NIS-2 – Die Basics in Sachen Cybersicherheit17 | 12 | 25

Das NIS-2-Gesetz ist seit dem 6. Dezember 2025 verbindlich für alle betroffenen Organisationen. An sich sollte sie im Oktober 2024 in Kraft treten, sie hat es aber erst im zweiten Anlauf mit gut ein Jahr Verspätung geschafft.

Aber worum geht es bei NIS-2?

Mit Blick auf die steigende Abhängigkeit von Digitalen Systemen hat die EU die NIS-2- Richtlinie (Network and Information Systems Directive) erlassen, um die Cybersicherheit für wichtige Einrichtungen in der ganzen EU zu erhöhen. So ergibt sich zukünftig für rund 30.000 Einrichtungen in Deutschland die Anforderung, ihr Sicherheitsniveau nach diesen Vorgaben erhöhen.

Was ist zu tun?

Zunächst ist für jede Organisation die Prüfung zu empfehlen, ob sie hinsichtlich Größe beziehungsweise Branche unter die NIS-2 fällt. Wenn ja, ist eine aktive Pflicht zur Registrierung beim BSI innerhalb von drei Monaten vorhanden. Betroffen sind Einrichtungen mit mindestens 250 Beschäftigten oder einem Jahresumsatz von mehr als 50 Millionen Euro und einer Jahresbilanz von über 43 Millionen Euro. Darunter fallen Energie, Verkehr & Transportwesen, Trinkwasser, Digitale Infrastruktur, IT-Dienste & Telekommunikation, Bank- und Finanzwesen, Gesundheit, Öffentliche Verwaltung und Weltraum.

Auch Einrichtungen mit mindestens 50 Beschäftigten oder Jahresumsatz und Jahresbilanz von jeweils mehr als 10 Millionen Euro werden einbezogen, relevant sind die Branchen Abfallwirtschaft, Post- und Kurierdienste, Fertigung und Handel mit chemischen Erzeugnissen, Lebensmittelproduktion mit Verarbeitung und Vertrieb, die Herstellung und Verarbeitung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen digitalen Geräten, Online-Dienste (Suchmaschinen, Online-Marktplätze) sowie die Forschung.

Insbesondere aus dem Bereich Chemie, Lebensmittel und bei Herstellern (zum Beispiel Maschinenbau) wird NIS-2 für viele gelten, die bisher nicht „kritisch“ betrachtet wurden, aber bei denen individuell und volkswirtschaftlich große Schäden auftreten können. So schätzt der VDMA, dass 58 Prozent aller Maschinenbauer betroffen sind, da sie als klassische KMU in die Größenkriterien und die Branchen fallen.

Risikobasierter Ansatz

Für die genannten Unternehmen werden im Sinne eines vernünftigen risikobasierten und umfassenden „Allgefahren-Ansatzes“ bei NIS-2 alle „möglichen“ Gefahren betrachtet. Die nötigen Risikomanagementmaßnahmen werden im Umsetzungsgesetz gelistet, zudem sind in anderen Artikeln die Maßnahmen für Schulung des Managements angesprochen, auch ist das Meldewesen auf Basis der Berichtspflichten von Relevanz.

Welche Maßnahmen sind gemäß NIS-2 zu stärken?

Es sind verschiedene Anforderungen vorhanden. So verlangt die Regelung unter anderem Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik. Zudem fordert sie die Bewältigung von Sicherheitsvorfällen. Es braucht Konzepte für das Meldewesen nach Vorfällen und zur Aufrechterhaltung des Betriebs mit Backup-Management und Wiederherstellung nach einem Notfall sowie ein angemessenes Krisenmanagement.

Auch die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern ist zu beachten. Mit grundlegenden Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik soll den Risiken begegnet werden. Konkret wird die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung verlangt. All diese Maßnahmen zielen darauf ab, die Cybersicherheit von Organisationen zu verbessern.

Haftungsrisiken für die Leitung

In dem Gesetz werden auch Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen festgelegt. Die Geschäftsleitungen sind verpflichtet, die von diesen Einrichtungen zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Und Geschäftsleitungen, die ihre Pflichten verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden persönlich. „Nichtstun“ ist also nicht zu empfehlen.

ISO/IEC 27001, TISAX, das ISMS und die Zertifizierung

Eine Gap-Analyse zur Ermittlung von Lücken kann sich auf die Anforderungen von NIS2- stützen, die aber nicht tief ins Detail gehen. Hier kann die ISO 27001 helfen. Sie ist Teil der ISO/IEC-27000-Reihe und diese bildet international anerkannte Standards zur Informationssicherheit ab. Die ISO 27000-Reihe dient gemäß NIS-2-Erwägungsgrund 79 als zulässiger Nachweisrahmen für die Umsetzung der NIS-2-Richtlinie.

Im nationalen Kontext hat die Bundesregierung zudem einen Weg geschaffen, der den BSI-IT-Grundschutz für die unter NIS2 fallenden Bundesbehörden heranzieht, wobei ein fachliches Mapping auf die ISO 27001 gefordert ist. Das wird materiell vom vorgegebenen Schutzniveau her als vergleichbar angesehen.

Somit ist klar, dass die Implementierung technischer und organisatorischer Maßnahmen nach NIS-2 im Rahmen eines soliden und umfassenden Informationssicherheitsmanagementsystems (ISMS) erfolgen kann, das idealerweise auf dem Standard der ISO/IEC 27001 oder TISAX basiert.

Die ENX hat explizit darauf hingewiesen, dass TISAX eine vergleichbare Qualität im Sinne der NIS2 hat. Wer die ISO 27001 oder TISAX schon hat, muss also nicht mehr viel tun. Eine ISO 27001-Zertifizierung ist in NIS2 jedoch nicht gefordert. Das bietet den Vorteil, auf etablierte Schulungsanbieter mit bekannten Curricula, Personenzertifizierungen, Literatur, Checklisten, Prüfverfahren, akkreditierte Prüfer und Prüforganisationen, Berater und Tools zurückgreifen zu können.

Fazit

Zusammenfassend lässt sich sagen, dass die Umsetzung der NIS-2-Richtlinie risikobasiert auf Basis bekannter Standards erfolgen kann und sich an die Organisation anpassen lässt. Und wer sich gegen NIS-2 sträubt, handelt wider seine eigenen Sicherheitsinteressen. Zum Nulltarif ist ein „Mehr“ an Sicherheit leider nicht zu bekommen. Die Investition in angemessene Sicherheitsmaßnahmen ist unerlässlich, um die Organisation und die Lieferkette angesichts stark zunehmender Digitalisierung vor den stetig wachsenden Bedrohungen zu schützen.

Weiterbildungsangebote rund um Informationssicherheit

Informieren Sie sich über unsere Weiterbildungsangebote im Bereich Informationssicherheit und lernen Sie, ein Informationssicherheitsmanagementsystem in Ihrer Organisation aufzubauen und zu erhalten. Jetzt informieren »

Unser Training zum Implementer Informationssicherheit gemäß ISO/IEC 27001 vermittelt in praxisnaher Weise Inhalte, Anforderungen, Implementation und organisatorische Auswirkungen des internationalen Standards für Informationssicherheitsmanagement. Es versetzt Sie in die Lage, ein Managementsystem gemäß ISO/IEC 27001:2022 in Ihrem Unternehmen zu etablieren. Jetzt anmelden »

Ebenfalls bieten wir Ihnen eine Weiterbildung zum Informationssicherheitsbeauftragten Automotive an. Erlangen Sie im Training detaillierte Kenntnisse zu dem in der Automobilindustrie etablierten ISMS-Standard nach dem TISAX-Modell. Jetzt anmelden »

Über den Autor: Klaus Kilvinger

Klaus Kilvinger ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Digitalisierung, Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Er ist seit über 30 Jahren in der IT-Branche aktiv und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, verfügt ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter verfügt er über breite Branchenkenntnisse, über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor bis hin zur Wirtschaftsprüfung.