Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Anmelden oder registrieren
Zurück zur Übersicht
Foto: Taylor Vick auf Unsplash
Regulatorik15. April 20269 Min. Lesezeit

NIS-2-Umsetzung in Deutschland: Was Geschäftsleitungen 2026 wissen müssen

Von CIVAC Redaktion9 Min. Lesezeit

Das deutsche NIS2UmsuCG verschärft die BSIG-Pflichten für wesentliche und wichtige Einrichtungen, mit persönlicher Haftung der Geschäftsleitung, gestaffelten Meldefristen und einem erweiterten Sektorenkatalog. Ein Überblick für Vorstand und Geschäftsführung.

Die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, besser bekannt als NIS-2-Richtlinie, ist seit dem 16. Januar 2023 in Kraft. Die Mitgliedstaaten waren verpflichtet, sie bis zum 17. Oktober 2024 in nationales Recht zu überführen. Deutschland hat diese Frist gerissen; das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG) befindet sich noch im parlamentarischen Verfahren und wird die bestehende Systematik des BSI-Gesetzes (BSIG) grundlegend umbauen. Für Geschäftsleitungen bedeutet das: Die Frage ist nicht mehr, ob die neuen Pflichten greifen, sondern wann, und wie die Nachweise aussehen sollen, wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) anfragt.

Was NIS-2 im Kern ändert

NIS-2 erweitert den Anwendungsbereich drastisch. Wo die Vorgängerrichtlinie noch auf Betreiber kritischer Infrastrukturen zielte, umfasst NIS-2 nun deutlich mehr Sektoren und führt zwei Kategorien ein: wesentliche Einrichtungen (essential entities) und wichtige Einrichtungen (important entities). Die Abgrenzung erfolgt anhand von Sektor, Unternehmensgröße und Jahresumsatz. Nach aktuellem Stand des Regierungsentwurfs fallen in Deutschland rund 29.500 Unternehmen unter die Richtlinie, zuvor waren es nur wenige Tausend.

Betroffene Sektoren

Die Richtlinie unterscheidet zwischen Sektoren mit hoher Kritikalität (Anhang I) und sonstigen kritischen Sektoren (Anhang II). Zu den wesentlichen Einrichtungen zählen typischerweise große Unternehmen aus Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitaler Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentlicher Verwaltung und Raumfahrt. Zu den wichtigen Einrichtungen gehören unter anderem Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (einschließlich Medizinprodukte, Datenverarbeitungsgeräte, Maschinen, Kraftwagen) sowie Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, Plattformen für soziale Netzwerke).

Meldepflichten: die 24/72/30-Regel

Das neu gefasste BSIG sieht eine gestaffelte Meldepflicht für erhebliche Sicherheitsvorfälle vor. Die Fristen laufen ab Kenntnis des Vorfalls:

  • Frühwarnung innerhalb von 24 Stunden, mit erster Einschätzung, ob der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob grenzüberschreitende Auswirkungen wahrscheinlich sind.
  • Vorfallmeldung innerhalb von 72 Stunden, mit Aktualisierung der Einschätzung sowie Angaben zu Art, Umfang und bekannten Auswirkungen.
  • Abschlussbericht innerhalb eines Monats nach Vorfallmeldung, mit ausführlicher Beschreibung des Vorfalls, Grundursache, ergriffenen Maßnahmen und grenzüberschreitenden Folgen.

Darüber hinaus sind während eines andauernden Vorfalls Zwischenmeldungen auf Anforderung des BSI zu übermitteln. Adressat der Meldungen ist das BSI als zentrale Meldestelle; für bestimmte Sektoren können zusätzliche sektorspezifische Behörden vorgesehen sein.

Risikomanagement nach § 30 BSIG (n. F.)

Wesentliche und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen. Der Pflichtkatalog orientiert sich am Stand der Technik und umfasst unter anderem Konzepte zur Risikoanalyse, Sicherheit des Personals, Zugriffskontrolle, Krypto- und Schlüsselmanagement, Mehrfaktor-Authentifizierung, gesicherte Kommunikationssysteme, Backup- und Krisenmanagement, Cybersicherheit in der Lieferkette sowie Schulungsprogramme.

Schulungspflicht für die Geschäftsleitung

Neu und besonders praxisrelevant: Die Mitglieder der Geschäftsleitung müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Managementpraktiken im Bereich des Cybersicherheitsrisikomanagements zu erwerben. Darüber hinaus müssen vergleichbare Schulungen für Mitarbeitende regelmäßig angeboten werden. Diese Pflicht ist nicht delegierbar, sie trifft das Leitungsorgan persönlich.

Registrierungs- und Nachweispflichten

Betroffene Einrichtungen müssen sich beim BSI registrieren und bestimmte Stammdaten melden, unter anderem Name, Sektor, Anschrift, Kontaktdaten und IP-Adressbereiche. Das BSIG sieht darüber hinaus turnusmäßige Nachweispflichten vor: Bei wesentlichen Einrichtungen müssen Risikomanagementmaßnahmen gegenüber dem BSI regelmäßig nachgewiesen werden, bei wichtigen Einrichtungen greift die Aufsicht anlassbezogen.

Implementierungs-Checkliste

  1. 1Betroffenheitsanalyse durchführen: Welche Konzerngesellschaften fallen in welche Kategorie (wesentlich / wichtig)? Gruppenstruktur, Mitarbeitendenzahl, Umsatzschwellen und Sektorzuordnung prüfen.
  2. 2Governance aufsetzen: Verantwortlichkeit auf Leitungsebene festlegen, Rolle des Informationssicherheitsbeauftragten (ISB) besetzen, Berichtslinien klären und im Organigramm verankern.
  3. 3Risikoanalyse und Maßnahmenkatalog nach § 30 BSIG erarbeiten: Gap-Analyse gegen BSI IT-Grundschutz oder ISO/IEC 27001:2022, Maßnahmenplan mit Verantwortlichen und Fristen.
  4. 4Incident-Response- und Meldeprozess implementieren: den 24/72/30-Ablauf durchspielen, Vorlagen für Erstmeldung, Vorfallmeldung und Abschlussbericht vorhalten, Zugang zum BSI-Meldeportal hinterlegen.
  5. 5Lieferkettensicherheit adressieren: kritische IKT-Dienstleister identifizieren, vertragliche Sicherheitsanforderungen aufnehmen, Lieferantenbewertungen dokumentieren.
  6. 6Schulungsprogramm auflegen: verpflichtende Schulungen für die Geschäftsleitung und Awareness-Trainings für Mitarbeitende, jeweils mit Nachweis der Teilnahme.
  7. 7Nachweis- und Dokumentationspflichten operationalisieren: auditfähige Belege für Maßnahmen, Vorfälle, Schulungen sowie die Registrierung beim BSI.

Was jetzt zu tun ist

Unternehmen sollten nicht auf das Inkrafttreten des NIS2UmsuCG warten. Die materiellen Pflichten ergeben sich aus der Richtlinie selbst, und die Europäische Kommission hat bereits ein Vertragsverletzungsverfahren gegen säumige Mitgliedstaaten, darunter Deutschland, eingeleitet. Wer heute mit dem Aufbau der Dokumentationsgrundlage beginnt, verschafft sich einen Vorsprung von sechs bis zwölf Monaten gegenüber dem Wettbewerb und reduziert das Haftungsrisiko der Geschäftsleitung spürbar.

Quellen

Aus dem Lesen einen Auftrag machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Angebot anfordernMit uns sprechen
Weitere Beiträge
Informationssicherheit2. April 2026

ISO/IEC 27001:2022: Der Übergang von 2013 und was bis Oktober 2026 passieren muss

Weiterlesen
AI & Regulatorik8. April 2026

EU AI Act: Compliance-Pflichten für Unternehmen ab August 2026

Weiterlesen