Uncategorized

NIS-2 für Unternehmen: Wer ist betroffen und was ist Pflicht?

Cyberangriffe nehmen zu, die Bedrohungslage verschärft sich, und die EU hat reagiert: Mit der NIS-2-Richtlinie gelten seit Oktober 2024 deutlich strengere Anforderungen an die Cybersicherheit. Doch viele Unternehmen wissen noch immer nicht, ob sie überhaupt betroffen sind oder welche konkreten Pflichten auf sie zukommen. Dabei ist das Risiko real. Unternehmen, die die neuen Vorgaben ignorieren […]

Sebastian BalzGründer & Geschäftsführer
2. Juli 2026Veröffentlicht
14 MinLesezeit

Cyberangriffe nehmen zu, die Bedrohungslage verschärft sich, und die EU hat reagiert: Mit der NIS-2-Richtlinie gelten seit Oktober 2024 deutlich strengere Anforderungen an die Cybersicherheit. Doch viele Unternehmen wissen noch immer nicht, ob sie überhaupt betroffen sind oder welche konkreten Pflichten auf sie zukommen.

Dabei ist das Risiko real. Unternehmen, die die neuen Vorgaben ignorieren oder unterschätzen, riskieren empfindliche Bußgelder und im schlimmsten Fall erhebliche Reputationsschäden. Die gute Nachricht: Wer sich frühzeitig informiert und strukturiert vorgeht, kann die Anforderungen systematisch umsetzen.

In diesem Beitrag erfahren Sie, welche Unternehmen unter den Geltungsbereich der NIS-2-Richtlinie fallen, welche Branchen besonders im Fokus stehen und welche Maßnahmen verpflichtend sind. Sie erhalten einen klaren Überblick über die wichtigsten Pflichten, von der Risikoanalyse bis hin zur Meldepflicht bei Sicherheitsvorfällen. So können Sie einschätzen, wo Ihr Unternehmen steht und welche nächsten Schritte notwendig sind.

Bin ich betroffen? Die Schwellenwerte im Überblick

Mit dem Inkrafttreten des NIS2UmsG am 5. Dezember 2025 stellt sich für tausende deutsche Unternehmen eine dringende Frage: Bin ich überhaupt betroffen? Die Antwort hängt von zwei Faktoren ab, nämlich dem Sektor, in dem ein Unternehmen tätig ist, und seiner Größe nach Mitarbeiterzahl oder Umsatz. Das neue BSIG unterscheidet dabei zwischen zwei regulierten Kategorien, die unterschiedliche Aufsichtsintensitäten mit sich bringen.

1. Besonders wichtige Einrichtungen: Proaktive BSI-Aufsicht (ex ante)

Unternehmen in Annex-1-Sektoren, zu denen Energie, Transport, Gesundheit, Trinkwasser und digitale Infrastruktur gehören, gelten als besonders wichtige Einrichtungen, wenn sie mindestens 250 Mitarbeitende beschäftigen oder einen Jahresumsatz von mehr als 50 Mio. Euro erzielen. Gegenüber diesen Unternehmen darf das BSI proaktiv und ohne vorherigen Vorfall tätig werden. Das bedeutet anlassunabhängige Audits, Nachweispflichten und direkte Durchsetzungsmaßnahmen. Wer in diese Kategorie fällt, muss mit der höchsten Regulierungsintensität rechnen. Weitere Informationen zu den konkreten Schwellenwerten liefert die Analyse zur deutschen NIS-2-Umsetzung.

2. Wichtige Einrichtungen: Reaktive BSI-Kontrolle (ex post)

Unternehmen mit mindestens 50 Mitarbeitenden oder einem Umsatz bzw. einer Bilanzsumme über 10 Mio. Euro in Annex-1- oder Annex-2-Sektoren fallen als wichtige Einrichtungen unter NIS-2. Die inhaltlichen Pflichten, insbesondere die zehn Risikomanagement-Maßnahmen, sind identisch mit denen besonders wichtiger Einrichtungen. Der Unterschied liegt ausschließlich in der Aufsicht: Das BSI greift hier nur reaktiv ein, etwa nach einem gemeldeten Sicherheitsvorfall. Eine systematische Übersicht zur deutschen Implementierung bietet openkritis.de.

3. Massiver Anstieg der betroffenen Unternehmen

Der Regulierungsumfang hat sich dramatisch ausgeweitet. Unter NIS-1 unterlagen lediglich rund 2.000 Unternehmen der Regulierung in Deutschland. Unter NIS-2 schätzt das BSI die Zahl der betroffenen Einrichtungen auf rund 29.500, andere Quellen nennen sogar über 30.000. Das entspricht einem Anstieg um den Faktor 15 und bedeutet, dass ein völlig neuer Bereich des deutschen Mittelstands erstmals unter Cybersicherheitsrecht fällt.

4. Praxisbeispiel: Defense-Tech-Startup

Ein Rüstungstechnikunternehmen mit 60 Mitarbeitenden und 12 Mio. Euro Jahresumsatz im Bereich digitaler Verteidigungssysteme erfüllt mit Umsatz über 10 Mio. Euro und mehr als 50 Mitarbeitenden beide Schwellenwerte für eine wichtige Einrichtung. Das Unternehmen muss alle zehn Risikomanagement-Maßnahmen nachweisen und ist registrierungspflichtig beim BSI, auch wenn keine proaktive Aufsicht droht.

5. Praxisbeispiel: Mittelständischer Logistikdienstleister

Ein Logistikanbieter mit 300 Mitarbeitenden, der kritische Güter in der Lieferkette transportiert, überschreitet den 250-Mitarbeitenden-Schwellenwert in einem Annex-1-Sektor deutlich. Er gilt damit als besonders wichtige Einrichtung und unterliegt der strengsten BSI-Aufsichtsstufe. Für dieses Unternehmen bedeutet das: keine Kulanzfristen, sondern unmittelbare Compliance-Verpflichtung mit dem Risiko von Bußgeldern bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Was müssen betroffene Unternehmen konkret umsetzen?

Wer als betroffenes Unternehmen erkannt hat, dass NIS-2 für ihn gilt, steht vor einer konkreten Umsetzungsaufgabe. Das Gesetz definiert zehn Risikomanagement-Pflichtbereiche, die strukturiert adressiert werden müssen. Dazu gehören unter anderem Incident-Response-Pläne, Zugangskontrollen über Identity and Access Management, Business Continuity Management sowie Supply-Chain-Sicherheit mit dokumentierter Lieferanten-Risikoanalyse. Besonders präzise sind die kryptografischen Vorgaben: Die BSI TR-02102 schreibt AES-256 für ruhende Daten und TLS 1.3 für Daten in der Übertragung vor. Diese technischen Anforderungen sind nicht optional, sondern bilden die Grundlage jeder Auditprüfung durch das BSI.

1. Die 72-Stunden-Meldepflicht ernst nehmen

Gemäß NIS-2 Artikel 23 müssen erhebliche Sicherheitsvorfälle innerhalb von 72 Stunden an das BSI gemeldet werden. In der Praxis scheitern viele Unternehmen genau hier: Fehlende interne Eskalationsprozesse, unklare Verantwortlichkeiten und kein vorbereitetes Meldeformular machen diese Pflicht zur häufigsten Compliance-Lücke. Wer diese Prozesse nicht vorab dokumentiert und getestet hat, riskiert im Ernstfall nicht nur regulatorische Konsequenzen, sondern auch operative Chaos-Situationen.

2. BSI-Registrierung ist keine optionale Formalität

Die Registrierungspflicht beim BSI mit Frist zum 6. März 2026 ist ein direkter Compliance-Nachweis gegenüber der Aufsichtsbehörde. Bemerkenswert: Bis zum Fristablauf hatten sich weniger als 10 Prozent der rund 29.500 verpflichteten Unternehmen registriert. Die Registrierung erfordert dokumentierte Nachweise über implementierte Sicherheitsmaßnahmen und ist damit keine reine IT-Aufgabe, sondern ein Geschäftsleitungsthema mit Haftungsrelevanz.

3. Umsetzungsstand ist alarmierend niedrig

Eine eco-Umfrage unter 250 IT-Entscheidern (Civey, Juni 2024) zeigt das Ausmaß der Lücke deutlich: Nur 13,2 Prozent der befragten Unternehmen hatten ihr IT-Risikomanagement entsprechend NIS-2 verbessert; lediglich 12,1 Prozent hatten ein Notfall- und Krisenmanagement eingeführt. Diese Zahlen verdeutlichen, dass strukturierter Nachholbedarf besteht und kurzfristige Maßnahmen allein nicht ausreichen.

4. Fast-Track-Implementierung als pragmatischer Weg

Angesichts des Zeitdrucks haben sich spezialisierte Implementierungsansätze etabliert, die ein ISO-27001-konformes ISMS in 8 bis 12 Wochen aufbauen, statt der üblichen sechs Monate. Dieser Ansatz ermöglicht es Unternehmen, Registrierung, Meldepflicht und Risikomanagement strukturiert und fristgerecht zu adressieren, ohne auf Qualität zu verzichten. Voraussetzung ist ein erfahrener externer Implementierungspartner mit klarem Projektplan und auditfähiger Dokumentation.

ISO 27001, BSI IT-Grundschutz oder beides?

Sobald die Pflichtmaßnahmen bekannt sind, stellt sich für Unternehmen unmittelbar die Folgefrage: Welcher Standard bietet den effizientesten Nachweis gegenüber dem BSI? Die Antwort ist nicht universell, sondern hängt vom Unternehmenstyp, der Kundenbasis und dem bestehenden Reifegrad ab.

1. ISO 27001 als schnellster Weg zur NIS-2-Konformität

ISO/IEC 27001 gilt beim BSI als anerkannter Basisnachweis für Sicherheitsreife und ist für die meisten betroffenen Unternehmen der direkteste Weg zur nachweisbaren Compliance nach § 30 BSIG. Der Standard ist risikobasiert und flexibel: Unternehmen definieren ihren Scope selbst und wählen aus 93 Annex-A-Controls die situationsrelevanten Maßnahmen aus. Die Zertifizierung erfolgt durch akkreditierte externe Stellen und ist weltweit anerkannt, was bei internationalen Ausschreibungen oder Kundenanforderungen ein klarer Vorteil ist. Für Cloud-Infrastrukturanbieter gilt dabei eine Besonderheit: Zusätzlich zu ISO 27001 ist der BSI C5-Standard verpflichtend und sollte von Anfang an in die Planungen einbezogen werden.

2. BSI IT-Grundschutz als strukturierte Alternative

Das BSI IT-Grundschutz-Kompendium in der Edition 2023 umfasst 111 Bausteine in 10 thematischen Schichten und bietet eine detaillierte, vordefinierte Methodik, die den Aufwand für die eigenständige Risikoanalyse deutlich reduziert. Für Bundesbehörden ist IT-Grundschutz gesetzlich verpflichtend; für Unternehmen mit starkem KRITIS-Bezug oder öffentlichen Auftraggebern ist er der maßgebliche Referenzrahmen. Unternehmen können zwischen drei skalierbaren Vorgehensweisen wählen, nämlich Basis-, Standard- und Kern-Absicherung, was einen gestuften Einstieg ermöglicht.

3. Aufwand und Zertifizierungsanforderungen im Vergleich

Bei ISO 27001 ist der Aufwand für die eigenständige Risikoanalyse und Dokumentation höher; die Zertifizierung setzt mindestens sechs Monate dokumentierten Betrieb voraus. BSI IT-Grundschutz reduziert diesen Analyseaufwand durch standardisierte Bausteine, erfordert jedoch ebenfalls umfangreiche Dokumentation. Ein wichtiger Planungshinweis: Das BSI reformiert IT-Grundschutz grundlegend mit der Einführung von Grundschutz++ ab 2026, zertifizierungsrelevant bleibt bis zur vollständigen Transition die Edition 2023.

4. Empfehlung nach Unternehmenstyp

Für den Vergleich beider Standards gilt folgende Faustregel: Defense-Tech-Unternehmen mit öffentlichen Auftraggebern und KRITIS-Nähe profitieren häufig von BSI IT-Grundschutz als direktem Nachweisweg gegenüber deutschen Behörden. International aufgestellte Lieferkettenunternehmen, die NIS-2 durch ihre Einbindung in kritische Versorgungsketten betrifft, sind mit ISO 27001 besser beraten, da der Standard global anerkannt ist und Kundenanforderungen aus unterschiedlichen Ländern erfüllt.

5. Kombination beider Standards: der optimale Ansatz

Das BSI bietet offiziell eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz an, ein kombiniertes Zertifikat, das beide Welten vereint. Unternehmen, die ISO 27001 bereits implementiert haben, können BSI IT-Grundschutz als Ergänzung einführen, ohne das gesamte ISMS neu aufzusetzen; das BSI stellt dafür eine offizielle Mapping-Tabelle bereit, die Controls und Bausteine einander zuordnet. Diese Kombination ist besonders relevant, wenn gleichzeitig KRITIS-Anforderungen und internationale Kundenwünsche erfüllt werden müssen.

Managerhaftung: Was Geschäftsführer persönlich riskieren

Wer als Geschäftsführer oder Vorstandsmitglied glaubt, NIS-2 sei primär ein IT-Problem, riskiert eine kostspielige Fehleinschätzung. Das NIS2UmsG, das seit dem 5. Dezember 2025 rechtsverbindlich gilt, macht Cybersicherheit zur persönlichen Führungsverantwortung, und zwar mit konkreten finanziellen Konsequenzen.

1. Bußgeldrahmen: Bis zu 10 Mio. Euro oder 2 % des Weltumsatzes

§ 65 BSIG n.F. sieht Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ausfällt. Bei besonders wichtigen Einrichtungen, also Unternehmen ab 250 Mitarbeitenden oder 50 Mio. Euro Jahresumsatz in regulierten Sektoren, geht die Aufsicht noch weiter: Das BSI kann bereits vor einem Sicherheitsvorfall (ex ante) eingreifen, Kontrollen durchführen und verbindliche Anordnungen erlassen. Betroffene Unternehmen stehen damit dauerhaft unter behördlicher Beobachtung, nicht erst nach einem Datenleck.

2. Persönliche Haftung in der GmbH und AG

Das neue BSIG macht Cybersicherheit zur Chefsache: § 38 Abs. 2 BSIG n.F. verweist ausdrücklich auf § 43 GmbHG. GmbH-Geschäftsführer haften ihrer Gesellschaft gegenüber persönlich, wenn unterlassene Sicherheitsmaßnahmen zu Schäden führen. Entscheidend ist dabei die Beweislastumkehr: Der Geschäftsführer muss nachweisen, dass er pflichtgemäß gehandelt hat. Für AG-Vorstände gilt § 93 AktG als Haftungsgrundlage; das bewusste Unterlassen von NIS-2-Maßnahmen kann als Pflichtverletzung qualifiziert werden und zur persönlichen Schadensersatzpflicht führen. Die Überwachungspflicht ist dabei nicht delegierbar: Auch wer operative Aufgaben an einen externen Informationssicherheitsbeauftragten überträgt, bleibt letztverantwortlich.

3. Nicht-Handeln ist teurer als Compliance

Die Kostenrechnung fällt eindeutig aus. Einer strukturierten ISMS-Implementierung nach ISO 27001 stehen im Worst Case Bußgelder im zweistelligen Millionenbereich gegenüber, dazu Reputationsschäden durch öffentliche Meldepflichten bei Sicherheitsvorfällen, Betriebsunterbrechungen durch unzureichend geschützte Systeme sowie der Verlust öffentlicher Aufträge, da NIS-2-Compliance zunehmend zur Vergabevoraussetzung wird.

4. Unwissenheit schützt nicht vor Haftung

Laut einer eco-Umfrage hatten 40 % der IT-Manager noch keine Kenntnis von NIS-2. Seit dem Inkrafttreten des NIS2UmsG kann mangelndes Wissen keine Haftungsbefreiung mehr begründen. § 38 Abs. 3 BSIG n.F. verpflichtet Geschäftsleitungen ausdrücklich zur regelmäßigen, nachweisbar dokumentierten Schulungsteilnahme. Wer diese Pflicht ignoriert, riskiert im Schadensfall den direkten Durchgriff auf sein Privatvermögen, unabhängig davon, ob ein Angriff tatsächlich stattgefunden hat.

Interner vs. externer Informationssicherheitsbeauftragter

Sobald klar ist, dass NIS-2 oder ISO 27001 für ein Unternehmen gilt, stellt sich unmittelbar die personelle Frage: Wer übernimmt die Rolle des Informationssicherheitsbeauftragten?

1. Wann lohnt sich ein externer ISB?

Unternehmen mit weniger als 250 Mitarbeitenden verfügen in der Regel nicht über ausreichend interne Kapazität, um einen vollwertigen ISB zu beschäftigen. Der tatsächliche Bedarf liegt typischerweise bei 3 bis 10 Stunden pro Monat im laufenden Betrieb, deutlich unterhalb einer Vollzeitstelle. Ein externer ISB liefert dasselbe Leistungsniveau, ohne dass eine dauerhafte Planstelle geschaffen werden muss. Hinzu kommt ein struktureller Vorteil: Externe Anbieter arbeiten mit Teamstrukturen, sodass Ausfälle durch Krankheit oder Kündigung nicht zu einem vollständigen Kompetenzwegfall führen, wie es beim internen Einzelkämpfer regelmäßig der Fall ist.

2. Kostenvergleich: Intern versus extern

Die Kosten eines internen ISB belaufen sich auf rund 95.000 Euro pro Jahr, wenn Gehalt, Lohnnebenkosten, Equipment, Fortbildung und Overhead eingerechnet werden. Dazu kommen 6 bis 9 Monate Recruiting- und Einarbeitungszeit, in denen die Stelle praktisch unbesetzt ist. Ein externer ISB kostet je nach Unternehmensgröße und Anforderungen typischerweise zwischen 1.400 und 5.000 Euro pro Monat. Die jährliche Einsparung gegenüber einer internen Vollzeitstelle wird mit 70.000 bis 105.000 Euro beziffert. Cognic bietet bedarfsgerechte Retainer-Modelle und Tagessätze, die für KMU und Startups eine deutlich kalkulierbarere Alternative darstellen.

3. Flexibilität und projektbezogener Einsatz

Externe ISBs lassen sich projektgenau einsetzen: für eine ISO-27001-Implementierung, eine BSI-Registrierung oder ein NIS-2-Audit, ohne langfristige Personalverpflichtungen einzugehen. Sobald das Projekt abgeschlossen ist, reduziert sich der Aufwand auf Wartung und laufende Betreuung. Diese Skalierbarkeit ist besonders für wachsende Unternehmen relevant, deren Sicherheitsanforderungen sich mit jedem regulatorischen Schritt erhöhen.

4. Cognic als externer ISB und Projektleiter

Cognic übernimmt die Rolle des externen Informationssicherheitsbeauftragten, Projektleiters oder Implementierers und liefert audit-fähige Sicherheitskonzepte, ISMS-Dokumentation und BCM-Strukturen. Diese Unterlagen sind direkt für BSI-Registrierungen und ISO-27001-Zertifizierungen nutzbar und folgen einem strukturierten Ansatz, der unnötige Iterationsschleifen im Audit-Prozess vermeidet.

5. Branchenspezifische Expertise als Entscheidungskriterium

Für Defense-Tech-Unternehmen und Supply-Chain-Dienstleister ist allgemeines Sicherheitswissen nicht ausreichend. NIS-2 erfasst ausdrücklich Einrichtungen in der Lieferkette; die Umsetzungskosten und regulatorischen Anforderungen variieren erheblich je nach Sektor. Ein generalistischer ISB ohne Hintergrund in KRITIS-Regulierung, BSI IT-Grundschutz oder Defense-spezifischen Anforderungen kann Compliance-Risiken systematisch unterschätzen, was bei Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes keine vertretbare Option ist.

Die häufigsten Umsetzungsfehler und wie Sie sie vermeiden

Die Praxis zeigt: Viele Unternehmen scheitern nicht am fehlenden Willen zur Compliance, sondern an konkreten, vermeidbaren Umsetzungsfehlern. Die folgenden fünf Fehler tauchen in der Beratungspraxis besonders häufig auf.

Fehler 1: BCM als nachrangiges Thema behandeln

Business Continuity Management ist keine Kür, sondern eine der zehn expliziten Risikomanagement-Pflichten unter NIS-2. Dennoch hatten laut einer Civey-Umfrage im Auftrag des eco-Verbands lediglich 12,1 % der befragten Unternehmen ein Notfall- und Krisenmanagement implementiert. Das bedeutet: Fast neun von zehn Unternehmen weisen hier eine offene Compliance-Lücke auf. Fehlende BCM-Dokumentation, keine getesteten Wiederanlaufpläne und unzureichende Backup-Strategien führen bei BSI-Nachweisen direkt zum Compliance-Versagen. BCM muss als eigenständiges Umsetzungsprojekt geplant und dokumentiert werden, nicht als Anhang zu anderen Maßnahmen.

Fehler 2: Supply-Chain-Sicherheit ignorieren

NIS-2 verpflichtet Unternehmen ausdrücklich zur Risikoanalyse ihrer Lieferkette und zur Sicherstellung von Third-Party-Visibility. Lieferanten-Audits und vertragliche Sicherheitsanforderungen an Dritte sind regulatorische Pflicht, keine freiwillige Best Practice. Wer diese Anforderung ignoriert, unterschätzt ein reales Angriffsszenario: Viele erfolgreiche Cyberangriffe nutzen Schwachstellen bei Zulieferern als Einfallstor. Vendor-Risk-Assessments, klare SLAs zu Sicherheitsstandards und kontinuierliches Drittanbieter-Monitoring sind die notwendigen Praxisschritte, um dieser Pflicht nachzukommen.

Fehler 3: Compliance-Automatisierung unterschätzen

Manuelle Dokumentationsprozesse für ISMS, Risikoregister und Vorfallsmeldungen sind fehleranfällig, personalintensiv und kaum skalierbar. SaaS-Plattformen zur Compliance-Automatisierung reduzieren den laufenden Aufwand erheblich und erleichtern die Nachweisführung gegenüber dem BSI spürbar. Wer auf manuelle Excel-Tabellen setzt, riskiert inkonsistente Dokumentation und verpasste Meldefristen. Die NIS-2-Richtlinie fordert einen strukturierten, nachvollziehbaren Prozess, den nur automatisierte Systeme dauerhaft zuverlässig abbilden können.

Fehler 4: Mitarbeitersensibilisierung vernachlässigen

Nur 14,6 % der Unternehmen hatten laut eco-Umfrage ihre Mitarbeitenden für NIS-2 sensibilisiert. Dabei bleibt der Mensch einer der häufigsten Angriffsvektoren: Phishing, Social Engineering und unachtsamer Umgang mit Zugangsdaten verursachen einen Großteil der Sicherheitsvorfälle. Awareness-Training ist im Pflichtenkatalog von NIS-2 verankert und umfasst sowohl Schulungen für alle Mitarbeitenden als auch separate Trainings für Leitungsorgane. Regelmäßige Phishing-Simulationen und dokumentierte Schulungsnachweise sind bei BSI-Prüfungen direkt relevant.

Fehler 5: ISO 27001 als Einmalprojekt missverstehen

ISO 27001 ist kein Projekt mit Enddatum, sondern ein kontinuierlicher Betrieb. Zertifizierungsstellen verlangen vor der Erstzertifizierung mindestens sechs Monate dokumentierten ISMS-Betrieb. Wer das ISMS nach der Erstzertifizierung nicht aktiv weiterentwickelt, interne Audits durchführt und Management-Reviews dokumentiert, scheitert bei Rezertifizierungsaudits. Der kontinuierliche Verbesserungsprozess ist kein bürokratisches Beiwerk, sondern der Kern eines wirksamen Informationssicherheitsmanagementsystems und die Grundlage für einen dauerhaft belastbaren BSI-Nachweis.

Fazit: Jetzt handeln, bevor das BSI es einfordert

Das NIS2UmsG gilt seit dem 5. Dezember 2025 und der Handlungsdruck für betroffene Unternehmen ist real. Die folgenden fünf Sofortmaßnahmen geben Ihnen einen klaren Einstiegspfad.

1. Betroffenheit prüfen Gleichen Sie Mitarbeiterzahl, Jahresumsatz und Sektor mit den gesetzlichen Schwellenwerten ab. Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz in einem der 18 regulierten Sektoren fallen grundsätzlich in den Anwendungsbereich. Klären Sie dabei, ob Sie als wichtige oder besonders wichtige Einrichtung gelten, da dies den Aufsichtsmodus des BSI unmittelbar beeinflusst.

2. Registrierungsfristen im Blick behalten Die BSI-Registrierungsfristen laufen 2026 an. Beginnen Sie jetzt mit der systematischen Dokumentation bereits implementierter Maßnahmen, damit Sie fristgerecht belastbare Nachweise vorlegen können.

3. Lückenanalyse durchführen Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den zehn NIS-2-Risikomanagement-Pflichten. Die größten Gaps liegen erfahrungsgemäß in den Bereichen BCM, Supply-Chain-Sicherheit und Incident Response.

4. ISMS-Framework wählen Entscheiden Sie auf Basis von Unternehmensgröße, Branche und internationalem Geschäft, ob ISO 27001, BSI IT-Grundschutz oder eine Kombination der richtige Rahmen ist.

5. Externen ISB prüfen Wenn interne Kapazitäten fehlen, ist ein externer Informationssicherheitsbeauftragter der effizienteste Einstieg. Cognic unterstützt Unternehmen als externer ISB, Projektleiter oder Umsetzungspartner. Ein kostenfreies Erstgespräch hilft Ihnen, den individuellen Handlungsbedarf konkret zu klären, bevor das BSI es einfordert.

Fazit

Die NIS-2-Richtlinie ist keine abstrakte Bürokratiepflicht, sondern eine konkrete Anforderung mit echten Konsequenzen. Die wichtigsten Erkenntnisse auf einen Blick:

Der erste Schritt ist einfacher als gedacht: Prüfen Sie, ob Ihr Unternehmen in den Geltungsbereich fällt, und verschaffen Sie sich einen strukturierten Überblick über die notwendigen Maßnahmen.

Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Nutzen Sie die NIS-2-Richtlinie als Chance, Ihre Sicherheitsstrategie nachhaltig zu stärken und das Vertrauen Ihrer Kunden und Partner langfristig zu sichern.

Autor

Sebastian Balz · Gründer & Geschäftsführer

Spezialisiert auf Informationssicherheit, Compliance Automation, BSI IT-Grundschutz und Informationssicherheitskonzepte für anspruchsvolle Projekt- und Beschaffungsumgebungen. In Compliance-Fragen zählt nicht nur die Methode, sondern Urteil, Erfahrung und Verantwortung.

ISO 27001 OfficerBSI IT-Grundschutz-PraktikerKI-Compliance-BeauftragterDatenschutzbeauftragter

Sicherheit, die im Audit standhält.

Wir bauen mit Ihnen die richtigen Strukturen zur richtigen Zeit auf — pragmatische Informationssicherheit, GRC und prüffähige Nachweise.