Zum Inhalt springen
Startseite » BLOG » NIS2 GESETZ: RUHE BEWAHREN STATT DURCHDREHEN

NIS2 GESETZ: RUHE BEWAHREN STATT DURCHDREHEN

Am Freitag, dem 21. November, hat der Bundesrat dem Gesetz zur Umsetzung der NIS-2-Richtlinie zugestimmt. Das Ziel: einheitliche, höhere Anforderungen an die Cybersicherheit für Wirtschaft und Verwaltung in Deutschland.

Das Gesetz tritt in Kürze in Kraft – ohne längere Übergangsfrist. Betroffen sind insbesondere „wichtige“ und „besonders wichtige Einrichtungen“ in zahlreichen Sektoren wie Energie, Gesundheit, Verkehr, digitale Dienste und öffentliche Verwaltung.

In diesem Beitrag geht es darum, was das für Sie bedeutet – mit klarem Fokus auf Praxis und ohne Panik mache, wie bei vielen anderen IT-Dienstleistern.

Bitte nichts überstürzen

Auch wenn die Schlagzeilen groß sind: Viele Anforderungen aus NIS-2 werden in Unternehmen bereits heute teilweise oder komplett erfüllt, zum Beispiel:

  • grundlegende IT-Sicherheitsmaßnahmen (z.B. Angriffserkennung, Patchmanagement, Berechtigungskonzepte)
  • Backups und erste Notfallpläne
  • organisatorische Regeln zur Informationssicherheit

NIS-2 verlangt nun, diese Bausteine:

  • systematisches als Risikomanagement
  • nachweisbar zu dokumentieren und
  • klar in der Verantwortung der Geschäftsleitung zu verankern.

Der entscheidende Unterschied ist also weniger ein neues „Technik-Feuerwerk“, sondern die Verbindlichkeit auf Management-Ebene.

Was sich für die Geschäftsleitung ändert

Die NIS-2-Regelungen machen Cybersicherheit ausdrücklich zur Aufgabe der Unternehmensleitung. Das BSI fasst es so zusammen: Geschäftsführungen betroffener Einrichtungen sind verpflichtet, Verantwortung für das Risikomanagement zu übernehmen und sich regelmäßig zu IT-Sicherheit schulen zu lassen.

Konkret bedeutet das für Ihre Geschäftsleitung:

  • Kenntnisse aufbauen
    Sie müssen Cyberrisiken, deren Auswirkungen auf Ihr Geschäft und wesentliche Maßnahmen verstehen können.
  • Regelmäßige Schulung
    Das BSI hat hierzu eine eigene Handreichung „NIS-2-Geschäftsleitungsschulung“ veröffentlicht, die Aufbau und Inhalte solcher Schulungen beschreibt.
  • Nachvollziehbare Entscheidungen treffen
    Entscheidungen zur Cybersicherheit – etwa zur Risikobehandlung oder zur Akzeptanz von Restrisiken – sollen begründbar und dokumentiert sein.

Ohne fachliche Unterstützung wird es für viele Geschäftsleitungen schwer, diese Rolle belastbar wahrzunehmen. Genau hier kommt IT-Sicherheitsexpertise ins Spiel.

Warum Sie jetzt IT-Sicherheitsexpertise brauchen

Das Gesetz wird nach Angaben des BSI für rund 29.000 zusätzliche „wichtige“ und „besonders wichtige Einrichtungen“ verbindliche IT-Sicherheitsanforderungen schaffen, für die das BSI Aufsichtsbehörde ist.

Für diese Einrichtungen gilt unter anderem:

  • umfassendes Risikomanagement für Informationssicherheit,
  • Meldepflichten bei erheblichen Sicherheitsvorfällen,
  • technische und organisatorische Maßnahmen nach aktuellem Stand der Technik,
  • Verantwortung der Geschäftsleitung für die Umsetzung.

In der Praxis heißt das:

Sie benötigen jemanden, der

  • Ihren aktuellen Reifegrad realistisch einordnet,
  • Risiken bewertet und priorisiert,
  • Notfallplanung und IT-Notfallübungen fachlich aufsetzt und begleitet,
  • Inhalte so für die Geschäftsleitung aufbereitet, dass Entscheidungen fundiert getroffen werden können.

Ob diese Rolle intern aufgebaut oder extern besetzt wird, hängt von Größe und Struktur Ihres Hauses ab. Entscheidend ist: Es braucht klar benannte Verantwortung und Fachkompetenz.

Erster Schritt: Geschäftsleitung ins Thema holen

Bevor Sie Maßnahmenkataloge, Tools oder neue Richtlinien einführen, empfehle ich einen sehr klaren ersten Schritt:

Lagebild für das Management

In einem kompakten Workshop (z.B. ein halber Tag) lassen sich drei zentrale Fragen klären:

  • Wo stehen wir heute?
    – Überblick über vorhandene Maßnahmen und Schwachstellen
  • Welche Anforderungen bringt NIS-2 für unser Unternehmen?
    – Einordnung entlang Ihrer Branche und Rolle als „wichtige“ oder „besonders wichtige Einrichtung“
  • Welche Risiken sind noch offen?
    – fachlich (z.B. Ausfall zentraler Systeme, Notbetrieb / BCM)
    – organisatorisch (z.B. unklare Rollen im Notfall)

Eine einfache Leitfrage, die viel offenlegt:

Wie stünden wir da, wenn heute ein Angriff erfolgreich wäre?

Könnten Sie klar beschreiben, was in den ersten 24 Stunden passiert, wer entscheidet, was an wen gemeldet wird – und wie Sie wieder in den Normalbetrieb kommen?

Lieferketten bewerten

NIS-2 richtet den Blick ausdrücklich auch auf Abhängigkeiten.

Wichtige Fragen:

  • Was passiert, wenn ein zentraler Lieferant, Cloud-Anbieter oder Logistiker ausfällt?
  • Gibt es Notfalloptionen (z.B. Ersatzdienstleister, manuelle Workarounds)?
  • Sind in Verträgen Sicherheitsanforderungen, Meldepflichten und Audit-Rechte geregelt?

Gerade in Übungen zeigt sich häufig: Die größte Schwachstelle liegt nicht im eigenen Serverraum, sondern bei einem Schlüsselpartner, auf den niemand vorbereitet war.

Zielbild unter NIS-2 – einfach formuliert

Liest man die offiziellen Texte herunter, lässt sich das Ziel so zusammenfassen:

Ihr Unternehmen soll robust sein – gegen Angriffe auf Ihre eigenen Systeme und gegen Ausfälle zentraler Lieferanten.

Dazu gehören insbesondere:

  • Klare Rollen im Notfall
    Wer entscheidet was? Wer spricht mit Kunden, Behörden, Medien?
  • Definierte Meldewege
    intern (IT, Management, Kommunikation) und extern (BSI, Aufsicht, ggf. Kund:innen).
  • Notbetrieb und Wiederanlauf planen
    Welche Prozesse müssen Sie innerhalb von Stunden wieder aufnehmen?
    Wo können Sie mit einfachen Workarounds arbeiten, wo nicht?
  • Regelmäßige Überprüfung und Übungen
    Notfallpläne, die nie geübt wurden, funktionieren im Ernstfall selten. NIS-2 fordert explizit Risikomanagementmaßnahmen, zu denen auch Business Continuity und Notfallmanagement zählen.

Gerade IT-Notfallübungen (Tabletop-Übungen, Planspiele) sind ein sehr effektives Mittel, diese Punkte greifbar zu machen – insbesondere für die Geschäftsleitung.

Sind Sie von NIS-2 betroffen?

Ob Ihr Unternehmen unter die neuen Regelungen fällt, hängt von der Einordnung als „wichtige“ oder „besonders wichtige Einrichtung“ und vom Sektor ab.

Das BSI stellt dafür eine NIS-2-Betroffenheitsprüfung bereit: ein Online-Fragenkatalog, mit dem Sie Ihr Unternehmen entlang der Richtlinienkriterien einordnen können.

Wenn Sie unsicher sind, lohnt es sich, diese Prüfung systematisch durchzugehen und das Ergebnis zu dokumentieren – das ist bereits ein erster, belastbarer Schritt in Richtung Compliance.

Ein pragmatischer Weg nach vorn

Zusammengefasst könnten Ihre nächsten Schritte so aussehen:

  1. Betroffenheit klären
    – anhand der offiziellen Informationen der Bundesregierung und der BSI-Betroffenheitsprüfung.
  2. Management-Workshop durchführen
    – Lagebild, Reifegrad, offene Risiken, Einordnung NIS-2.
  3. Zielbild und Prioritäten festlegen
    – Welche Risiken sind kurzfristig nicht akzeptabel?
    – Welche Maßnahmen bringen Ihnen am meisten „Robustheit“ pro investiertem Euro?
  4. Verantwortlichkeiten definieren
    – inklusive einer klar benannten Rolle für IT-Sicherheit (intern oder extern).
  5. Notfallplanung und erste Übung aufsetzen
    – Fokus: Rollen, Meldewege, Notbetrieb, Wiederanlauf.

Wenn Sie möchten, kann ich Sie genau an diesen Punkten unterstützen:

  • Klärung, ob und in welcher Kategorie Ihr Unternehmen von NIS-2 betroffen ist
  • kompakter Workshop mit Ihrer Geschäftsleitung
  • Aufbau einer pragmatischen Notfallplanung inklusive IT-Notfallübungen

So setzen Sie nicht „alles auf einmal“ um, sondern gehen strukturiert vor – und erfüllen dabei bereits erste konkrete Anforderungen aus NIS-2.

Schlagwörter:
WordPress Cookie Plugin von Real Cookie Banner