Bild: Generiert mit Gemini Flash

NIS-2 operativ umgesetzt: was Ihr Unternehmen intern wirklich ändern muss

Das NIS2UmsuCG gilt seit Dezember 2025 ohne Übergangsfrist. Dieser Beitrag zeigt, was operativ bis 2026/2027 in internen Prozessen, Lieferketten und IT-Haushaltsplanung angefasst werden muss, und welche Dernium-Bausteine dabei direkt nützlich sind.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Wer fällt darunter
  5. Die zehn Maßnahmen aus Artikel 21, praktisch gelesen
  6. Meldeketten und Fristen
  7. Supply-Chain: der wahrscheinlich härteste Punkt
  8. Governance und persönliche Haftung
  9. Was der Mittelstand typisch übersieht
  10. Abgelehnte Alternativen
  11. Was Sie jetzt tun sollten
  12. Wie Dernium hier hilft
  13. Verifikation
  14. Offene Punkte
  15. Häufige Fragen
  16. Ab wann muss meine Organisation die NIS-2-Pflichten erfüllen?
  17. Reicht eine bestehende ISO-27001-Zertifizierung aus?
  18. Haften Geschäftsführer persönlich, wenn die Umsetzung fehlt?
  19. Was ist die schwierigste Pflicht in der Praxis?
  20. Was passiert, wenn ein Sicherheitsvorfall eintritt?

Problem

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet und gilt seitdem ohne Übergangsfrist. Die BSI-Registrierungsfrist (BSI ist das Bundesamt für Sicherheit in der Informationstechnik) für betroffene Einrichtungen lief bereits am 6. März 2026 ab. Schätzungen zufolge fallen rund 29.500 Organisationen in Deutschland unter den Anwendungsbereich. Viele davon wissen inzwischen, dass sie betroffen sind, haben aber die internen Prozesse, die das Gesetz voraussetzt, noch nicht umgesetzt. Das ist der teure Teil, und er ist nicht durch Zukauf eines einfachen Produkts zu erledigen.

Für wen ist das? Für IT-Leitung und Sicherheitsverantwortliche in Unternehmen, die unter NIS-2 fallen.

Kurze Antwort

NIS-2 ist keine Software, die man kauft, sondern eine Reihe von Prozessen, die schriftlich geregelt und von der Geschäftsleitung gebilligt sein müssen. Acht Themenblöcke sind der Kern:

  • Risikomanagement und Incident-Response mit 24/72-Stunden-Meldekette (Frist zur Meldung von Sicherheitsvorfällen an das BSI).
  • Business-Continuity (Aufrechterhaltung des Betriebs im Notfall) und Backups, die auch bei Ransomware lesbar bleiben.
  • Supply-Chain-Sicherheit (Absicherung der Dienstleister- und Lieferantenkette) - der härteste Punkt im Mittelstand.
  • Zugriffskontrolle, Kryptographie, Multi-Faktor-Authentifizierung (MFA, zweiter Anmeldefaktor zusätzlich zum Passwort) und Asset-Management (Inventar aller IT-Werte).
  • Governance mit persönlicher Haftung des C-Levels (oberste Führungsebene).

Für jeden Block existiert ein nachprüfbarer Mindeststand. Die Werkzeug- und Produktauswahl ist dabei zweitrangig, die Dokumentations- und Verantwortungsspur ist das eigentlich Prüfbare.

Tiefgang

NIS-2 ist kein Kaufprodukt: Die acht Themenblöcke münden in eine dokumentierte Nachweisspur, die die Geschäftsleitung billigt und für die sie haftet.
NIS-2 ist kein Kaufprodukt: Die acht Themenblöcke münden in eine dokumentierte Nachweisspur, die die Geschäftsleitung billigt und für die sie haftet.

Wer fällt darunter

Die Größenschwellen folgen der EU-KMU-Empfehlung 2003/361/EG (KMU = kleine und mittlere Unternehmen). Besonders wichtige Einrichtungen sind Organisationen in einem der Sektoren aus Anlage 1 (Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung, Weltraum) mit mindestens 250 Beschäftigten oder über 50 Mio. Euro Umsatz bei gleichzeitig über 43 Mio. Euro Bilanzsumme. Wichtige Einrichtungen sind alle übrigen Betriebe mit mindestens 50 Beschäftigten oder 10 Mio. Euro Umsatz in einem der 18 regulierten Sektoren aus Anlage 1 und Anlage 2. Verbundunternehmen werden konsolidiert gerechnet, die Tochtergesellschaft eines Konzerns fällt also auch dann unter NIS-2, wenn sie für sich allein unter der Schwelle läge. Unabhängig von der Größe fallen qualifizierte Trust-Service-Provider (Anbieter von Vertrauensdiensten wie elektronischen Signaturen), TLD-Registrys (Verwalter von Top-Level-Domains wie .de) und DNS-Dienstleister sowie Teile des öffentlichen Sektors automatisch hinein.

Der erste Schritt ist deshalb die Selbstprüfung. Das BSI-Portal ist seit dem 6. Januar 2026 aktiv; die Registrierung war bis zum 6. März 2026 Pflicht. Wer sie verpasst hat, registriert nachträglich und riskiert ein Bußgeld, rettet aber die Mitwirkungsquote.

Die zehn Maßnahmen aus Artikel 21, praktisch gelesen

Artikel 21 NIS-2 listet zehn Risikomanagementmaßnahmen, die jede betroffene Einrichtung umsetzen muss. Der Gesetzestext ist kompakt, die Umsetzung ist es nicht.

  1. Risikoanalyse und Sicherheitskonzept für Informationssysteme. Ein schriftliches Risikoregister mit Bedrohungsszenarien, Eintrittswahrscheinlichkeit, Auswirkung, Restrisiko, Eigentümer, Review-Datum. Jährliche Aktualisierung durch die Leitung gezeichnet.

  2. Bewältigung von Sicherheitsvorfällen. Playbook (vorbereiteter Handlungsleitfaden) mit Rollen, Eskalationsmatrix, technischen Erstmaßnahmen, Kommunikationsvorlagen. Mindestens ein Tabletop-Test (durchgesprochene Trockenübung) pro Jahr, protokolliert.

  3. Aufrechterhaltung des Betriebs. Backup-Konzept mit 3-2-1-Logik (drei Kopien, zwei Medien, eine außer Haus), Wiederanlaufziele (RTO = maximal tolerierbare Ausfallzeit, RPO = maximal tolerierbarer Datenverlust) pro Anwendung, dokumentierter Test des Wiederanlaufs. Backup-Medien müssen offline oder immutable (unveränderbar) lesbar sein, sonst sind sie bei Ransomware (Erpressungssoftware, die Daten verschlüsselt) wertlos.

  4. Sicherheit der Lieferkette. Dienstleister-Inventar mit Kritikalitätsklasse, Vertragszusätze (Melde- und Kooperationspflichten, Audit-Rechte), Exit-Plan für kritische Anbieter, Bewertung der Unter-Auftragsverhältnisse. Hier liegt die wahrscheinlich größte bisher ungelöste Lücke im Mittelstand.

  5. Wirksamkeitsprüfung der Maßnahmen. Interne Audits, Penetrationstests (kontrollierte Angriffe auf die eigene Technik) an definierten Schwachstellen, Kennzahlen mit Zielwerten. Wichtig: nicht nur durchgeführt, sondern dokumentiert und nachverfolgt.

  6. Cyber-Hygiene und Schulungen. Grundschulung für alle Mitarbeitenden, rollenspezifische Vertiefung für IT, vier- bis sechsmonatige Refresher, Phishing-Simulationen (geübte Test-Betrugsmails) mit Auswertung.

  7. Kryptographie und Verschlüsselung. Konzept, welche Daten at-rest (gespeichert) und in-transit (auf dem Übertragungsweg) verschlüsselt werden, welche Algorithmen und Schlüsselgrößen zulässig sind, wer die Schlüssel verwahrt, wie rotiert wird. Keine einzelnen Tool-Entscheidungen, sondern eine Policy, an der Tools gemessen werden.

  8. Personalsicherheit, Zugriffskontrolle und Asset-Management. Joiner-Mover-Leaver-Prozess (geregelte Rechtevergabe bei Eintritt, Wechsel, Austritt) mit Fristen, Rollenmodell mit Prinzip der geringsten Rechte, vollständiges Asset-Inventar (Hardware, Software, Daten, Identitäten). Ohne Asset-Inventar sind alle anderen Punkte nicht prüfbar.

  9. Multi-Faktor-Authentifizierung. Für alle privilegierten und extern erreichbaren Zugänge, bevorzugt phishing-resistent (Passkeys, FIDO2 - kryptografische Anmeldeverfahren ohne abfangbares Passwort). Gesicherte Sprach-, Video- und Textkommunikation für Incident-Kommunikation, die nicht über den kompromittierten Kanal laufen darf.

  10. Gesicherte Notfallkommunikation. Ein Out-of-Band-Weg (Kommunikationskanal außerhalb des möglicherweise befallenen Systems), der funktioniert, wenn das primäre System steht. In der Praxis ein vorbereiteter Messenger mit verifizierten Schlüsseln und z.B. ausgedrucktem Kontaktblatt.

Meldeketten und Fristen

Paragraf 32 NIS2UmsuCG definiert einen dreistufigen Meldeprozess über das BSI-Portal. Frühwarnung innerhalb von 24 Stunden nach Kenntnis, Folgemeldung mit Bewertung innerhalb von 72 Stunden, Abschlussbericht nach spätestens einem Monat. Die Fristen laufen ab Kenntnis, nicht ab Abschluss der Analyse. Das BSI-Prinzip ist Schnelligkeit vor Vollständigkeit. Die 24-Stunden-Meldung darf unvollständig sein.

Operativ heißt das: es muss 24/7 jemanden geben, der meldeberechtigt ist und Zugang zum BSI-Portal hat, mit dokumentierter Stellvertretung. Die Zugangs-Credentials (Anmeldedaten) gehören in den Notfallordner, nicht in das eine Postfach, das im Vorfall vielleicht gerade nicht erreichbar ist.

Parallel läuft oft eine DSGVO-Meldung an die Landesdatenschutzaufsicht (72 Stunden nach Art. 33 DSGVO), Versicherungsmelde-Fristen (meist 72 Stunden im Cyberversicherungs-Vertrag), und bei Finanzakteuren die DORA-Meldekette (DORA = EU-Verordnung zur digitalen Betriebsstabilität im Finanzsektor). Eine gemeinsame Vorlage mit parallelen Spalten verhindert, dass im Stressfall Meldungen vergessen werden.

Supply-Chain: der wahrscheinlich härteste Punkt

Paragraf 21 Abs. 3 verlangt eine Bewertung der Lieferantenbeziehungen, der Qualität der Dienstleister und der spezifischen Schwachstellen direkter Zulieferer. Das geht weit über die übliche AV-Vertragsprüfung (Auftragsverarbeitung nach DSGVO) hinaus. Ein Mindeststand: zentrales Register aller IT-Dienstleister mit Datenkategorien, Kritikalitätsklasse, Drittland-Transfers, DPF-Status (siehe unten), Zertifizierungs-Nachweisen, Ende-zu-Ende-Vertragslaufzeit, Exit-Plan. Ein Tabellenblatt reicht formal, verlässlich wird es erst mit einem Process-Owner, der die Liste quartalsweise mit Einkauf und Fachabteilung abgleicht.

Der Drittlandbezug ist hier explizit. Wenn der SaaS-Dienstleister (Software as a Service, gemietete Software über das Internet) auf AWS in Frankfurt läuft, ist die Unterlieferkette zu dokumentieren, das EU-US Data Privacy Framework (DPF, der Rechtsrahmen für Datentransfers in die USA) auf Gültigkeit und Aktualität zu prüfen, ein Transfer-Impact-Assessment (Prüfung der Risiken eines Drittland-Transfers) vorzuhalten und ein Exit-Szenario zu beschreiben, falls der DPF gekippt wird. Das ist keine NIS-2-Erfindung, NIS-2 macht es aber zur Pflicht, die bisher oftmals anzutreffende Position "ist ein Problem für später" ist nicht mehr haltbar.

Governance und persönliche Haftung

Artikel 20 NIS-2, umgesetzt in Paragraf 38 BSIG (BSI-Gesetz), weist der Geschäftsleitung drei Pflichten zu: die Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und mindestens alle drei Jahre Schulungen zu absolvieren. Bei schuldhafter Pflichtverletzung haften Geschäftsführer ihrer eigenen Gesellschaft gegenüber mit dem persönlichen Vermögen. Die operative Umsetzung kann delegiert werden, die strategische Verantwortung nicht.

Praktisch heißt das: der Beschluss, dass die NIS-2-Maßnahmen gelten, muss dokumentiert und gezeichnet sein. Schulungsteilnahmen sind mit Datum und Inhalt aufzubewahren. Die jährliche Risikoberatung der Geschäftsleitung gehört ins Protokoll. Wer hier nur mündlich arbeitet, hat im Ernstfall nichts vorzuweisen.

Die Bußgeldgrenzen sind spürbar: bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis zu 7 Mio. Euro oder 1,4 Prozent für wichtige Einrichtungen. Das BSI prüft aktiv, nicht nur reaktiv.

Was der Mittelstand typisch übersieht

Drei Punkte fehlen in vielen Erstberatungen, die wir gesehen haben:

  1. die Asset-Inventarisierung bis auf die Ebene einzelner SaaS-Konten. Shadow-IT (nicht von der IT-Abteilung freigegebene Dienste) ist nicht weg, nur weil sie nicht gelistet ist.
  2. der Übungsstand: ein Playbook, das nie durchgespielt wurde, ist im Ernstfall nicht viel wert wenn sich Verfahren zwischenzeitlich geändert haben.
  3. die Audit-Spur der Governance-Beschlüsse. Ohne protokollierte Billigung durch die Geschäftsleitung fehlt der Nachweis, dass Artikel 20 überhaupt beachtet wird.

Abgelehnte Alternativen

"Wir warten, bis das Gesetz endgültig ist." Schon passiert. Der Bundestag hat das NIS2UmsuCG am 13. November 2025 verabschiedet, der Bundesrat am 20. November 2025 zugestimmt, die Verkündung erfolgte am 6. Dezember 2025. Es gibt keine Übergangsfrist.

"Wir machen das KRITIS-Minimum und fertig." NIS-2 ist spürbar breiter als KRITIS (kritische Infrastrukturen). Der Schwellwertbegriff ist ein anderer (250 bzw. 50 Mitarbeitende statt KRITIS-Schwellwertverordnung), die Pflichten aus Artikel 21 sind konkreter ausformuliert, und die Governance-Pflicht aus Artikel 20 hat in KRITIS keine direkte Entsprechung. Ein KRITIS-zertifizierter Betrieb ist ein guter Startpunkt, aber nicht deckungsgleich.

"ISO 27001 reicht." Eine ISO-27001-Zertifizierung (internationaler Standard für Informationssicherheits-Managementsysteme) deckt schätzungsweise 80 Prozent der Artikel-21-Anforderungen ab, wenn das ISMS (Informationssicherheits-Managementsystem) sauber geführt ist. Nicht gedeckt sind die konkrete Meldekette zum BSI-Portal, die 24/72-Stunden-Fristen, die Governance-Pflicht nach Artikel 20, die Registrierungspflicht und der spezifische Supply-Chain-Kontext. ISO 27001 ist eine Abkürzung, kein Ersatz.

"Wir machen eine Awareness-Kampagne (und nennen das "Cyberhygiene")." Cyberhygiene nach Artikel 21 Nummer 6 ist ein Prozess, keine Kampagne. Eintägige Schulungen mit Phishing-Simulation und Nachbereitung funktionieren, einmalige Videos mit Multiple-Choice-Test zählen im Ernstfall wenig.

Was Sie jetzt tun sollten

  1. Betroffenheit feststellen und registrieren. Prüfen Sie Sektor und Größenschwellen (inklusive Verbundkonsolidierung) und holen Sie eine versäumte Registrierung im BSI-Portal nach, bevor eine Prüfung sie aufdeckt.
  2. Asset-Inventar aufbauen. Listen Sie Hardware, Software, Daten, Identitäten und einzelne SaaS-Konten. Ohne dieses Inventar sind die übrigen neun Maßnahmen nicht prüfbar.
  3. Meldekette einrichten. Benennen Sie eine 24/7 meldeberechtigte Person mit Stellvertretung, hinterlegen Sie die Portal-Zugangsdaten im Notfallordner und legen Sie eine Meldevorlage mit parallelen Spalten für BSI, DSGVO und Versicherung an.
  4. Geschäftsleitungs-Beschluss protokollieren. Lassen Sie die Billigung der Maßnahmen schriftlich zeichnen und dokumentieren Sie Schulungstermine - das ist der Nachweis für Artikel 20.
  5. Lieferanten-Register starten. Beginnen Sie mit den kritischsten Dienstleistern: Datenkategorien, Drittland-Transfers, DPF-Status, Exit-Plan. Ein Tabellenblatt mit festem Verantwortlichen genügt für den Anfang.

Wie Dernium hier hilft

Dernium ist kein NIS-2-Komplettanbieter, und der Anspruch wäre auch unehrlich. Unsere Produkte können Ihnen helfen die operativen Bausteine abzudecken, die NIS-2 fordert. Konkret prüfbar und jeweils mit deutscher Datenhaltung. Für die Meldewege nach Art. 23 NIS-2 - sowohl interne Triage als auch externe Sicherheitshinweise - hilft ein sauber gepflegtes security.txt nach RFC 9116 (standardisierte Datei mit Sicherheits-Kontaktdaten) als öffentlicher Kontaktpunkt; der kostenlose Dernium Webtools liefert eine startfertige Vorlage.

Dernium Watch überwacht die extern sichtbare Angriffsfläche (TLS, DNS, DMARC, Routing-Anomalien, Typosquatting) und liefert damit Frühindikatoren für den Incident-Workflow und Teilnachweis für Artikel 21 Nummer 1. Dernium Mailcheck schließt die DMARC/SPF/DKIM-Lücke (Verfahren zur Echtheitsprüfung von E-Mail), die den E-Mail-Kanal betrifft.

Für den Umgang mit unbekannten Dateien bietet Dernium Scan eine Multi-Engine-Prüfung ohne Weitergabe an Dritte und Dernium Clean die aktive Bereinigung per CDR-Methodik (Content Disarm and Reconstruction - Zerlegen und Neuaufbau einer Datei, um eingebettete Schadanteile zu entfernen). Dernium Transit ist die API-Form derselben Pipeline für interne Workflows, Dernium Upload die eingebettete Variante für Kunden-Upload-Felder (z.B. dem Upload von PDFs auf der Karriere-Seite Ihres Unternehmens). Dernium Desk stellt eine abgeschottete VM im Browser bereit, auf der Incident-Response-Teams gemeinsam verdächtige Dateien sichten, ohne sie auf Arbeitsplätze zu bringen; auf Wunsch lässt sich die VM danach restlos schreddern (Einweg-Modus), sonst bleibt sie bestehen. Dernium Note ist der schmale Weg, Notfall-Zugangsdaten einmalig lesbar zu übergeben, ohne sie im Chat oder in E-Mail zu hinterlassen und ohne sie bei einem Dienstleister im Klartext zu speichern.

Was Dernium heute nicht leistet und was eine NIS-2-betroffene Organisation zusätzlich braucht: ein Werkzeug für das Third-Party-Risk-Management (TPRM - Verwaltung der Risiken durch Dritt-Dienstleister) mit Lieferanten-Fragebogen, Risikoklassifikation, Exit-Plan-Verwaltung und Eskalationspfaden. Eine Awareness-Trainings-Plattform mit Kurs-Katalog, Fortschrittskontrolle und Phishing-Simulation. Ein Governance-Tool, das Policies, Reviews, Freigaben der Geschäftsleitung und Schulungsnachweise verwaltet, idealerweise mit Audit-Trail. Für diese Bereiche gibt es spezialisierte Anbieter.

Verifikation

Offene Punkte

Durchsetzungspraxis des BSI. Das Gesetz ist in Kraft, die Prüfpraxis im ersten Jahr noch dünn. Erfahrungswerte, welche Nachweis-Tiefe das BSI bei Vor-Ort-Prüfungen tatsächlich verlangt, werden sich wohl erst über das Jahr 2026 hinweg bilden.

Verhältnis zu DORA und KRITIS-Dachgesetz. Organisationen, die zugleich unter DORA und NIS-2 fallen (Finanzsektor), haben Doppelmeldewege und zum Teil widersprüchliche Fristen. Die Harmonisierung läuft, ist aber bislang unseren Wissen nach noch nicht abgeschlossen.

Auditoren-Knappheit. Der Bedarf an qualifizierten NIS-2-Prüfern übersteigt das Angebot. Für Pflichtauditierungen (bei besonders wichtigen Einrichtungen) kann das zu Wartezeiten von mehreren Monaten führen, die in die eigene Planung einzupreisen sind.

Häufige Fragen

Ab wann muss meine Organisation die NIS-2-Pflichten erfüllen?

Sofort. Das NIS2UmsuCG gilt seit der Verkündung am 6. Dezember 2025 ohne Übergangsfrist, und die Registrierungspflicht im BSI-Portal lief bereits am 6. März 2026 ab. Wer betroffen ist und noch nicht gehandelt hat, befindet sich bereits im Verzug und sollte die Registrierung umgehend nachholen.

Reicht eine bestehende ISO-27001-Zertifizierung aus?

Nein, sie ist ein guter Startpunkt, aber kein Ersatz. Ein sauber geführtes Managementsystem nach ISO 27001 deckt schätzungsweise rund 80 Prozent der Anforderungen aus Artikel 21 ab. Die konkrete Meldekette zum BSI mit den 24/72-Stunden-Fristen, die persönliche Governance-Pflicht der Geschäftsleitung, die Registrierung und der spezifische Lieferketten-Kontext sind jedoch nicht abgedeckt und müssen ergänzt werden.

Haften Geschäftsführer persönlich, wenn die Umsetzung fehlt?

Ja. Nach Artikel 20 NIS-2, umgesetzt in Paragraf 38 BSIG, muss die Geschäftsleitung die Maßnahmen billigen, deren Umsetzung überwachen und sich schulen lassen. Bei schuldhafter Pflichtverletzung haftet die Geschäftsführung der eigenen Gesellschaft gegenüber mit dem persönlichen Vermögen. Die operative Arbeit kann delegiert werden, die strategische Verantwortung nicht.

Was ist die schwierigste Pflicht in der Praxis?

Die Lieferketten-Sicherheit. Sie verlangt ein gepflegtes Register aller IT-Dienstleister inklusive Datenkategorien, Drittland-Transfers, Zertifizierungsnachweisen und Exit-Plänen sowie die Bewertung der Unter-Auftragsverhältnisse. Diese Tiefe geht weit über die übliche Auftragsverarbeitungs-Prüfung hinaus und ist im Mittelstand am häufigsten ungelöst.

Was passiert, wenn ein Sicherheitsvorfall eintritt?

Es gilt eine dreistufige Meldekette an das BSI: eine Frühwarnung binnen 24 Stunden nach Kenntnis, eine bewertende Folgemeldung binnen 72 Stunden und ein Abschlussbericht nach spätestens einem Monat. Die erste Meldung darf unvollständig sein - das BSI stellt Schnelligkeit vor Vollständigkeit. Voraussetzung ist eine rund um die Uhr meldeberechtigte Person mit hinterlegten Portal-Zugangsdaten.