NIS-2 operativ umgesetzt: was Ihr Unternehmen intern wirklich ändern muss

1. Mai 2026 8 Min Lesezeit Serie: compliance #compliance #nis-2 #bsi #governance

Das NIS2UmsuCG gilt seit Dezember 2025 ohne Übergangsfrist. Dieser Beitrag zeigt, was operativ bis 2026/2027 in internen Prozessen, Lieferketten und IT-Haushaltsplanung angefasst werden muss, und welche Dernium-Bausteine dabei direkt nützlich sind.

Problem

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde am 6. Dezember 2025 im Bundesgesetzblatt verkündet und gilt seitdem ohne Übergangsfrist. Die BSI-Registrierungsfrist für betroffene Einrichtungen lief bereits am 6. März 2026 ab. Schätzungen zufolge fallen rund 29.500 Organisationen in Deutschland unter den Anwendungsbereich. Viele davon wissen inzwischen, dass sie betroffen sind, haben aber die internen Prozesse, die das Gesetz voraussetzt, noch nicht umgesetzt. Das ist der teure Teil, und er ist nicht durch Zukauf eines einfachen Produkts zu erledigen.

Kurze Antwort

Acht Themenblöcke müssen schriftlich geregelt und durch die Geschäftsleitung gebilligt sein:

Risikomanagement,
Incident-Response mit 24/72-Stunden-Meldekette,
Business-Continuity,
Supply-Chain-Sicherheit,
Zugriffskontrolle und Kryptographie,
Cyber-Hygiene und Schulung,
Multi-Faktor-Authentifizierung und Asset-Management, sowie
Governance mit persönlicher Haftung des C-Levels.

Für jeden Block existiert ein nachprüfbarer Mindeststand. Die Werkzeug- und Produktauswahl ist dabei zweitrangig, die Dokumentations- und Verantwortungsspur ist das eigentlich Prüfbare.

Tiefgang

Wer fällt darunter

Die Größenschwellen folgen der EU-KMU-Empfehlung 2003/361/EG. Besonders wichtige Einrichtungen sind Organisationen in einem der Sektoren aus Anlage 1 (Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung, Weltraum) mit mindestens 250 Beschäftigten oder über 50 Mio. Euro Umsatz bei gleichzeitig über 43 Mio. Euro Bilanzsumme. Wichtige Einrichtungen sind alle übrigen Betriebe mit mindestens 50 Beschäftigten oder 10 Mio. Euro Umsatz in einem der 18 regulierten Sektoren aus Anlage 1 und Anlage 2. Verbundunternehmen werden konsolidiert gerechnet, die Tochtergesellschaft eines Konzerns fällt also auch dann unter NIS-2, wenn sie für sich allein unter der Schwelle läge. Unabhängig von der Größe fallen qualifizierte Trust-Service-Provider, TLD-Registrys und DNS-Dienstleister sowie Teile des öffentlichen Sektors automatisch hinein.

Der erste Schritt ist deshalb die Selbstprüfung. Das BSI-Portal ist seit dem 6. Januar 2026 aktiv; die Registrierung war bis zum 6. März 2026 Pflicht. Wer sie verpasst hat, registriert nachträglich und riskiert ein Bußgeld, rettet aber die Mitwirkungsquote.

Die zehn Maßnahmen aus Artikel 21, praktisch gelesen

Artikel 21 NIS-2 listet zehn Risikomanagementmaßnahmen, die jede betroffene Einrichtung umsetzen muss. Der Gesetzestext ist kompakt, die Umsetzung ist es nicht.

Risikoanalyse und Sicherheitskonzept für Informationssysteme. Ein schriftliches Risikoregister mit Bedrohungsszenarien, Eintrittswahrscheinlichkeit, Auswirkung, Restrisiko, Eigentümer, Review-Datum. Jährliche Aktualisierung durch die Leitung gezeichnet.
Bewältigung von Sicherheitsvorfällen. Playbook mit Rollen, Eskalationsmatrix, technischen Erstmaßnahmen, Kommunikationsvorlagen. Mindestens ein Tabletop-Test pro Jahr, protokolliert.
Aufrechterhaltung des Betriebs. Backup-Konzept mit 3-2-1-Logik, Wiederanlaufziele (RTO/RPO) pro Anwendung, dokumentierter Test des Wiederanlaufs. Backup-Medien müssen offline oder immutable lesbar sein, sonst sind sie bei Ransomware wertlos.
Sicherheit der Lieferkette. Dienstleister-Inventar mit Kritikalitätsklasse, Vertragszusätze (Melde- und Kooperationspflichten, Audit-Rechte), Exit-Plan für kritische Anbieter, Bewertung der Unter-Auftragsverhältnisse. Hier liegt die wahrscheinlich größte bisher ungelöste Lücke im Mittelstand.
Wirksamkeitsprüfung der Maßnahmen. Interne Audits, Penetrationstests an definierten Schwachstellen, Kennzahlen mit Zielwerten. Wichtig: nicht nur durchgeführt, sondern dokumentiert und nachverfolgt.
Cyber-Hygiene und Schulungen. Grundschulung für alle Mitarbeitenden, rollenspezifische Vertiefung für IT, vier- bis sechsmonatige Refresher, Phishing-Simulationen mit Auswertung.
Kryptographie und Verschlüsselung. Konzept, welche Daten at-rest und in-transit verschlüsselt werden, welche Algorithmen und Schlüsselgrößen zulässig sind, wer die Schlüssel verwahrt, wie rotiert wird. Keine einzelnen Tool-Entscheidungen, sondern eine Policy, an der Tools gemessen werden.
Personalsicherheit, Zugriffskontrolle und Asset-Management. Joiner-Mover-Leaver-Prozess mit Fristen, Rollenmodell mit Prinzip der geringsten Rechte, vollständiges Asset-Inventar (Hardware, Software, Daten, Identitäten). Ohne Asset-Inventar sind alle anderen Punkte nicht prüfbar.
Multi-Faktor-Authentifizierung. Für alle privilegierten und extern erreichbaren Zugänge, bevorzugt phishing-resistent (Passkeys, FIDO2). Gesicherte Sprach-, Video- und Textkommunikation für Incident-Kommunikation, die nicht über den kompromittierten Kanal laufen darf.
Gesicherte Notfallkommunikation. Ein Out-of-Band-Weg, der funktioniert, wenn das primäre System steht. In der Praxis ein vorbereiteter Messenger mit verifizierten Schlüsseln und z.B. ausgedrucktem Kontaktblatt.

Meldeketten und Fristen

§ 32 NIS2UmsuCG definiert einen dreistufigen Meldeprozess über das BSI-Portal. Frühwarnung innerhalb von 24 Stunden nach Kenntnis, Folgemeldung mit Bewertung innerhalb von 72 Stunden, Abschlussbericht nach spätestens einem Monat. Die Fristen laufen ab Kenntnis, nicht ab Abschluss der Analyse. Das BSI-Prinzip ist Schnelligkeit vor Vollständigkeit. Die 24-Stunden-Meldung darf unvollständig sein.

Operativ heißt das: es muss 24/7 jemanden geben, der meldeberechtigt ist und Zugang zum BSI-Portal hat, mit dokumentierter Stellvertretung. Die Zugangs-Credentials gehören in den Notfallordner, nicht in das eine Postfach, das im Vorfall vielleicht gerade nicht erreichbar ist.

Parallel läuft oft eine DSGVO-Meldung an die Landesdatenschutzaufsicht (72 Stunden nach Art. 33 DSGVO), Versicherungsmelde-Fristen (meist 72 Stunden im Cyberversicherungs-Vertrag), und bei Finanzakteuren die DORA-Meldekette. Eine gemeinsame Vorlage mit parallelen Spalten verhindert, dass im Stressfall Meldungen vergessen werden.

Supply-Chain: der wahrscheinlich härteste Punkt

§ 21 Abs. 3 verlangt eine Bewertung der Lieferantenbeziehungen, der Qualität der Dienstleister und der spezifischen Schwachstellen direkter Zulieferer. Das geht weit über die übliche AV-Vertragsprüfung hinaus. Ein Mindeststand: zentrales Register aller IT-Dienstleister mit Datenkategorien, Kritikalitätsklasse, Drittland-Transfers, DPF-Status, Zertifizierungs-Nachweisen, Ende-zu-Ende-Vertragslaufzeit, Exit-Plan. Ein Tabellenblatt reicht formal, verlässlich wird es erst mit einem Process-Owner, der die Liste quartalsweise mit Einkauf und Fachabteilung abgleicht.

Der Drittlandbezug ist hier explizit. Wenn der SaaS-Dienstleister auf AWS in Frankfurt läuft, ist die Unterlieferkette zu dokumentieren, das EU-US Data Privacy Framework auf Gültigkeit und Aktualität zu prüfen, ein Transfer-Impact-Assessment vorzuhalten und ein Exit-Szenario zu beschreiben, falls der DPF gekippt wird. Das ist keine NIS-2-Erfindung, NIS-2 macht es aber zur Pflicht, die bisher oftmals anzutreffende Position "ist ein Problem für später" ist nicht mehr haltbar.

Governance und persönliche Haftung

Artikel 20 NIS-2, umgesetzt in § 38 BSIG, weist der Geschäftsleitung drei Pflichten zu: die Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und mindestens alle drei Jahre Schulungen zu absolvieren. Bei schuldhafter Pflichtverletzung haften Geschäftsführer ihrer eigenen Gesellschaft gegenüber mit dem persönlichen Vermögen. Die operative Umsetzung kann delegiert werden, die strategische Verantwortung nicht.

Praktisch heißt das: der Beschluss, dass die NIS-2-Maßnahmen gelten, muss dokumentiert und gezeichnet sein. Schulungsteilnahmen sind mit Datum und Inhalt aufzubewahren. Die jährliche Risikoberatung der Geschäftsleitung gehört ins Protokoll. Wer hier nur mündlich arbeitet, hat im Ernstfall nichts vorzuweisen.

Die Bußgeldgrenzen sind spürbar: bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis zu 7 Mio. Euro oder 1,4 Prozent für wichtige Einrichtungen. Das BSI prüft aktiv, nicht nur reaktiv.

Was der Mittelstand typisch übersieht

Drei Punkte fehlen in vielen Erstberatungen, die wir gesehen haben:

die Asset-Inventarisierung bis auf die Ebene einzelner SaaS-Konten. Shadow-IT ist nicht weg, nur weil sie nicht gelistet ist.
der Übungsstand: ein Playbook, das nie durchgespielt wurde, ist im Ernstfall nicht viel wert wenn sich Verfahren zwischenzeitlich geändert haben.
die Audit-Spur der Governance-Beschlüsse. Ohne protokollierte Billigung durch die Geschäftsleitung fehlt der Nachweis, dass Artikel 20 überhaupt beachtet wird.

Abgelehnte Alternativen

"Wir warten, bis das Gesetz endgültig ist." Schon passiert. Der Bundestag hat das NIS2UmsuCG am 13. November 2025 verabschiedet, der Bundesrat am 20. November 2025 zugestimmt, die Verkündung erfolgte am 6. Dezember 2025. Es gibt keine Übergangsfrist.

"Wir machen das KRITIS-Minimum und fertig." NIS-2 ist spürbar breiter als KRITIS. Der Schwellwertbegriff ist ein anderer (250 bzw. 50 Mitarbeitende statt KRITIS-Schwellwertverordnung), die Pflichten aus Artikel 21 sind konkreter ausformuliert, und die Governance-Pflicht aus Artikel 20 hat in KRITIS keine direkte Entsprechung. Ein KRITIS-zertifizierter Betrieb ist ein guter Startpunkt, aber nicht deckungsgleich.

"ISO 27001 reicht." Eine ISO-27001-Zertifizierung deckt schätzungsweise 80 Prozent der Artikel-21-Anforderungen ab, wenn das ISMS sauber geführt ist. Nicht gedeckt sind die konkrete Meldekette zum BSI-Portal, die 24/72-Stunden-Fristen, die Governance-Pflicht nach Artikel 20, die Registrierungspflicht und der spezifische Supply-Chain-Kontext. ISO 27001 ist eine Abkürzung, kein Ersatz.

"Wir machen eine Awareness-Kampagne (und nennen das "Cyberhygiene")." Cyberhygiene nach Artikel 21 Nummer 6 ist ein Prozess, keine Kampagne. Eintägige Schulungen mit Phishing-Simulation und Nachbereitung funktionieren, einmalige Videos mit Multiple-Choice-Test zählen im Ernstfall wenig.

Wie Dernium hier hilft

Dernium ist kein NIS-2-Komplettanbieter, und der Anspruch wäre auch unehrlich. Unsere Produkte können Ihnen helfen die operativen Bausteine abzudecken, die NIS-2 fordert. Konkret prüfbar und jeweils mit garantiert deutscher Datenhaltung. Für die Meldewege nach Art. 23 NIS-2 - sowohl interne Triage als auch externe Sicherheitshinweise - hilft ein sauber gepflegtes security.txt nach RFC 9116 als öffentlicher Kontaktpunkt; der kostenlose Dernium Generator liefert eine startfertige Vorlage.

Dernium Watch überwacht die extern sichtbare Angriffsfläche (TLS, DNS, DMARC, Routing-Anomalien, Typosquatting) und liefert damit Frühindikatoren für den Incident-Workflow und Teilnachweis für Artikel 21 Nummer 1. Dernium Mailcheck schließt die DMARC/SPF/DKIM-Lücke, die den E-Mail-Kanal betrifft.

Für den Umgang mit unbekannten Dateien bietet Dernium Scan eine Multi-Engine-Prüfung ohne Weitergabe an Dritte und Dernium Clean die aktive Bereinigung per CDR-Methodik (Content Disarm and Reconstruction). Dernium Transit ist die API-Form derselben Pipeline für interne Workflows, Dernium Upload die eingebettete Variante für Kunden-Upload-Felder (z.B. dem Upload von PDFs auf der Karriere-Seite Ihres Unternehmens). Dernium Desk stellt einen Einweg-Arbeitsplatz im Browser bereit, auf dem Incident-Response-Teams gemeinsam verdächtige Dateien sichten, ohne sie auf Arbeitsplätze zu bringen. Dernium Note ist der schmale Weg, Notfall-Zugangsdaten einmalig lesbar zu übergeben, ohne sie im Chat oder in E-Mail zu hinterlassen und ohne sie bei einem Dienstleister im Klartext zu speichern.

Was Dernium heute nicht leistet und was eine NIS-2-betroffene Organisation zusätzlich braucht: ein Werkzeug für das Third-Party-Risk-Management (TPRM) mit Lieferanten-Fragebögen, Risikoklassifikation, Exit-Plan-Verwaltung und Eskalationspfaden. Eine Awareness-Trainings-Plattform mit Kurs-Katalog, Fortschrittskontrolle und Phishing-Simulation. Ein Governance-Tool, das Policies, Reviews, Freigaben der Geschäftsleitung und Schulungsnachweise verwaltet, idealerweise mit Audit-Trail. Für diese Bereiche gibt es spezialisierte Anbieter.

Verifikation

Offene Punkte

Durchsetzungspraxis des BSI. Das Gesetz ist in Kraft, die Prüfpraxis im ersten Jahr noch dünn. Erfahrungswerte, welche Nachweis-Tiefe das BSI bei Vor-Ort-Prüfungen tatsächlich verlangt, werden sich wohl erst über das Jahr 2026 hinweg bilden.

Verhältnis zu DORA und KRITIS-Dachgesetz. Organisationen, die zugleich unter DORA und NIS-2 fallen (Finanzsektor), haben Doppelmeldewege und zum Teil widersprüchliche Fristen. Die Harmonisierung läuft, ist aber bislang unseren Wissen nach noch nicht abgeschlossen.

Auditoren-Knappheit. Der Bedarf an qualifizierten NIS-2-Prüfern übersteigt das Angebot. Für Pflichtauditierungen (bei besonders wichtigen Einrichtungen) kann das zu Wartezeiten von mehreren Monaten führen, die in die eigene Planung einzupreisen sind.

Redaktioneller Hinweis

Die Inhalte dieses TechTalks wurden nach bestem Wissen und Gewissen erstellt und aufwendig recherchiert. Sie stellen grundsätzlich nur den Stand zum Zeitpunkt der redaktionellen Veröffentlichung dar. Sollte es wichtige Änderungen geben, verlinken wir kurze Aktualisierungsartikel zumeist direkt aus den Bezugsartikeln heraus; für ein vollständiges Bild sollten dann alle zusammengehörigen Artikel gelesen werden.

Wir bitten von konkreten Anfragen zu unseren Artikeln abzusehen (Ausnahme: Hinweise auf Fehler, die korrigiert werden sollten), da wir zu den hier aufgegriffenen Themen keine Beratungsleistungen anbieten können, insbesondere keine juristischen. Inwiefern Dernium Produkte in den hier beschriebenen Kontexten helfen können, ist in den Artikeln jeweils kurz umrissen, aber typischerweise nicht der Fokus dieser allgemeinen Informationsartikel.