NIS2 Überblick und Anforderungen: Unterschied zwischen den Versionen

Die NIS2-Richtlinie (Network and Information Systems Directive 2) ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie (Richtlinie (EU) 2016/1148) der Europäischen Union, die 2016 in Kraft trat. Sie zielt darauf ab, die Cybersicherheitsstandards und -praktiken in der EU weiter zu verbessern und auszuweiten, insbesondere in Bezug auf kritische Infrastrukturen und essenzielle Dienste.

Einordnung und Zielsetzung

Die NIS2-Richtlinie ist die „Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ und bildet seit 2022 den zentralen EU‑Rechtsrahmen für Netz- und Informationssicherheit in kritischen und wichtigen Sektoren. Sie ersetzt die ursprüngliche NIS‑Richtlinie von 2016 und hebt das gemeinsame Ambitionsniveau der EU im Bereich Cybersicherheit deutlich an.

Ziel von NIS2 ist es, ein einheitliches und hohes Schutzniveau für Netz- und Informationssysteme in 18 kritischen Sektoren in allen Mitgliedstaaten zu etablieren. Dazu verpflichtet die Richtlinie sowohl die Mitgliedstaaten als auch betroffene Unternehmen, ihre Cybersicherheitskapazitäten zu verbessern, systematische Risikomanagementmaßnahmen einzuführen und Sicherheitsvorfälle nach einheitlichen Grundsätzen zu melden. Sie stärkt zudem die grenzüberschreitende Zusammenarbeit und den Informationsaustausch, um Cyberangriffe wirksamer erkennen, bewerten und bewältigen zu können.

Für Organisationen, die bereits ein ISMS nach ISO 27001 oder BSI Grundschutz betreiben, ist NIS2 kein vollständig neues Thema, sondern eine regulatorische Verschärfung und Erweiterung bestehender Anforderungen. Viele NIS2‑Pflichten (Risikomanagement, technische und organisatorische Maßnahmen, Incident Management, Business Continuity, Schulungen) lassen sich durch ein systematisch implementiertes ISMS effizient erfüllen. Gleichzeitig führt NIS2 zusätzliche Anforderungen ein, etwa erweiterte Meldepflichten, strengere Governance‑ und Haftungsregeln für die Leitungsebene und einen deutlich erweiterten Anwendungsbereich.

Dieser Artikel verfolgt folgende Zwecke:

• Management, ISB, IT und Fachbereiche über Inhalt und Bedeutung von NIS2 zu informieren.
• Die Verbindung zwischen NIS2‑Pflichten und einem eigenen/vorhandenen ISMS transparent zu machen.
• Grundlagen für die interne NIS2‑Betroffenheitsanalyse und die Ableitung von Maßnahmen zu legen.

Rechtlicher Rahmen

Kern des Rechtsrahmens ist die Richtlinie (EU) 2022/2555 („NIS2“), die am 16. Januar 2023 in Kraft getreten ist und von allen Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umzusetzen war. Die Richtlinie legt harmonisierte Mindestanforderungen an das Cybersicherheitsniveau in allen EU‑Staaten fest, einschließlich Risikomanagement, Incident‑Reporting, Aufsicht und Durchsetzung.

NIS2 definiert:

• einen erweiterten Anwendungsbereich mit 18 kritischen Sektoren (u. a. Energie, Verkehr, Finanzwesen, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Post‑ und Kurierdienste, Abfallwirtschaft, Herstellung bestimmter Produkte, Lebensmittel, Forschung),
• Kategorien betroffener Einrichtungen („wesentliche“ und „wichtige“ Einrichtungen) mit unterschiedlichen Aufsichts- und Sanktionsregimen,
• konkrete Sicherheits- und Meldepflichten sowie erhöhte Anforderungen an Governance und Verantwortlichkeit der Leitungsebene.

Die NIS2‑Richtlinie unterscheidet auf EU‑Ebene zwischen wesentlichen und wichtigen Einrichtungen. Das deutsche NIS2‑Umsetzungsgesetz übernimmt diese Kategorien, ergänzt sie jedoch um die nationale Bezeichnung ‚besonders wichtige Einrichtungen‘ für bestimmte Einrichtungen mit besonders hoher Kritikalität.

Die Zuordnung erfolgt auf Basis von Sektor, Unternehmensgröße und kritischer Bedeutung. Die konkrete Einstufung ergibt sich aus den Regelungen des BSI‑Gesetzes und den dazugehörigen Rechtsverordnungen.

Wesentliche zeitliche Eckpunkte:

• 14.12.2022: Verabschiedung der NIS2‑Richtlinie auf EU‑Ebene.
• 16.01.2023: Inkrafttreten der Richtlinie.
• 17.10.2024: Frist zur Umsetzung in nationales Recht.

In Deutschland wurde die Richtlinie mit dem „Gesetz zur Umsetzung der NIS‑2‑Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ umgesetzt, das am 5. Dezember 2025 in Kraft getreten ist.

Die konkreten Pflichten für betroffene Einrichtungen (u.a. Registrierung, Meldepflichten, Mindestmaßnahmen) ergeben sich seither aus dem BSI‑Gesetz in der jeweils geltenden Fassung sowie den dazugehörigen Rechtsverordnungen und BSI‑Vorgaben.

Aktuelle Hinweise, Leitfäden und FAQ zur Anwendung in Deutschland veröffentlicht das BSI auf seinen NIS‑2‑Informationsseiten und im BSI‑Portal für NIS‑2‑regulierte Unternehmen (s.u.).

Anwendungsbereich und Betroffenheit

NIS2 gilt für eine deutlich größere Zahl von Sektoren und Unternehmen als die ursprüngliche NIS‑Richtlinie. Sie unterscheidet zwischen „Sektoren hoher Kritikalität“ (z.B. Energie, Verkehr, Bankwesen und Finanzmarktinfrastruktur, Gesundheit, Trinkwasserversorgung und Abwasser, digitale Infrastruktur, IKT‑Dienstleistungsmanagement, öffentliche Verwaltung, Raumfahrt) und „sonstigen kritischen Sektoren“ (z.B. Post- und Kurierdienste, Abfallwirtschaft, Lebensmittel, Herstellung ausgewählter Produkte, digitale Anbieter, Forschung).

Die Richtlinie verwendet grundsätzlich einen kombinierten Ansatz aus Sektorzurodnung, Unternehmensgröße und besonderen Kritikalitätsmerkmalen. Im Regelfall sind mittlere und große Unternehmen in den betroffenen Sektoren erfasst, also Einrichtungen mit mindestens 50 Beschäftigten und einem Jahresumsatz oder einer Jahresbilanzsumme von mindestens 10 Mio. Euro.

Das deutsche Umsetzungsrecht verwendet zusätzlich die Kategorie „besonders wichtige Einrichtungen“, die bestimmte Einrichtungen mit sehr hoher Kritikalität national spezifisch adressiert. Diese Bezeichnung ergänzt die europarechtlichen Kategorien, ersetzt sie aber nicht; für die europäische Einordnung bleiben „wesentliche“ und „wichtige“ Einrichtungen maßgeblich.

„Wesentliche Einrichtungen“ und „wichtige Einrichtungen“ werden anhand der Sektorzuordnung (Sektoren hoher Kritikalität vs. sonstige kritische Sektoren), der Größenkriterien und gegebenenfalls zusätzlicher Kriterien bestimmt. Eine einfache Gleichsetzung „groß = wesentlich“ bzw. „mittel = wichtig“ greift zu kurz und kann zu Fehleinstufungen führen. Maßgeblich sind die Kriterien des NIS2‑Umsetzungsgesetzes und die darauf basierenden Rechtsverordnungen.

Gleichzeitig sehen NIS2 und seine nationale Umsetzung Ausnahmen von der reinen Größenlogik vor: Auch kleinere Unternehmen können einbezogen werden, wenn sie in einem besonders kritischen Bereich tätig sind oder eine besondere Bedeutung für die Gesellschaft oder Wirtschaft haben (z. B. Monopolstellungen, zentrale Knotenpunkte). Die konkrete Einstufung (z.B. durch Rechtsverordnungen oder Verwaltungsakte) erfolgt auf nationaler Ebene, in Deutschland u.a. durch Regelungen im BSI‑Gesetz und auf Basis von Unterstützungsangeboten wie dem offenen KRITIS‑Leitfaden.

Für Unternehmen ist eine strukturierte Betroffenheitsanalyse erforderlich. Typischerweise umfasst sie:

• Abgleich der eigenen Tätigkeiten mit den in NIS2 genannten Sektoren und Teilsektoren (Anhang I und II der Richtlinie) und deren Konkretisierung im deutschen Recht.
• Bewertung der Unternehmensgröße (Beschäftigtenzahl, Umsatz, Bilanzsumme) gegenüber den Schwellenwerten und Sondertatbeständen des NIS2‑Umsetzungsgesetzes.
• Prüfung, ob eine besondere kritische Rolle (z.B. zentrale Dienstleistende, kritische Zulieferer, Betreiber zentraler Infrastruktur, Monopolstellungen) eine Einstufung unabhängig von der Größe nahelegt.
• Abgleich mit BSI‑Leitfäden und ggf. branchenspezifischen Vorgaben, um nationale Besonderheiten zu berücksichtigen.

Das Ergebnis dieser Analyse bestimmt, ob und in welcher Kategorie (wesentliche oder wichtige Einrichtung) das Unternehmen unter NIS2 fällt und welche Pflichten sich daraus ergeben. Diese Betroffenheitsanalyse sollte nachvollziehbar dokumentiert und regelmäßig überprüft werden, insbesondere bei Veränderungen von Geschäftsmodell, Größe oder Regulierung.

Rollen, Verantwortlichkeiten, Governance

NIS2 stärkt die Verantwortung der Unternehmensleitung für Cybersicherheit und Informationssicherheit deutlich. Die Leitungsorgane (z.B. Geschäftsführung, Vorstand) müssen nach der Richtlinie die Umsetzung der Risikomanagementmaßnahmen überwachen, entsprechende Entscheidungen billigen und erhalten eine explizite Verantwortung für die Einhaltung der NIS2‑Pflichten. Sie sind zudem verpflichtet, regelmäßig an Schulungen zu Cybersicherheitsthemen teilzunehmen, um fundierte Entscheidungen treffen zu können.

Auf operativer Ebene werden typischerweise folgende Rollen benötigt:

• Informationssicherheitsbeauftragte bzw. CISO als zentrale verantwortliche Rolle für Aufbau, Betrieb und Weiterentwicklung des ISMS und die Umsetzung der NIS2‑Anforderungen.
• Verantwortliche für Risikomanagement, Compliance und Datenschutz, um die Verzahnung zwischen NIS2, DSGVO, anderen regulatorischen Pflichten und dem unternehmensweiten Risikomanagement sicherzustellen.
• IT‑Leitung und Fachverantwortliche für die Umsetzung technischer und organisatorischer Maßnahmen (z.B. Netzwerksicherheit, Identity & Access Management, Backup‑ und Recovery‑Konzepte).

Extern spielen insbesondere die nationalen zuständigen Behörden, in Deutschland vor allem das BSI, sowie die nationalen CSIRTs eine zentrale Rolle. Sie sind verantwortlich für Aufsicht, Meldeentgegennahme, Koordination im Incident‑Fall und teilweise Beratung der betroffenen Einrichtungen. NIS2 fördert zudem die Einrichtung nationaler und europäischer Kooperationsmechanismen, um Informationen über Bedrohungen, Schwachstellen und Vorfälle auszutauschen.

Für das ISMS bedeutet das:

• Die Rolle der Unternehmensleitung in der Informationssicherheit muss in Richtlinien, Organigrammen und Gremienstrukturen klar verankert sein (z.B. ISMS‑Lenkungskreis, regelmäßige Management‑Reviews).
• Rollen und Verantwortlichkeiten im Bereich NIS2 sollten eindeutig beschrieben, mit Vertretungsregelungen versehen und mit den bestehenden ISMS‑Rollen abgestimmt werden.
• Die Governance‑Struktur muss sicherstellen, dass Entscheidungen zu Risikobereitschaft, Sicherheitsmaßnahmen und Ressourcen transparent vorbereitet und auf Leitungsebene getroffen werden.

Im deutschen Kontext konkretisieren BSI‑Gesetz und NIS2‑Umsetzungsgesetz die Verantwortung der Leitungsebene zusätzlich, indem sie Informationssicherheitsmanagement und bestimmte Pflichten (z.B. Registrierung, Mitwirkung an Aufsicht) normativ der Geschäftsleitung zuordnen. Organisationen sollten dies in Geschäftsverteilungsplänen, Geschäftsordnungen und Mandaten von Leitungs- und Lenkungsgremien ausdrücklich abbilden.

Anforderungen an das Risikomanagement

NIS2 verpflichtet betroffene Einrichtungen, ein systematisches und dokumentiertes Risikomanagement für Netz- und Informationssicherheit zu etablieren. Dieses Risikomanagement muss sowohl technische als auch organisatorische Risiken abdecken und sich an der Bedeutung der angebotenen Dienste für Gesellschaft und Wirtschaft orientieren.

Typische Anforderungen sind:

• Durchführung regelmäßiger Risikoanalysen für IT‑Systeme, Netzwerke, Anwendungen und unterstützende Prozesse, unter Berücksichtigung aktueller Bedrohungen und Schwachstellen.
• Bewertung der potenziellen Auswirkungen von Sicherheitsvorfällen auf die Aufrechterhaltung der kritischen oder wichtigen Dienste, einschließlich Betriebsunterbrechungen, finanzieller Schäden und Auswirkungen auf Dritte.
• Ableitung und Umsetzung geeigneter technischer und organisatorischer Maßnahmen (z. B. Härtung, Zugangskontrollen, Netzwerksicherheitsmaßnahmen, Backup, Notfallmanagement) auf Basis der Risikobewertung.

Das Risikomanagement nach NIS2 ist eng mit Business Continuity Management und Notfallplanung verzahnt: Unternehmen müssen planen, wie sie bei Sicherheitsvorfällen ihre wesentlichen Dienste aufrechterhalten oder schnell wiederherstellen. Dazu gehören u. a. Notfallpläne, Wiederanlauf- und Wiederherstellungsstrategien sowie regelmäßige Tests (z.B. Übungen, Szenario‑basierte Tests).

Für ein bestehendes ISMS bedeutet dies:

• Die Risikomanagement‑Methodik (z.B. nach ISO 27005 oder BSI‑Standard 200‑3) sollte explizit auf NIS2‑relevante Aspekte ausgerichtet werden, etwa kritische Geschäftsprozesse, NIS2‑Sektoren und meldepflichtige Vorfallsszenarien.
• Risikoakzeptanzkriterien und Risikobehandlungskonzepte müssen mit den Zielen der NIS2‑Regulierung vereinbar sein, insbesondere hinsichtlich der Vermeidung von Systemausfällen wesentlicher Dienste und gravierenden Beeinträchtigungen.
• Die Ergebnisse der Risikoanalysen sollten systematisch dokumentiert werden und als Grundlage für Management‑Entscheidungen, Sicherheitskonzepte, Kontinuitätsplanung und die Priorisierung der Maßnahmen im NIS2‑Umsetzungsprojekt dienen.

Informationssicherheits-Managementsystem (ISMS)

NIS2 verlangt nicht ausdrücklich die Zertifizierung nach ISO/IEC 27001 oder die Anwendung des BSI Grundschutzes, fordert aber ein systematisches Management von Cybersicherheitsrisiken, klare Governance, Meldeprozesse und angemessene technische und organisatorische Maßnahmen. Damit ist ein wirksam betriebenes ISMS der naheliegende organisatorische Rahmen, um NIS2‑Pflichten strukturiert, nachweisbar und dauerhaft zu erfüllen.

Für das ISMS bedeutet NIS2 vor allem, dass regulatorische Anforderungen als bindende Verpflichtungen erfasst, bewertet und in die bestehenden Steuerungsmechanismen übersetzt werden müssen. Dazu gehören insbesondere Geltungsbereich, Rollen und Verantwortlichkeiten, Risikoakzeptanz, Maßnahmensteuerung, Vorfallmanagement, Lieferantensteuerung, Business Continuity und Nachweisführung gegenüber Aufsichtsbehörden.

Ein NIS2‑fähiges ISMS sollte mindestens folgende Elemente abdecken:

• einen nachvollziehbar definierten Scope, der die von NIS2 erfassten Dienste, Prozesse, Standorte, Systeme und Dienstleistenden umfasst,
• ein dokumentiertes Governance‑Modell mit Einbindung der Leitungsebene, da Leitungsorgane die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen müssen,
• ein belastbares Risiko- und Maßnahmenmanagement, das Cyberrisiken bewertet, priorisiert und in kontrollierte Umsetzungsmaßnahmen überführt,
• ein etabliertes Incident‑Management mit Meldewegen, Eskalationslogik und Fristensteuerung,
• ein Dokumentations- und Nachweissystem, das Entscheidungen, Bewertungen, Maßnahmenstatus, Tests, Vorfälle und Reviews prüffähig festhält.

Für Organisationen mit bestehendem ISMS ist NIS2 in der Praxis vor allem eine Frage des Mappings und der Nachschärfung. Bestehende Richtlinien, Prozesse und Kontrollen sollten daraufhin überprüft werden, ob sie die in NIS2 geforderten Inhalte vollständig abdecken, ob die Leitungsebene formal eingebunden ist und ob Melde- und Reaktionsprozesse die regulatorischen Fristen tatsächlich einhalten können.

Sicherheitsmaßnahmen

Der Kern der materiellen NIS2‑Pflichten liegt in den Cybersicherheits-Risikomanagementmaßnahmen nach Artikel 21. Die Richtlinie verlangt, dass wesentliche und wichtige Einrichtungen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ treffen, um Risiken für Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Dienstleistungserbringung zu verhindern oder zu minimieren.

Diese Maßnahmen müssen risikobasiert sein und sich am Stand der Technik, an einschlägigen europäischen und internationalen Normen sowie an Größe, Exposition, Eintrittswahrscheinlichkeit und möglicher Schwere von Vorfällen orientieren. NIS2 fordert damit keinen starren Einheitskatalog, sondern einen begründeten, dokumentierten und angemessenen Maßnahmenmix.

Artikel 21 nennt Mindestthemen, die von betroffenen Einrichtungen abzudecken sind:

• Risikoanalyse und Sicherheit von Informationssystemen: Sicherheitsmaßnahmen müssen aus einer belastbaren Risikobewertung abgeleitet werden und die betroffenen Systeme, Prozesse und Dienste wirksam schützen.
• Bewältigung von Sicherheitsvorfällen: Es müssen Verfahren und Mittel vorhanden sein, um Vorfälle zu erkennen, zu analysieren, einzudämmen, zu beseitigen und strukturiert nachzubereiten.
• Aufrechterhaltung des Betriebs: NIS2 verlangt Vorkehrungen für Resilienz, Wiederanlauf und Krisenbewältigung incl. Backup‑Management und Wiederherstellung nach einem Notfall.
• Sicherheit der Lieferkette: Lieferantenrisiken sind ausdrücklich Teil des Pflichtenprogramms einschließlich sicherheitsbezogener Aspekte in den Beziehungen zwischen einer Einrichtung und ihren unmittelbaren Anbietenden oder Dienstleistenden.
• Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen: Secure Development, Patch- und Vulnerability‑Management sind ausdrücklich adressiert einschließlich Schwachstellenmanagement und Offenlegung von Schwachstellen.
• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Cybersicherheitsmaßnahmen: Kontrollen müssen nicht nur bestehen, sondern auch regelmäßig überprüft und bewertet werden.
• Grundlegende Cyberhygiene und Schulungen im Bereich Cybersicherheit: Sensibilisierung und Befähigung der Mitarbeitenden sind Mindestbestandteil der Compliance.
• Konzepte und Verfahren für Kryptografie und gegebenenfalls Verschlüsselung: Kryptografische Schutzmaßnahmen sind ausdrücklich genannt.
• Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen: NIS2 adressiert sowohl personelle als auch organisatorische und technische Grundkontrollen.
• Verwendung von Multi‑Faktor‑Authentifizierung oder kontinuierlicher Authentifizierung: NIS2 verlangt gesicherte Sprach‑, Video‑ und Textkommunikation und gesicherte Notfallkommunikationssysteme, soweit angemessen. NIS2 hebt Identitäts‑ und Kommunikationssicherheit ausdrücklich als Teil des Maßnahmenprogramms hervor.

Für das ISMS ist entscheidend, diese Themen nicht isoliert als Einzelliste zu behandeln, sondern in bestehende Domänen und Prozesse zu integrieren. Ein praktikabler Ansatz ist, NIS2‑Mindestmaßnahmen auf vorhandene Control‑Strukturen abzubilden, etwa auf ISO/IEC 27001:2022 Annex A oder auf Bausteine des BSI Grundschutzes, und daraus eine nachvollziehbare Compliance‑Matrix abzuleiten.

In der praktischen Umsetzung ist besonders relevant, dass NIS2 die Lieferkettensicherheit deutlich aufwertet. Organisationen sollten daher Sicherheitsanforderungen an Dienstleistende, Auslagerungen, Cloud‑Nutzung, externe Administration, Supportzugänge und Softwarelieferketten nachvollziehbar definieren, vertraglich verankern und regelmäßig bewerten.

Ebenfalls wichtig ist die Wirksamkeitsprüfung der Maßnahmen. Ein NIS2‑konformes Sicherheitsniveau lässt sich nicht allein durch Policies belegen, sondern durch operative Evidenz wie Schwachstellenmanagement, Patchzyklen, Protokollierung, Monitoring, Übungen, Wiederherstellungstests, Lieferantenbewertungen und Management‑Reviews.

Nationale Aufsichtsbehörden konkretisieren die Anforderungen teilweise weiter, etwa durch branchenspezifische Mindeststandards oder Orientierungshilfen des BSI. Für betroffene Einrichtungen ist es deshalb wichtig, neben der Richtlinie auch die jeweils geltenden nationalen Vorgaben zu berücksichtigen und in das ISMS zu integrieren.

Meldepflichten und Incident Management

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Meldung erheblicher Sicherheitsvorfälle an die zuständigen Behörden oder CSIRTs. Laut der EU‑Kommission betrifft dies Vorfälle, die erhebliche Betriebsstörungen oder erhebliche finanzielle Verluste verursachen können oder anderen natürlichen oder juristischen Personen erheblichen materiellen oder immateriellen Schaden zufügen können.

Die Richtlinie sieht ein mehrstufiges Melderegime vor. Nach Artikel 23 ist grundsätzlich vorgesehen:

• eine Frühwarnung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls, einschließlich der Angabe, ob ein Verdacht auf rechtswidrige oder böswillige Handlungen besteht und ob grenzüberschreitende Auswirkungen möglich sind,
• eine Meldung des Sicherheitsvorfalls innerhalb von 72 Stunden mit einer ersten Bewertung von Schwere, Auswirkungen und gegebenenfalls Kompromittierungsindikatoren,
• ein Abschlussbericht spätestens einen Monat nach der Meldung, mit detaillierter Beschreibung des Vorfalls, seiner Ursache, der Auswirkungen und der ergriffenen bzw. laufenden Abhilfemaßnahmen.

Soweit der Vorfall andauert, kann an die Stelle des Abschlussberichts zunächst ein Zwischenbericht treten; der Abschlussbericht folgt dann innerhalb eines Monats nach Bewältigung des Vorfalls. Diese Fristen machen deutlich, dass Incident‑Management unter NIS2 nicht nur eine technische, sondern auch eine organisatorisch-regulatorische Disziplin ist.

In Deutschland erfolgt die Meldung wesentlicher und wichtiger Einrichtungen an das BSI über die hierfür vorgesehenen Meldewege und Portale. Das BSI legt in seinen Vorgaben im Detail fest, welche Informationen in welcher Form zu übermitteln sind (z.B. technische Details, Auswirkungen, getroffene Maßnahmen) und wie die weitere Kommunikation erfolgt.

Für das ISMS sollte Incident Management deshalb mindestens folgende Bausteine umfassen:

• eindeutige Kriterien zur Einstufung, wann ein Vorfall als erheblich im Sinne von NIS2 gilt,
• festgelegte Meldewege an interne Entscheidende, Rechts-/Compliance‑Funktionen und externe Behörden,
• eine Fristensteuerung mit 24‑Stunden‑, 72‑Stunden‑ und Monatsfrist,
• Vorlagen für Frühwarnung, Erstmeldung, Zwischenbericht und Abschlussbericht,
• dokumentierte Verfahren für Analyse, Eindämmung, Wiederherstellung, Beweissicherung und Lessons Learned.

NIS2 verlangt zudem, dass Einrichtungen ihre Nutzenden oder Empfänger ihrer Dienste informieren können, wenn ein erheblicher Cyberangriff wahrscheinlich nachteilige Auswirkungen für diese Personen oder Organisationen hat. Damit reicht Incident Management nicht bis zur technischen Wiederherstellung, sondern umfasst auch Krisenkommunikation, Stakeholder‑Management und gegebenenfalls die Abstimmung mit Datenschutz‑, Kommunikations- und Rechtsfunktionen.

Zusätzlich sollte das ISMS sicherstellen, dass die NIS2‑Meldepflichten mit anderen Meldeverfahren abgestimmt sind, insbesondere mit Meldepflichten nach DSGVO, sektorspezifischen Aufsichtsregimen (z. B. Finanzaufsicht, Gesundheitswesen) und internen Krisenkommunikationsprozessen.

Als praktische Konsequenz sollte jede NIS2‑betroffene Organisation ihre Incident‑Response‑Prozesse mindestens durch Tabletop‑Übungen, Meldeübungen und Wiederherstellungstests validieren. Erst wenn Erkennung, Bewertung, Freigabe und externe Meldung unter Zeitdruck tatsächlich funktionieren, ist die regulatorische Anforderung belastbar umgesetzt.

Überwachung, Aufsicht und Sanktionen

NIS2 unterscheidet bei der Aufsicht zwischen wesentlichen und wichtigen Einrichtungen. Für wesentliche Einrichtungen sieht die Richtlinie eine strengere, auch proaktive Aufsicht vor, während wichtige Einrichtungen überwiegend ex post beaufsichtigt werden, also insbesondere dann, wenn Hinweise auf Verstöße, Vorfälle oder andere Anhaltspunkte vorliegen.

Artikel 32 der Richtlinie gibt den zuständigen Behörden weitreichende Aufsichts- und Durchsetzungsbefugnisse gegenüber wesentlichen Einrichtungen. Dazu gehören unter anderem Vor-Ort-Kontrollen, gezielte Sicherheitsprüfungen, Anforderung von Informationen und Nachweisen, Zugang zu Daten, die Anweisung zur Abhilfe bei festgestellten Mängeln sowie die Möglichkeit, bestimmte Verstöße veröffentlichen zu lassen. Für wichtige Einrichtungen gelten vergleichbare, aber in der Regel anlassbezogene Durchsetzungsinstrumente.

Für das ISMS ist daraus unmittelbar abzuleiten, dass Nachweisfähigkeit ein zentrales Steuerungsziel sein muss. Es reicht nicht aus, Sicherheitsmaßnahmen informell oder nur technisch umzusetzen; erforderlich sind belastbare Nachweise über Governance, Risikoanalysen, Entscheidungen, Maßnahmenumsetzung, Testdurchführungen, Vorfallbearbeitung und Management‑Einbindung.

NIS2 verpflichtet die Mitgliedstaaten außerdem dazu, wirksame, verhältnismäßige und abschreckende Sanktionen vorzusehen. Nach Artikel 34 müssen die Mitgliedstaaten sicherstellen, dass bei Verstößen wesentlicher Einrichtungen gegen zentrale Pflichten, insbesondere aus Artikel 21 und 23, Geldbußen mit einem Höchstbetrag von mindestens 10 Mio. Euro oder mindestens 2 Prozent des weltweiten Jahresumsatzes möglich sind, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Schwelle bei mindestens 7 Mio. Euro oder mindestens 1,4 Prozent des weltweiten Jahresumsatzes.

Über Geldbußen hinaus kann die Aufsicht weitere Maßnahmen anordnen, etwa Fristen zur Mängelbeseitigung, verbindliche Anweisungen oder andere Abhilfemaßnahmen. In der praktischen Governance-Perspektive ist besonders relevant, dass NIS2 die Verantwortung der Leitungsebene eng mit der Compliance verknüpft und damit den Druck auf eine dokumentierte und wirksame Sicherheitssteuerung deutlich erhöht.

Schnittstellen zu anderen Regelwerken

NIS2 ist kein isoliertes Regelwerk, sondern steht in einem systematischen Verhältnis zu anderen unionsrechtlichen und nationalen Vorschriften. Besonders wichtig ist Artikel 4 der Richtlinie: Wenn sektor­spezifische Unionsrechtsakte für bestimmte Einrichtungen gleichwertige Anforderungen an Cybersicherheitsmaßnahmen oder Vorfallmeldungen enthalten, gehen diese speziellen Regelungen den entsprechenden NIS2‑Vorschriften vor.

Dieses Vorrangprinzip betrifft vor allem stark regulierte Bereiche, in denen unionsrechtliche Sonderregime bereits detaillierte Cyber- oder Resilienzpflichten vorsehen. NIS2 bleibt jedoch für alle Einrichtungen und Anforderungen relevant, die nicht von solchen gleichwertigen sektoralen Regelungen erfasst werden.

Praktisch relevant wird das Vorrangprinzip insbesondere dort, wo spezialgesetzliche Regime bereits detaillierte Cyber‑ und Resilienzpflichten vorsehen, etwa die DORA‑Verordnung für bestimmte Finanzmarktakteure. In solchen Fällen gelten die spezielleren Vorgaben der DORA für entsprechende Einrichtungen vorrangig, während NIS2 ergänzend für nicht erfasste Bereiche oder Pflichten Anwendung findet.

Im Unternehmensalltag sind vor allem folgende Schnittstellen wesentlich:

• Datenschutzrecht, insbesondere DSGVO, wenn Sicherheitsvorfälle zugleich personenbezogene Daten betreffen; dann können parallel Meldepflichten aus NIS2 und der DSGVO bestehen.
• Nationale Cybersicherheits- und KRITIS-Regelungen, insbesondere das BSI‑Gesetz und weitere deutsche Umsetzungsnormen, die bestimmen, welche Einrichtungen konkret erfasst sind und wie Aufsicht und Sanktionen organisiert werden.
• Anerkannte Sicherheitsstandards wie ISO/IEC 27001 oder BSI IT‑Grundschutz, die zwar nicht automatisch NIS2‑Compliance bedeuten, aber ein geeignetes Organisations- und Kontrollgerüst für deren Umsetzung bereitstellen.

Praktisch empfiehlt sich dafür ein Regelwerks‑Mapping. Dabei werden NIS2‑Pflichten auf interne Richtlinien, ISMS‑Prozesse, Controls, Nachweise und gegebenenfalls andere externe Anforderungen wie DSGVO, DORA oder sektorale Spezialvorgaben abgebildet. Das erhöht Transparenz, reduziert Doppelarbeit und erleichtert sowohl interne Audits als auch externe Prüfungen.

Praktische Umsetzung im Unternehmen

Die Umsetzung von NIS2 sollte nicht mit Einzelmaßnahmen beginnen, sondern mit einer strukturierten Betroffenheits- und Gap‑Analyse. Zunächst ist zu klären, ob und in welcher Kategorie die Organisation unter den Anwendungsbereich fällt; darauf aufbauend wird der Soll‑Zustand aus den regulatorischen Anforderungen abgeleitet und mit den bestehenden Strukturen, Prozessen und Kontrollen verglichen.

Ein praktikables Vorgehensmodell umfasst typischerweise fünf Phasen:

1. Betroffenheitsanalyse und Scope‑Festlegung, einschließlich Sektorzurodnung, Größenkriterien, kritischer Dienstleistungen, Standorte, Systeme und Dienstleistender.
2. Gap‑Analyse gegen NIS2‑Pflichten, insbesondere Governance, Risikomanagement, Sicherheitsmaßnahmen, Meldeprozesse, Lieferkettensicherheit und Nachweisführung.
3. Priorisierung und Umsetzungsplanung auf Basis von Risiko, regulatorischer Relevanz, Umsetzungsaufwand und Abhängigkeiten.
4. Umsetzung technischer, organisatorischer und prozessualer Maßnahmen einschließlich Richtlinien, Rollen, Kontrollmechanismen, Schulungen und Incident‑Playbooks.
5. Validierung durch Übungen, Tests, interne Reviews und Management‑Bewertungen.

Für direkt NIS2‑regulierte Einrichtungen gehört zur frühen Umsetzungsplanung auch die fristgerechte Registrierung bei der zuständigen nationalen Behörde (in Deutschland beim BSI) sowie die Pflege der hinterlegten Stammdaten. Diese Registrierung ist häufig Voraussetzung für die formale Einordnung und die Nutzung behördlicher Informations- und Meldeportale.

Ein besonders kritischer Erfolgsfaktor ist die frühzeitige Einbindung der Leitungsebene. Da NIS2 die Verantwortlichkeit von Leitungsorganen ausdrücklich betont, müssen Budget, Prioritäten, Risikoentscheidungen und Rest­risikoakzeptanzen auf einer belastbaren Governance‑Grundlage getroffen und dokumentiert werden.

Ebenfalls zentral ist die Lieferkette. NIS2 verlangt nicht nur eine interne Sicherheitsorganisation, sondern auch die angemessene Steuerung unmittelbarer Anbietender und Dienstleistender, insbesondere dort, wo privilegierte Zugriffe, Cloud‑Abhängigkeiten, zentrale Plattformen oder Single‑Points‑of‑Failure bestehen. In der Praxis bedeutet das unter anderem Kritikalitätsklassifizierung, Mindestanforderungen in Verträgen, geeignete Sicherheitsnachweise, Re‑Assessments und Eskalationsmechanismen bei Schwachstellen oder Vorfällen.

Für viele Organisationen ist außerdem relevant, dass NIS2‑Umsetzung ohne Übung und Test nicht belastbar ist. Tabletop‑Übungen, Wiederherstellungstests, Lieferantenvorfallszenarien und Meldeübungen sind notwendig, um festzustellen, ob Rollen, Kommunikationswege und Entscheidungsprozesse im Ernstfall tatsächlich funktionieren.

Zentrale Pflichten für betroffene Einrichtungen

Für betroffene Einrichtungen lassen sich die Pflichten in Deutschland grob in folgende Bereiche gliedern:

• Registrierung beim BSI: fristgerechte Registrierung als besonders wichtige oder wichtige Einrichtung, laufende Pflege von Stammdaten und Kontaktinformationen.
• Risikomanagementmaßnahmen: Umsetzung der in NIS2 geforderten risikobasierten technischen und organisatorischen Maßnahmen (Artikel 21), einschließlich BCM, Lieferkette und Secure Development.
• Incident‑ und Meldeprozesse: Einrichtung eines NIS2‑fähigen Incident‑Managements mit Einstufungskriterien, 24‑/72‑Stunden‑Meldungen und Abschlussberichten sowie Anbindung an die behördlichen Meldewege.
• Governance und Leitungsverantwortung: formale Einbindung der Geschäftsleitung, regelmäßige Berichterstattung, Beschluss und Dokumentation von Risikoentscheidungen und Restrisikoakzeptanzen.
• Lieferkettensteuerung: Festlegung, vertragliche Verankerung und regelmäßige Überprüfung von Sicherheitsanforderungen an Dienstleistende, Auslagerungen, Cloud‑Angebote und andere kritische Dritte.
• Nachweisführung und kontinuierliche Verbesserung: strukturierte Dokumentation von Richtlinien, Risikoanalysen, Maßnahmen, Übungen, Tests und Audits sowie regelmäßige Überprüfung und Aktualisierung der NIS2‑Umsetzung.

Typische Lücken in bestehenden ISMS im NIS2‑Kontext

In der Praxis zeigt sich, dass viele etablierte ISMS folgende NIS2‑relevante Lücken aufweisen:

• unzureichend dokumentierte Rolle und Verantwortung der Geschäftsleitung für Informationssicherheit und NIS2‑Compliance,
• fehlende oder unzureichend getestete Prozesse zur Einhaltung der 24‑/72‑Stunden‑Meldefristen,
• unvollständige Integration von Lieferkettensicherheit (Verträge, Nachweise, Re‑Assessments) in das ISMS,
• fehlende systematische Nachweise zu Übungen und Tests (Tabletop‑Übungen, Wiederherstellungstests, Meldeübungen),
• keine konsolidierte Sicht auf regulatorische Anforderungen (NIS2, DSGVO, DORA, sektorspezifische Vorgaben) im Regelwerks‑Mapping.

Dokumentation

Dokumentation ist nicht bloße einmalige Ablage von Dokumenten und Nachweisen, sondern ein zentrales fortlaufendes Steuerungs- und Nachweismedium. Da die Richtlinie auf nachweisbare Governance, dokumentierte Risikomanagementmaßnahmen und belastbare Incident‑ und Kontrollprozesse abstellt, sollte die Dokumentation die maßgeblichen Inhalte strukturiert, versioniert und reviewfähig abbilden.

Mindestens folgende Dokumentationsobjekte sind für NIS2 besonders relevant:

• Grundlagen- und Übersicht zu NIS2, Anwendungsbereich, Rollen und Pflichten.
• Richtlinien und Leitlinien, etwa Sicherheitsleitlinie, Incident‑Handling‑Policy, Lieferantenmanagement‑Vorgaben, BCM‑Rahmenvorgaben und Kryptografie‑Regeln.
• Prozessbeschreibungen für Risikoanalyse, Maßnahmenverfolgung, Vorfallmeldung, Eskalation, externe Kommunikation, Wiederherstellung und Lessons Learned.
• Rollenbeschreibungen und Gremienstrukturen, insbesondere zur Einbindung der Leitungsebene.
• Nachweisdokumente wie Risikoübersichten, Maßnahmenpläne, Audit‑Ergebnisse, Testprotokolle, Übungsberichte, Lieferantenbewertungen und Management‑Reviews.

Wichtig ist dabei eine klare Verknüpfung zwischen Grundlagendokumentation, normativen Vorgaben und operativen Nachweisen. Eine NIS2‑Dokumentation sollte deshalb nicht isoliert stehen, sondern auf verwandte Dokumentationen verweisen, etwa zu Asset‑Management, Risikomanagement, Business Continuity, Incident Management, Lieferantenmanagement, Berechtigungsmanagement und Awareness.

Sinnvoll ist außerdem ein definierter Pflegeprozess. Für NIS2‑relevante Inhalte sollten Verantwortliche, Review‑Intervalle, Freigaberegeln, Versionierung und Änderungsanlässe festgelegt sein, damit regulatorische Änderungen, neue Behördenvorgaben oder interne Organisationsänderungen zeitnah in der Dokumentation nachvollzogen werden können.

Checklisten, Vorlagen, weiterführende Quellen

Für die praktische Anwendbarkeit sollten Arbeitsmittel zur Verfügung gestellt werden.

Geeignete interne Arbeitshilfen sind insbesondere:

• eine Checkliste zur Betroffenheitsanalyse mit Sektor, Größenkriterien, Dienstleistungen, Standorten, Systemen und kritischen Dienstleistenden,
• eine NIS2‑Gap‑Analyse‑Vorlage entlang der Themen Governance, Risikomanagement, Sicherheitsmaßnahmen, Meldepflichten, Lieferkette, BCM und Nachweisführung,
• Vorlagen für Incident‑Erstbewertung, 24‑Stunden‑Frühwarnung, 72‑Stunden‑Meldung, Zwischenbericht und Abschlussbericht,
• Bewertungsbögen für Dienstleistende und Auslagerungen mit NIS2‑relevanten Sicherheitsanforderungen,
• Vorlagen für Management‑Berichte, Umsetzungsroadmaps, Maßnahmenregister und Review‑Protokolle.

Wo möglich, sollten Checklisten und Vorlagen im Intranet oder ISMS‑Werkzeug zentral bereitgestellt und mit diesem NIS2‑Übersichtsartikel verlinkt werden. Für alle Dokumente empfiehlt sich eine eindeutige Versionierung und Zuordnung zu Verantwortlichen, damit Änderungen im NIS2‑Umfeld zeitnah nachgezogen werden können.

Weiterführende Quellen

RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

Gesetz zur Umsetzung der NIS‑2‑Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (kurz: NIS2-Umsetzungsgesetz (NIS2UmsuCG))

BSI: Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft