NIS2 ist da: Die 4 wichtigsten Schritte für Ihr Unternehmen

Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft, welches eine umfassende Modernisierung des Cybersicherheitsrechts in Deutschland, insbesondere des BSI-Gesetzes (BSIG) darstellt. Schätzungen zufolge unterliegen rund 29.500 Unternehmen – sogenannte "besonders wichtige" und "wichtige Einrichtungen" – den neuen, strengen gesetzlichen Pflichten.

Die Zeit des Abwartens ist vorbei. Wenn Ihr Unternehmen betroffen ist, müssen Sie jetzt handeln. Die NIS2-Richtlinie macht Cybersicherheit zur Chefsache, da die Geschäftsleitung die Verantwortung für die Umsetzung und Überwachung der Risikomanagementmaßnahmen trägt.

Hier sind die vier zentralen Aktionsbereiche, die Sie sofort in Angriff nehmen müssen:

1. Registrierungspflicht

Jede betroffene Einrichtung muss sich bei der gemeinsamen Registrierungsstelle von Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.

  • Was zu tun ist: Die Registrierung muss spätestens drei Monate nachdem Sie erstmals von NIS-2 betroffen sind, erfolgen.
  • Vorgehen: Das BSI empfiehlt einen zweistufigen Prozess. Melden Sie sich schnellstmöglich beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) an (empfohlen bis spätestens Jahresende 2025). Ab dem 6. Januar 2026 können Sie sich dann im neu entwickelten BSI-Portal registrieren. Dort müssen Sie unter anderem Name, Rechtsform, Kontaktdaten und den Sektor Ihrer Einrichtung übermitteln.

2. Maßnahmen zum Risikomanagement

Das Kernstück der NIS2 sind die technischen und organisatorischen Risikomanagementmaßnahmen. Diese müssen geeignet, verhältnismäßig und wirksam sein und auf einem gefahrenübergreifenden Ansatz beruhen, der den Stand der Technik und einschlägige Normen berücksichtigt. Ziel ist es, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.

Das Risikomanagement muss alle informationstechnischen Systeme, Komponenten und Prozesse abdecken, die für die Erbringung Ihrer Dienste genutzt werden.

Die 10 gesetzlichen Mindestmaßnahmen

Das Gesetz schreibt mindestens die Umsetzung folgender zehn Maßnahmen vor:

  1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik: Sie müssen eine regelmäßige Risikoanalyse durchführen, um Bedrohungen und Schwachstellen systematisch zu erkennen und zu bewerten.
  2. Bewältigung von Sicherheitsvorfällen: Etablieren Sie ein Incident-Response-Management zur schnellen Reaktion auf Vorfälle.
  3. Aufrechterhaltung des Betriebs: Dazu gehören Backup-Management, Wiederherstellung nach einem Notfall und Krisenmanagement (elementare Bestandteile des Business Continuity Management, BCM).
  4. Sicherheit der Lieferkette: Steuern Sie die sicherheitsbezogenen Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern (Cyber-Supply Chain Risk Management, C-SCRM).
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen: Dazu zählen auch das Management und die Offenlegung von Schwachstellen.
  6. Bewertung der Wirksamkeit von Risikomanagementmaßnahmen: Konzepte und Verfahren zur systematischen Überprüfung der Wirksamkeit Ihrer Schutzmaßnahmen.
  7. Grundlegende Schulungen und Sensibilisierungsmaßnahmen: Regelmäßige Schulungen zur Cyberhygiene und Sensibilisierung aller Mitarbeitenden.
  8. Einsatz von kryptographischen Verfahren: Konzepte und Prozesse für den systematischen Einsatz von Kryptografie und Verschlüsselung.
  9. Sicherheit des Personals, Zugriffskontrolle und Asset-Management: Konzepte für Personalsicherheit, die Zugriffskontrolle und die Verwaltung von IKT-Systemen und -Prozessen.
  10. Multi-Faktor-Authentifizierung (MFA) und gesicherte Kommunikation: Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation.


3. Verantwortung der Geschäftsleitung

Die Geschäftsleitung ("besonders wichtiger" und "wichtiger" Einrichtungen) ist nicht nur für die Umsetzung und Überwachung der Risikomanagementmaßnahmen verantwortlich, sondern kann bei schuldhafter Verletzung dieser Pflichten auch haften (§ 38 BSIG).

Die Einstufung des Schutzbedarfs erfolgt typischerweise anhand der Schutzziele der Informationssicherheit:

  • Schulungspflicht: Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementpraktiken zu erlangen.
  • Intervall: Schulungen sollen mindestens alle drei Jahre angeboten werden. Dabei muss jedoch berücksichtigt werden, dass jede signifikante Veränderung von Geschäftsprozessen, der Risikoexposition, den implementierten oder geplanten Risikomanagementmaßnahmen oder ein Wechsel in der Geschäftsleitung, eine erneute Schulungsverpflichtung auslöst. Aus diesem Grund sollten Unternehmen Veränderungen des Intervalls im Rahmen Ihres Informationssicherheitsmanagements berücksichtigen und überwachen.
  • Schulungsinhalte: Die Schulung muss die Geschäftsleitung in die Lage versetzen, die Auswirkungen von Risiken und Maßnahmen auf die erbrachten Dienste zu beurteilen. Dabei spielen die Schulungsinhalte eine zentrale Rolle. Allgemeine Inhalte im Kontext des Risikomanagements reichen nicht aus. Die Schulungen müssen die individuellen Risikomanagement-Maßnahmen des Unternehmens berücksichtigen – sowohl die bereits implementierten als auch die geplanten Maßnahmen.

4. Meldefristen bei erheblichen Sicherheitsvorfällen

Sie müssen Prozesse festlegen, um erhebliche Sicherheitsvorfälle fristgerecht an das BSI zu melden. Ein Vorfall ist erheblich, wenn er schwere Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann oder Dritte durch erhebliche materielle oder immaterielle Schäden beeinträchtigt.

Es gilt der Grundsatz Schnelligkeit vor Vollständigkeit. Die Fristen nach Kenntniserlangung sind:

  1. Frühe Erstmeldung: Innerhalb von 24 Stunden (mit dem Charakter einer Frühwarnung).
  2. Meldung: Innerhalb von 72 Stunden (mit Bewertung des Schweregrads und Auswirkungen).
  3. Folgemeldung/Abschlussmeldung: Spätestens nach einem Monat.

Fazit: Investition in die Resilienz

Das NIS-2-Umsetzungsgesetz ist eine starke Antwort auf die Bedrohung durch Cyberkriminalität. Da Cybersicherheit von Oben priorisiert werden muss, ist es nur logisch, dass die verpflichtende Verantwortung der Geschäftsleitung gefordert wird. Investitionen in Cybersicherheit sind Investitionen in die Zukunft und die Voraussetzung für eine nachhaltig sichere Digitalisierung Ihres Unternehmens.

Sollten Sie bei der Umsetzung der NIS-2-Anforderungen Unterstützung benötigen, wenden Sie sich jederzeit an uns. In einem kostenlosen Erstgespräch beraten wir Sie gerne zu Ihren aktuellen Herausforderungen und finden gemeinsam eine Lösung, wie Sie Ihr Unternehmen sicher und gesetzeskonform aufstellen können.

ND Concepts • 6. Dezember 2025

Informationssicherheit aus Köln

Sie brauchen Unterstützung?

ND Concepts unterstützt Sie in den Bereichen Informationssicherheit, Security Awareness und IT-Compliance. Durch die Umsetzung nachweisbarer und alltagstauglicher Informationssicherheit schützen Sie Ihr Unternehmen effektiv vor Cyberbedrohungen und erfüllen vertragliche und regulatorische Anforderungen. 

In unserem unverbindlichen Expertengespräch können Sie Ihre Fragen und aktuellen Herausforderungen mit uns besprechen. Gemeinsam finden wir die passende Lösung zum Schutz Ihres Unternehmen.

Kostenloses Expertengespräch vereinbaren

Mehr über Informationssicherheit

Sicherheitskultur im Unternehmen

Sicherheitskultur: Der Schlüssel der Cybersicherheit

von ND Concepts 10. Dezember 2025
Sicherheitskultur als Schlüssel der Cybersicherheit: Denkfehler vermeiden und in 4 Schritten verankern – mit starker Führung, Alltagstauglichkeit und Feedback.

Asset Management: Die Grundlage der Informationssicherheit

von ND Concepts 9. November 2025
So bauen Sie ein wirksames Asset-Management: Register, Lifecycle, Schatten-IT, Klassifizierung & Incident-Response – Basis für ISO 27001 und NIS2.
Lieferkettensicherheit Audit, NIS2 Lieferantenmanagement

Lieferkettensicherheit 2026: Risiken, Maßnahmen & Lifecycle

von ND Concepts 3. November 2025
Lieferkettensicherheit 2026: So steuern Sie C-SCRM-Risiken mit NIS2, ISO 27001, SBOM, Audits und Incident Response – praxisnah über den gesamten Lifecycle.
Mehr anzeigen