NIS-2 Anforderungen und Maßnahmen für Unternehmen

Dieser Beitrag liefert dir einen strukturierten und praxisnahen Überblick über die NIS-2 Anforderungen für Unternehmen in Deutschland und richtet sich an alle, die wissen wollen, welche Maßnahmen nach NIS-2 konkret umzusetzen sind.

Wenn du wissen möchtest, welche Unternehmen von NIS-2 betroffen sind, lies unseren Glossarartikel „NIS-2-Richtlinie – wer ist betroffen?“

Zentrale Anforderungen der NIS-2-Richtlinie sind:

• ein dokumentiertes und wirksames Risikomanagement
• klar geregeltes Incident Management inklusive Meldepflichten
• Maßnahmen zur Sicherstellung der Business Continuity
• Absicherung der Lieferkette und externer Dienstleistender
• eindeutige Verantwortlichkeiten bis auf Management-Ebene
• regelmäßige Schulungen zur Cybersicherheit
• nachvollziehbare Dokumentations- und Nachweispflichten

Damit ist NIS-2 ein zentrales Compliance- und Managementthema für Unternehmen.

NIS-2 verlangt unter anderem:

• regelmäßige Risikoanalysen für IT- und Geschäftsprozesse
• Berücksichtigung interner und externer Bedrohungen
• Bewertung möglicher Auswirkungen auf Verfügbarkeit, Integrität und Vertraulichkeit
• Ableitung, Umsetzung und Überprüfung konkreter Sicherheitsmaßnahmen auf Basis der identifizierten Risiken

Das Risikomanagement muss nachvollziehbar dokumentiert, regelmäßig überprüft und aktualisiert werden. Ein etabliertes ISMS bildet hier in Unternehmen und Organisationen die Grundlage.

Zu den NIS-2 Anforderungen zählen:

• Prozesse zur Erkennung von Sicherheitsvorfällen sind definiert
• klare Eskalations- und Entscheidungswege
• gesetzlich vorgegebene Meldefristen werden eingehalten
• Vorfälle und Gegenmaßnahmen sind vollständig dokumentiert

Konkret schreibt NIS-2 ein dreistufiges Meldesystem vor:

• Frühwarnung innerhalb von 24 Stunden, sobald ein erheblicher Sicherheitsvorfall bekannt wird
• Folgemeldung innerhalb von 72 Stunden mit einer ersten Einschätzung von Ursache, Auswirkungen und Gegenmaßnahmen
• Abschlussbericht spätestens innerhalb eines Monats, inklusive Ursachenanalyse und Lessons Learned

In Deutschland erfolgt die Meldung an eine zentrale Meldestelle, dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Ein funktionierendes Incident Management ist damit auch eine regulatorische Pflicht nach NIS-2, nicht nur Teil der Cybersicherheit.

Unternehmen müssen sicherstellen, dass Folgendes geregelt ist und die Maßnahmen regelmäßig getestet und überprüft werden, um ihre Wirksamkeit im Ernstfall sicherzustellen:

• kritische Geschäftsprozesse sind identifiziert
• Notfall- und Wiederanlaufpläne existieren
• Wiederanlaufzeiten sind realistisch definiert
• Krisenkommunikation intern und extern

Damit rückt das Zusammenspiel von IT-Sicherheit, Organisationsstruktur und operativem Krisenmanagement stärker in den Fokus.

Zu den Anforderungen zählen:

• Systematische Bewertung von Risiken entlang der Lieferkette
• Definition von Sicherheitsanforderungen für Dienstleistende
• vertragliche Regelungen zu Sicherheitsstandards und Meldepflichten
• Überwachung kritischer Drittparteien
• Regelmäßige Neubewertung

Damit erweitert NIS-2 den Blick von der internen IT-Sicherheit hin zu einem ganzheitlichen Sicherheits- und Risikomanagement über Unternehmensgrenzen hinweg.

Konkret bedeutet das:

• klare Zuordnung von Verantwortlichkeiten für Sicherheit und Cybersicherheit
• regelmäßige Berichterstattung an das Management über Risiken und Maßnahmen
• strategische Verankerung von Cybersicherheit
• mögliche persönliche Haftung bei Verstößen gegen NIS-2

Dieser Aspekt wird häufig unterschätzt: NIS-2 ist kein reines IT-Thema, sondern eine Managementaufgabe.

Unternehmen müssen nachweisen, dass:

• Schulung der Geschäftsleitung zur IT-Sicherheit
• Mitarbeitende regelmäßig zu Sicherheitsrisiken geschult werden
• Awareness für Cyberrisiken geschaffen wird
• Sicherheitsrichtlinien bekannt, verständlich und umgesetzt sind

Diese organisatorischen Maßnahmen ergänzen technische Schutzmaßnahmen und sind fester Bestandteil der NIS-2 Anforderungen.

Angemessenheit richtet sich nach:

• Größe und Struktur des Unternehmens
• Branche und Kritikalität der Leistungen
• individueller Risikoexposition
• Stand der Technik im Bereich Sicherheit

Für Unternehmen bedeutet das: verhältnismäßige Maßnahmen müssen begründet, dokumentiert und wirksam sein.

Ein Informationssicherheits-Managementsystem nach ISO 27001 bietet eine bewährte Grundlage zur Umsetzung der NIS-2 Anforderungen.

• ISO 27001 strukturiert Risikomanagement und Prozesse
• NIS-2 ergänzt regulatorische Pflichten und Meldeprozesse
• bestehende ISMS lassen sich gezielt erweitern

In der Praxis zeigen sich bei der Umsetzung der NIS-2-Richtlinie typische Schwachstellen:

• Fokus ausschließlich auf technische Cybersicherheit
• fehlende Management-Einbindung
• unklare oder ungetestete Meldeprozesse
• unzureichende Dokumentation

Diese Punkte führen häufig zu Risiken bei Prüfungen und im Ernstfall.

Was fordert die NIS-2-Richtlinie konkret?

NIS-2 verlangt ein strukturiertes Risikomanagement, funktionierende Meldeprozesse, Maßnahmen zur Geschäftskontinuität sowie die Absicherung der Lieferkette.

Sind die NIS-2 Anforderungen in Deutschland identisch zur EU-Richtlinie?

Die Anforderungen in Deutschland basieren auf der EU-Richtlinie. Sie wurden durch das NIS-2-Umsetzungs- und Cybersicherheitstärkungsgesetz (NIS-2UmsuCG) konkretisiert, das seit 6. Dezember 2025 in Kraft ist.

Sind technische Maßnahmen ausreichend?

Nein. NIS-2 fordert ausdrücklich auch organisatorische, personelle und managementbezogene Maßnahmen.

Gibt es eine feste Maßnahmenliste?

Nein. Unternehmen müssen angemessene Maßnahmen selbst ableiten und begründen.

Für Unternehmen in Deutschland empfiehlt sich ein strukturiertes Vorgehen:

• Betroffenheit nach NIS-2 prüfen, z.B. mithilfe des vom BSI bereitgestellten Online-Tools
• Reifegrad der Cybersicherheit bewerten
• Gap-Analyse durchführen
• Maßnahmen priorisieren und umsetzen