Die NIS2-Pflichten gelten bereits — es geht um Tempo, nicht ums „Ob"
Für betroffene Unternehmen ist NIS2 kein Vorbereitungs-, sondern ein Remediations- und Nachweisprogramm gegen rechtsverbindliche Anforderungen. Das verschiebt die strategische Priorität klar auf die Schließung akuter Lücken.
Was seit Inkrafttreten gilt
- Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist.
- Die BSI-Registrierungsfrist (6. März 2026) ist abgelaufen; eine verspätete Registrierung über das BSI-Portal (MUK) bleibt möglich und ratsam.
- Sofort-Pflichten: Registrierung, Meldepflichten und Risikomanagement nach § 30 BSIG.
- Sanktionsrahmen: bis €10 Mio. oder 2 % des weltweiten Jahresumsatzes — zzgl. persönlicher Geschäftsleiterhaftung (§ 38 BSIG).
Die zehn Maßnahmenbereiche als strategische Säulen
Inhaltlich bilden die NIS2-Pflichten das Inhaltsverzeichnis eines ISMS. Sie strukturieren den gesamten Plan — jede Säule erzeugt prüffähige Evidenz mit Paragrafenbezug.
Risikoanalyse & Sicherheitskonzepte
Systematische Bewertung der Informationssysteme.
Bewältigung von Sicherheitsvorfällen
Incident Handling mit definierten Meldewegen.
Aufrechterhaltung des Betriebs
Backup, Disaster Recovery, Krisenmanagement.
Sicherheit der Lieferkette
Risikobewertung kritischer Dienstleister.
Sichere Beschaffung & Entwicklung
Security in IKT-Beschaffung, Entwicklung, Wartung.
Wirksamkeitsbewertung
Messung der Risikomanagement-Maßnahmen.
Cyberhygiene & Schulungen
Grundlegende Hygiene und Awareness-Programme.
Kryptografie & Verschlüsselung
Daten in Ruhe und im Transit absichern.
Zugriffskontrolle & Assets
Personalsicherheit und Asset-Management.
MFA & gesicherte Kommunikation
Multi-Faktor-Auth. und sichere Kanäle.
Die Roadmap: von der Sofortmaßnahme zum Wirksamkeitsnachweis
Methodik je Phase: Interpret → Collect → Measure → Validate → Communicate. Der Plan strukturiert die Umsetzung von der Sofortmaßnahme bis zum prüfungsfesten Nachweis.
Akute Haftungs- und Bußgeldrisiken adressieren
- Betroffenheitsprüfung (§ 28): Sektor & Schwellenwerte (≥ 50 MA oder > €10 Mio.)
- BSI-Registrierung nachholen (MUK-Portal), falls offen
- 24h-Frühwarnung organisatorisch sicherstellen
Vollständige Bestandsaufnahme der Compliance-Lücken
- NIS2-Compliance-Assessment mit Paragrafenbezug
- Einrichtung des Cybersecurity-Governance-Boards
- Vorfallmeldeprozesse formalisieren (§ 32)
NIS2-konforme Risikobewertung und -behandlung
- Vollständige Erfassung kritischer IKT-Systeme
- Kontinuierliche Vulnerability Assessments
- Risikoregister + dokumentierte Behandlungspläne
Grundlegende Cyberhygiene implementieren
- Unternehmensweite Multi-Faktor-Authentifizierung
- Air-gapped Backups für Business Continuity
- Technische Audits + Penetrationstests
Vorfallbehandlung und Geschäftskontinuität
- 24h Frühwarnung · 72h Erstmeldung · 1 Monat Endbericht (BSI)
- RTO/RPO-Definitionen für kritische Prozesse
- Tabletop-Simulation eines meldepflichtigen Vorfalls
NIS2-konforme Lieferkettensicherheit
- Cybersecurity-Bewertung kritischer Dienstleister
- NIS2-Klauseln (C5 / ISO 27001 als Mindestnachweis Cloud)
- 100 % kritischer Lieferanten bewertet
Prüfungsfeste Wirksamkeit & kontinuierliche Konformität
- Rollenbasierte Awareness + quartalsweise Phishing-Simulationen
- KPIs für alle Maßnahmenbereiche
- Internes Audit zur Vorbereitung auf BSI-Prüfung
Drei Ebenen, klare Verantwortung
Steuerung & Haftung
- Geschäftsführung: Gesamtverantwortung (§ 38 BSIG)
- Cybersecurity-Board: monatliche Entscheidungen
- CISO: operative Strategieleitung
Betrieb & Überwachung
- Security Operations: Monitoring & Response
- Risk Management Office: laufende Bewertung
- Compliance Officer: BSI-Berichterstattung
Umsetzung & Enablement
- IT-Operations: technische Umsetzung
- HR & Legal: Schulung, Verträge
- Externe Beratung: Gap, Governance, Nachweis
Vollständig und prüffest — ohne Gold-Plating
Jede Phase wird auf das tatsächlich Erforderliche zugeschnitten: nicht mehr, nicht weniger, als die regulatorischen Anforderungen verlangen. So entsteht belastbare Konformität statt überdimensionierter Aufwand.
Woran sich Konformität messen lässt
NIS2-Betroffenheit klären — und das Programm right-sizen
Dieser Musterplan zeigt die Struktur. Für die konkrete Übertragung auf Ihre Organisation — Betroffenheit, Lückenanalyse und prüfungsfester Nachweis — sprechen wir am besten direkt. Vendor-neutral, fixer Scope, kein Shelfware.