Fachartikel

NIS-2: Und sie kommt doch!

Ein beispielhafter Umsetzungsfahrplan

von IT-Security

Update: Das Gesetz wurde am 13.11.2025 durch den deutschen Bundestag beschlossen und ist seit dem 06.12.2025 deutschlandweit in Kraft. Wir unterstützen Sie bei der NIS2-Umsetzung.

Die NIS-2 ist seit der Verabschiedung auf EU-Ebene im Jahr 2022 stetiger Begleiter von IT- und Security-News. Doch in deutsches Recht umgesetzt ist sie bislang nicht. Vereinzelt war schon zu hören, dass es gar keine Umsetzung mehr in Deutschland geben wird. Eine Annahme, die vermutlich eher Wunschdenken entsprungen ist – auch wenn die Fristen für eine nationale Umsetzung längst ausgelaufen sind. Fakt ist: Das deutsche NIS-2 Umsetzungsgesetz kommt! Und mit der neuen Regierung erhält es nun auch die notwendige Mehrheit im Bundestag. Die Inhalte, d.h. was zu tun ist und wer davon betroffen ist, stehen im Großen und Ganzen seit 2022 fest. Demnach gab es in der Vergangenheit bereits findige Unternehmen, die mit einer Umsetzung der NIS-2-Anforderungen mindestens begonnen oder diese sogar schon größtenteils abgeschlossen haben.

Richter mit grauem Bart schaut auf sein Smartphone und freut sich. Er jubelt über die Umsetzung des NIS2-Gesetzesentwurfs.

Zur Wahrheit gehört allerdings auch, dass das nur auf sehr wenige der betroffenen Unternehmen zutrifft. Der überwiegende Teil wird entweder nichts von der NIS-2 wissen, sich unklar über die eigene Betroffenheit sein oder noch keine aktiven Schritte zur Umsetzung der Maßnahmen eingeleitet haben. Für die ersten beiden Fälle finden Sie unter diesem Link einen Überblick darüber, was die NIS-2 überhaupt ist, woraus sie sich zusammensetzt und wie die Betroffenheit zustande kommt. Sind Sie sich aber bereits darüber im Klaren, dann stellt sich für Sie vermutlich die Frage, wie Sie die Anforderungen konkret umsetzen können. Dieser Artikel zeigt Ihnen anhand eines fiktiven Unternehmens, wie der Weg aussehen kann – begonnen von der eigenen Betroffenheitsprüfung über die Reifegradbestimmung und ISMS-Einführung bis hin zur “NIS-2 readiness”.

NIS-2 Umsetzung am Beispiel: Maschinen Motor Musterstadt GmbH

Die Firma Maschinen Motor Musterstadt GmbH stellt hauptsächlich Elektromotoren für industrielle Roboter und Maschinen her. Andere, kleinere Nebenzweige sind zu vernachlässigen und spielen für die Betrachtung keine Rolle. Das Unternehmen hat insgesamt 137 Mitarbeitende sowie eine Jahresbilanz und einen Jahresumsatz von über 10 Mio. EUR. Das Unternehmen möchte nun wissen, ob es von der NIS-2-Gesetzgebung betroffen ist.

Schritt 1

Betroffenheitsprüfung

Die Geschäftsführung der Firma kennt sich bisher nur wenig mit der NIS-2 aus, wurde nun aber durch die eigene IT auf die Gesetzgebung hingewiesen. Das Unternehmen wendet sich an SHD. In einem ersten Termin stellen wir der Geschäftsleitung die NIS-2 inklusive Maßnahmen und Umfang vor und bestimmen gemeinsam mit dem Unternehmen, ob es davon betroffen ist. Hierzu sehen wir uns zunächst die Sektoren an. Eine Betroffenheit über die Anlage 2, Sektor "Verarbeitendes Gewerbe/Herstellung von Waren" scheint wahrscheinlich. Ein genauerer Blick zielt auf die Branche "Herstellung von elektrischen Ausrüstungen" ab. Um zu identifizieren, ob das Unternehmen in diese Branche und damit auch in den betroffenen Sektor fällt, muss auf die Einrichtungsart geschaut werden. Hierzu verweist der Gesetzestext auf die sogenannten NACE Codes, genauer auf den Abschnitt C Abteilung 27 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2).

Auszug aus dem NIS-2-Gesetzentwurf mit Fokus auf Bereich 5.3 für wichtige Unternehmen: Herstellung von elektrischen Ausrüstungen.
Auszug aus der Anlage 2 - Branche 5 Verarbeitendes Gewerbe/Herstellung von Waren

Ein Blick in die genannte Abteilung der NACE offenbart, dass die "Herstellung von Elektromotoren [...]" (NACE Code Gruppe 27.1) unter die Bestimmung fällt.

Auszug aus der NACE Code-Übersicht für NIS-2 mit Fokus auf Code 27.1 zur Herstellung von Elektromotoren und Co.
NACE Code Abschnitt C, Abteilung 27 - https://nacecode.de

Da, wie oben erwähnt, das Unternehmen hauptsächlich Elektromotoren herstellt, ist eine sektorale Betroffenheit gegeben. Anschließend schauen wir gemeinsam, ob die Größenkriterien erfüllt werden. Da mittlerweile die gesamte Geschäftstätigkeit betrachtet werden muss, entfällt eine Einzelprüfung unterschiedlicher Geschäftsfelder. Mit 137 Mitarbeitenden, aber auch durch die Kombination vom letzten Jahresumsatz und der letzten Jahresbilanz von über 10 Mio. EUR, sind hier die Grenzwerte übertroffen. Diese liegen für wichtige Einrichtungen bei mindestens 50 Mitarbeitenden oder einem Jahresumsatz in Kombination mit einer Jahresbilanz von über 10 Mio. EUR.

Entsprechend haben wir gemeinsam mit der Firma Maschinen Motor Musterstadt GmbH eine Betroffenheit von den NIS-2-Anforderungen festgestellt.

Schritt 2

Reifegradprüfung: Wie sicher ist das Unternehmen bereits?

Um nun realistisch feststellen zu können, wie sicher das Unternehmen bereits jetzt aufgestellt ist und welche konkreten Schritte zur "NIS-2-Konformität" notwendig sind, bittet uns die Geschäftsleitung, eine NIS-2-Reifegradprüfung durchzuführen. Über dieses Assessment bekommen wir Einblicke in das Unternehmen und können Handlungspunkte identifizieren. Das Assessment wird primär über Interviews der Mitarbeitenden durchgeführt – ergänzt durch die Sichtung relevanter Unterlagen und Dokumentation zur Informationssicherheit. Im Ergebnis erhält das Unternehmen nicht nur einen Reifegrad seiner Informationssicherheit, sondern auch einen Handlungsplan mit umzusetzenden Punkten

Die Maschinen Motor Musterstadt GmbH weist bereits viele umgesetzte technische Maßnahmen auf wie:

  • Endpoint Protection,
  • Multi-Faktor-Authentifizierung,
  • eingesetzte Verschlüsselungstechnologien. 

Allerdings gibt es Defizite, vor allem bei der Organisation, d.h. fehlende Dokumentation, unzureichende Awareness und ein fehlender, übergeordneter Plan zur Erhöhung der Informationssicherheit. Zudem erfolgt bislang keine Risikobetrachtung. Demnach empfehlen wir dem Unternehmen insbesondere einen organisatorischen Überbau für ein planvolles und wohlüberlegtes Vorgehen durch ein Informationssicherheits­managementsystem (ISMS) zu etablieren, davon abgeleitet ein Risikomanagement einzuführen und die Awareness-Maßnahmen der Mitarbeitenden zu erhöhen.

Schritt 3

Umsetzung der Handlungspunkte

Nachdem wir die wichtigsten Handlungspunkte identifiziert haben, planen wir mit dem Unternehmen gemeinsam die Umsetzung der Maßnahmen. Die Geschäftsleitung unterstützt und überwacht das gesamte Projekt. Dabei berücksichtigen wir, dass die Umsetzung parallel zum Tagesgeschäft des Unternehmens läuft und sich daher über einen längeren Zeitraum bewegt. Wir definieren gemeinsam eine Projektlaufzeit von 24 Monaten und Meilensteine im Abstand von einem viertel Jahr. Das letzte halbe Jahr Projektlaufzeit definieren wir als Übergang in den Betrieb. Dies ist als Beginn des kontinuierlichen Verbesserungsprozesses gekennzeichnet.

Eine Projektleiterin präsentiert verschiedene Diagramme vor Ihrem Team. Diese symbolisieren die Verbesserung der Informationssicherheit.

Innerhalb des Unternehmens wurde uns eine zentrale Koordination für alle Informationssicherheits­themen (Informationssicherheits­koordination, ISMK) sowie ein kleines Projektteam benannt. Gemeinsam mit ISMK und Projektteam führen wir ein ISMS als Schaltzentrale für alle NIS-2 bzw. informationssicherheits­relevanten Themen ein. Wir stellen der Firma auch ein geeignetes ISMS-Tool as a Service über unseren Partner zur Verfügung. Im Rahmen der Projektumsetzung wird zudem ein Risikomanagement für die Informationssicherheit etabliert. Über dieses werden relevante Risiken identifiziert und geeignete Gegenmaßnahmen in die Wege geleitet. Darüber hinaus vereinbaren wir einmal jährlich die Durchführung von User Awareness Schulungen durch unsere Security-Experten. Mit Beispielen aus der Praxis und geeigneten Phishing Tests werden allen Mitarbeitenden dabei ein realistisches Bild von Cyberbedrohungen gezeigt und auch konkrete Hinweis gegeben, solche Bedrohungen zu erkennen und diesen zu entgegnen. Auch die Geschäftsleitung kommt ihrer Verpflichtung aus der NIS-2 nach, regelmäßig an Schulungen teilzunehmen.

Schritt 4

Abschluss des Projektes & Überführung in kontinuierlichen Verbesserungsprozess

Zyklisches Modell zeigt die Phasen "Plan, Do, Check, Act" für kontinuierliche Verbesserung beim Informationssicherheitsmanagement.

Das Informationssicherheits­managementsystem ist durch organisatorische Maßnahmen und ein implementiertes Risikomanagement etabliert. Nun geht es darum, die Umsetzung der Maßnahmen zu überwachen und das ISMS fest in den Unternehmensprozessen zu verankern. 

Hierfür vereinbaren wir mit der Maschinen Motor Musterstadt GmbH einen festen monatlichen Beratersatz, um diesen Verbesserungsprozess über das Projektende hinaus zu begleiten. Zu den Leistungen gehören die regelmäßige Überprüfung der organisatorischen Vorgaben, die Überprüfung der Wirksamkeit sowie die anlassbezogene und zyklische erneute Risikoanalyse und Risikobehandlung.

Bonusschritt

Registrierung & Meldung von Vorfällen

Abhängig davon, ab wann das nationale Umsetzungsgesetz der NIS-2 endgültig verabschiedet wird, schließen sich für betroffene Unternehmen unmittelbar zwei Aufgaben an. Zunächst müssen sich alle betroffenen Unternehmen innerhalb von drei Monaten über ein Meldeportal beim BSI registrieren. Die genaue Ausgestaltung, wie die Registrierung erfolgt, ist derzeit noch offen. Allerdings steht bereits fest, welche Daten übermittelt werden. Dies umfasst mindestens folgende Angaben:

  • Name der Einrichtung, Rechtsform und Handelsregisternummer
  • Anschrift, aktuelle Kontaktdaten (inkl. E-Mail-Adresse, öffentliche IP-Bereiche und Telefonnummer)
  • relevante Branche bzw. einschlägiger Sektor nach Anlangen 1 und 2 der NIS-2
  • Auflistung aller Mitgliedsstaaten, in denen das Unternehmen in den vorher genannten Branchen tätig ist
  • sowie die dafür zuständige Aufsichtsbehörde des Bundes und der Länder

Betreiber kritischer Anlagen sowie weitere Einrichtungsarten aus dem Sektor der Digitalen Infrastruktur müssen weitere Angaben treffen.

Die zweite Aufgabe bezieht sich auf die Meldung von erheblichen Vorfällen an das BSI. Demnach müssen alle betroffenen Unternehmen erhebliche Sicherheitsvorfälle an das BSI melden – ähnlich, wie es bereits bei der DSGVO bzw. im Umfeld der Informationssicherheit bei KRITIS-relevanten Unternehmen der Fall ist.

Abschluss

Wann sollte man mit der Umsetzung beginnen?

Am besten sofort!

Warum? Aus zwei Gründen: Zum einen profitieren Unternehmen, die bereits jetzt mit der Umsetzung der Maßnahmen beginnen, von der Möglichkeit, alles in ihrem eigenen Tempo umsetzen zu können. Stichprobenartige Überprüfungen, die in dem NIS-2 Umsetzungsgesetz angekündigt sind, stellen diese Unternehmen vor keine Herausforderungen – Nachweise und ein Zeitplan zur Umsetzung aller Maßnahmen können bereits vorlegt werden. Zum anderen schützen sich Unternehmen durch die Umsetzung der Maßnahmen proaktiv gegen die immer größere werdende Bedrohungslage. Das Hacken der eigenen Systeme, der Abfluss von Geschäftsgeheimnissen oder der komplette Stillstand der Produktion sind existenzbedrohende Risiken für Unternehmen, die jederzeit eintreten können. Die NIS-2 zielt darauf ab, diese Risiken zu minimieren. Je eher ein Unternehmen entsprechende Maßnahmen ergreift, desto besser ist es gegen diese Bedrohungen gerüstet und weiß im Falle des Eintritts eines solchen Vorfalls, wie es damit umgeht.

Darum empfehlen wir, nicht zu warten und bereits jetzt mit der Umsetzung der Maßnahmen zu beginnen. Sprechen Sie uns dazu gern an, um ein unverbindliches Beratungsgespräch zu vereinbaren!


Autor: Tom Bormann
Bildquellen: SHD, BMI, nacecode.de, Shutterstock

Inhalt teilen:

Jetzt beraten lassen

Wünschen Sie weiterführende Informationen oder ein Angebot zu speziellen Leistungen? Kontaktieren Sie uns! Wir melden uns schnellstmöglich bei Ihnen.

+49 351 4232 0
Leistungen von SHD

Passend zum Thema

Übersicht