Die NIS-2-Richtlinie (EU) macht Cybersecurity zur Pflicht: mehr betroffene Unternehmen, strengere Sicherheitsanforderungen, klar definierte Meldepflichten und deutlich mehr Verantwortung für das Management. Dieser Beitrag hilft dir dabei, schnell zu klären, ob du betroffen bist, welche Pflichten gelten und wie du in 30–90 Tagen pragmatisch NIS-2-ready wirst.
NIS-2 ist die EU-weite Nachfolgeregelung der ursprünglichen NIS-Richtlinie und soll ein einheitlich höheres Sicherheitsniveau für wesentliche und wichtige Dienste erreichen. Das Ziel ist klar: weniger erfolgreiche Angriffe, weniger Ausfallzeiten und eine bessere Reaktionsfähigkeit bei Sicherheitsvorfällen. Entscheidend für Unternehmen: Der Kreis der verpflichteten Organisationen ist deutlich größer als früher. Neben klassischen KRITIS-Bereichen rücken auch viele weitere Branchen und digitale Dienstleister in den Fokus – inklusive Lieferketten und Outsourcing-Modelle (z. B. Managed Services, Cloud-nahe IT-Services, relevante Industrie-Services).
NIS-2 ist nicht nur „mehr IT-Security“. Es ist Compliance: Prozesse, Verantwortlichkeiten und Nachweise werden genauso wichtig wie Technik.
Die EU-Frist zur nationalen Umsetzung lag am 17. Oktober 2024. Deutschland hat die Umsetzung gesetzlich nachgezogen. Für Unternehmen bedeutet das: Wer potenziell in den Anwendungsbereich fällt, sollte nicht auf „später“ setzen – insbesondere, weil Anforderungen aus Kunden-/Lieferketten häufig schon heute in Verträgen, Ausschreibungen oder IT-Sicherheitsfragebögen auftauchen. Praktisch relevant ist weniger die Frage „Wann kommt die Prüfung?“, sondern: Bist du in der Lage, Vorfälle fristgerecht zu melden und kannst du deine Sicherheitsmaßnahmen nachvollziehbar belegen?
NIS-2 unterscheidet grob zwischen wesentlichen Einrichtungen („essential entities“) und wichtigen Einrichtungen („important entities“). Die Einordnung basiert typischerweise auf Sektor und Unternehmensgröße – plus Sonderfälle (z. B. besondere Versorgungsrelevanz oder bestimmte Rollen in kritischen Wertschöpfungsketten).
NIS-2 verlangt ein belastbares Cybersecurity-Risikomanagement. In der Praxis läuft das auf ein ISMS-orientiertes Set aus Prozessen, Richtlinien und technischen Kontrollen hinaus:
Ein klassischer Stolperstein: Die Fristen sind kurz. Du brauchst einen Incident-Response-Prozess, der in Echtzeit funktioniert – inklusive klarer Kriterien, wann ein Vorfall als „erheblich“ gilt und wer innerhalb weniger Stunden Entscheidungen trifft.
| Meldung | Typische Frist | Inhalt |
|---|---|---|
| Frühwarnung | innerhalb von 24 Stunden | Hinweis, dass ein erheblicher Vorfall vorliegt bzw. ein begründeter Verdacht besteht |
| Folgemeldung / Assessment | innerhalb von 72 Stunden | Erste Bewertung: Ursache, Auswirkungen, Maßnahmen zur Eindämmung und Wiederherstellung |
| Final Report | innerhalb von 1 Monat | Abschluss: Timeline, Lessons Learned, nachhaltige Maßnahmen und Prävention |
NIS-2 verankert Cybersecurity in der Unternehmensführung: Freigabe, Steuerung und Überwachung von Maßnahmen sind kein reines IT-Thema mehr. Dazu kommt die Notwendigkeit, das Management und relevante Rollen regelmäßig zu schulen – damit Entscheidungen, Budgets und Prioritäten nachvollziehbar entlang von Risiken getroffen werden.
Realität: Wenn Security nicht als Governance-Prozess (inkl. Budget, Risiko-Entscheidungen, Management-Reviews) etabliert ist, fehlt dir NIS-2 die „Kontrollspur“ – und genau daran scheitern Audits und Kundenanforderungen in der Praxis am häufigsten.
Der schnellste Weg zu NIS-2-Readiness ist ein pragmatischer, phasenbasierter Ansatz: erst Scope und Lücken klären, dann Mindest-Compliance herstellen, anschließend Reifegrad und Nachweisfähigkeit ausbauen.
NIS-2 verlangt nicht nur „gute IT“, sondern nachvollziehbare Prozesse und Nachweise. Diese Checkliste hilft dir, die wichtigsten Bereiche schnell zu prüfen und priorisiert anzugehen.
| Bereich | Minimum, das sitzen muss | Typischer Nachweis |
|---|---|---|
| Governance | Rollen, Management-Freigabe, Schulungen | Protokolle, Trainingsnachweise, Verantwortlichkeitsmatrix |
| Incident Response | 24h/72h-Prozess, Playbooks, Entscheidungswege | IR-Plan, Meldetemplates, Übungsprotokolle |
| Prävention | MFA/IAM, Patch/Vuln-Management, Hardening | Policies, Tickets/Reports, Konfig-Dokumentation |
| Resilienz | Backup + Restore-Test, BCP/DR | Restore-Protokolle, Wiederanlaufpläne, RTO/RPO |
| Supply Chain | kritische Lieferanten identifizieren & bewerten | Supplier-Liste, Risikobewertungen, Vertragsbausteine |
Wir sind ein IT-Systemhaus mit kreativen Köpfen und einem Premium Servicegedanken in #Hamburg.
