+49 40-298 4553-0

Buchen Sie Ihr Erstgespräch online

contact@securam-consulting.com

Buchen Sie Ihr Erstgespräch online

Securam Consulting Logo
NIS-2 ISMS Schloss

Die europäische Norm für Informationssicherheit

NIS-2

NIS-2 als regulatorischer Paradigmenwechsel

Die NIS-2-Umsetzung in Deutschland ist seit 06. Dezember 2025 rechtskräftig und betrifft rund 30.000 Unternehmen ohne Übergangsfrist. SECURAM unterstützt Sie von der Gap-Analyse über die Roadmap-Entwicklung bis zur Implementierung und Verifizierung, so dass Ihr Unternehmen vollständig compliant ist.

Das Gesetz zur Umsetzung der NIS-2-Richtlinie (EU) 2022/2555 markiert einen fundamentalen Wandel in der deutschen Cybersicherheitslandschaft. Anders als bei vergleichbaren EU-Richtlinien gibt es keine Übergangsfristen.

Die konkreten Anforderungen sind umfassend. NIS-2 verlangt technische und organisatorische Maßnahmen in mindestens 13 Bereichen u.a. Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Business Continuity, Backup-Management, Lieferkettensicherheit, Schwachstellenmanagement.

Besonders kritisch sind die verschärften Meldepflichten. Bei erheblichen Sicherheitsvorfällen greift ein dreistufiges Meldesystem: Erstmeldung innerhalb von 24 Stunden, Folgemeldung binnen 72 Stunden, Abschlussmeldung nach einem Monat.

NIS-2 bringt die Geschäftsleitungsverantwortung

Die Geschäftsleitungsverantwortung ist ein zentrales Novum. Vorstände und Geschäftsführer müssen die Risikomanagementmaßnahmen für Cybersicherheit persönlich umsetzen und deren Umsetzung überwachen. Sie haften bei Pflichtverletzungen gegenüber der Einrichtung.

Auch die die Sanktionen haben es in sich. Für besonders wichtige Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden. Wichtige Einrichtungen müssen mit Bußgeldern bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes rechnen.

Der SECURAM Ansatz

SECURAM zeigt Ihnen, wie Sie Compliance pragmatisch erreichen und wie die Integration in bestehende Prozesse gelingen kann, ohne parallele Strukturen aufzubauen. Unsere Roadmap berücksichtigt Ihre Ressourcen und definiert realistische Meilensteine. Wir arbeiten mit Ihrem IT-Team zusammen.

SECURAM verfolgt bei der Umsetzung von NIS-2 einen auf der ISO 27001-praxisorientierten Ansatz, der sich in vier Hauptphasen gliedert. Mit einer ISO 27001 Zertifizierung werden die NIS-2 Anforderungen bereits bis zu ~80% abgedeckt. Unser Ansatz ist systematisch: Analyse, Planung, Implementierung und falls gewünscht die Zertifizierung. Dieser Prozess orientiert sich an bewährten Frameworks wie ISO/IEC 9001 und BSI-Standards und nutzt Synergien mit bestehenden Managementsystemen. Unser Ziel ist es, KI-Governance nicht isoliert, sondern als integralen Bestandteil Ihrer Unternehmenssteuerung zu verankern.

Informationssicherheits-Beauftragter (ISB) as a Service

Nicht jedes Unternehmen kann oder will eine eigene Vollzeitstelle für Informationssicherheit schaffen. Mit dem ISB as a Service übernimmt ein erfahrener Experte die Rolle des externen ISBs / CISOs und begleitet Sie von der Risikobewertung über die Koordination. Sie erhalten kontinuierliche Unterstützung beim Aufbau Ihrer Governance-Strukturen, ohne eigenes Personal aufbauen zu müssen.

Kontakt

DSGVO-Hinweis

Neue ABC-Straße 8
20354 Hamburg
040 2984553-0
sales@securam-consulting.com

Die 5 Schritte zur NIS-2-Compliance (Flyer):

Wofür steht die SECURAM Consulting?

Expertise und Know-How in den Regulariken der IT-Security und Informationssicherheit

Konstruktive & vertrauensvolle Zusammenarbeit

Verantwortung übernehmen & Sicherheit leben

Hands-on beim Aufbau von IT-Security & Informationssicherheit

Sicherheitsziele systematisch definieren, umsetzen & im Alltag leben

Warum NIS-2 und ISO 27001 zusammengehören?

Die ISO/IEC 27001:2022 ist die weltweit zertifizierbare Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie wurde im Dezember 2022 aktuaslisiert und definiert Anforderungen für die Einrichtung, Umsetzung und kontinuierliche Verbesserung eines ISMS. Die Norm verfolgt einen risikobasierten Ansatz und fördert die transparente Entwicklung, das Risikomanagement und die Rechenschaftspflicht.

Ein ISMS umfasst Richtlinien, Prozesse, Verfahren und Technologien, die darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Es hilft Unternehmen dabei, Cyberrisiken zu identifizieren, zu bewerten und zu minimieren, wodurch sie widerstandsfähiger gegenüber Cyberangriffen und anderen Bedrohungen werden.

(1)   Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können.

Artikel 20 "Governance"

"NIS-2" RICHTLINIE (EU) 2022/2555

Artikel 20 der NIS-2 Richtlinie adressiert die Leitungsorgane von Unternehmen und macht diese für die Genehmigung und Überwachung der Cybersicherheitsmaßnahmen direkt verantwortlich (Haftungsrisiken für Geschäftsführungen). Entsprechend verlangt die NIS-2-Richtlinie nachweisbare Maßnahmen in zehn verschiedenen Bereichen.

NIS-2 Compliance erfordert somit implizit ein ISMS, da Informationssicherheit in den Fokus der Geschäftsführung rücken muss.

Was ist NIS-2?

Die NIS-2-Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 ist die überarbeitete Fassung der Network and Information Security Directive von 2016. Sie trat am 16. Januar 2023 in Kraft und musste bis 17. Oktober 2024 in nationales Recht der EU-Mitgliedstaaten umgesetzt werden. In Deutschland erfolgt die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), dessen Inkrafttreten nach mehrfachen Verzögerungen am 6.12.2025 erfolgte.

Übersicht zu den NIS-2 Anforderungen

Erweiterter Anwendungsbereich und einheitliche Kriterien

Um eine einheitliche Umsetzung in der EU zu gewährleisten, gibt es keine national unterschiedlichen Mindestschwellenwerte mehr. Die Betroffenheit wird nun anhand einheitlicher Kriterien festgelegt:

  • Mittlere Unternehmen (Medium): 50–249 Beschäftigte oder 10–50 Mio. EUR Umsatz, Bilanzsumme unter 43 Mio. EUR
  • Große Unternehmen (Large): mindestens 250 Beschäftigte oder mindestens 50 Mio. EUR Umsatz

Diese neuen Schwellenwerte führen zu einer erheblichen Ausweitung des Anwendungsbereichs in Deutschland, wodurch deutlich mehr Unternehmen den regulatorischen Vorgaben unterliegen.

Strengere Sanktionen und erweiterte Haftung

Unternehmen, die den Anforderungen nicht nachkommen, müssen mit empfindlichen Bußgeldern rechnen:

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Wichtige Einrichtungen: bis zu 7 Mio. EUR oder 1,4 % des Jahresumsatzes (höherer Betrag ist maßgeblich)

Zusätzlich verlangt die Richtlinie, dass betroffene Unternehmen umfassende Maßnahmen in beispielsweise folgenden Bereichen umsetzen:

  • Cyber-Risikomanagement
  • Sicherheit in der Lieferkette
  • Business Continuity Management (BCM)
  • Verschlüsselung und
  • Zugriffsbeschränkungen
  • Pflicht zur Meldung von Sicherheitsvorfällen
Persönliche Haftung der Geschäftsleitung

Besonders brisant: Nach dem Entwurf des Bundes­innen­minis­teri­ums haften Leitungsorgane von Unternehmen persönlich für die Einhaltung der Risiko­ma­nage­ment­maß­nah­men. Diese Haftung kann sich auf bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens belaufen.

Die NIS-2-Richtlinie bringt damit nicht nur eine Verschärfung der Cybersecurity-Verpflichtungen, sondern auch eine erhebliche Erhöhung der persönlichen Haftungsrisiken für Unter­neh­mens­ver­antwort­liche.

Konsequenzen für Geschäftsführer

Falls ein unzureichend überwachtes Risikomanagement zu einem Cyberangriff mit betriebseinschränkenden Auswirkungen führt, kann dies erhebliche finanzielle Konsequenzen haben. Kostenpositionen umfassen unter anderem:

  • Lösegeldzahlungen bei Ransomware-Angriffen
  • Kosten für externe IT-Forensik und Wiederherstellungsmaßnahmen
  • Bußgelder für Verstöße gegen die DSGVO oder das BSIG

Besonders kritisch: Geschäftsleiter haften für entstandene Schäden, wenn sie ihre Überwachungspflichten verletzt haben.

Keine Möglichkeit zur Haftungsbegrenzung

Unternehmen können nicht auf Ersatzansprüche gegen die Geschäftsleitung verzichten. Darüber hinaus sind Vergleiche über Schadensersatzansprüche der Geschäftsleitung ebenfalls unwirksam.

Eine Ausnahme besteht nur, wenn entweder die Leitungsperson zahlungsunfähig ist, oder die Ersatzpflicht in einem Insolvenzplan geregelt wird.

FAQ NIS-2

Welche Unternehmen sind von NIS-2 betroffen?

Die Richtlinie erweitert den Anwendungsbereich von ursprünglich sieben auf nunmehr achtzehn kritische Sektoren. Dazu zählen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung, Raumfahrt, Post- und Kurierdienste, Abfallwirtschaft, Produktion kritischer Produkte, Chemie, Lebensmittel, verarbeitendes Gewerbe sowie Forschung und digitale Dienste. Diese Ausweitung führt dazu, dass in Deutschland über 30.000 Organisationen betroffen sind – eine Verzehnfachung gegenüber der bisherigen KRITIS-Regulierung mit circa 2.000 bis 4.500 Unternehmen.

Die NIS-2-Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Während beide Kategorien unter die neuen Cybersicherheitsanforderungen fallen, unterliegen besonders wichtige Einrichtungen einer proaktiven behördlichen Aufsicht, während wichtige Einrichtungen nur reaktiv überwacht werden. Zudem sind die Sanktionen für Letztere geringer.

NIS-2 gilt für Unternehmen in 18 definierten Sektoren. Die Betroffenheit hängt von der Unternehmensgröße ab: Besonders wichtige Einrichtungen sind Großunternehmen ab 250 Mitarbeitenden oder mit einem Umsatz über 50 Millionen Euro. Wichtige Einrichtungen sind mittlere Unternehmen ab 50 Mitarbeitenden.

Haftet die Geschäftsleitung persönlich?

Ja, die Geschäftsleitung trägt persönliche Verantwortung. Geschäftsführungen müssen die Risikomanagementmaßnahmen umsetzen und überwachen. Bei Pflichtverletzungen ergibt sich eine Binnenhaftung gegenüber der Einrichtung.

Wie funktioniert die Meldepflicht von Sicherheitsvorfällen gemäß NIS-2?

Die NIS-2-Richtlinie verpflichtet Unternehmen und Organisationen dazu, erhebliche Sicherheitsvorfälle an die nationale Cybersicherheitsbehörde sowie – falls erforderlich – an betroffene Dienstempfänger zu melden. Die Meldung muss innerhalb klar definierter Fristen erfolgen:

    1. Erste Meldung innerhalb von 24 Stunden nach Kenntnisnahme an das BSI
    2. Ein ausführlicher Bericht innerhalb von 72 Stunden nach Kenntnisnahme
    3. Fortschritts- oder Abschlussbericht spätestens einen Monat nach der Meldung

Quellen

[Q1] RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:02022L2555-20221227, Abrufdatum: 13.12.2025

[Q2] Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, https://www.recht.bund.de/bgbl/1/2025/301/VO, Abrufdatum 13.12.2025