Klarer Ablauf spart Zeit

NIS-2 richtig angehen: Worauf es jetzt wirklich ankommt

NIS2
LinkedInRedditWhatsApp

Für viele Unternehmen beginnt NIS-2 mit offenen Fragen. Zwar ist schnell klar, dass neue regulatorische Anforderungen gelten, doch oft bleibt unklar, welche Maßnahmen tatsächlich notwendig sind und wo der Einstieg erfolgen sollte.

Gerade im laufenden Betrieb fehlt häufig die Zeit, sich parallel intensiv mit Compliance-Vorgaben auseinanderzusetzen.

Anzeige

Dabei geht es bei NIS-2 nicht darum, möglichst schnell neue Sicherheitssoftware einzuführen. Entscheidend ist vielmehr, ob Unternehmen Risiken nachvollziehbar steuern, Verantwortlichkeiten festlegen und ihre Maßnahmen sauber dokumentieren können. Genau dieser organisatorische Aufbau wird in der Praxis häufig unterschätzt.

Zuerst klären, warum das Unternehmen betroffen ist

Am Anfang steht die Einordnung der eigenen Betroffenheit. Für viele Organisationen bildet das deutsche BSI-Gesetz die Grundlage. Dort wird geregelt, welche Einrichtungen unter die Anforderungen fallen.

Zusätzlich gelten für bestimmte digitale Anbieter weitere Vorgaben. Dazu gehören unter anderem Cloud-Anbieter, Rechenzentren, Managed Services oder digitale Plattformen. In diesen Fällen ist insbesondere die EU-Durchführungsverordnung 2024/2690 relevant, weil sie konkrete technische und organisatorische Anforderungen beschreibt.

Anzeige

Diese Unterscheidung ist wichtig, denn davon hängt ab, welche Maßnahmen umgesetzt werden müssen und welche Nachweise später erwartet werden.

Die Anforderungen strukturiert aufbauen

Welche Anforderungen konkret gelten, hängt davon ab, auf welcher Grundlage das Unternehmen unter NIS-2 fällt. Für viele Organisationen ist § 30 BSI-Gesetz der zentrale Einstiegspunkt. Dort werden Maßnahmenbereiche genannt, darunter Risikoanalysen, Vorfallmanagement, Lieferkettensicherheit, Zugriffskontrollen, Verschlüsselung oder Schulungen.

Für bestimmte digitale Anbieter reicht dieser Blick jedoch nicht aus. Cloud-Anbieter, Rechenzentren, Managed Service Provider, Managed Security Service Provider oder digitale Plattformen müssen zusätzlich die EU-Durchführungsverordnung 2024/2690 berücksichtigen. Diese geht deutlich stärker ins Detail und beschreibt konkrete technische, organisatorische und methodische Anforderungen. Der Umsetzungsaufwand ist dadurch in der Regel höher, weil nicht nur Maßnahmen aufgebaut, sondern auch Prüfungen, Nachweise und Dokumentationen systematischer geführt werden müssen.

Wichtig ist deshalb vor allem ein systematisches Vorgehen. Unternehmen sollten die Anforderungen nicht als lose Sammlung einzelner Aufgaben betrachten, sondern als zusammenhängende Struktur. Zuerst muss klar sein, welche Regelwerke tatsächlich einschlägig sind. Danach sollten die Anforderungen thematisch geordnet, mit bestehenden Prozessen abgeglichen und Schritt für Schritt umgesetzt werden.

Genau hier liegt häufig die größte Herausforderung. Denn NIS-2 ist kein klassisches IT-Projekt. Neue Firewalls oder zusätzliche Sicherheitssoftware allein reichen nicht aus. Stattdessen müssen Unternehmen nachvollziehbar regeln, wie Risiken bewertet werden, wer verantwortlich ist, wie Sicherheitsvorfälle behandelt werden und wie die Umsetzung später nachgewiesen werden kann.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Dokumentation wird zum zentralen Bestandteil

Ein wesentlicher Teil der Anforderungen betrifft die Dokumentation. Unternehmen müssen nachweisen können, welche Maßnahmen umgesetzt wurden und wie Entscheidungen zustande kommen.

Dazu gehören unter anderem:

  • strukturierte Risikobewertungen
  • klar definierte Zuständigkeiten
  • dokumentierte Abläufe bei Sicherheitsvorfällen
  • Bewertungen sicherheitsrelevanter Dienstleister
  • regelmäßige Überprüfungen bestehender Maßnahmen

Viele Vorgaben bleiben dabei bewusst allgemein formuliert. Gerade Unternehmen ohne Erfahrung mit Compliance-Projekten stehen deshalb häufig vor der Herausforderung, regulatorische Anforderungen sinnvoll in bestehende Prozesse zu integrieren.

Struktur spart Zeit und Aufwand

Um unnötigen Aktionismus zu vermeiden, empfiehlt sich ein klarer Ablauf: zuerst die eigene Betroffenheit prüfen, anschließend die relevanten Anforderungen identifizieren und danach konkrete Maßnahmen umsetzen.

Hilfreich sind dabei insbesondere die Leitfäden der ENISA sowie die aktuellen Handreichungen des BSI. Beide bieten praktische Orientierung für die Umsetzung und helfen dabei, typische Fehler frühzeitig zu vermeiden.

Trotzdem bleibt NIS-2 für viele Unternehmen anspruchsvoll. Deshalb kann es sinnvoll sein, frühzeitig externe Unterstützung einzubeziehen, um Fehlentscheidungen und unnötigen Mehraufwand zu vermeiden.

Am Ende entscheidet nicht die Anzahl eingesetzter Sicherheitslösungen über den Erfolg, sondern die Fähigkeit, Risiken nachvollziehbar zu steuern und Maßnahmen dauerhaft organisatorisch zu verankern.


Reinke

Joachim

Reinke

Experte für Informationssicherheit

einfachISO

Joachim Reinke ist Experte für Informationssicherheit und Mitglied des Teams von einfachISO. Er begleitet IT-Dienstleister, Software-Agenturen und SaaS-Unternehmen auf ihrem Weg zur ISO 27001-Zertifizierung. Sein Schwerpunkt liegt auf klar strukturierten, praxisnahen Lösungen speziell für kleine und mittlere Unternehmen. Bereits über 100 Unternehmen hat er erfolgreich bis zur Zertifizierung geführt.
Anzeige

Artikel zu diesem Thema

20. Mai 2026
NIS2 und Cyberangriffe: Adlon schafft Security-Einstieg für KMU

Weitere Artikel

Wenn Digitale Souveränität zu Europas Verteidigungsfrage wird
Der Angriff auf Unikliniken offenbart Systemversagen in der Lieferkette
Exploit-Angriffe überholen Zugangsdaten-Diebstahl
OT-Sicherheit: Vom Perimeterschutz zu identitätsbasiertem Datenverkehr
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.