NIS2 - Änderung der Sicherheitsvorkehrungen 2026
Am 13. November 2025 hat der Bundestag das NIS2-Umsetzungsgesetz verabschiedet und damit die NIS2-Richtlinie ein Jahr nach Ablauf der Frist in nationales Recht überführt. Ziel der NIS2-Richtlinie ist es, die Resilienz und Cybersicherheit in den Mitgliedstaaten der Europäischen Union nachhaltig zu stärken. Dazu wurde unter anderem die Definition kritischer Infrastruktur erweitert, wodurch zahlreiche Unternehmen nun verpflichtet sind, besondere Sicherheitsvorkehrungen zu treffen.
Ähnlich wie die Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten neu geregelt hat, etabliert NIS2 einen verbindlichen Rahmen zur Stärkung der allgemeinen IT-Sicherheit und bringt wesentliche Änderungen und Pflichten mit sich.
Die wohl größte Änderung ist die massive Ausweitung des Anwendungsbereichs. Waren bisher vor allem Betreiber kritischer Infrastrukturen betroffen, erfasst NIS2 nun zahlreiche weitere Branchen und Unternehmen bereits ab einer Größe von 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz.
Für betroffene Unternehmen ergeben sich daraus konkrete Verpflichtungen:
Die Umsetzung von Risikomanagementmaßnahmen ist die zentrale Anforderung des Gesetzes. Betroffene Unternehmen sind verpflichtet, angemessene und verhältnismäßige technisch-organisatorische Maßnahmen (TOM) zu ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu bewältigen. Dieser Ansatz, auch als „All-Hazards-Ansatz“ bekannt, verlangt eine umfassende Betrachtung aller potenziellen Gefahren – von Cyberangriffen über menschliches Versagen bis hin zu physischen Störungen.
Zu den mindestens umzusetzenden Maßnahmen gehören unter anderem:
- Konzepte zur Risikoanalyse und Sicherheit: Regelmäßige Bewertung der IT-Sicherheitsrisiken und die Etablierung verbindlicher Sicherheitsrichtlinien.
- Bewältigung von Sicherheitsvorfällen: Ein etablierter Prozess zur Erkennung, Analyse und Behebung von Incidents.
- Business Continuity Management: Strategien zur Aufrechterhaltung des Betriebs während und nach einem schwerwiegenden Sicherheitsvorfall, inklusive Notfallwiederherstellung und Backup-Management.
- Sicherheit der Lieferkette: Überprüfung und Sicherstellung, dass auch Ihre direkten Lieferanten und Dienstleister angemessene Sicherheitsstandards einhalten.
- Sichere Entwicklung und Wartung: Implementierung von Sicherheitsmaßnahmen im gesamten Lebenszyklus Ihrer Systeme, von der Beschaffung über die Entwicklung bis zur Wartung.
- Schulung und Sensibilisierung: Regelmäßige Schulungen Ihrer Mitarbeitenden zu Cybersicherheitsrisiken und -praktiken.
- Kryptografie und Verschlüsselung: Einsatz von Verschlüsselungstechnologien zum Schutz von Daten, sowohl bei der Speicherung als auch bei der Übertragung.
- Zugangskontrollkonzepte: Strenge Regelungen, wer auf welche Daten und Systeme zugreifen darf (Prinzip der geringsten Rechte).
- Multi-Faktor-Authentifizierung: Verbindlicher Einsatz von starker Authentifizierung, wo immer dies angemessen ist.
Meldepflichten bei Sicherheitsvorfällen
Das Gesetz etabliert einen strengen, mehrstufigen Meldeprozess für erhebliche Sicherheitsvorfälle, um eine schnelle Reaktion und Transparenz zu gewährleisten:
- Erstmeldung (innerhalb von 24 Stunden): Unverzüglich nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine erste Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Diese Meldung soll darüber informieren, ob der Vorfall möglicherweise durch eine rechtswidrige oder böswillige Handlung verursacht wurde.
- Detaillierte Meldung (innerhalb von 72 Stunden): Diese Folgemeldung muss eine erste Bewertung des Vorfalls enthalten, einschließlich seiner Schwere, der Auswirkungen und erster Indikatoren für eine Kompromittierung.
- Abschlussbericht (spätestens einen Monat nach der ersten Meldung): Ein finaler Bericht mit einer detaillierten Beschreibung des Vorfalls, der Ursache, der ergriffenen Abhilfemaßnahmen und der grenzüberschreitenden Auswirkungen ist vorzulegen.
Persönliche Verantwortung der Geschäftsleitung
Eine der gravierendsten Neuerungen ist die direkte Verantwortlichkeit der Leitungsorgane. Die Geschäftsführung muss die Risikomanagementmaßnahmen nicht nur genehmigen, sondern auch deren Umsetzung aktiv überwachen. Sie haftet persönlich für die Nichteinhaltung der Sorgfaltspflichten. Eine einfache Delegation der Verantwortung an die IT-Abteilung ist somit nicht mehr ausreichend. Die Leitung muss nachweislich ihrer Aufsichtspflicht nachkommen.
Sicherheit der Lieferkette (Supply-Chain-Sicherheit)
Unternehmen müssen die Sicherheitsrisiken bewerten, die von ihren unmittelbaren Zulieferern und Dienstleistern ausgehen. Ähnlich der Auftragsverarbeitung gemäß DSGVO müssen Sie die Cybersicherheitspraktiken Ihrer Partner in Ihre eigenen Risikobewertungen einbeziehen und vertraglich absichern. Die Auswahl von Dienstleistern muss daher auch unter dem Aspekt deren IT-Sicherheitsniveaus erfolgen.
Registrierungspflicht
Alle vom Gesetz betroffenen Unternehmen müssen sich bei der zuständigen nationalen Behörde (in Deutschland voraussichtlich beim BSI) registrieren. Dabei sind grundlegende Informationen wie Name, Adresse, Kontaktdaten und der relevante Sektor anzugeben. Diese Pflichten erfordern eine strategische und gut dokumentierte Herangehensweise.
Das NIS2-Umsetzungsgesetz erfordert von vielen Unternehmen eine strategische Neuausrichtung ihrer IT-Sicherheitsmaßnahmen. Es geht nicht mehr nur um den Schutz von Kundendaten, sondern und die Sicherstellung der gesamten betrieblichen Kontinuität.
Hier schreiben …