NIS2-Umsetzungsgesetz beschlossen: Das ist jetzt wichtig

Wen trifft das NIS2-Umsetzungsgesetz künftig?

Der Anwendungsbereich steigt deutlich. Erfasst werden künftig Unternehmen

• mit mindestens 50 Mitarbeitenden oder
• mit einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro

sofern sie in den EU-weit definierten „besonders wichtigen“ oder „wichtigen“ Sektoren tätig sind. Dazu gehören u. a. Energie, Gesundheit, Transport, Wasser, Finanzwesen, digitale Infrastruktur, öffentliche Verwaltung, Forschung, Chemie, Lebensmittel sowie große Teile des verarbeitenden Gewerbes.

Auch Unternehmen in kritischen Lieferketten können unabhängig von ihrer Größe mittelbar verpflichtet sein, NIS2-relevante Maßnahmen umzusetzen.

Kernpflichten: Risikomanagement, Governance, Meldewesen

Unternehmen müssen künftig ein systematisches IT-Sicherheits-Risikomanagement einführen – inklusive:

• Vorfallsmanagement
• Business Continuity & Notfallmanagement
• Lieferketten-Sicherheit
• Awareness-Maßnahmen im Bereich der Informationssicherheit

Der Nachweis erfolgt über Audits, Prüfungen oder Zertifizierungen. Hinzu kommen klare Registrierungs- und Meldepflichten bei Sicherheitsvorfällen.

Besonders relevant: Die Geschäftsleitung trägt explizite Organisations- und Aufsichtspflichten – Verstöße können mit Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.

Was Unternehmen jetzt tun sollten

Ein strukturiertes Vorgehen ist entscheidend:

1. Betroffenheitsanalyse & Scoping
Prüfung, ob das Unternehmen unter den Anwendungsbereich des NIS2UmsuCG fällt, Zuordnung zu „besonders wichtigen“ bzw. „wichtigen“ Einrichtungen und Abgrenzung der relevanten Geschäftsprozesse und Systeme.

2. Gap-Analyse & Risikoaufnahme
Systematische Analyse bestehender Prozesse und Kontrollen entlang der NIS-2-Vorgaben – von Governance-Strukturen und ISMS über Incident-Management bis hin zu Lieferketten-Risiken – zur Identifikation konkreter Lücken.

3. Maßnahmenplan & Roadmap
Entwicklung eines priorisierten Maßnahmenplans mit klaren Verantwortlichkeiten, Zeitplänen und Meilensteinen, der sowohl schnelle „Quick Wins“ als auch die Einführung oder Weiterentwicklung eines Informationssicherheitsmanagementsystems (z. B. nach ISO 27001) umfasst.

4. Umsetzung, Schulung und kontinuierliche Verbesserung
Umsetzung der technischen und organisatorischen Maßnahmen, Aufbau eines wirksamen Melde- und Reporting-Regimes, Sensibilisierung der Mitarbeitenden sowie Etablierung eines kontinuierlichen Verbesserungsprozesses.

5. Registrierung beim BSI
Frühzeitige Identifikation als „wichtige“ oder „besonders wichtige“ Einrichtung und rechtssichere Registrierung beim BSI gemäß NIS2UmsuCG.

Wie ISiCO unterstützt

Als spezialisierte Beratung für Datenschutz, Informationssicherheit, KI und Datenstrategien begleitet ISiCO Unternehmen aller Größenordnungen bei der Umsetzung der NIS2-Anforderungen – von der Betroffenheitsanalyse über die Gap-Analyse bis zur Implementierung eines passgenauen ISMS und gezielter Awareness-Maßnahmen.

Ein frühzeitiger Einstieg, z. B. über einen kompakten NIS2-Check und ein Erstgespräch, hilft,

• Compliance-Risiken zu reduzieren,
• Ressourcen effizient zu steuern und
• die Cyberresilienz spürbar zu erhöhen.

Lassen Sie uns in einem persönlichen Erstgespräch einmal ganz unverbindlich besprechen, wie wir Ihre NIS2-Strategie gemeinsam aufbauen und umsetzen können.