NIS-2 in der Praxis: Was Geschäftsführungen jetzt konkret umsetzen sollten

Von Stefan KühleisInformationssicherheit
Die NIS-2-Regulierung markiert einen Paradigmenwechsel. Cybersicherheit ist nicht länger delegierbare IT-Aufgabe, sondern gesetzlich normierte Managementverantwortung.

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist die zentrale europäische Regulierung zur Stärkung der Cybersicherheit. In Deutschland wurde sie über das novellierte BSI-Gesetz (BSIG) umgesetzt und ist am 6. Dezember 2025 in Kraft getreten.

Damit gelten verbindliche Anforderungen für deutlich mehr Unternehmen als bislang – weit über klassische KRITIS-Betreiber hinaus. Für Geschäftsführungen bedeutet das: Cybersicherheit ist nun ausdrücklich gesetzlich verankerte Leitungsverantwortung.

Besonders wichtig:

Betroffene Unternehmen sind verpflichtet, sich spätestens innerhalb von drei Monaten nach Inkrafttreten – also bis zum 6. März 2026 – beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.

Diese Registrierung ist keine Formalität. Sie ist Voraussetzung für:

  • die Erfüllung gesetzlicher Meldepflichten,
  • die offizielle Kommunikation mit dem BSI,
  • die ordnungsgemäße Einbindung in die staatliche Cybersicherheitsstruktur.

Ein Versäumnis kann bereits aufsichtsrechtliche Maßnahmen und Bußgelder nach sich ziehen.

1. Betroffenheit prüfen – wer fällt unter NIS-2?

Geschäftsführungen sollten zunächst klären, ob ihr Unternehmen als:

  • „besonders wichtige Einrichtung“ oder
  • „wichtige Einrichtung“

eingestuft wird.

Maßgeblich sind insbesondere:

  • Branche (z. B. Energie, Gesundheit, IT, Transport, Produktion, Abfall, Ernährung, digitale Dienste etc.)
  • Unternehmensgröße (Schwellenwerte nach Mitarbeiterzahl und Jahresumsatz/Bilanzsumme)
  • Art der erbrachten Dienstleistungen

Gerne stellen wir Ihnen unseren Betroffenheitscheck gemäß BSI zur Verfügung. Die Prüfung sollte dokumentiert werden.

2. Registrierung beim BSI – Frist beachten

Besteht Betroffenheit, muss das Unternehmen:

  • sich im BSI-Portal registrieren,
  • ein ELSTER-Organisationszertifikat nutzen,
  • Ansprechpartner benennen.

Späteste Frist: 6. März 2026.

Geschäftsführer sollten intern klären:

  • Wer übernimmt die Registrierung?
  • Wer ist technischer Ansprechpartner?
  • Wer verantwortet die Behördenkommunikation?

3. Risikomanagement: Die 10 verpflichtenden Mindestmaßnahmen

Kern der NIS-2-Regulierung ist die Pflicht zur Umsetzung angemessener und verhältnismäßiger Risikomanagementmaßnahmen (§ 30 BSIG n. F., Art. 21 NIS-2).

Das Gesetz nennt insbesondere folgende zehn Mindestmaßnahmen:

  1. Risikomanagement und Risikoanalyse (konzeptionell, dokumentiert)
  2. Incident Response / Sicherheitsvorfall-Management
  3. Business Continuity & Notfall-/ Wiederherstellungs-Management (Backups, Krisensteuerung)
  4. Sicherheit der Lieferkette (Lieferanten, Dienstleister)
  5. Sichere Beschaffung, Entwicklung und Wartung von IT/Produkten
  6. Bewertung der Wirksamkeit der implementierten Maßnahmen
  7. Sensibilisierung und Schulungen zur Informationssicherheit
  8. Kryptografische Verfahren & Verschlüsselungskonzepte
  9. Zugriffs- und Berechtigungsmanagement (Identity & Access Control)
  10. Multi-Faktor-Authentifizierung & sichere Kommunikationssysteme

Diese Maßnahmen müssen:

  • dokumentiert,
  • überprüfbar,
  • risikoorientiert ausgestaltet
  • und fortlaufend aktualisiert werden.

Für viele Unternehmen bedeutet das faktisch die Einführung oder Weiterentwicklung eines strukturierten Informationssicherheitsmanagementsystems (ISMS), häufig orientiert an ISO/IEC 27001.

4. Meldepflichten bei Sicherheitsvorfällen

NIS-2 verschärft die Meldepflichten deutlich.

Meldepflichtig sind erhebliche Sicherheitsvorfälle, insbesondere wenn sie:

  • zu erheblichen Betriebsstörungen führen,
  • wesentliche Dienste beeinträchtigen,
  • oder erhebliche finanzielle oder operative Auswirkungen haben.

Die Fristen sind klar definiert:

  • Innerhalb von 24 Stunden: Frühwarnmeldung
  • Innerhalb von 72 Stunden:Detailmeldung
  • Innerhalb eines Monats: Abschluss- bzw. Fortschrittsmeldung

Die Meldung erfolgt über das BSI-Meldeportal.

Geschäftsführer müssen sicherstellen, dass:

  • ein interner Eskalationsprozess existiert,
  • Zuständigkeiten definiert sind,
  • IT, Compliance und Geschäftsführung abgestimmt handeln,
  • Schnittstellen zur DSGVO-Meldung (Art. 33 DSGVO) berücksichtigt werden.

5. Indirekt betroffene Unternehmen: Lieferkettenrisiko

Auch Unternehmen, die formal nicht unmittelbar unter NIS-2 fallen, können faktisch betroffen sein.

Warum?

Die Richtlinie verpflichtet regulierte Unternehmen zur Absicherung ihrer Lieferkette. Das bedeutet:

  • Sicherheitsanforderungen werden vertraglich weitergegeben.
  • Nachweise (z. B. Zertifizierungen) werden eingefordert.
  • Audit-Rechte werden vereinbart.
  • Informationspflichten bei Vorfällen werden vertraglich geregelt.

Für Zulieferer und Dienstleister entsteht somit ein erheblicher faktischer Anpassungsdruck.

6. Verantwortung und Haftung der Geschäftsführung

NIS-2 ist kein reines IT-Thema.

Die Geschäftsleitung trägt ausdrücklich Verantwortung für:

  • Genehmigung der Sicherheitsmaßnahmen,
  • Überwachung der Umsetzung,
  • Teilnahme an Schulungen.

Bei Verstößen drohen:

  • erhebliche Bußgelder (umsatzbezogen möglich),
  • behördliche Maßnahmen,
  • persönliche Haftungsrisiken bei Organisationsverschulden.

Cybersicherheit ist damit Teil ordnungsgemäßer Unternehmensführung.

7. Konkrete Handlungsempfehlung für Geschäftsführer

Aus unserer Beratungspraxis empfehlen wir folgende Priorisierung:

  1. Betroffenheitsprüfung klären
  2. Registrierungspflicht prüfen und fristgerecht bis 6. März 2026 umsetzen
  3. Governance-Struktur für Informationssicherheit festlegen
  4. GAP-Analyse zu den 10 Mindestmaßnahmen durchführen
  5. Incident-Response- und Meldeprozesse implementieren
  6. Lieferkettenverträge prüfen
  7. Schulungen für Geschäftsleitung und Mitarbeitende durchführen
  8. Dokumentation auditfähig strukturieren

Fazit: NIS-2 als strategisches Governance-Thema

Die NIS-2-Regulierung markiert einen Paradigmenwechsel. Cybersicherheit ist nicht länger delegierbare IT-Aufgabe, sondern gesetzlich normierte Managementverantwortung.

Unternehmen, die jetzt strukturiert handeln, erfüllen nicht nur regulatorische Anforderungen, sondern stärken ihre Resilienz, ihre Marktposition und ihr Haftungsmanagement nachhaltig.

Als Kanzlei für Datenschutz und Informationssicherheit begleiten wir Geschäftsführungen bei:

  • der Betroffenheitsanalyse,
  • der rechtssicheren Umsetzung der Risikomanagementpflichten,
  • der Integration von NIS-2 in bestehende Compliance-Strukturen,
  • sowie der Vorbereitung auf behördliche Prüfungen.

Wenn Sie wissen möchten, wo Ihr Unternehmen aktuell steht, unterstützen wir Sie gerne mit einer strukturierten NIS-2-Standortbestimmung.