← Zurück zum Blog
4 Min. Lesezeit

NIS2 erfolgreich umsetzen: Ein pragmatischer Leitfaden

NIS2ComplianceKRITISCybersecurity

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Januar 2023 in Kraft und muss von den EU-Mitgliedstaaten bis Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland erfolgt dies durch das NIS2-Umsetzungsgesetz und Änderungen am BSI-Gesetz. Für viele Unternehmen bedeutet das: Handlungsbedarf.

Wer ist betroffen?

NIS2 erweitert den Anwendungsbereich erheblich. Betroffen sind Unternehmen in 18 Sektoren, unterteilt in "wesentliche" und "wichtige" Einrichtungen.

Wesentliche Einrichtungen (Essential Entities):

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Transport (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD, Rechenzentren, Cloud, CDN)
  • Öffentliche Verwaltung
  • Weltraum

Wichtige Einrichtungen (Important Entities):

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie
  • Lebensmittel
  • Verarbeitendes Gewerbe (Medizinprodukte, IT, Elektronik, Maschinenbau, Fahrzeugbau)
  • Digitale Dienste (Marktplätze, Suchmaschinen, Social Media)
  • Forschung

Schwellenwerte:

  • Mehr als 50 Mitarbeiter ODER
  • Jahresumsatz/Bilanzsumme über 10 Mio. Euro

Die zehn Kernbereiche der NIS2

Die Richtlinie definiert zehn Bereiche, in denen Maßnahmen ergriffen werden müssen:

1. Risikoanalyse und Sicherheitskonzepte

Eine systematische Risikoanalyse ist die Grundlage aller weiteren Maßnahmen. Sie muss regelmäßig aktualisiert werden und alle relevanten Bedrohungen berücksichtigen.

2. Bewältigung von Sicherheitsvorfällen

Unternehmen müssen in der Lage sein, Sicherheitsvorfälle zu erkennen, zu analysieren und zu bewältigen. Dazu gehören klare Prozesse und geschultes Personal.

3. Business Continuity und Krisenmanagement

Die Aufrechterhaltung des Betriebs bei Sicherheitsvorfällen ist Pflicht. Das umfasst Backup-Management, Notfallplanung und Krisenmanagement.

4. Sicherheit der Lieferkette

Die Abhängigkeit von Lieferanten und Dienstleistern muss in die Risikobetrachtung einbezogen werden.

5. Sicherheit bei Erwerb, Entwicklung und Wartung

Die gesamte Lebenszyklusbetrachtung von IT-Systemen muss Sicherheitsaspekte berücksichtigen.

6. Bewertung der Wirksamkeit

Maßnahmen müssen nicht nur implementiert, sondern auch auf ihre Wirksamkeit geprüft werden.

7. Cyberhygiene und Schulungen

Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette. Grundlegende Cyberhygiene und regelmäßige Schulungen sind daher Pflicht.

8. Kryptografie und Verschlüsselung

Der Einsatz von Kryptografie zum Schutz von Daten ist ein wesentliches Element.

9. Personalsicherheit und Zugriffskontrolle

Der Zugang zu Systemen und Daten muss kontrolliert und auf das Notwendige beschränkt werden.

10. Multi-Faktor-Authentifizierung und sichere Kommunikation

NIS2 fordert explizit Multi-Faktor-Authentifizierung und sichere Kommunikationssysteme.

Meldepflichten verstehen

Ein wesentlicher Aspekt von NIS2 sind die verschärften Meldepflichten:

Frühwarnung: Innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine erste Meldung erfolgen.

Vorfallmeldung: Innerhalb von 72 Stunden muss eine detailliertere Meldung mit erster Bewertung folgen.

Abschlussbericht: Spätestens einen Monat nach dem Vorfall ist ein umfassender Bericht fällig.

Haftung der Geschäftsleitung

NIS2 nimmt die Geschäftsleitung explizit in die Pflicht. Sie muss:

  • Die Risikomanagementmaßnahmen genehmigen und überwachen
  • An Schulungen zur Cybersicherheit teilnehmen
  • Die Umsetzung der Maßnahmen sicherstellen

Bei Verstößen drohen erhebliche Bußgelder:

  • Wesentliche Einrichtungen: bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4% des weltweiten Jahresumsatzes

Der Weg zur Compliance: Ein Fahrplan

Phase 1: Bestandsaufnahme (1-2 Monate)

  1. Betroffenheit prüfen: Fällt Ihr Unternehmen unter NIS2?
  2. Gap-Analyse: Wo stehen Sie heute im Vergleich zu den Anforderungen?
  3. Stakeholder identifizieren: Wer muss eingebunden werden?
  4. Ressourcen planen: Welches Budget und Personal ist erforderlich?

Phase 2: Konzeption (2-3 Monate)

  1. Governance aufsetzen: Rollen, Verantwortlichkeiten, Berichtslinien
  2. Risikoanalyse durchführen: Systematisch und dokumentiert
  3. Maßnahmenplan erstellen: Priorisiert nach Risiko und Aufwand
  4. Dokumentation aufbauen: Richtlinien, Prozesse, Nachweise

Phase 3: Implementierung (6-12 Monate)

  1. Quick Wins umsetzen: MFA, Backup-Tests, Awareness
  2. Technische Maßnahmen: Monitoring, Verschlüsselung, Härtung
  3. Prozesse etablieren: Incident Response, Change Management
  4. Lieferkette absichern: Verträge, Audits, Monitoring
  5. Schulungen durchführen: Alle Ebenen, regelmäßig

Phase 4: Kontinuierlicher Betrieb

  1. Wirksamkeit prüfen: Tests, Audits, Metriken
  2. Risiken überwachen: Neue Bedrohungen, Veränderungen
  3. Dokumentation pflegen: Aktuell halten
  4. Verbessern: Lessons Learned umsetzen

Synergien nutzen

NIS2 muss nicht bei null anfangen. Wer bereits ein ISMS nach ISO 27001 betreibt, hat einen großen Teil der Anforderungen bereits erfüllt.

Überschneidungen mit ISO 27001:

  • Risikoanalyse und -behandlung
  • Dokumentation und Kontrolle
  • Incident Management
  • Business Continuity
  • Lieferantensicherheit

Fazit

NIS2 ist mehr als eine regulatorische Pflicht, es ist eine Chance, die Cybersicherheit systematisch zu verbessern. Wer die Anforderungen nicht nur formal erfüllt, sondern echte Sicherheit aufbaut, schützt sein Unternehmen vor realen Bedrohungen.

Die Zeit drängt. Wer jetzt startet, hat noch ausreichend Zeit für eine saubere Implementierung.

Sie benötigen Unterstützung bei der NIS2-Umsetzung? Wir begleiten Sie von der Gap-Analyse über die Konzeption bis zur Implementierung mit pragmatischer, ergebnisorientierter Beratung.

Sie möchten diese Themen in Ihrem Unternehmen angehen? Siegel Resilience unterstützt Sie von der Analyse bis zur Umsetzung – unabhängig, pragmatisch und normkonform. Kontakt aufnehmen →

Teilen: