Die Anforderung
Die NIS2 Umsetzung betrifft alle Unternehmen, die in einem der 18 definierten Sektoren tätig sind, mindestens 50 Mitarbeitende beschäftigen und einen Umsatz von 10 Millionen Euro oder mehr erzielen.
Sehen Sie dazu auch unseren Schnellcheck. Geschäftsführer und Vorstände tragen direkte Verantwortung – bis hin zur persönlichen Haftung.
Angriffe werden meldepflichtig, und Unternehmen müssen nachweisen, dass folgende Maßnahmen im Rahmen der NIS2 Umsetzung geplant und umgesetzt sind:
- Risikomanagement
- Security-Konzepte inklusive Bewältigungsstrategie
- Supply Chain Security
- Backup- und Krisenmanagement
- Schulungen zur Cybersicherheit
- Schwachstellenmanagement
- Verschlüsselung und Kryptografie
Eine frühzeitige NIS2 Umsetzung ist entscheidend, um gesetzliche Vorgaben einzuhalten und Sicherheitsrisiken zu minimieren.
1. Soll-Ist-Vergleich zur IT-Sicherheit
Alle Systeme, Anwendungen und Daten, die Ihr Unternehmen benötigt, werden im Rahmen der NIS2 Umsetzung auf Sicherheit überprüft.
Mit dem resultierenden Bericht erhalten Sie eine klare Sicht auf den Status quo und Handlungsfelder.
Berücksichtigt werden insbesondere:
- Die vorhandenen Sicherheitsrichtlinien und -verfahren
- Netzwerkinfrastruktur und deren Konfiguration
- Aktualität von Software und deren Patch-Stand
- Allgemeine Prüfung der IT-Umgebung auf Schwachstellen
- Wirkung von Antivirus- und Antiphishing-Software (Endpoint Protection)
- Verhaltens- und Sensibilisierungstraining der Mitarbeiter
- Ein standardisierter Ablauf als Reaktion auf Angriffe (Incident Response)
Hinweis: Viele dieser Punkte sind Bestandteil eines ISMS. Bei der Einführung wird meist eine Gap-Analyse durchgeführt.
2. Risikomanagement
Der potenzielle Schaden durch Ausfall eines Geschäftsprozesses infolge eines gestörten IT-Services bestimmt das zu managende Risiko.
Im Rahmen der NIS2 Umsetzung werden Ausfallszenarien anhand möglicher Cyberangriffe entwickelt.
Nach der Priorisierung werden vorhandene Schutzmaßnahmen geprüft und optimiert. Außerdem wird festgelegt, wie im Ernstfall zu reagieren ist, um den Schaden zu begrenzen.
Die Widerstandskraft gegenüber Angriffen wächst erfahrungsgemäß deutlich durch einen strukturierten Risikomanagementprozess.
Hinweis: Risikomanagement ist ein Kernprozess im Rahmen eines ISMS.
3. Zugriffssteuerung
Die restriktive Vergabe und regelmäßige Prüfung von Zugriffsrechten – insbesondere privilegierter Berechtigungen – ist ein zentrales Element der NIS2 Umsetzung.
Auch Passwortrichtlinien müssen Komplexität und sicheren Umgang sicherstellen.
Herkömmliche Mechanismen wie VPN reichen in modernen Multi-Cloud-Umgebungen oft nicht mehr aus. Der Zero-Trust-Ansatz („Vertraue niemandem“) schreibt vor, jeden Zugriff auf Unternehmensdaten zu überprüfen.
Das Konzept wird technisch, organisatorisch und personell umgesetzt – u. a. durch starke Authentifizierung, Berechtigungskonzepte, Bedrohungsanalysen, Mikrosegmentierung und Mitarbeitersensibilisierung.
4. Assessments
Schwachstellen werden im Zuge der NIS2 Umsetzung regelmäßig durch Vulnerability-Scans, Security Audits und Penetrationstests aufgedeckt und systematisch behandelt.
Der kontinuierliche Verbesserungsprozess folgt dem PDCA-Zyklus (Plan-Do-Check-Act) und hilft, Sicherheitslücken nachhaltig zu schließen.
Hinweis: Die Steuerung dieser Assessments ist fester Bestandteil eines ISMS.
5. Erkennen von Angriffen
Ransomware-Angriffe zielen darauf ab, IT-Systeme zu blockieren und Lösegeld zu erpressen.
Der beste Schutz erfolgt über integrierte Sicherheitssysteme (z. B. IDS, IPS, SIEM), die Angriffe automatisch erkennen und Gegenmaßnahmen einleiten.
Im Rahmen der NIS2 Umsetzung müssen Unternehmen nachweisen, dass solche Erkennungssysteme implementiert sind.
6. IT-Notfallvorsorge
Auch bei Ausfällen müssen kritische Geschäftsprozesse aufrechterhalten bleiben.
Die NIS2 Umsetzung erfordert dokumentierte Übergangsverfahren, Wiederherstellungspläne und regelmäßige Tests zur Notfallbewältigung.
Zudem ist die Erfüllung gesetzlicher Meldepflichten sicherzustellen:
Verdachtsfälle auf Sicherheitsvorfälle müssen binnen 24 Stunden an das BSI gemeldet werden.
7. Lieferkette
Ein weiterer Schwerpunkt der NIS2 Umsetzung ist die Absicherung der Supply Chain. Unternehmen müssen klare Anforderungen und Mindeststandards für Geschäftspartner festlegen und prüfen.
Dazu zählen technische wie auch organisatorische Maßnahmen – etwa NDAs, Kontrollpflichten oder Sicherheitszertifikate.
8. Mitarbeiter
Mitarbeiter sind ein entscheidender Faktor in der NIS2 Umsetzung. Schulungen zur Cybersicherheit stärken das Sicherheitsbewusstsein und helfen, Angriffe frühzeitig zu erkennen.
Auch der Umgang mit sensiblen Informationen sowie das Erkennen von Risiken wird geschult und trainiert.
Hinweis: Die Mitarbeitersensibilisierung ist fester Bestandteil jedes ISMS und lässt sich um NIS2-relevante Inhalte ergänzen.
9. Befähigung
Sicherheit erfordert Ressourcen. Die NIS2 Umsetzung macht deutlich, dass steigende Cyberrisiken mit wachsenden Sicherheitsbudgets beantwortet werden müssen.
Das BSI empfiehlt, etwa 20 % des IT-Budgets für Sicherheit einzuplanen – als gesetzlich erforderliche Maßnahme zum Schutz kritischer Infrastrukturen.
Weiterführende Informationen zur NIS2-Umsetzung
- EU-Richtlinie NIS2 – Volltext auf EUR-Lex
- BSI – Umsetzung der NIS2-Richtlinie in Deutschland
- ENISA – Informationen zur NIS2-Strategie und Umsetzung
- Bitkom – Empfehlungen zur NIS2-Umsetzung für Unternehmen
Disclaimer:
Die von uns verwendeten Links sind am 22.4.2025 gesetzt worden und enthielten zu diesem Zeitpunkt keine rechtswidrigen Inhalte. Sie können nach diesem Datum jedoch zu fremden Inhalten führen, die wir nicht regelmäßig überprüfen können und für die wir keine Verantwortung übernehmen.