Sidney vd Boogaard - stock.adobe
Fünf NIS2-Stolpersteine, die Unternehmen beachten müssen
NIS2 ist seit Ende 2025 in Kraft. Wer nicht über Compliance-Versäumnisse stolpern möchte, sollte seine Security-Maßnahmen auf ein systematisches und belastbares Fundament stellen.
Mit dem NIS2-Umsetzungsgesetz hat der Gesetzgeber NIS2 in deutsches Recht überführt und damit das BSI-Gesetz (BSIG) neu gefasst. Darin sind weitreichende Anforderungen an die Informationssicherheits-Resilienz betroffener Einrichtungen festgelegt. Wer allerdings glaubt, Cybersicherheit und NIS2-Compliance einfach durch den Zukauf einer Vielzahl an Security-Lösungen zu erreichen, täuscht sich. NIS2 verpflichtet zu angemessenen, verhältnismäßigen und dokumentierten Risikomanagementmaßnahmen – sowohl technischer als auch organisatorischer Natur. Eine belastbare Cyberresilienz erfordert vorrangig klare Prozesse und Strukturen, und gerade hier tun sich viele Unternehmen schwer.
Die größten Hürden bei der NIS2-Umsetzung liegen daher im organisatorischen Bereich. Im Folgenden beleuchten wir hier fünf Stolpersteine etwas näher.
1. Betroffenheit und Registrierung: Fehlstart vermeiden
Zunächst müssen Unternehmen selbständig prüfen, ob sie unter die besonders wichtigen“ oder wichtigen Einrichtungen fallen – und viele haben dies schlicht versäumt. Noch einmal zur Erinnerung: Die Schwellenwerte beginnen bereits bei 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro (§ 28 BSIG). Aber auch kleinere Unternehmen können als Teil der Lieferkette gegenüber ihren betroffenen Kunden nachweispflichtig werden. Betroffene Einrichtungen sind dazu verpflichtet, sich beim BSI zu registrieren (§ 33 BSIG). Die weniger gute Nachricht: Da die offizielle Frist bereits am 6. März 2026 abgelaufen ist, kann die unterlassene Registrierung seitdem als Ordnungswidrigkeit mit einem Bußgeld geahndet werden. Betroffene Unternehmen sollten ihre Registrierung daher umgehend nachholen.
2. Cybersicherheit ist jetzt Chefsache
Wer denkt, NIS2 sei ausschließlich eine Angelegenheit für die IT-Abteilung, der irrt. Und dieser Irrtum kann ernste Konsequenzen haben: Der § 38 BSIG nimmt ausdrücklich die Geschäftsleitung in die Pflicht. Wer als Geschäftsführer oder Vorstand seine Sorgfaltspflichten vernachlässigt – genauer: Maßnahmen nicht veranlasst, deren Umsetzung nicht überwacht oder regelmäßige Schulungen zur Informationssicherheit versäumt –, haftet der Gesellschaft persönlich für schuldhaft verursachte Schäden. Unwissenheit schützt hier explizit nicht vor Haftung.
3. Pflicht zum kontinuierlichen, dokumentierten Risikomanagement
Im Fokus von NIS2 steht das Risikomanagement, durch das Unternehmen ihre eigene Bedrohungslage erkennen und entsprechend handeln sollen. Eine einmalige Bestandsaufnahme mit entsprechenden Maßnahmen ist hier nicht genug. § 30 BSIG verlangt ein kontinuierliches, lebendiges Risikomanagement, das den Stand der Technik wahrt und sich an neue Bedrohungslagen und Schwachstellen anpasst. Hier sind regelmäßige Überprüfungen der Wirksamkeit samt Mechanismen zur Anpassung gefordert. Und, besonders wichtig: Die Risikomanagementmaßnahmen und -prozesse müssen vollständig dokumentiert sein. In der Rechtspraxis gilt die zentrale Beweislastregel: Was nicht dokumentiert ist, hat im Zweifelsfall nicht stattgefunden.
4. Lieferkettensicherheit nicht vergessen
Vor der eigenen Haustür zu kehren, genügt nicht: Unternehmen sind nach § 30 Abs. 2 Nr. 4 BSIG auch verpflichtet, die sicherheitsbezogenen Maßnahmen in ihrer unmittelbaren Lieferkette umzusetzen. Einfache Eigenerklärungen dieser unmittelbaren Partner sind dabei nicht ausreichend. Wer als betroffene Einrichtung seine Lieferkette nicht aktiv steuert und keine nachhaltigen Anforderungen an Cyberresilienz und Business Continuity in diesen Verträgen integriert, nimmt entsprechende Risiken in Kauf, für die er sich im Zweifelsfall gegenüber Aufsichtsbehörden zu verantworten hat.
5. Knappe Meldefristen beim Incident Management
Ein weiterer Stolperstein ist häufig ein fehlendes Bewusstsein für die Meldepflicht erheblicher Sicherheitsvorfälle an das BSI (§ 32 BSIG). Die besondere Herausforderung dabei ist das eng getaktete, dreistufige Melderegime: Eine frühe Erstmeldung muss binnen 24 Stunden erfolgen, eine Folgemeldung mit erster Bewertung über Schweregrad und Auswirkung innerhalb 72 Stunden und eine Abschlussmeldung binnen eines Monats. In vielen Unternehmen fehlen hier eindeutige Kriterien für die Einstufung eines Informationssicherheitsereignisses, etablierte Prozesse sowie klare interne und externe Meldewege. Für die nötige Klarheit sind daher fest definierte Incident-Management-Prozesse samt Eskalations- und Meldewegen zu implementieren.
ISO/IEC 27001 als strategisches Framework
Die gute Nachricht für alle Verantwortlichen ist, dass niemand das Rad neu erfinden muss, um diese holprige Strecke in Angriff zu nehmen: Die Einhaltung der NIS2-Vorgaben erfordert systematische Informationssicherheit, und genau hierfür gibt es etablierte Umsetzungshilfen wie die ISO/IEC 27001. Diese internationale Norm gilt als der Goldstandard für den Aufbau eines risikobasierten und prozessorientierten Informationssicherheits-Managementsystems (ISMS) – und wird von der EU in der NIS-2-Richtlinie ausdrücklich als Orientierung für die Umsetzung von Risikomanagementmaßnahmen genannt.
Kernelement eines ISMS nach ISO/IEC 27001 ist der risikobasierte PDCA-Zyklus (Plan-Do-Check-Act), durch den Informationssicherheit zu einem kontinuierlichen Prozess wird. Heißt: Die Norm fordert ein dokumentiertes Risikomanagement, dessen Ergebnisse nach regelmäßiger Überprüfung in entsprechende Maßnahmen übersetzt werden. Diese finden sich im Anhang A der Norm – ein praktischer Werkzeugkasten mit 93 Controls, die den „Stand der Technik“ abbilden. Diese Controls sind in organisatorische, personelle, technologisch und physische Maßnahmen strukturiert und bilden einen praxisnahen Rahmen für die relevanten Aspekte der Informationssicherheit, die sich unmittelbar den NIS-2-Anforderungen zuordnen lassen.
Dies gilt auch in Bezug auf die erwähnten Stolpersteine: Die geforderten Governance-Strukturen – insbesondere die Verantwortung und Rechenschaftspflicht der Geschäftsleitung – bildet die Norm in Kapitel 5 und Control A.5.4 ab. Verschiedene Aspekte der Lieferkettensicherheit finden sich in den Controls A.5.19 bis A.5.23. Zum Incident Management beschreiben die Controls A.5.24 bis A.5.28, A.6.8 sowie die technischen A.8.15 bis A.8.17 grundlegende Maßnahmen für die prozessorientierte Handhabung von Sicherheitsvorfällen inklusive deren Meldung und Maßnahmen zur Angriffserkennung. Und wie der letzte Absatz bereits gezeigt hat, finden zudem auch die einschlägigen NIS2-Anforderungen zum Risikomanagement und zur Dokumentation ihre ausführliche Entsprechung in der ISO/IEC 27001.
![]()
„Die gute Nachricht für alle Verantwortlichen ist, dass niemand das Rad neu erfinden muss, um diese holprige Strecke in Angriff zu nehmen: Die Einhaltung der NIS2-Vorgaben erfordert systematische Informationssicherheit, und genau hierfür gibt es etablierte Umsetzungshilfen wie die ISO/IEC 27001.“
Markus Jegelka, DQS
Kein Freifahrtschein zu NIS2 – aber der sicherste Weg
Insgesamt deckt die ISO/IEC 27001 nahezu alle NIS2-Risikomanagementmaßnahmen (wie in § 30 BSIG) ab. Auch wenn die EU ausdrücklich einschlägige Normen adressiert, muss hier klargestellt werden: Eine Zertifizierung nach ISO/IEC 27001 ist weder vorgeschrieben noch ein juristisch belastbarer Compliance-Nachweis. Die Norm bildet einen Großteil der technisch-organisatorischen NIS2-Anforderungen ab, aber sie ersetzt nicht die Erfüllung konkreter gesetzlicher Vorgaben. Gutes Beispiel: Registrierungs- und Meldepflichten (§ 33/§ 32 BSIG). Im Sinne der generischen ISO/IEC 27001 müssen Unternehmen bestimmen, welche Anforderungen durch das ISMS im gesetzlichen Kontext (Control A.5.31 „Juristische, gesetzliche, regulatorische und vertragliche Anforderungen“) wie behandelt werden. Die Norm liefert hier den Rahmen, während die konkreten Registrierungsstellen und Meldefristen durch das BSIG vorgegeben werden. Rechtskonformität ergibt sich also erst aus der spezifischen Einbettung regulatorischer Anforderungen in das individuelle ISMS.
Dennoch bietet die ISO/IEC 27001 die vermutlich beste Ausgangsbasis, um die Anforderungen von NIS2 systematisch und dabei möglichst strukturiert umzusetzen. Unternehmen, die die Norm als Fundament nutzen, profitieren dabei weit über das bloße Erfüllen von Compliance-Vorgaben hinaus. Sie schaffen nachhaltige Prozesse, die für den Ernstfall wappnen und besonders Sicherheitsverantwortliche und Geschäftsleitungen ruhiger schlafen lassen. Überdies ist die Norm ein wichtiges Trust Signal an Behörden, Geschäftspartner und Kunden, und kann bei Ausschreibungen den entscheidenden Wettbewerbsvorteil bieten.
Über den Autor:
Markus Jegelka ist DQS-Produktexperte für Informationssicherheits-Managementsysteme (ISMS) und langjähriger Auditor für die Regelwerke ISO 9001, ISO/IEC 27001 sowie IT-Sicherheitskataloge § 11 Abs. 1a/b EnWG mit Prüfverfahrenskompetenz für § 8a (3) BSIG.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
