Sobald die NIS-2-Lücken eines Unternehmens bekannt und priorisiert sind, beginnt das eigentliche Projekt: Organisatorische Strukturen müssen aufgebaut, technische Schutzmaßnahmen umgesetzt und beide Welten dauerhaft synchronisiert werden. Teilweise über Monate hinweg, parallel zum Tagesgeschäft, mit begrenzten Ressourcen und unterschiedlichen Stakeholdern.
Vor dieser Herausforderung stehen gerade viele betroffene Unternehmen.
Unsere Lösung
Als IT-Gesamtdienstleister mit über 35 Jahren Erfahrung – davon mehr als zehn Jahre in der Einführung von ISMS- und BCMS-Projekten bei mittelständischen und KRITIS-Kunden – führen wir Ihr NIS-2-Projekt von der Planung bis in den Regelbetrieb.
Unsere zertifizierten ISMS-Consultants verantworten den organisatorischen Strang, unsere zertifizierten technischen Consultants und Engineers den technischen Teil. Fachexperten, die in beiden Welten zu Hause sind, verbinden Organisation und Technik dort, wo NIS-2 beides verlangt, etwa bei Cloud, Risikomanagement oder Phishing-Abwehr.
Ihre Vorteile
- Ein Ansprechpartner für alle NIS-2-Maßnahmen, organisatorisch wie technisch
- Projektplanung mit realistischen Zeitfenstern und Ressourcenrahmen
- Bewertung des Stands der Technik entlang Ihrer tatsächlichen Risikoexposition statt einer pauschalen Werkzeugliste
- Aufbau dauerhafter Prozesse für Aufrechterhaltung, KVP und Nachweisführung – Ihre Compliance bleibt belastbar
- Auf Wunsch übernehmen wir die Betriebsführung für SIEM/SOC, externe ISB-Aufgaben, Admin-Hotline und weitere Dienste
Ihr Fahrplan zur NIS-2 Konformität
Nachdem Sie herausgefunden haben, ob Ihr Unternehmen von NIS-2 betroffen ist, empfehlen wir per Gap-Analyse zu prüfen, wo Lücken zwischen Ihrem IST-Zustand und den Anforderungen von NIS-2 bestehen. Mit diesen Erkenntnissen können Sie dann strategisch in die Umsetzung starten.
Umsetzung der NIS-2-Anforderungen
Gemeinsam überführen wir die Anforderungen vom NIS-2 Umsetzungsgesetz in konkrete Maßnahmen. Ein dedizierter Projektmanager steuert das Vorhaben über alle Stränge hinweg mit regelmäßigen Lenkungsterminen und Statusberichten. Orientierung geben dabei die zentralen Paragrafen der NIS-2:
§30 Risikomanagement-Maßnahmen
Die zehn Kernmaßnahmen stammen direkt aus dem Gesetz und bilden das Fundament eines wirksamen Informationssicherheitsmanagements.
Zwei weitere Bausteine – Physische Sicherheit und Netzwerksicherheit – werden im Gesetz nicht explizit adressiert, sind jedoch in der praktischen Umsetzung unverzichtbar, um Risiken ganzheitlich zu steuern und moderne Angriffsvektoren vollständig abzudecken.
Risikoanalyse & Informationssicherheit
Einordnung:
Gemäß §30 müssen Einrichtungen Konzepte entwickeln, die Risiken systematisch erfassen und geeignete Sicherheitsmaßnahmen festlegen. Die Risikoanalyse bildet die Grundlage für alle weiteren Schritte und sorgt für einen strukturierten Schutz von Vertraulichkeit, Integrität und Verfügbarkeit.
Praxisbeispiele:
- Etablierung eines formalen Risikoanalyse-Prozesses nach Stand der Technik
- Schutzbedarfsfeststellungen für Systeme und Prozesse
- Pflege eines Risikoregisters mit Maßnahmenverfolgung
- Aufbau eines Informationssicherheitsmanagementsystems (ISMS)
Bewältigung von Sicherheitsvorfällen
Einordnung:
Das Gesetz fordert die Fähigkeit, Sicherheitsvorfälle zu erkennen, zu behandeln und deren Auswirkungen zu minimieren. Ein wirksames Incident-Management ermöglicht schnelle Reaktionszeiten und klare Verantwortlichkeiten.
Praxisbeispiele:
- Etablierung eines NIS2-konformen Incident-Response-Prozesses inkl. Meldeketten
- Betrieb eines SOC
- Forensische Analyse nach Vorfällen
- Dokumentation und Lessons Learned zur Verbesserung der Sicherheitslage
Aufrechterhaltung des Betriebs (BCM)
Einordnung:
NIS-2 schreibt Konzepte zur Sicherstellung der Betriebsfähigkeit vor – inklusive Backup-Management, Notfallwiederherstellung und Krisenmanagement. Ziel ist die Resilienz zentraler Geschäftsprozesse.
Praxisbeispiele:
- Erstellung eines IT-Notfallhandbuchs
- Regelmäßige Backups und Wiederherstellungstests
- Business Impact Analysen (BIA)
- Aufbau von Redundanzen und Notbetriebsverfahren
Sicherheit der Lieferkette
Einordnung:
Die Sicherheit der Lieferkette muss umfassend berücksichtigt werden – insbesondere die Beziehungen zu unmittelbaren IT-Dienstleistern und Anbietern. Gefordert werden eine durchgängige Bewertung und Steuerung externer Risiken.
Praxisbeispiele:
- Lieferanten-Screenings und Risikoanalysen (z. B. Cloud-Anbieter, MSP/MSSP)
- Sicherheitsanforderungen in Vertragswerken und SLAs
- Monitoring kritischer Drittanbieter
- Nachweispflichten wie ISO 27001, TISAX
Sicherheit im IT-Betrieb
Einordnung:
NIS-2 verlangt Sicherheitsmaßnahmen während des gesamten IT-Lebenszyklus – von der Beschaffung über die Entwicklung bis zur Wartung. Dazu gehören auch das Schwachstellenmanagement und die strukturierte Offenlegung von Schwachstellen.
Praxisbeispiele:
- Integration von Security-by-Design und Security-by-Default
- Patch- und Vulnerability-Management
- Sichere Entwicklungsprozesse (DevSecOps)
- Regelungen zur verantwortungsvollen Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure)
Wirksamkeitsbewertung
Einordnung:
Das Gesetz fordert Konzepte und Verfahren zur regelmäßigen Bewertung der Effektivität aller Risikomanagementmaßnahmen. Nur durch kontinuierliche Überprüfung lassen sich Schwachstellen erkennen und beheben.
Praxisbeispiele:
- Durchführung interner Audits, Penetrationstests und Schwachstellenscans
- Reifegradanalysen des ISMS
- KPIs für Sicherheitsprozesse (z. B. Patch-Compliance, Reaktionszeiten)
- Management-Reviews und jährliche Wirksamkeitsberichte
Schulungen & Sensibilisierung
Einordnung:
Alle Mitarbeitenden müssen angemessen geschult und sensibilisiert werden, um Sicherheitsrisiken zu erkennen und richtig zu handeln. NIS-2 sieht grundlegende Sicherheitsunterweisungen vor.
Praxisbeispiele:
- Pflichtschulungen zum Sicherheitsbewusstsein
- Phishing-Simulationen
- Rollenspezifische Trainings für Admins oder Incident-Teams
- Awareness-Kampagnen (Poster, Newsletter, E-Learning)
Kryptographie & Verschlüsselung
Einordnung:
Einrichtungen müssen klare Konzepte und Prozesse für den Einsatz kryptografischer Verfahren etablieren. Kryptografie schützt Daten – sowohl im Ruhezustand als auch bei der Übertragung – und ist damit zentraler Bestandteil der NIS-2-Pflichten.
Praxisbeispiele:
- Verschlüsselung von Daten in Ruhe und Bewegung
- Nutzung sicherer Algorithmen und Schlüsselmanagementprozesse
- Einsatz von HSMs (Hardware Security Modules)
- Richtlinien für Passwörter, Zertifikate und Schlüssellaufzeiten
Personalsicherheit, Zugriffskontrolle & Assetverwaltung
Einordnung:
NIS-2 verlangt klare Konzepte für den Schutz des Personals, für Zugriffskontrollen sowie für die Verwaltung von IKT-Systemen, Produkten und Prozessen. Dies beinhaltet die gesamte User Journey vom Eintritt bis zum Austritt.
Praxisbeispiele:
- Rollenbasierte Zugriffsmodelle (RBAC)
- Rezertifizierung von Zugriffsrechten
- Vollständige Inventarisierung aller IT-Assets
- Sicheres On- und Offboarding und administrativer Zugriffsschutz
Sichere Authentifizierung & Kommunikation
Einordnung:
Gemäß §30 müssen Einrichtungen sichere Authentifizierungslösungen einsetzen – vorzugsweise Multi-Faktor- oder kontinuierliche Authentifizierungsverfahren – sowie gesicherte Kommunikationskanäle für den Regel- und Notfall.
Praxisbeispiele:
- Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme
- Einsatz gesicherter Kommunikationslösungen (verschlüsselte Sprach-, Text- und Videokanäle)
- Notfallkommunikationssysteme für Krisensituationen
- Maßnahmen zur Vermeidung von Identitätstäuschungen (z. B. DMARC, DKIM, SPF)
Netzwerksicherheit
Einordnung:
Netzwerke sind zentrale Angriffspunkte. Effektive Netzwerksicherheit verhindert unbefugte Zugriffe, Bewegungen im Netzwerk und Angriffe von außen.
Praxisbeispiele:
- Segmentierung interner Netze (Zero Trust)
- Firewalls, IDS/IPS, Web-Filter, EDR/XDR
- Sichere VPN-Zugänge und Zero-Trust-Network-Access
- Monitoring von Netzwerkverkehr (z. B. Anomalieerkennung)
Physische Sicherheit
Einordnung:
Ohne physische Schutzmaßnahmen können selbst beste IT-Sicherheitsmaßnahmen ausgehebelt werden. Gebäude, Serverräume und Hardware benötigen angemessenen Schutz.
Praxisbeispiele:
- Zutrittskontrollsysteme, Besucherprozesse, Ausweispflicht
- Videoüberwachung in kritischen Bereichen
- Klimatisierung, Brandschutz und Schutz vor Wasser/Umweltgefahren
- Sicheres Vernichten von Datenträgern
Gehen Sie NIS-2 strategisch an!
Stichprobenartige Überprüfungen, die in dem NIS-2 Umsetzungsgesetz angekündigt sind, stellen Sie dann vor keine Herausforderungen, da Sie Nachweise und den Zeitplan zur Umsetzung aller Maßnahmen direkt vorlegen können.
Tom Bormann
ISMS-Berater bei SHD
§32 Meldepflichten
Wir unterstützen Sie beim Aufbau eines rechtssicheren Meldeprozesses für Sicherheitsvorfälle – inklusive Definition interner Abläufe, Schwellenwerte, Meldeketten und Dokumentationsanforderungen.
§33 Registrierungspflichten
Die NIS-2 Registrierungspflicht für betroffene Unternehmen endete am 06.03.2026. Die Registrierung erfolgt mehrstufig: Sie benötigen ein ELSTER-Organisationszertifikat, das Sie mit Ihrem MUK-Konto verknüpfen. Dies dient als Identifizierungsmerkmal, mit dem Sie sich seit dem 06.01.2026 auf dem BSI-Portal registrieren können.
Noch nicht registriert? Auf Wunsch begleiten wir Sie bei allen Registrierungsschritten gegenüber dem Bundesamt, stellen Vollständigkeit sicher und sorgen für die ordnungsgemäße Übermittlung aller Pflichtinformationen.
§38 Pflichten der Geschäftsführung
Wir stellen sicher, dass die Geschäftsleitung ihrer Verantwortung nachkommt – durch Schulung, Nachweisführung und eingebettete Verantwortlichkeiten im Managementsystem.
Umsetzung
Die Geschäftsführung ist verpflichtet zum Umsetzen und Überwachen der Risikomanagement-Maßnahmen.
Haftung
Die Geschäftsführung haftet für die Schäden in Folge einer Verletzung der Umsetzungspflichten, sofern keine anderen Haftungsregeln gelten.
Schulung
Die Geschäftsführung muss regelmäßig geschult werden zu Risikomanagement-Praktiken in der Informationssicherheit und den Auswirkungen der Risiken auf Unternehmensprozesse.