
Text: Cassini Redaktion
NIS-2 bringt neue Anforderungen für Cybersicherheit – und viele Fragen für Organisationen. Wen betrifft die Richtlinie, was ändert sich konkret und wie gelingt die Umsetzung? Wir geben einen kompakten Überblick und beantworten die wichtigsten Fragen.
NIS-2 umfasst 15 Sektoren, darunter Energie, Verkehr, Gesundheit, Trinkwasser, digitale Infrastruktur oder öffentliche Verwaltung. Als Faustregel gilt: Organisationen dieser Sektoren sind betroffen, wenn sie mindestens 50 Mitarbeitende oder 10 Mio. Euro Jahresumsatz bzw. Bilanzsumme erreichen. Weil die NIS-2-Zuordnung nicht immer eindeutig ist, wird eine strukturierte Betroffenheitsanalyse empfohlen, um Rechts- und Planungssicherheit sowie eine belastbare Grundlage gegenüber Aufsichtsbehörden zu schaffen.
Ja, mit Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 wurde die Pflicht zur Registrierung beim BSI ausgelöst. Die Frist, diese Registrierung abzuschließen, beträgt drei Monate und endet damit am 6. März 2026.
Wer die Frist zum 6. März 2026 versäumt, erfüllt nicht seine gesetzlichen Pflichten nach § 33 BSIG. Das kann unter anderem zu Bußgeldern und Haftungsrisiken für die Geschäftsleitung sowie Aufsichtsmaßnahmen durch das BSI führen.
Die Geschäftsführung haftet persönlich für die ordnungsgemäße Umsetzung der NIS-2-Anforderungen. Die Sicherheitsstrategie und deren Überwachung liegen ausdrücklich in der Verantwortung der Geschäftsleitung. Zudem gelten verpflichtende Schulungen, eine aktive Überwachungspflicht, persönliche Haftung bei schuldhafter Pflichtverletzung sowie eine klar formulierte Leistungsverantwortung.
Ja, NIS-2 erweitert die Governance- und Risikomanagementanforderungen deutlich. Parallel verschärft das KRITIS-Dachgesetz insbesondere verpflichtende Risikoanalysen, die Regelmäßigkeit (mindestens alle vier Jahre) und verpflichtende Resilienzmaßnahmen nach Stand der Technik. NIS-2 betrifft darüber hinaus häufig auch nicht-kritische Geschäftsbereiche und Tochtergesellschaften. Das Zusammenspiel von NIS-2 und KRITIS vertiefen wir in einem eigenen Inspire-Artikel.
NIS-2 fordert Maßnahmen nach anerkannten Standards. Ein ISMS nach ISO 27001 kann eine sehr gute Basis sein, jedoch zeigen sich typische Lücken bei: Managementverankerung, dokumentierte Risikosteuerung, Lieferketten- und Providermanagement, Krisen- und Notfallübungen sowie der Nachweisführung gegenüber Behörden.
Ja, denn das Risikomanagement umfasst auch die Abhängigkeiten von IT-Dienstleistern, Cloud-Anbietern, Managed Service Providern und Softwarelieferanten. Verträge, SLA-Strukturen und Kontrollmechanismen müssen überprüft werden. Die Lieferketten-Resilienz wird in der NIS-2-Richtlinie explizit adressiert.
Die Bandbreite der Aufwände und Kosten ist erheblich abhängig von bestehender Reife, Branche, Größe und Internationalität der Organisation. Typischerweise entstehen Aufwände in den Bereichen Maßnahmen zur Risikobehebung, Einstellung von Know-How-Trägern (ISMS und BCM), Dokumentation und Reporting, Schulungen sowie Prozessanpassungen.
NIS-2 verlangt nicht nur Umsetzung, sondern auch Nachweisbarkeit. Konkret bedeutet das: dokumentierte Prozesse, nachvollziehbare Risikobewertungen, Managementberichte, Schulungsnachweise und Notfallübungen. Kurzum: Resilienz muss belegbar sein. Die Einhaltung kann aktiv durch die zuständige Aufsichtsbehörde überprüft werden. Unter anderem durch anlassunabhängige Aufsicht, anlassbezogene Prüfung, Vor-Ort-Prüfungen und Audits.
NIS-2 ist ein struktureller Weckruf: Cyberrisiken gehören auf die Agenda der Geschäftsleitung – die Zeit zum Handeln ist jetzt. Die Fristen laufen, die Anforderungen sind konkret und die Nachweispflichten beginnen bereits mit der Betroffenheitsanalyse und der Registrierung. Für Organisationen bietet NIS-2 die perfekte Gelegenheit, sich strategisch zu stärken – über die Einhaltung gesetzlicher Vorgaben hinaus zur nachhaltigen Verbesserung ihrer Resilienz gegen Cyber- und Betriebsrisiken.
Cassini begleitet Sie dabei mit strukturierten Analyse-, Umsetzungs- und Management-Services. Hier geht es zu unserer Betroffenheitsanalyse und allen weiteren Schritten, die für eine sichere NIS-2-Umsetzung jetzt entscheidend sind.

