Mit Verspätung hat der deutsche Gesetzgeber das NIS2-Umsetzungsgesetz, das seit dem 6. Dezember 2025 in Kraft ist. Darin sind zahlreiche Anforderungen zur Cybersicherheit vorgeschrieben, die es nun zeitnah umzusetzen gilt. Allerdings schwirren hierbei einige verwirrende Begrifflichkeiten durch das Gesetz: Sektoren mit hoher Kritikalität nach der NIS-2-Richtlinie werden in Deutschland meist als „besonders wichtige Einrichtungen“ (darunter die bisherigen KRITIS-Einrichtungen), teilweise aber auch „nur“ als „wichtige Einrichtungen“ bezeichnet. Andere kritische Sektoren sind analog eingeordnet.
Einige Umsetzungsvorschriften erfolgen erst noch durch Rechtsverordnungen des Bundesministeriums des Inneren (BMI), die sektorspezifisch zu erfüllende Vorgaben formulieren sollen, soweit die Europäische Kommission nicht selbst entsprechende Vorgaben macht, denn EU-Vorgaben sind immer vorrangig. Dies ist für IT-Dienstleister durch die Europäische Kommission bereits per Durchführungsverordnung 2024/2690 erfolgt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann für besonders wichtige Einrichtungen Nachweispflichten vorschreiben, für wichtige Einrichtungen jedoch nur bei nachgewiesener unzureichender Umsetzung. Für letztere gilt insoweit der Grundsatz „bloß nicht auffallen…“.
Umzusetzende NIS2-Anforderungen in Deutschland
Bevor Sie nun komplett den Überblick verlieren, besteht Hoffnung in zweierlei Hinsicht:
Die innerhalb von drei Jahren umzusetzenden NIS2-Anforderungen sind nachvollziehbar und entsprechen üblicher Praxis der Informationssicherheit. Mit einem NIS2 as a Service Konstrukt (NIS2aaS) erhalten Sie Klarheit und tatkräftige Unterstützung bei der Umsetzung.
Bei NIS2aaS sind insoweit „nur“ die relevanten Bausteine zu identifizieren, zu denen externe Unterstützung benötigt wird. Folgende Elemente sollten durch Eigenleistung oder mit einem geeigneten NIS2aaS adressiert werden:
- Umsetzung geeigneter, verhältnismäßiger und wirksamer technischer und organisatorischer Maßnahmen nach Stand der Technik unter Berücksichtigung europäischer und internationaler Normen (z.B. ISO/IEC 27001), um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Das setzt voraus, im ISMS betreffende Maßnahmen identifiziert zu haben und deren Aufrechterhaltung regelmäßig zu überprüfen und bei Bedarf fortzuentwickeln.
- Einsatz nur zugelassener Produkte, Dienste und Prozesse zur Informations- und Kommunikationstechnik (IKT), die über eine Cybersicherheitszertifizierung verfügen. In einer Rechtsverordnung wird erst noch durch das BMI festgelegt, für welche IKT-Produkte, -Dienste und -Prozesse das vorgeschrieben sein wird. Die Vorgaben zur Cybersicherheitszertifizierung selbst werden wiederum durch das BSI festgelegt.
- Meldung erheblicher Sicherheitsvorfälle an BSI und BBK: Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung mit Aktualisierung und Bewertung (unter Angabe der Kompromittierungsindikatoren) innerhalb von 72 Stunden! Diese Meldepflicht gilt bereits jetzt!
- Teilnahme an Schulungen und Sensibilisierungsmaßnahmen zur Sicherheit in der Informationstechnik – insbesondere auch durch Geschäftsleitungen. Eine als „unzuverlässig“ vom BSI eingestufte Geschäftsleitung kann bei besonders wichtigen Einrichtungen deren Ausübung der Geschäftsleitungstätigkeit durch das BSI vorübergehend untersagt werden.
- Durchführung von Audits, Prüfungen oder Zertifizierungen durch unabhängige Stellen nach drei Jahren ab Inkrafttreten des Gesetzes unter Vorlage entsprechender Nachweise ans BSI für besonders wichtige Einrichtungen, für die das BSI dies aufgrund des bestehenden Ausmaßes der Risikoexposition, der Größe der Einrichtung sowie der Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen sowie ihrer möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen angeordnet hat; weiterhin explizit gültig für Betreiber kritischer Anlagen. Erfahrungsgemäß legt das BSI solche Vorgaben recht kurzfristig fest, so dass innerhalb von einem Jahr bis maximal zwei Jahren entsprechende Nachweisverfahren in Gang gesetzt werden müssen.
Vorgeschriebene Mindestmaßnahmen für das Risikomanagement
Umzusetzende Maßnahmen müssen mindestens das Folgende umfassen:
1. Dokumentierte Konzepte z.B. in Form einer Richtlinie, zur Risikoanalyse sowie zur Sicherheit in der Informationstechnik.
2. Vorgehen zur Bewältigung von Sicherheitsvorfällen, inkl. Erkennung und Behandlung von Ereignissen, die die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind.
3. Aufrechterhaltung des Betriebs durch Backup-Management und Wiederherstellung nach einem Notfall sowie durch Etablierung eines Krisenmanagements.
4. Gewährleistung der Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte in den Beziehungen zu unmittelbaren Anbietern oder Dienstleistern.
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen.
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik.
7. Durchführung grundlegender Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik.
8. Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren.
9. Konzepte für die Sicherheit des Personals, der Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen.
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder „kontinuierlichen“ Authentifizierung, zur gesicherten Sprach-, Video- und Textkommunikation sowie gesicherter Notfallkommunikationssysteme innerhalb der Einrichtung.
Typische NIS2aaS-Leistungen zur Umsetzung
Folgende Bausteine eines NIS2aaS unterstützen Sie bei der Umsetzung:
- Aufbau eines geeigneten cybersicherheitsbezogenen Risikomanagements mit jährlich aktualisierten Risikoanalysen und Schwachstellenermittlungen in Form von Penetrationstests, in denen der Tester in die Rolle eines Angreifers schlüpft, oder Angriffssimulationen (z.B. in Form eines Attack Path Managements) und ggf. einer Übernahme der Funktion als Cyber Risk Manager.
- Etablierung eines geeignet und effizient ausgerichteten ISMS, ggf. mit Übernahme der Funktion zugehöriger Funktionen als (Chief) Information Security Officer, Interner Auditor und/oder Begleiters zur Vorbereitung bei der Erbringung geforderter Nachweise oder Erlangung benötigter Zertifizierungen.
- Etablierung eines Security Operation Centers (SOC), das frühzeitig den Eintritt von Sicherheitsvorfällen erkennt, rasch reagiert und die Einhaltung von Meldepflichten unterstützt.
- Wiederkehrende Bestätigung ausreichender Resilienz durch Disaster Recovery Checks, Table Top Exercises und andere Notfallübungen.
- Jährliche Bewertung der Sicherheit in der Lieferkette und damit verbundener Abhängigkeiten.
- Durchführung geforderter Awareness-Trainings für Führungskräfte als auch Mitarbeitende.
Die SITS bietet Ihnen passende NIS2aaS-Leistungen an. Näheres finden Sie auf unserer NIS2 as a Service Seite. Wir verfügen über umfassende Erfahrung in der Cybersicherheit und unterstützen Sie gerne bei der Umsetzung.
