Thought Leadership
Endlich, möchte man sagen, kommt Bewegung in den NIS2-Prozess. Nach mehr als einem Jahr Verzögerung hat der Bundestag das NIS2-Umsetzungsgesetz verabschiedet.
Die EU-Richtlinie zur Netzwerk- und Informationssicherheit zielt darauf ab, europaweit einheitliche Mindeststandards für Cybersicherheit zu etablieren und die Resilienz kritischer Infrastrukturen zu stärken. Betroffen sind Schätzungen zufolge rund 40.000 Unternehmen aus 18 Sektoren, die nun unter erheblichem Zeitdruck ihre IT-Sicherheitsarchitektur überprüfen und anpassen müssen. Es herrscht also akuter Handlungsbedarf. Unternehmen sollten deshalb sofort die folgenden Schritte angehen:
1. Betroffenheitsprüfung: Gilt die NIS2 für Ihr Unternehmen?
Der erste und wichtigste Schritt ist die eindeutige Klärung, ob Ihr Unternehmen unter die NIS2-Regulierung fällt. Dies ist keine triviale Frage mehr. Der Anwendungsbereich könnte sich deutlich von den bisher avisierten 30.000 Einrichtungen erhöhen, da nun sämtliche Aktivitäten eines Unternehmens berücksichtigt werden sollen, ausgenommen vernachlässigbare Geschäftstätigkeiten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine Betroffenheitsprüfung bereit, die als Ausgangspunkt dient. Entscheidend sind die Zugehörigkeit zu einem der 18 regulierten Wirtschaftssektoren, die Unternehmensgröße sowie der Jahresumsatz.
Die Unterscheidung zwischen „besonders wichtigen” und „wichtigen” Einrichtungen ist dabei nicht nur akademisch: Während beide Kategorien die gleichen Risikomaßnahmen umsetzen müssen, werden besonders wichtige Einrichtungen regelmäßig behördlich überprüft, wichtige Einrichtungen hingegen nur anlassbezogen. Alle wesentlichen und wichtigen Einrichtungen müssen sich innerhalb von drei Monaten nach Identifizierung registrieren. Diese Registrierung ist der erste formale Schritt in die Compliance.
2. Gap-Analyse: Wo stehen Sie wirklich?
Nachdem die Betroffenheit geklärt ist, folgt die ehrliche Bestandsaufnahme. Eine umfassende Analyse muss zeigen, welche der geforderten Maßnahmen bereits implementiert sind und wo Lücken klaffen. Die NIS2-Richtlinie fordert konkrete technische und organisatorische Maßnahmen zum Risikomanagement, darunter: Risikoanalysen, Incident-Response-Prozesse, Business-Continuity-Management, Sicherheit der Lieferketten, Sicherheitskonzepte für Beschaffung und Entwicklung sowie Konzepte zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen.
Deutlich verschärft wurde die Meldepflicht: Unternehmen müssen Sicherheitsvorfälle unverzüglich dem BSI melden, mit einem vorläufigen Bericht innerhalb von 24 Stunden, einem vollständigen Bericht innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Viele Unternehmen unterschätzen den organisatorischen Aufwand, der mit diesen Meldeprozessen verbunden ist. Hier gilt es, nicht nur technische Lösungen, sondern auch klare interne Eskalations- und Kommunikationswege zu etablieren.
3. Konsolidierung der Security-Tools: Jetzt oder nie
Die NIS2-Implementierung bietet eine strategische Chance, die oft gewachsene und fragmentierte IT-Sicherheitslandschaft grundlegend zu überdenken. Viele Unternehmen kämpfen mit einer Vielzahl von Einzellösungen: Firewall hier, Endpoint-Security dort, separates Cloud Access Security Broker (CASB), isolierte Secure Web Gateways, verschiedene Monitoring-Tools ohne zentrale Korrelation. Diese Tool-Vielfalt führt zu Komplexität, erhöhten Kosten, Sichtbarkeitslücken und ineffizienten Prozessen.
Hier kommt Secure Access Service Edge (SASE) ins Spiel. SASE konvergiert Netzwerk- und Sicherheitsfunktionen in einer Plattform und bietet genau die ganzheitliche Sicherheitsarchitektur, die die NIS2 fordert. Eine moderne SASE-Lösung integriert Funktionen wie Zero Trust Network Access (ZTNA), Firewall-as-a-Service, Secure Web Gateway, CASB und Data Loss Prevention (DLP) in einer einheitlichen Plattform und erfüllt gleichzeitig die Anforderungen an die digitale Souveränität. Dies vereinfacht nicht nur die Umsetzung der NIS2-Anforderungen erheblich, sondern verbessert auch die operative Effizienz.
Der entscheidende Vorteil: SASE bietet eine konsolidierte Sichtbarkeit über alle Nutzer, Geräte und Anwendungen hinweg – unabhängig vom Standort. Die für NIS2 erforderlichen kontinuierlichen Risikoanalysen, das Monitoring und die Incident Detection werden durch die zentrale Architektur deutlich effektiver. Wer jetzt ohnehin in die Security-Infrastruktur investieren muss, sollte auf zukunftsfähige, konsolidierte Lösungen setzen, statt weitere Insellösungen hinzuzufügen.
4. Governance und Verantwortlichkeiten: Management in die Pflicht nehmen
Ein oft unterschätzter Aspekt der NIS2 ist die persönliche Haftung der Geschäftsführung. Die Richtlinie verpflichtet die Leitungsorgane explizit, Cybersicherheitsmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und sich regelmäßig schulen zu lassen. Cybersecurity ist damit endgültig Chefsache – nicht nur rhetorisch, sondern mit rechtlichen Konsequenzen.
Unternehmen müssen klare Governance-Strukturen etablieren: Wer trägt die Verantwortung für die Informationssicherheit? Wie sind die Entscheidungswege definiert? Wie wird die Geschäftsführung regelmäßig über die Sicherheitslage informiert? Die Benennung eines Chief Information Security Officers (CISO) oder einer vergleichbaren Rolle ist für viele Unternehmen unumgänglich. Diese Rolle muss mit entsprechenden Kompetenzen und Ressourcen ausgestattet werden.
Handeln statt Hoffen
Die Verabschiedung des NIS2-Umsetzungsgesetzes markiert das Ende der Ungewissheit – und den Beginn der Umsetzungsphase. Unternehmen, die gehofft haben, die Regulierung würde sich noch länger verzögern oder sie würde nicht unter den Anwendungsbereich fallen, müssen jetzt umdenken. Die NIS2 ist keine abstrakte EU-Vorgabe mehr, sondern geltendes Recht mit erheblichen Konsequenzen bei Nichteinhaltung.
Wer die NIS2-Umsetzung als Chance begreift, seine Security-Architektur zu modernisieren und zu konsolidieren, kann jedoch aus der Regulierung einen strategischen Vorteil ziehen. Der Umstieg auf integrierte Plattformen wie SASE vereinfacht nicht nur die Compliance, sondern schafft auch die Grundlage für eine zukunftsfähige, agile IT-Sicherheit. Auf diese Weise kann die NIS2 aus einem vermeintlichen Kostenfaktor sogar zu einem Kostensenker werden.
