Von der Richtlinie zur Praxis

NIS-2 mit einem ISMS strukturiert umsetzen

Cyber Security, Cybersicherheit, EU, NIS2, Richtlinie
LinkedInRedditWhatsApp

Die NIS-2-Richtlinie (EU) 2022/2555 (NIS-2-RL) markiert einen Wendepunkt in der europäischen Cybersicherheitsregulierung: Mehr Unternehmen als je zuvor geraten in den Fokus, die Anforderungen werden konkreter und vor allem verbindlicher.

Für viele Organisationen stellt sich damit nicht mehr die Frage, ob sie handeln müssen, sondern wie sie die Vorgaben strukturiert und nachhaltig umsetzen können. Genau hier setzt ein Informationssicherheits-Managementsystem (ISMS) an: als organisatorischer Rahmen, der hilft, Risiken systematisch zu steuern, Verantwortlichkeiten zu klären und Compliance nachweisbar zu machen. Doch welche Vorteile bietet ein ISMS konkret?

Anzeige

NIS-2 und BSIG im rechtlichen Überblick

Historisch betrachtet gehört die Phase der letzten Jahre zu den intensivsten regulatorischen Verdichtungen im Bereich der europäischen Informationssicherheit, insbesondere durch NIS-2, DORA, CER und CRA. Mit der NIS-2-RL verschärft die Europäische Union die Anforderungen an die Cybersicherheit für gesamtwirtschaftlich und gesellschaftlich relevante Organisationen in der Europäischen Union. Die NIS-2-RL wurde zum 6. Dezember 2025 durch die Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) in deutsches Recht umgesetzt. Das bedeutet, dass für Unternehmen, die am Wirtschaftsstandort Deutschland tätig sind und die Kriterien erfüllen, das BSIG gilt und grds. das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Melde- und Aufsichtsbehörde zuständig ist. 

Während sich die ursprüngliche NIS-1-Richtlinie (NIS-1-RL) aus dem Jahre 2016 auf vergleichsweise wenige kritische Sektoren konzentrierte, erweitert das BSIG den Geltungsbereich für betroffene Einrichtungen erheblich und unterscheidet dabei in zwei Gruppen: besonders wichtige (“essential”) und wichtige (“important”) Einrichtungen, abhängig von drei Kriterien: Branche + Unternehmensgröße + Kritikalität der erbrachten Leistung für Wirtschaft und Gesellschaft. In den Geltungsbereich des NIS-2-Umsetzungsgesetz fallen 18 Sektoren, u.a. Öffentliche Verwaltung, IKT-Dienstmanagement (z. B. MSPs, Cloud) sowie Post- und Kurierdienste, Abfallwirtschaft oder Lebensmittelproduktion/-verarbeitung. Wenn in diesen Bereichen der Betrieb zusammenbricht, kann sich das über Ausfälle in Lieferketten, Dienstleistungen und Infrastrukturen schrittweise zu einer breiteren Krisen- oder Katastrophenlage  hochschaukeln.

Der Kreis der unmittelbar betroffenen Unternehmen durch das BSIG hat sich dadurch auf schätzungsweise knapp 30.000 Unternehmen erweitert. Hinzu kommt, dass über Lieferketten ein systemischer Druck auf weite Teile der Wirtschaft entfaltet und weitergereicht wird. Für viele Unternehmen stellt sich daher die zentrale Frage: Wie können die Anforderungen aus dem BSIG strukturiert und nachhaltig erfüllt werden? Die Antwort liegt im Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS). 

Anzeige

ISMS im Überblick

Ein ISMS ist kein fertiges Tool, kein Produkt und auch kein Zertifikat. ISMS steht für Informationssicherheits-Managementsystem (ISMS) und ist eine organisatorische Herangehensweise, die Sicherheit der Organisationsinformationen systematisch zu managen. Durch eine systematische Betrachtung der eigenen Organisation werden die individuellen Schutzbedarfe erfasst, Risiken identifiziert und priorisiert sowie Maßnahmen zur Sicherheit von Informationswerten verankert. Solch ein ISMS beruht auf dem kontinuierlichen Verbesserungsprozess, in dem das Managementsystem und alle seine Bestandteile stetig überprüft und angepasst werden, damit sie eine möglichst hohe Wirksamkeit entfalten und nicht an den Organisationsbedarfen vorbeiarbeiten.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Sechs große Veränderungen durch das BSIG und wie ein ISMS helfen kann, die Anforderungen des Gesetzes zu erfüllen

Das BSIG verlangt ein systematisches, risikobasiertes Management der Informationssicherheit. Ein ISMS ist daher das naheliegende Umsetzungsmodell, da es genau diese risikobasierte organisatorische Steuerung im Fokus hat. Ein konkreter Standard, nach dem das ISMS aufgebaut und betrieben werden soll, ist nicht gesetzlich vorgeschrieben. Das BSI weist aber auf die ISO/IEC 27001 ff. und den IT-Grundschutz als geeignete Standards hin. Dieser Artikel bezieht sich auf die ISO/ IEC 27001 – wenn es also heißt, dass ein ISMS dabei hilft diese Anforderung zu erfüllen, dann ist ein ISMS nach ISO/IEC 27001 ff. gemeint. Viele nationale bzw. sektorspezifische Standards und Frameworks für ISMS (z.B. ITGrundschutz, CISIS12, VdS10000, TISAX) bauen auf die ISO/IEC 27001 auf bzw. sind kompatibel zu ihr. Deshalb wird sie auch als internationaler Goldstandard bezeichnet.

1) Erweiterter Geltungsbereich und mehr betroffene Unternehmen

Der erweiterte Kreis von betroffenen Organisationen bedeutet für Unternehmen zunächst die Pflicht, die eigene Betroffenheit sauber zu prüfen, sich im Zweifel beim BSI zu registrieren und erforderliche Zuständigkeiten im eigenen Unternehmen festzulegen. Insbesondere kleine- und mittelständische Unternehmen (KMU) geraten erstmals in eine formale Sicherheitsregulierung und müssen sich mit Betroffenheitsprüfung und Nachweispflichten beschäftigen. Diese Prüfung erfolgt nicht nur anhand der Branche, sondern auch anhand von Größenmerkmalen und Tätigkeiten. Für KMU ist das relevant, weil sie oft in Lieferketten kritischer oder regulierter Unternehmen wirtschaften und dadurch indirekt von den Anforderungen betroffen sind. Die Betroffenheitsprüfung wird damit zu einem eigenständigen Managementschritt und nicht zu einer reinen Rechtsfrage am Rand.

Ein ISMS hilft dabei die Anforderungen zu erfüllen, u. a. …

  • … weil es Organisationseinheiten, Prozesse, Informationswerte, Beziehungen und Verantwortlichkeiten strukturiert sichtbar macht und verwaltet. So lässt sich die Betroffenheit vom BSIG nicht „aus dem Bauch heraus“, sondern anhand von dokumentierten Geschäftsprozessen, Systemen und Dienstleistungsbeziehungen prüfen.
  • … da gerade bei KMU, wo oftmals keine ausgereiften Governance-Strukturen für die Unternehmensführung existieren, ein ISMS die erste belastbare Struktur schafft.

2) Wandel von einzelnen Sicherheitsmaßnahmen zu einem systematischen Risikomanagement mit konkreten Mindestmaßnahmen

Die zweite große Veränderung ist gem. § 30 BSIG der Wechsel zu einem ausdrücklich risikobasierten Sicherheitsmanagement mit einem Mindestkatalog an Maßnahmen. Es geht nicht mehr nur um punktuelle technische Schutzmaßnahmen, sondern um einen systematischen Rahmen für Risikomanagement und der Einführung von Sicherheitsmaßnahmen zur Vorbeugung, Erkennung und Behebung von Sicherheitsvorfällen (Prävention, Detektion, Korrektur) und der Aufrechterhaltung bzw. Wiederherstellung des Geschäftsbetriebes (BCM). 

Für die Praxis heißt das: Unternehmen müssen ihre Risiken nicht nur kennen, sondern auch nachvollziehbar bewerten, priorisieren und mit geeigneten Maßnahmen behandeln. 

Ein ISMS hilft dabei die Anforderungen zu erfüllen, u. a. …

  • … da es genau dieses Vorgehen beim Risikomanagement abbildet: Erst Risiken beurteilen und durch passende Sicherheitsmaßnahmen behandeln sowie die Umsetzung der Maßnahmen nachvollziehbar dokumentieren, um dessen Wirksamkeit zu prüfen und kontinuierlich zu verbessern.
  • … da es ein breites Spektrum an vielfältigen Sicherheitsmaßnahmen gestaltet, in der die einzelnen Maßnahmen sich gegenseitig ergänzen und es so zu einem vielschichtigen Sicherheitsnetz für die Organisation wird.

3) Cybersicherheit wird zur Management- und Governance-Aufgabe und damit zur Chef:in-Sache

Durch § 38 BSIG wird die Informationssicherheit ausdrücklich zur Führungsaufgabe und stellt damit die dritte große Veränderung dar. Dies umfasst Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen. Dabei beschränkt sich die Pflicht laut BSI nicht auf Geschäftsführende und Vorstände, sondern nimmt auch andere Führungskräfte eines Unternehmens in die Verantwortung. Damit werden Personen mit Leitungsbefugnissen verpflichtet, sich mit Informationssicherheit auseinanderzusetzen und im Geschäftsbetrieb einen systematischen Umgang mit Cyberrisiken zu ermöglichen. Wird dieser Pflicht nicht nachgekommen, droht, unter Umständen, persönliche Haftung. Konkret bedeutet dies, dass ein Unternehmen seine eigenen Geschäftsleitungen zivilrechtlich in die Verantwortung nehmen kann, sollte die Leitungsperson ihren Pflichten aus dem BSIG nicht nachkommen und durch dieses Versäumnis dem Unternehmen ein Schaden entstehen.

Unternehmen müssen glaubhaft nachweisen, dass sich ihr Führungspersonal mit Informationssicherheit auseinandergesetzt, über den aktuellen Stand der Risiken und Sicherheitsmaßnahmen Bescheid weiß, entsprechende Entscheidungen trifft und Ressourcen bereitstellt, um eine Verbesserung der Informationssicherheit zu ermöglichen. Dies ist besonders wichtig, da in kleineren Organisationen Aufgaben oft informell verteilt sind und Verantwortlichkeiten sowie Prozesse intransparent oder kaum dokumentiert werden.

Ein ISMS hilft dabei die Anforderungen zu erfüllen, u. a. …

  • … weil es Rollen, Verantwortlichkeiten, Freigaben, Managementbewertungen und Richtlinien-Entscheidungen formell verankert. Dadurch kann die Leitung ihre Pflichten nachweisbar wahrnehmen, statt informell „mitzudenken“. Besonders für KMU ist das wertvoll, weil ein ISMS die Governance aus dem Bauchgefühl in ein wiederholbares System überführt.
  • … da ein wesentlicher Grundsatz des ISMS ist, dass zwar die operative Umsetzung an Mitarbeitende delegiert werden kann, aber die Hauptverantwortung letztlich immer bei den Geschäftsleitungen liegt. Ein ISMS fordert die Selbstverpflichtung und das Engagement der Obersten Leitung.

4) Verschärfte Meldepflichten und Notfallmanagement-Prozesse

Die vierte große Veränderung ist die deutlich strengere und strukturiertere Behandlung von Sicherheitsvorfällen. Neben der allgemeinen Bewältigung dieser Sicherheitsvorfälle, verlangt § 32 BSIG, dass erhebliche Vorfälle in einem mehrstufigen Verfahren an die zuständigen Behörden gemeldet werden müssen. Diese Meldepflicht ist kleinteilig samt Fristen geregelt und setzt in dieser Form einen funktionierenden Prozess für Erkennung, Bewertung und Meldung voraus. Dabei sind die Meldefristen von unverzüglich bis spätestens 24 Stunden nach Kenntniserlangung für eine Erstmeldung sowie spätestens nach 72 Stunden nach Kenntniserlangung für eine ausführlichere Meldung so kurz gehalten, dass die zuständigen Behörden dessen Ausbreitung und Auswirkungen eindämmen können. Anschließend ist von dem betroffenen Unternehmen eine Fortschritts- oder Abschlussmeldung gefordert, in dem der erhebliche Sicherheitsvorfall aufgearbeitet wird. 

Für Unternehmen bedeutet dies, dass sie definierte Schwellenwerte, eine Vorfallklassifizierung, klare Eskalationswege und einen geübten Meldeprozess brauchen, um diese Anforderungen zu erfüllen. Damit bleibt das Vorgehen bei Sicherheitsvorfällen kein unorganisiertes Handeln mit ad-hoc Einzelschritten, sondern ein organisatorischer Pflichtprozess mit Verantwortlichkeiten, Fristen und Dokumentation.

Ein ISMS hilft dabei die Anforderungen zu erfüllen, u. a. …

  • … weil es das Notfallmanagement und seine Bestandteile aus technischen Sofortmaßnahmen, internen und externen Kommunikationsmaßnahmen sowie Dokumentationsmaßnahmen mit anschließenden Übungen und Lessons Learned als Prozesse etabliert.
  • … da Dokumentation und Nachweisführung Kernbestandteile eines ISMS sind, die wiederum die Belegbarkeit gegenüber den überwachenden Behörden ermöglicht.

5) Lieferkette, Dienstleister und Drittparteien im Fokus

Als fünfte große Veränderung wird nun die Lieferkette explizit einbezogen. § 30 Abs. 2 Nr. 4 BSIG ist dahingehend deutlich und fordert, dass die Sicherheitsmaßnahmen auch die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen umfasst. 

Damit enden Sicherheitsanforderungen nicht an der Unternehmensgrenze, sondern umfassen alle direkten Bestandteile und Aspekte der Wertschöpfungskette. Die Lieferkette ist somit nicht optional zu betrachten, sondern als Teil des Gesamtsystems und muss im Management der Informationssicherheit berücksichtigt werden. 

Für Unternehmen heißt das, dass sie ein tiefes Prozessverständnis ihrer Anbieter erreichen müssen und sich ihr Risikomanagement nun auch auf die Ebenen der Zulieferer erstrecken muss. Dies setzt zukünftig eine noch engere Zusammenarbeit mit diesen Unternehmen voraus. Direkt betroffene Unternehmen sind verpflichtet, dass sie ihre Dienstleister risikobasiert auswählen, vertraglich verpflichten, kontrollieren und bei Bedarf neu bewerten müssen. Ohne eine solche vorherige Überprüfung und Auswahl darf kein Unternehmen beauftragt werden.

Ein ISMS hilft dabei die Anforderungen zu erfüllen, u. a. …

  • … weil es Lieferantenklassifikation, Bewertungsprozesse, Vertragsanforderungen, Kontrollzyklen und Nachverfolgung systematisch regelt. Damit baut ein sog. Cyber-Supply Chain Risk Management (C-SCRM) auf ein starkes ISMS-Fundament auf und wird zu einem kontrollierten Bestandteil der Sicherheitsorganisation.
  • … da es Strukturen und Methoden schafft, die für solch ein Lieferantenmanagement, welches Transparenz, Nachvollziehbarkeit und Beweisbarkeit voraussetzt, notwendig sind.

6) Mehr Aufsicht, Nachweis und Sanktionsdruck.

Die sechste und letzte große Veränderung ist die Verschärfung der Aufsichts- und Durchsetzungsregelungen. Betroffene Einrichtungen müssen ihre Pflichten nicht nur erfüllen, sondern auch gegenüber dem BSI als zuständiger Behörde, nachweisen können. Dazu kommen Aufsichtsbefugnisse und spürbare Sanktionen bei Verstößen. Damit werden die Zuständigkeiten und Kompetenzen des BSI wesentlich gestärkt.

Für Unternehmen bedeutet dies, dass Dokumentation zum Arbeitsalltag wird, da ohne schriftliche Nachweise keine belastbare Compliance möglich ist. KMU haben hier oft den größten Nachholbedarf, weil sie zwar Maßnahmen umsetzen, aber selten sauber dokumentieren, auditieren und aktualisieren. Die Aufsicht verschiebt die Diskussion von „Haben wir etwas getan?“ zu „Können wir es belegen, erklären und verbessern?“.

Ein ISMS hilft dabei die Anforderungen zu erfüllen, u. a. …

  • … weil es genau diese Nachweise systematisch erzeugt. Richtlinien, Verfahrensanweisungen, Risikoregister, Maßnahmenpläne und -kontrollen, Managementbewertung und Auditberichte gehören zum Standard-Repertoire eines ISMS. 
  • … da die Dokumentenlenkung, also Verwaltung von Dokumenten über ihren gesamten Lebenszyklus hinweg, in der ISMS-Systematik eingebettet ist.
  • … da hier Compliance nicht an Einzelpersonen hängt, sondern organisatorisch verankert ist.

Fazit

Die Anforderungen des BSIG sind durch keine Einzelmaßnahme zu erfüllen, sondern müssen als umfassende Managementaufgabe verstanden werden: Betroffenheit prüfen, Risiken systematisch steuern, Vorfälle beherrschen, Lieferketten einbeziehen und Entscheidungen belastbar dokumentieren. Ein ISMS nach ISO/IEC 27001 bietet dafür den passenden organisatorischen Rahmen und ermöglicht Informationssicherheit strategisch in einem Unternehmen zu verankern. 


Rogall

Jan

Rogall

Senior Projektmanager

Cybersicherheit im Mittelstand

Jan Rogall ist Senior Projektmanager bei der Transferstelle Cybersicherheit im Mittelstand und leitet die kostenfreie Workshopsreihe ISMS-Werkstatt.
Anzeige

Artikel zu diesem Thema

31. Juli
17. Juni 2026
BSI setzt Nachfrist: NIS2-Registrierung bis Ende Juli

Weitere Artikel

Exploit-Kette bedroht Ubiquiti-Server: Volle Kontrolle ohne Login
Was ist Mobile Device Management (MDM)?
Cyberabwehr beginnt bei der Netzwerkinfrastruktur
Alarm ohne Kontext: Datenblindheit gefährdet die Cyber-Abwehr
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.