Zentrale Pflichten aus NIS2
Wenn Ihr Unternehmen unter NIS2 fällt, ergeben sich insbesondere folgende Anforderungen
- Registrierungspflicht beim BSI
Unternehmen müssen sich innerhalb von drei Monaten nach nationaler Umsetzung beim BSI registrieren (die Meldefrist endete am 06.03.2026). - Risikomanagement und Informationssicherheit
Einführung eines strukturierten Informationssicherheitsmanagementsystems (ISMS), z. B. angelehnt an ISO/IEC 27001. - Notfall- und Backup-Management
Etablierung eines Notfallkonzepts inklusive Backup-, Wiederanlauf- und Krisenmanagement, um die Geschäftsfähigkeit zu sichern. - Sichere Beschaffung und Entwicklung
Sicherheitsanforderungen für Beschaffung, Entwicklung und Betrieb von IT-Systemen und -Diensten müssen definiert und nachweisbar umgesetzt werden. - Identitäts- und Zugriffsmanagement
Einführung robuster Verfahren wie starke Authentifizierung, Verschlüsselung und konsequente Zugriffskontrollen. - Management von Sicherheitsvorfällen
Prozesse und Verantwortlichkeiten zur Erkennung, Behandlung und Meldung von Sicherheitsvorfällen, inklusive zeitkritischer Meldungen innerhalb von 24 Stunden bei schweren Störungen. - Schutz der Kommunikationswege
Einsatz moderner Kryptografie und Verschlüsselung nach Stand der Technik. - Absicherung von Lieferanten und Dienstleistern
Verankerung von Sicherheitsanforderungen in Verträgen und Überwachung der Sicherheitsleistung von Dienstleistern. - Schulungen und Security Awareness
Regelmäßige, nachweisbare Sensibilisierung von Geschäftsleitung und Mitarbeitenden zu sicherheitsgerechtem Verhalten.
Alle Maßnahmen sind fortlaufend zu dokumentieren und regelmäßig zu überprüfen.
Mögliche Rechtsfolgen bei Verstößen
Bei Verstößen gegen die NIS2-Anforderungen drohen sowohl Unternehmen als auch Geschäftsleitern erhebliche Bußgelder.
Vorgesehen sind bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes – maßgeblich ist der jeweils höhere Betrag.
Empfohlene Schritte für Unternehmen
Orientiert an den Empfehlungen der IHK und des BSI haben sich folgende Schritte bewährt:
1. Betroffenheit prüfen
Nutzen Sie die NIS-2-Betroffenheitsprüfung des BSI und ggf. ergänzende Tools wie den FitNIS2-Navigator, um Ihren Status zu bestimmen.
2. Informationsstand aufbauen
Besuchen Sie Informationsveranstaltungen und Webinare von BSI, IHK und Verbänden, um Anforderungen und Fristen zu verstehen.
3. Sicherheitsniveau analysieren
Führen Sie einen IT-Sicherheitscheck oder ein NIS2-Compliance-Assessment durch, um Lücken gegenüber den neuen Anforderungen zu identifizieren.
4. Maßnahmen umsetzen
Aufbau bzw. Weiterentwicklung eines ISMS, technische und organisatorische Maßnahmen (z. B. MFA, Verschlüsselung, Backup, Monitoring, Incident-Response-Prozesse) und Anpassung von Verträgen mit Dienstleistern.
5. Kontinuierliche Verbesserung
Laufende Überprüfung, Anpassung und Schulung, um Sicherheitsniveau und Compliance dauerhaft sicherzustellen.
