden Zeitdruck und können ihre Maßnahmen sorgfältig implementieren und testen.

Häufig gestellte Fragen zu NIS2 in Deutschland

Häufig gestellte Fragen

Wie kann ich prüfen, ob mein Unternehmen von NIS2 betroffen ist?
Prüfen Sie zunächst, ob Ihr Unternehmen in einem der 18 regulierten Sektoren tätig ist. Anschließend prüfen Sie die Größenkriterien: Ab 50 Mitarbeitern oder ab 10 Millionen Euro Jahresumsatz fallen Sie grundsätzlich in den Anwendungsbereich. Bestimmte Einrichtungen wie DNS-Dienstleister, TLD-Namenregister oder Vertrauensdiensteanbieter sind unabhängig von der Größe betroffen. Das BSI stellt voraussichtlich ein Betroffenheitsprüfungs-Tool zur Verfügung. Bis dahin empfiehlt sich eine professionelle Einschätzung durch einen spezialisierten IT-Auditor.
Welche persönliche Haftung trifft Geschäftsführer unter NIS2?
Die Geschäftsleitung ist verpflichtet, die Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen. Bei schuldhafter Verletzung dieser Pflichten haften Geschäftsführer und Vorstände persönlich. Die Haftung umfasst Schadensersatzansprüche des Unternehmens und kann nicht durch Delegierung an einen CISO oder IT-Leiter abgewendet werden. Zudem sind Geschäftsführer verpflichtet, an Cybersicherheitsschulungen teilzunehmen. Bei wesentlichen Einrichtungen kann das BSI leitenden Personen sogar vorübergehend die Ausübung ihrer Leitungsaufgaben untersagen.
Wie funktionieren die Meldepflichten bei Sicherheitsvorfällen?
Bei einem erheblichen Sicherheitsvorfall müssen Sie innerhalb von 24 Stunden eine Frühwarnung an das BSI übermitteln. Innerhalb von 72 Stunden folgt eine aktualisierte Vorfallmeldung mit einer ersten Bewertung. Spätestens einen Monat nach dem Vorfall ist ein detaillierter Abschlussbericht einzureichen. Als erheblich gilt ein Vorfall, wenn er schwerwiegende Betriebsstörungen oder erhebliche materielle oder immaterielle Schäden verursacht hat oder verursachen kann. Es empfiehlt sich, diese Prozesse vorab aufzusetzen und regelmäßig zu üben.
Reicht eine ISO 27001-Zertifizierung für NIS2-Compliance aus?
Nein, eine ISO 27001-Zertifizierung allein reicht nicht aus, ist aber eine hervorragende Grundlage. ISO 27001 deckt wesentliche Bereiche wie Risikomanagement, Zugangssteuerung und Informationssicherheitsmanagement ab. Allerdings fehlen NIS2-spezifische Elemente wie die 24-Stunden-Meldefrist, die explizite Geschäftsführerhaftung, die detaillierten Anforderungen an die Lieferkettensicherheit und die Registrierungspflicht beim BSI. Unternehmen mit bestehender ISO 27001-Zertifizierung müssen diese Lücken gezielt schließen – ein sogenanntes NIS2-Delta-Assessment kann den zusätzlichen Handlungsbedarf effizient identifizieren.
Welche Kosten sind für die NIS2-Umsetzung zu erwarten?
Die Kosten variieren erheblich je nach Ausgangslage, Unternehmensgröße und Branche. Unternehmen ohne bestehendes ISMS müssen mit Investitionen von 100.000 bis mehrere Millionen Euro rechnen, verteilt über Beratung, Technologie, Personalaufbau und laufenden Betrieb. Unternehmen mit bestehender ISO 27001-Zertifizierung oder KRITIS-Erfahrung können mit deutlich geringerem Aufwand rechnen. Dem gegenüber stehen die potenziellen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sowie die kaum bezifferbaren Kosten von Reputationsschäden nach einem Sicherheitsvorfall.
Welche Prüfpflichten gelten für wesentliche und wichtige Einrichtungen?
Wesentliche Einrichtungen unterliegen einem proaktiven Aufsichtsregime: Das BSI kann jederzeit Audits, Inspektionen und Sicherheitsscans durchführen oder anordnen. Unternehmen müssen auf Anforderung Nachweise über die Umsetzung der Sicherheitsmaßnahmen erbringen. Wichtige Einrichtungen werden reaktiv überwacht – Prüfungen erfolgen erst bei konkreten Hinweisen auf Verstöße oder nach Sicherheitsvorfällen. Für beide Kategorien gilt: Eine lückenlose Dokumentation aller Maßnahmen ist essenziell, um bei einer Prüfung die Compliance nachweisen zu können.

Die NIS2-Richtlinie stellt deutsche Unternehmen vor erhebliche neue Herausforderungen, bietet aber auch die Chance, die eigene Cybersicherheit auf ein zeitgemäßes Niveau zu heben. Angesichts der zunehmenden Bedrohungslage und der empfindlichen Sanktionen ist eine proaktive Herangehensweise nicht nur rechtlich geboten, sondern auch wirtschaftlich sinnvoll. Beginnen Sie jetzt mit der Umsetzung und sichern Sie sich die Unterstützung erfahrener Fachleute.

Über das IT-Audit Directory finden Sie qualifizierte NIS2-Berater und IT-Auditoren in Deutschland, die Sie bei der Betroffenheitsanalyse, der Gap-Analyse und der vollständigen Umsetzung unterstützen. Fordern Sie jetzt unverbindlich ein Angebot an und bringen Sie Ihre NIS2-Compliance auf den Weg.

Empfohlene Auditoren für NIS2 Audit

EY Deutschland
EY Deutschland
Frankfurt am Main
PwC Deutschland
PwC Deutschland
Frankfurt am Main
A-LIGN Deutschland
A-LIGN Deutschland
Berlin
Securance-iAP GmbH
Securance-iAP GmbH
Frankfurt am Main

IT-Auditor gesucht?

Vergleichen Sie Auditoren und fordern Sie kostenlos ein unverbindliches Angebot über IT-Audit Directory an.

Auditoren anzeigen