NIS-2 smart umsetzen
Die Umsetzung von NIS-2 scheitert oft nicht an der Technik, sondern an fehlenden Prozessen und überlasteten IT-Teams. Wir bei HiSolutions helfen Ihnen, Ihre IT-Organisation handlungsfähig aufzustellen, damit Sie für die NIS-2-Regulatorik gewappnet sind.
✓ Expertise aus einer Hand
Wir betrachten nicht nur die Security-Anforderung, sondern stärken die IT-Organisation dahinter.
✓ Befähigung statt Abhängigkeit
Wir machen Sie nicht von uns abhängig, sondern bauen Ihr internes Know-how auf.
✓ Strategischer Mehrwert
Wir nutzen den akuten Anlass NIS-2, um Ihre IT strategisch weiterzuentwickeln. Sie erfüllen nicht nur eine Vorschrift, sondern investieren in zukunftssichere IT.
NIS-2-Quick-Check
Bewerten Sie Ihre IT-Handlungsfähigkeit
Dieser Quick-Check richtet sich an mittelständische Unternehmen und öffentliche Organisationen, die von NIS-2 oder anderen regulatorischen Anforderungen betroffen sind und wissen möchten, ob ihre IT heute überhaupt in der Lage ist, NIS-2 wirksam umzusetzen.
Die Checkliste dient als pragmatischer Selbsttest, um die IT-Reife, Steuerungsfähigkeit und Umsetzbarkeit regulatorischer Anforderungen realistisch einzuschätzen.
Bitte bewerten Sie jede Aussage mit:
Ja = vollständig erfüllt
Teilweise = Ansätze vorhanden, aber nicht durchgängig wirksam
Nein = nicht oder nur informell umgesetzt
Hinweis zur Bewertung
Die Bewertung bezieht sich nicht nur auf formale Regelungen oder Dokumentationen, sondern auf die tatsächliche Wirksamkeit im Alltag. So gelten beispielsweise Prozesse nur dann als „Ja“, wenn sie mindestens von den Beteiligten verstanden, genutzt und eingehalten werden.
Ihr Ansprechpartner
Philipp Lottis
Ich unterstütze Sie bei der strategischen Weiterentwicklung Ihrer IT-Organisation und dem Aufbau nachhaltiger IT-Managementfähigkeiten – strukturiert, praxiserprobt und mit klarem Fokus auf wirksame Umsetzung. Lassen Sie uns sprechen – mit dem richtigen Setup schaffen Sie die Grundlage für nachhaltigen Erfolg.
Philipp Lottis ist Managing Consultant für IT-Management und Organisationsstrategie. Er berät Organisationen bei der Entwicklung von Operating- und Governance-Modellen sowie dem Auf- und Ausbau moderner IT-Managementfähigkeiten. Dabei bringt er Erfahrung in der Konzeption, Einführung und Optimierung von IT-Prozessen und Service-Organisationen mit.
Kontaktieren Sie uns via Formularanfrage
Weiterführende Inhalte
Artikel
So verhindern Sie IT-Projektstau bei Sicherheitsanforderungen
Sicherheitsvorgaben wie NIS-2 und DORA führen oft zu Frust und Vertrauensverlust zwischen ISB und IT. Lesen Sie, wie sich das vermeiden lässt.
Podcast
NIS-2 entschlüsselt: Regeln, Pflichten, Ausnahmen
Unser Experte Marius Wiersch erklärt, wie Unternehmen ihre Betroffenheit prüfen und warum eine frühzeitige Analyse der wichtigste Schritt ist.
Know-how to go
NIS-2: Viele Anforderungen, wenig Neues
Wir zeigen einen Ansatz, wie Sie Anforderungen aus NIS-2 wirksam umsetzen und Ihr Unternehmen für künftige Herausforderungen wappnen.
Häufig gestellte Fragen
Die NIS-2 Richtlinie ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit (Richtlinie (EU) 2022/2555), die seit Januar 2023 in Kraft ist. Sie ersetzt die frühere NIS-Richtlinie aus dem Jahr 2016 (Richtlinie (EU) 2016/1148). Ziel der beiden Richtlinien ist die Erreichung eines hohen, einheitlichen Cybersicherheitsniveaus in der EU, wobei die NIS-2 Richtlinie insbesondere für weitere Vereinheitlichungen und Zusammenarbeit zwischen den Mitgliedstaaten sorgen soll.
Wie bei EU-Richtlinien üblich, muss auch sie zunächst in nationales Recht überführt werden. In Deutschland wurde sie am 6. Dezember 2025 durch das NIS-2 Umsetzungsgesetz in nationales Recht überführt.
Im Kontext der NIS-2 Richtlinie wurden verschiedene Branchen und Sektoren (z. B. Energie, Transport, Gesundheit, digitale Infrastruktur/IT‑Dienstleistungen) als relevant identifiziert; für "besonders wichtig" ähneln diese sehr den bisherigen KRITIS-Sektoren und Dienstleistungen, für "wichtig" werden auch kleinere Entitäten aus diesen Branchen reguliert sowie weitere Branchen und Sektoren hinzugezogen, welche weniger direkten Einfluss auf die Bevölkerung bzw. das öffentliche Leben haben als KRITIS. Dabei bestimmt NIS-2 die Betroffenheit abseits der Sonderregelungen zweistufig:
- Überschreitung definierter Schwellen bei Mitarbeiteranzahl oder Umsatz/Gewinn
- (UND) Zugehörigkeit zu bestimmten Sektoren und Branchen
NIS-2 unterteilt die betroffenen Entitäten in drei Kategorien:
- Wichtig (ca. 25.000 Betroffene)
- Besonders wichtig (ca. 2.500 Betroffene)
- Besonders wichtig und Betreiber kritischer Anlagen (ca. 2.500 Betroffene)
Für mittelständische Unternehmen wichtig:
Neu ist, dass nun fast alle mittleren und großen Unternehmen in kritischen Sektoren unter die NIS-2-Richtlinie fallen. Wer mehr als 50 Mitarbeitende beschäftigt oder einen Jahresumsatz von über zehn Millionen Euro erzielt und in einem der 18 kritischen wie wichtigen Sektoren gemäß NIS-2 aktiv ist, muss die beschlossenen Anforderungen an die Cybersicherheit und Dokumentationspflichten erfüllen. Laut Schätzungen der Industrie- und Handelskammer sind etwa 30.000 Unternehmen von NIS-2 betroffen.
Direkt vs. indirekt betroffen (Lieferkette):
Zusätzlichen wird eine unbestimmte Anzahl an Dienstleistern und Lieferanten indirekt Vorgaben von NIS-2 erfüllen müssen, da betroffene Unternehmen zur Steuerung der Sicherheit ihrer Lieferanten und Dienstleister verpflichtet sind.
Praktischer Hinweis zur Betroffenheitsprüfung:
Aufgrund der Vielzahl an Kriterien und Sonderfällen ist eine Betroffenheitsprüfung nicht immer einfach. Für eine erste Einschätzung bieten sich Webseiten zur Betroffenheitsprüfung an. Für eine abschließende Einschätzung sollte die Bewertung durch Fachexperten bestätigt werden.
KRITIS bezeichnet die kritischen Infrastrukturen nach dem deutschen BSI-Gesetz und ist ein rein nationales Regelwerk. Es betrifft nur besonders kritische Betreiber von Infrastrukturen, die für die Grundversorgung der Bevölkerung unerlässlich sind. Die Schwellenwerte sind dabei hoch angesetzt, beispielsweise müssen Unternehmen mindestens 500.000 Personen versorgen, um als KRITIS-Betreiber zu gelten. Dadurch sind in Deutschland nur etwa 2.000 bis 3.000 Unternehmen von den KRITIS-Regelungen betroffen. Diese müssen Sicherheitsmaßnahmen nach BSI-Grundschutz oder vergleichbaren Standards umsetzen, Sicherheitsvorfälle an das BSI melden und alle zwei Jahre ein Sicherheitsaudit durchführen lassen.
NIS-2 hingegen ist eine EU-weite Richtlinie zur Netzwerk- und Informationssicherheit, die einen deutlich breiteren Anwendungsbereich hat. Die Schwellenwerte sind mit mindestens 50 Mitarbeitenden oder zehn Millionen Euro Jahresumsatz wesentlich niedriger angesetzt. Dadurch werden in Deutschland schätzungsweise 30.000 bis 40.000 Unternehmen unter NIS-2 fallen – also ein Vielfaches der KRITIS-Betreiber. NIS-2 erfasst dabei nicht nur klassische kritische Infrastrukturen, sondern auch viele weitere Sektoren und mittelständische Unternehmen. Die Anforderungen umfassen Risikomanagement, Meldepflichten bei Sicherheitsvorfällen, Lieferkettenmanagement und sogar eine persönliche Haftung der Geschäftsführung.
In der Praxis bedeutet das: KRITIS-Unternehmen fallen in der Regel auch unter NIS-2, aber NIS-2 erfasst darüber hinaus eine weitaus größere Anzahl von Unternehmen, die bisher nicht reguliert waren.
Das deutsche Umsetzungsgesetz ist seit dem 06.12.2025 in Kraft und enthält keine klassische Übergangsfrist. Wichtige Fristen sind:
- Die Einhaltung der Vorgaben ist ab Inkrafttreten Pflicht.
- Die Registrierung muss binnen drei Monaten nach Inkrafttreten erfolgen (06.03.2026).
- Die Meldung von schwerwiegenden Vorfällen über das BSI-Portal ist ab Registrierung verpflichtend.
- Für Betreiber kritischer Anlagen hängt die Frist von ihrem letzten Nachweisverfahren bzw. dem Schreiben ab, welches die Betreiber erhalten haben. Generell wird die Frist für die Nachweise von bisher "alle zwei Jahre" auf "alle drei Jahre" angepasst.
- Wichtige und besonders wichtige Einrichtungen müssen den Nachweis auf Nachfrage der zuständigen Aufsichtsbehörde erbringen, wobei diese Nachfrage an verschiedene Kriterien geknüpft ist.
Die wichtigsten Pflichten sind:
- Registrierungspflicht beim BSI
- Risikomanagement inkl. technischer und organisatorischer Maßnahmen (z. B. Schutzmaßnahmen, Prozesse, Dokumentation)
- Incident-Handling und Meldemechanismen inkl. Unterrichtungspflicht
- Nachweispflicht: Maßnahmen müssen nachvollziehbar umgesetzt und dokumentiert sein.
- Geschäftsleitungspflichten inkl. Schulung / Kompetenz zum Risikomanagement
Je nach Branche, Sektor und Betreiberkategorie gibt es weiterführende Vorgaben und Hilfestellungen:
- Digitale Dienste: Für die digitalen Dienste gibt es eine verpflichtende EU-Durchführungsverordnung, zu welcher es eine ergänzende, optionale Hilfestellung der ENISA gibt.
- KRITIS: Für KRITIS-Betreiber gelten weiterhin die bestehenden verpflichtenden und optionalen Vorgaben des BSI und der BNetzA. Dazu zählen z. B. IT‑Sicherheitskataloge, branchenspezifische Sicherheitsstandards (B3S) sowie weitere Konkretisierungen, wie die umzusetzenden Maßnahmen und Nachweisformate im KRITIS‑Kontext.
- Generell: Aktualisierungen der bestehenden Dokumente an die neuen Vorgaben von NIS-2 sowie ergänzende NIS-2 spezifische Vorgaben für neue Betreiber werden erwartet bzw. sind in Teilen bereits verfügbar.
Für mittelständische Unternehmen beginnt die erfolgreiche NIS-2-Umsetzung mit einer strukturierten Bestandsaufnahme der eigenen IT-Organisation. Wichtig sind ein klarer Überblick über IT-Systeme, Zuständigkeiten, Sicherheitsprozesse und kritische Abhängigkeiten. Auf dieser Basis lassen sich zentrale Anforderungen wie Risikomanagement, Incident Management, Business Continuity Management und Dokumentationspflichten gezielt aufbauen. Entscheidend ist, NIS-2 nicht nur als Compliance-Aufgabe zu sehen, sondern als Anlass, die eigene IT-Organisation langfristig zu stärken.