NIS2-Compliance Guide: Was Tech-Teams jetzt tun müssen

NIS2 ist keine ferne Zukunft – die EU-Cybersecurity-Richtlinie ist Realität. Und sie trifft weit mehr Unternehmen als ihr Vorgänger: Geschätzte 30.000 Unternehmen in Deutschland müssen sich anpassen.

Dieser Guide erklärt, was NIS2 bedeutet, wer betroffen ist, und welche konkreten Schritte du JETZT unternehmen musst.

Verwandt: Für das Sicherheitskonzept dahinter siehe Zero Trust Security.

Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit. Sie ersetzt NIS1 von 2016 und verschärft die Anforderungen deutlich.

Die wichtigsten Änderungen:

Bist du betroffen?

Die Sektoren

NIS2 unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen:

Wesentliche Einrichtungen (Essential Entities):

• Energie (Strom, Gas, Öl, Wasserstoff)
• Transport (Luft, Schiene, Wasser, Straße)
• Bankwesen
• Finanzmarkt-Infrastruktur
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• ICT-Service-Management
• Öffentliche Verwaltung
• Weltraum

Wichtige Einrichtungen (Important Entities):

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemie
• Lebensmittel
• Herstellung (Medizinprodukte, Computer, Elektronik, Maschinen, Fahrzeuge)
• Digitale Dienste (Online-Marktplätze, Suchmaschinen, Social Networks)
• Forschung

Die Größenkriterien

Du bist betroffen, wenn dein Unternehmen:

Mittleres Unternehmen:

• 50-250 Mitarbeiter ODER
• 10-50 Mio. € Jahresumsatz UND < 43 Mio. € Bilanzsumme

Großes Unternehmen:

• 250 Mitarbeiter ODER

• 50 Mio. € Jahresumsatz ODER > 43 Mio. € Bilanzsumme

Ausnahme: Manche Sektoren sind unabhängig von der Größe betroffen (z.B. DNS-Anbieter, TLD-Registries, kritische Infrastruktur).

Schnellcheck

Die 10 Kernanforderungen

1. Risikomanagement

Was NIS2 verlangt:

• Systematische Risikoanalyse
• Dokumentierte Risikobewertungen
• Regelmäßige Überprüfung

Konkrete Maßnahmen:

1. Asset-Inventar erstellen (alle IT-Systeme, Daten)
2. Risiko-Assessment durchführen
3. Risiko-Register führen
4. Quartalsweise Review

2. Incident Handling

Was NIS2 verlangt:

• Erkennung von Sicherheitsvorfällen
• Analyse und Response
• Recovery-Prozesse

Konkrete Maßnahmen:

1. Security Information & Event Management (SIEM) implementieren
2. Incident Response Plan erstellen
3. Runbooks für häufige Incidents
4. Regelmäßige Übungen

3. Business Continuity

Was NIS2 verlangt:

• Backup-Management
• Disaster Recovery
• Krisenmanagement

Konkrete Maßnahmen:

1. Business Impact Analysis durchführen
2. Backup-Strategie definieren (3-2-1-Regel)
3. Disaster Recovery Plan erstellen
4. DR-Tests durchführen

4. Lieferketten-Sicherheit

Was NIS2 verlangt:

• Sicherheit der Lieferanten
• Risikobewertung von Dienstleistern
• Vertragliche Anforderungen

Konkrete Maßnahmen:

1. Lieferanten-Inventar erstellen
2. Sicherheits-Assessments durchführen
3. Verträge mit Security-Klauseln ergänzen
4. Regelmäßige Überprüfung

5. Netzwerk-Sicherheit

Was NIS2 verlangt:

• Sichere Beschaffung und Entwicklung
• Schwachstellen-Management
• Netzwerk-Segmentierung

Konkrete Maßnahmen:

1. Secure Development Lifecycle implementieren
2. Vulnerability Scanning einführen
3. Penetration Tests durchführen
4. Netzwerk-Segmente einrichten

6. Cyber-Hygiene

Was NIS2 verlangt:

• Basis-Sicherheitsmaßnahmen
• Schulungen
• Awareness-Programme

Konkrete Maßnahmen:

1. Security Awareness Training für alle Mitarbeiter
2. Phishing-Simulationen
3. Passwort-Policies
4. Regelmäßige Updates

7. Kryptografie

Was NIS2 verlangt:

• Verschlüsselung von Daten
• Krypto-Policies
• Schlüsselmanagement

Konkrete Maßnahmen:

1. Verschlüsselung at-rest und in-transit
2. Kryptografie-Policy erstellen
3. Key Management implementieren
4. Krypto-Inventar führen

8. Zugangskontrollen

Was NIS2 verlangt:

• Human Resources Security
• Access Control Policies
• Asset Management

Konkrete Maßnahmen:

1. Identity & Access Management (IAM) implementieren
2. Least Privilege Principle
3. Multi-Faktor-Authentifizierung
4. Regelmäßige Access Reviews

9. Sichere Kommunikation

Was NIS2 verlangt:

• Multi-Faktor-Authentifizierung
• Sichere Sprach-, Video- und Textkommunikation
• Sichere Notfall-Kommunikation

Konkrete Maßnahmen:

1. MFA für alle Systeme
2. Ende-zu-Ende-Verschlüsselung
3. Sichere Collaboration-Tools
4. Notfall-Kommunikationsplan

10. Meldepflichten

Was NIS2 verlangt:

• Frühwarnung innerhalb 24 Stunden
• Incident Notification innerhalb 72 Stunden
• Abschlussbericht innerhalb 1 Monat

Konkrete Maßnahmen:

1. Meldeprozesse definieren
2. Zuständigkeiten klären
3. Vorlagen erstellen
4. Kommunikationswege testen

Persönliche Haftung der Geschäftsführung

Das ist neu: Geschäftsführer haften persönlich für die Einhaltung.

Was das bedeutet:

• Pflicht zur Genehmigung von Cybersecurity-Maßnahmen
• Pflicht zur Überwachung der Umsetzung
• Pflicht zur Teilnahme an Schulungen
• Persönliche Haftung bei Verstößen

Empfehlung:

1. Board-Level-Reporting zu Cybersecurity etablieren
2. Regelmäßige Security-Briefings für Geschäftsführung
3. Dokumentation aller Entscheidungen
4. D&O-Versicherung prüfen

Die NIS2-Checkliste

Sofort-Maßnahmen (Priorität: Hoch)

• Betroffenheit prüfen (Sektor + Größe)
• Verantwortlichen benennen (CISO oder Äquivalent)
• Asset-Inventar erstellen
• Risiko-Assessment durchführen
• Incident Response Plan erstellen

Kurzfristig (1-3 Monate)

• Gap-Analyse zu NIS2-Anforderungen
• Business Impact Analysis
• Lieferanten-Assessment
• Security Awareness Training starten
• Meldeprozesse definieren

Mittelfristig (3-6 Monate)

• Technische Maßnahmen umsetzen
  • SIEM implementieren
  • MFA ausrollen
  • Netzwerk-Segmentierung
  • Backup-Strategie umsetzen
• Policies und Prozesse dokumentieren
• Schulungsprogramm etablieren
• Lieferantenverträge anpassen

Langfristig (6-12 Monate)

• Kontinuierliche Verbesserung
• Regelmäßige Audits
• Penetration Tests
• Übungen (Incident Response, DR)
• Zertifizierungen anstreben (ISO 27001)

Kosten und Ressourcen

Typische Kostenfaktoren

Personalaufwand

Minimum für mittleres Unternehmen:

• 1 FTE für Security (CISO/Security Manager)
• 0,5 FTE für Compliance/Dokumentation
• Schulungszeit für alle Mitarbeiter

Strafen und Konsequenzen

Für wesentliche Einrichtungen:

• Bis zu 10 Mio. € ODER
• 2% des weltweiten Jahresumsatzes

Für wichtige Einrichtungen:

• Bis zu 7 Mio. € ODER
• 1,4% des weltweiten Jahresumsatzes

Zusätzlich:

• Persönliche Haftung der Geschäftsführung
• Temporäres Berufsverbot für Manager möglich
• Reputationsschaden
• Mögliche Betriebsuntersagung

Nächste Schritte

Woche 1: Betroffenheit klären

1. Sektor-Zugehörigkeit prüfen
2. Größenkriterien analysieren
3. Rechtliche Beratung einholen
4. Geschäftsführung informieren

Woche 2-4: Status Quo erfassen

1. Asset-Inventar erstellen
2. Bestehende Maßnahmen dokumentieren
3. Gap-Analyse durchführen
4. Risiken priorisieren

Monat 2-3: Quick Wins umsetzen

1. Incident Response Plan erstellen
2. Meldeprozesse definieren
3. Awareness-Training starten
4. Kritische Lücken schließen

Monat 4-12: Systematische Umsetzung

1. Technische Maßnahmen implementieren
2. Prozesse etablieren
3. Dokumentation vervollständigen
4. Audits durchführen

Fazit

NIS2 ist keine Option – es ist Pflicht. Die gute Nachricht: Viele Anforderungen entsprechen ohnehin Best Practices in der IT-Sicherheit. Wer strukturiert vorgeht, kann Compliance erreichen und gleichzeitig die echte Sicherheit verbessern.

Der wichtigste Schritt: Jetzt starten. Nicht warten.

Du brauchst Unterstützung bei der NIS2-Umsetzung? Wir helfen mit Gap-Analysen, Roadmap-Erstellung und technischer Implementierung. Kontakt aufnehmen