NIS-2-Richtlinie: Wie es weiter geht und wie sich Unternehmen jetzt vorbereiten sollten!

veröffentlicht am 30. April 2025

Warten lohnt sich nicht: Unternehmen sollten sich trotz verzögerter Umsetzung des NIS2UmsuCG jetzt auf neue Pflichten vorbereiten: Verantwortliche benennen, 24/7-Kontaktstelle einrichten, Meldeprozesse testen, Risikoanalysen durchführen und bestehende Cybersicherheitsmaßnahmen überprüfen, um Compliance und Sicherheit zu gewährleisten.

Aufgrund der vorgezogenen Bundestagswahlen konnte das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht mehr verabschiedet werden. Da die nationale Umsetzung dadurch verzögert ist, läuft bereits ein Vertragsverletzungsverfahren der EU gegen Deutschland. Dennoch betont das Bundesministerium des Inneren und für Heimat, dass die Umsetzung der NIS-2 Richtlinie weiterhin vordringlich bleibt. Aus diesem Grund sollten Unternehmen, die von den neuen Vorgaben betroffen sein könnten, nicht abwarten, sondern bereits jetzt Maßnahmen ergreifen, um Compliance, Sicherheit und Handlungsfähigkeit zu gewährleisten.

Worum geht es bei der NIS-2 Richtlinie eigentlich?

Die NIS-2 Richtlinie zielt darauf ab, das Gesamtniveau der Cybersicherheit innerhalb von Europa zu erhöhen. Dabei soll ein einheitliches Sicherheitsniveau in den Mitgliedstaaten geschaffen und Unternehmen besser geschützt werden. Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) wird in Deutschland voraussichtlich für etwa 29.000 neue Einrichtungen zukünftig zur Aufsichtsbehörde. Die bisherigen regulierten Betreiber kritischer Infrastrukturen (KRITIS) werden ebenso Teil der Einrichtungen. In diesem Zusammenhang müssen die Unternehmen angemessene, wirksame technische und organisatorische Maßnahmen zur Erhöhung der Cybersicherheit umsetzen.

Welche Maßnahmen jetzt bereits ergriffen werden sollten?

Trotz der noch ausstehenden formalen Umsetzung der NIS-2 Richtlinie können sich Unternehmen auf viele Aspekte der NIS-2 bereits jetzt schon vorbereiten:

Verantwortlichkeiten klar benennen und übernehmen
Mindestens zwei Personen sollten als Verantwortliche für die IT-Sicherheit und als Koordinatoren im Unternehmen zur Verfügung stehen. Diese sollten eng mit der Geschäftsführung, dem Compliance-Bereich und ISB vernetzt sein. Da die Geschäftsführung eine explizite persönliche Verantwortung für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs) tragen, sollten sie die Umsetzung auch überwachen und sich ggfs. über vorhandene Schulungsangebote informieren.
Einrichtung einer 24/7-Kontaktstelle gegenüber dem BSI
Um zukünftig in der Lage zu sein, Cyber-Sicherheitswarnungen und Lageinformationen des BSI zu empfangen, sichten und bewerten, muss eine Kontaktstelle eingerichtet werden. Ein zentrales Funktionspostfach, das rund um die Uhr ausgelesen wird, ist in diesem Zusammenhang Pflicht. Neben dem Postfach müssen jedoch auch geeignete Ansprechpersonen definiert werden, welche die Informationen von Seiten des BSI bewerten und ggf. betroffene Stellen im Unternehmen alarmieren können. Eine telefonische Erreichbarkeit ist im Falle einer Sicherheitsmeldung empfehlenswert und sollte ebenso vorbereitet werden.
Vorbereitung auf die Registrierungspflichten
Zusätzlich sollten sich Unternehmen darauf vorbereiten, dass künftig eine Registrierungspflicht beim BSI besteht. Wesentliche und wichtige Einrichtungen müssen sich voraussichtlich aktiv registrieren, um ihrer Meldepflicht nachkommen zu können. Details zur Registrierung werden mit der endgültigen Umsetzung der NIS-2 Richtlinie veröffentlicht, sollten aber bereits bei der internen Planung berücksichtigt werden.
Vorbereitung auf die Meldewege und -pflichten
Unternehmen sollten sich frühzeitig auf die neuen Meldepflichten nach NIS-2 vorbereiten. Je nach Einstufung als wesentliche oder wichtige Einrichtung müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI gemeldet werden. Folgemeldungen müssen innerhalb von 72 Stunden und Abschlussmeldungen spätestens nach 30 Tagen gemacht werden. Meldepflichtig sind unter anderem schwerwiegende Betriebsstörungen, finanzielle Verluste oder Schäden für Dritte. Die Meldung muss eine Bewertung des Vorfalls, Schweregrad, Auswirkungen und Indikatoren für Kompromittierungen enthalten. Unternehmen sollten daher Prozesse und Zuständigkeiten definieren und testen, um die fristgerechte Meldung sicherzustellen.
Risikoanalyse für die NIS-2 Umsetzung
Eine fundierte Risikoanalyse, beispielsweise auf Basis etablierter Standards wie dem BSI-Standard 200-3 oder der ISO 27001/2 sollte jetzt schon durchgeführt werden. Die Risikoanalyse dient dazu, die eigene Risikoexposition zu bewerten sowie angemessene technische und organisatorische Maßnahmen (TOMs) festzulegen. Besonders wichtig hierbei ist es, Risiken im Hinblick auf Eintrittswahrscheinlichkeit und Schwere möglicher Sicherheitsvorfälle zu bewerten und geeignete Schutzmaßnahmen zu priorisieren. Grundlage für eine effektive Risikoanalyse sind strukturierte Prozesse wie Schutzbedarfsfeststellung, Gefährdungsanalyse und Risikobehandlung.
Bestandsaufnahme der bisherigen Cybersicherheit
Für die Vorbereitung auf NIS-2 ist eine Bestandsaufnahme der bisherigen IT-Sicherheitsmaßnahmen ein ebenso wichtiger erster Schritt. Dabei sollten bestehende Maßnahmen gegen den Stand der Technik und die Anforderungen der NIS-2 Richtlinie geprüft werden. Je nach Reifegrad kann eine externe Unterstützung sinnvoll sein, beispielsweise durch einen CyberRisikoCheck oder branchenspezifische Sicherheitsstandards. Der Fokus liegt hierbei auf der Identifikation von Lücken, um daraus gezielt Verbesserungsmaßnahmen für ein umfassendes Informationssicherheitsmanagementsystem (ISMS) abzuleiten.

Fazit: Nicht abwarten – jetzt aktiv werden!

Auch wenn der nationale Gesetzgebungsprozess noch nicht abgeschlossen ist: Unternehmen sollten jetzt handeln, um spätere Umsetzungsprobleme, Haftungsrisiken und mögliche Bußgelder zu vermeiden. NIS-2 ist mehr als ein gesetzliches Pflichtprogramm: Es ist eine Gelegenheit, die Cybersicherheitsstrategie des eigenen Unternehmens zukunftsfähig aufzustellen.

WIE WIR SIE DABEI UNTERSTÜTZEN KÖNNEN:

Gerne begleiten wir Sie bei der Umsetzung der NIS-2-Anforderungen: Von der Risikoanalyse über die Prüfung Ihrer Cybersicherheitsmaßnahmen bis zur Einrichtung effizienter Melde- und Kommunikationsprozesse oder die Beantwortung von Rechtsfragen in diesem Zusammenhang. Mit unserer Expertise machen wir Ihr Unternehmen compliance-sicher und NIS-2-ready.