NIS-2 betrifft mich–was jetzt? So schaffen Unternehmen einen belastbaren und nachweisbaren Zustand
(ots) - Die Nachricht„Sie sind von NIS-2 betroffen“ sorgt in vielen Unternehmen zunächst für Unsicherheit. Schnell stellen sich Fragen: Welche Anforderungen gelten konkret? Wo beginnt man? Und wie lässt sich das Thema neben dem laufenden Betrieb sinnvoll angehen?
Genau deshalb ist ein strukturierter Einstieg entscheidend. Denn NIS-2 ist keine klassische IT-Sicherheits-Checkliste, die sich mit einzelnen Tools oder kurzfristigen Maßnahmen abhaken lässt. Unternehmen müssen nachvollziehbar festlegen, wie sie Risiken bewerten, Sicherheitsvorfälle behandeln und Verantwortlichkeiten organisieren. Wer dabei methodisch vorgeht, erreicht schneller einen belastbaren und nachweisbaren Zustand.
Zunächst die eigene Betroffenheit klären
Am Anfang steht die Frage, warum ein Unternehmenüberhaupt unter NIS-2 fällt. Für viele Organisationen bildet das deutsche BSI-Gesetz den zentralen Bezugspunkt. Zusätzlich gelten für bestimmte digitale Anbieter – etwa Cloud-Anbieter, Rechenzentren oder Managed Service Provider – weitergehende Anforderungen der EU-Durchführungsverordnung 2024/2690.
Gerade diese Einordnung ist entscheidend, denn davon hängen sämtliche weiteren Maßnahmen und Nachweispflichten ab.
§ 30 BSI-Gesetz als zentraler Einstiegspunkt
Wenn Unternehmen unter das deutsche BSI-Gesetz fallen, bildet§ 30 den wichtigsten Ausgangspunkt. Dort werden zehn Maßnahmenbereiche genannt, die angemessen umgesetzt werden müssen.
Dazu gehören:
1. Risikoanalyse und Sicherheitskonzepte
2. Incident Response und Vorfallsmanagement
3. Business Continuity und Krisenmanagement
4. Sicherheit der Lieferkette
5. sichere Beschaffung, Entwicklung und Wartung
6. Wirksamkeitsprüfungen
7. Schulungen und Sensibilisierung
8. Kryptographie und Verschlüsselung
9. Zugriffskontrolle sowie Asset Management
10. Multi-Faktor-Authentifizierung und sichere Kommunikation
Diese Bereiche bilden die grundlegende Struktur für die Umsetzung. Unternehmen sollten die Anforderungen deshalb nicht isoliert betrachten, sondern systematisch entlang dieser Themenfelder aufbauen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt für jedes dieser zehn Felder Handreichungen zur Umsetzung heraus.
Durchführungsverordnung 2024/2690 als zentraler Einstiegspunkt
Für bestimmte digitale Anbieter ist die EU-Durchführungsverordnung 2024/2690 der zentrale Einstiegspunkt. Sie gilt unter anderem für Cloud-Anbieter, Rechenzentren, Managed Service Provider, Online-Marktplätze und soziale Netzwerke. Anders als allgemeine gesetzliche Vorgaben beschreibt siedeutlich konkreter, welche technischen und organisatorischen Anforderungen umgesetzt werden müssen.
Die Verordnung definiert nicht nur grundlegende Maßnahmenbereiche, sondern auch konkrete Anforderungen an Umsetzung, Prüfung und Nachweisbarkeit. Dazu gehören unter anderem Risikomanagement, Incident Handling, Business Continuity, Lieferkettensicherheit, sichere Entwicklung, Zugriffskontrolle, Kryptographie sowie regelmäßige Wirksamkeitsprüfungen.
Damit ist der Umsetzungsaufwand in vielen Fällen deutlich höher als bei einer reinen Orientierung an den Maßnahmenbereichen des BSI-Gesetzes, denn die Durchführungsverordnung regelt vieles deutlich genauer und hat klare detaillierte Anforderungen an Dokumentation.
Die ENISA hat dazu eine umfangreiche technische Umsetzungshilfe veröffentlicht, die praktische Hinweise, Beispiele für Nachweise und Zuordnungen zu Sicherheitsanforderungen enthält.
NIS-2 ist kein reines IT-Projekt
In der Praxis wird NIS-2 häufig zunächst als klassisches IT-Sicherheitsprojekt verstanden. Genau das greift jedoch zu kurz. Weder ein neuer Virenscanner noch zusätzliche Firewalls erfüllen automatisch die regulatorischen Anforderungen.
Unternehmen müssen vielmehr nachvollziehbar regeln, wie Risiken bewertet, Sicherheitsvorfälle behandelt und Verantwortlichkeiten organisiert werden. Ebenso wichtig sind die Dokumentation und spätere Nachweisbarkeit der Maßnahmen. Im Mittelpunkt stehen daher weniger einzelne technische Lösungen alsvielmehr belastbare Prozesse und klare Zuständigkeiten.
Dokumentation und Nachweise werden entscheidend
Viele Anforderungen bleiben bewusst allgemein formuliert. Die gesetzlichen Vorgaben beschreiben zwar den Rahmen, erklären jedoch nicht im Detail, wie Unternehmen die Umsetzung konkret gestalten sollen.
Gerade deshalb entsteht bei Organisationen ohne Erfahrung mit Compliance-Projekten häufig Unsicherheit. Denn letztlich geht es darum, regulatorische Anforderungen in bestehende Prozesse zu integrieren und gleichzeitig nachvollziehbar zu dokumentieren.
In der Praxis bedeutet das beispielsweise:
- Risiken strukturiert bewerten
- Verantwortlichkeiten eindeutig festlegen
- Sicherheitsvorfälle dokumentiert behandeln
- Dienstleister sicherheitsbezogen bewerten
- Maßnahmen regelmäßig überprüfen
Damit wird deutlich: NIS-2 verlangt nicht nur technische Schutzmaßnahmen, sondern vor allem organisatorische Verlässlichkeit.
Struktur statt Aktionismus
Gerade deshalb empfiehlt sich ein klar strukturiertes Vorgehen. Zunächst sollte die eigene Betroffenheit geprüft werden. Anschließend gilt es zu identifizieren, in welcher Form die Umsetzung erfolgen soll - Erst danach sollten konkrete Maßnahmen aufgebaut werden.
Hilfreich sind dabei insbesondere die Leitfäden der ENISA sowie die aktuellen Handreichungen des BSI. Beide liefern praktische Orientierung und erläutern, welche Nachweise typischerweise erwartet werden.
Trotzdem bleibt die Umsetzung anspruchsvoll. Wer bislang noch kein Compliance-Projekt dieser Größenordnung begleitet hat, steht häufig vor der Herausforderung, regulatorische Anforderungen in bestehende Abläufe zu integrieren. Deshalb kann es sinnvoll sein, frühzeitig externe Unterstützung einzubeziehen, um Zeit zu sparen und Fehlentscheidungen zu vermeiden.
Am Ende entscheidet nicht die Anzahl eingesetzter Sicherheitsprodukteüber den Umsetzungserfolg. Maßgeblich ist vielmehr die Fähigkeit, Risiken nachvollziehbar zu steuern und Maßnahmen dauerhaft organisatorisch zu verankern.
Über Joachim Reinke
Joachim Reinke ist Experte für Informationssicherheit und Mitglied des Teams von einfachISO. Er begleitet IT-Dienstleister, Software-Agenturen und SaaS-Unternehmen auf ihrem Weg zur ISO 27001-Zertifizierung. Sein Schwerpunkt liegt auf klar strukturierten, praxisnahen Lösungen speziell für kleine und mittlere Unternehmen. Bereits über 100 Unternehmen hat er erfolgreich bis zur Zertifizierung geführt. Weitere Informationen unter: https://einfachiso.de/
Pressekontakt:
einfachISO GmbH
Vertreten durch: Jörn Bungartz, Joachim Reinke
info(at)einfachiso.de
https://einfachiso.de/
Original-Contentvon: einfachISO GmbH,übermittelt durch news aktuell
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Datum: 03.06.2026 - 09:00 Uhr
Sprache: Deutsch
News-ID 2255096
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: ots
Stadt:
Berlin
Kategorie:
Medien & Unterhaltung
Dieser Fachartikel wurde bisher 6 mal aufgerufen.
Der Fachartikel mit dem Titel:
"NIS-2 betrifft mich–was jetzt? So schaffen Unternehmen einen belastbaren und nachweisbaren Zustand"
steht unter der journalistisch-redaktionellen Verantwortung von
einfachISO GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).