EU-Richtlinie zum Schutz vor Cyber-Risiken
NIS-2: Darüber stolpern Unternehmen
Seit gut sieben Monaten ist das Gesetz in Kraft, mit dem Deutschland die EU-Richtlinie zur Stärkung der Cyber-Resilienz umgesetzt hat. Mit Blick auf die IT-Sicherheitsmesse it-sa im Herbst fassen wir den Stand der Dinge zu NIS-2 zusammen und forschen nach, wo die Umsetzung noch Probleme bereitet.
Von Heinrich Vaske
NIS-2 wurde eingeführt, um europaweit ein Mindestmaß an Cyber-Resilienz zu schaffen. Der Gesetzgeber will damit die Funktionsfähigkeit der Wirtschaft und der Gesellschaft absichern. Da Unternehmen heute eng vernetzt arbeiten, soll zudem verhindert werden, dass der Hack einzelner Zulieferer ganze Lieferketten und Konzerne wie Dominosteine lahmlegt.
Unternehmen werden drei Pflichten auferlegt:
- Risikomanagement: Firmen müssen einen gewissen Stand der Technik implementieren, um ihre IT abzusichern. Dazu gehören Multifaktor-Authentifizierung (MFA), Verschlüsselung, Business-Continuity-Pläne (Krisen- und Backup-Konzept) sowie regelmäßige Audits
- Meldepflicht: Wenn ein „erheblicher“ Sicherheitsvorfall eintritt, müssen die Betriebe binnen 24 Stunden eine erste Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) absetzen. Spätestens nach 72 Stunden ist ein detaillierter Bericht über den Vorfall einzureichen. Darüber hinaus verlangt NIS-2 spätestens einen Monat nach dem Vorfall einen formellen Abschlussbericht.
- Lieferkettensicherheit: Die Firmen sind gesetzlich dafür verantwortlich, dass ihre direkten Zulieferer und Dienstleister die NIS-2-Sicherheitsstandards ebenfalls einhalten.
Mit der Einführung von NIS-2 ist IT-Sicherheit endgültig Chefsache geworden. Die Unternehmensführung muss betriebliche Cybersecurity-Maßnahmen persönlich überwachen und freigeben. Sie kann diese Aufgaben nicht an den CISO oder einen externen Dienstleister wegdelegieren. Verletzen Geschäftsführer und Vorstände ihre Pflicht „schuldhaft“, haften sie persönlich, sogar mit ihrem Privatvermögen. Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes stehen im Raum.
Gehören Sie dazu? 29.500 Firmen in der NIS-2-Pflicht
Von NIS-2 sind nur Unternehmen betroffen, die zu den „wichtigen oder wesentlichen“ Einrichtungen gehören. Das betrifft in Deutschland rund 29.500 Betriebe. Sie müssen in einem von insgesamt 18 kritischen Sektoren tätig sein. Darunter fallen beispielsweise Energie, Chemie, Maschinenbau, Fahrzeugbau, Lebensmittelproduktion und Logistik. Diese Betriebe sind in der Pflicht, wenn sie mindestens 50 Mitarbeitende haben oder mehr als zehn Millionen Euro Jahresumsatz verbuchen.
Außerdem gibt es ein paar Branchen, die völlig unabhängig von ihrer Größe meldepflichtig sind. Das gilt zum Beispiel für Anbieter von DNS-Diensten, Vertrauensdiensten oder TKG-Anbieter. Zudem müssen sich kleinere Betriebe unterhalb der Grenzwerte dann als NIS-2-berichtspflichtig beim BSI registrieren, wenn sie eine kritische Schlüsselrolle in der Lieferkette oder der digitalen Infrastruktur anderer Betriebe einnehmen.
Viele Betriebe hinken hinterher
Tatsächlich scheint hier am meisten Unklarheit oder Unwissen zu herrschen: Während die insgesamt rund 4.500 KRITIS-Unternehmen in Deutschland das Thema gut im Griff haben, herrscht bei den rund 25.000 zusätzlich regulierten Unternehmen oft noch ein Ausnahmezustand.
Von ihnen hatten sich bis Ablauf der Registrierungsfrist am 6. März 2026 nur rund 11.500 registriert. Manche haben den Termin schlicht ausgesessen oder verschlafen, andere waren mit den „Postlaufzeiten für ELSTER-Zertifikate“ überfordert, wieder andere hinken mit dem Umsetzen des geforderten Risikomanagements hinterher. Deshalb hat das BSI eine Schonfrist bis zum 31. Juli angesetzt. Danach dürften dann wohl die ersten Bußgelder für Registrierungs- und Meldeversäumnisse eingezogen werden.
Kleiner Exkurs zur Registrierung: Der Prozess verläuft zweistufig und durchaus umständlich. Unternehmen haben hierzulande eine zentrale, länderübergreifende digitale Identität, die MUK („Mein Unternehmenskonto“). Sie basiert auf der ELSTER-Technologie. Erst mit einem aktiven MUK-Zugang können die Firmen das eigentliche BSI-Registrierungsportal nutzen, um dort ihre NIS-2-spezifischen Daten (Sektoren, Ansprechpartner, Unternehmensgröße) zu hinterlegen.
Insbesondere mittelständische Betriebe haben ihre NIS-2-Verpflichtungen offenbar falsch eingeschätzt. Sie unterschätzten zum Beispiel, dass das Gesetz eine konsolidierte Betrachtung der gesamten Unternehmensgruppe verlangt. Eine GmbH mit weniger als 50 Mitarbeitenden oder einem Umsatz von unter zehn Millionen Euro muss ihren Verpflichtungen nachkommen, wenn sie Teil einer größeren Firmengruppe ist.
Ohne Audit-Prozess bleiben Zulieferer außer Kontrolle
Was ebenfalls oft unterschätzt wird, ist die Notwendigkeit, die Lieferkette abzusichern (Paragraph 30 BSIG). Unternehmen müssen ihren Zulieferern Sicherheitsanforderungen diktieren und deren Einhaltung prüfen. Viele CISOs haben in diesem Jahr gemerkt, dass sie keine standardisierten Audit-Prozesse dafür haben. Damit fehlt ihnen der Hebel, um hunderte Zulieferer kurzfristig zu validieren.
Auch die 24-Stunden-Meldepflicht ist ein häufiger Stolperstein. Bei erheblichen Sicherheitsvorfällen hat innerhalb von 24 Stunden eine Sicherheitsmeldung beim BSI zu erfolgen. Eine detaillierte Bewertung binnen 72 Stunden ist hinterher zu schicken. Ohne automatisierte Security Operations (SecOps) und Eskalationsketten bis in den Vorstand hinein ist diese Frist kaum zu halten.
Trotz allem ist die Vorbereitung auf NIS-2 kein Hexenwerk. Meistens sind schon Zertifizierungen vorhanden, die genutzt werden können. Arbeitet ein Unternehmen bereits nach ISO/IEC 27001, deckt es schon zirka 80 Prozent der NIS-2-Anforderungen ab. Es muss dann nur noch die offiziellen Mappings etwa vom BSI oder DNV heranziehen, um die regulatorischen Deltas zu schließen.
Wichtig ist die Dokumentation: Auditoren wollen schriftliche Beweise sehen. Deshalb sollten im Unternehmen Risikoanalysen, Backup-Tests und Schulungsnachweise der Geschäftsführung zentral und revisionssicher bereitstehen.
Ein gutes ISMS ist mehr als die halbe Miete
Das leistet ein modernes Informations-Managementsystem (ISMS), das vom Gesetzgeber im Übrigen auch gefordert wird („Risikomanagement für die Informationssicherheit“). Ein modernes, schlankes ISMS-Tool reicht dabei völlig aus, um die NIS-2-Compliance abzusichern. Zwar sind Governance, Risikomanagement und Compliance (GRC) als Chefaufgaben Pflicht, ein teures Software-Tool ist es nicht.
Wer NIS-2 als mittelständisches Unternehmen effizient abhaken will, sollte sich erst einmal auf die Basics konzentrieren, mit denen sich 90 Prozent aller Angriffe abwehren lassen. Entscheidend sind hier eine strenge Multifaktor-Authentifizierung (MFA), lückenlose Backups, ein schnelles Patch-Management und ausreichende Mitarbeiterschulungen.
Außerdem sollten die Betriebe von ihren wichtigsten Lieferanten standardisierte Nachweise verlangen. Hier erwartet niemand, dass sie jeden kleinen Dienstleister aufwändig selbst überprüfen. Ferner empfiehlt es sich, so weit wie möglich zu automatisieren. Unternehmen sollten Tools nutzen, die Sicherheitsnachweise automatisch im Hintergrund sammeln. Mittelständler haben schließlich nicht die Kapazitäten, um Compliance manuell mit Excel zu verwalten.
Über die Umsetzung von NIS-2 spricht Susanne Steffen, CIO bei Reyher, am 28. Oktober bei CIOmatch @ it-sa. Mehr zum Programm hier.
Viele Firmen sind beim Umsetzen der EU-Richtlinie gegen Cyber-Bedrohungen noch auf dem Weg. (Bild mithilfe von KI (ChatGPT) erzeugt)
10 Pflichten von Firmen, für die NIS-2 gilt:
- In einem Konzept für Risikoanalyse und Sicherheit der Informationssysteme müssen die Betriebe schriftlich nachweisen können, wie sie Risiken identifizieren, bewerten und priorisieren. Hier reicht ein „Bauchgefühl“ nicht aus. Die Geschäftsführung muss diese Risikoanalysen regelmäßig abzeichnen und die daraus resultierenden Restrisiken genehmigen.
- Um die Supply-Chain-Sicherheit zu gewährleisten, müssen Unternehmen die Cybersicherheit ihrer direkten Zulieferer und Dienstleister überprüfen. Das betrifft vor allem Software-Anbieter, Cloud-Dienstleister und externe IT-Betreuer. Verträge mit Dienstleistern müssen zwingend um Sicherheitsklauseln und Audit-Rechte ergänzt werden.
- Unternehmen müssen die eigenen Sicherheitsmaßnahmen regelmäßig überprüfen. Ein System, das vor zwei Jahren sicher war, ist es heute oft nicht mehr. Deshalb sind Verfahren zur Bewertung der Wirksamkeit (Audits & Messung) zwingend. Regelmäßige Penetrationstests und interne Audits sind Pflicht, um die Wirksamkeit des ISMS nachzuweisen.
- Multifaktor-Authentifizierung (MFA) ist für alle relevanten Systeme vorgeschrieben, insbesondere für Remote-Zugriffe (VPN) und Admin-Konten. Zudem müssen Sprach-, Video- und Textkommunikation im Unternehmen verschlüsselt sein. Ausnahmen für die Chefetage sind rechtlich nicht zulässig.
- Daten müssen sowohl während der Übertragung (in transit) als auch während der Speicherung (at rest) nach dem aktuellen Stand der Technik verschlüsselt sein. Gehen Laptops oder Smartphones verloren, verhindert diese Verschlüsselung, dass daraus ein meldepflichtiger NIS-2-Vorfall wird.
- Schulungen sind Pflicht. Die Belegschaft muss regelmäßig sensibilisiert werden (z.B. durch Phishing-Simulationen), und sie braucht klare Regeln für Passwörter, Software-Updates und den Umgang mit Firmengeräten. Auch die Geschäftsführung unterliegt der gesetzlichen Schulungspflicht.
- An einem sauber aufgesetzten Berechtigungsmanagement (Wer darf worauf zugreifen?) nach dem „Need-to-know“-Prinzip führt kein Weg vorbei. Die IT-Abteilung braucht eine lückenlose, aktuelle Liste aller Hard- und Software-Assets. Scheidet ein Mitarbeiter aus, müssen dessen Zugriffe sofort automatisiert gesperrt werden können (Offboarding-Prozess).
- Wer IT-Systeme einkauft oder eigene Software entwickelt, muss Sicherheit von Anfang an mitdenken (Security by Design). Dazu gehört auch ein professionelles Schwachstellenmanagement (Vulnerability Management). Sicherheits-Patches von Herstellern sind nach festgeschriebenen und möglichst kurzen Fristen einzuspielen.
- Für die Bewältigung von Sicherheitsvorfällen (Incident Handling) sind klare Prozesse zu definieren. Es braucht „Playbooks“ darüber, wie das IT-Team reagieren muss, wenn ein Angriff stattfindet. Dabei ist zu klären, wer wofür verantwortlich ist und wer wann informiert wird. Der Prozess muss so schnell sein, dass die gesetzliche 24-Stunden-Meldepflicht an das BSI eingehalten werden kann.
- Für die Business Continuity ist ein funktionierendes Notfallmanagement erforderlich, das den Weiterbetrieb des Unternehmens bei schweren Ausfällen sicherstellt. Das beinhaltet Backup-Management, Wiederherstellung im Katastrophenfall (Disaster Recovery) und die Einrichtung von Notfall-Kommunikationskanälen. Die Backups müssen räumlich oder logisch vom Hauptnetzwerk getrennt sein (Air-Gapping), damit Ransomware sie nicht mitverschlüsseln kann. Zudem ist die Wiederherstellung regelmäßig unter realen Bedingungen zu testen.



