ISMS wird Pflicht!
Die Network and Information Security (NIS) Directive ist als EU-Richtlinie Teil der europäischen Cybersicherheitsstrategie. Ihr Ziel ist es, Cybersicherheitsniveau in den EU-Mitgliedstaaten zu harmonisieren und zu verbessern. Diese Richtlinie wird nun durch das neue NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht überführt. Das Gesetz wurde am 13. November 2025 bereits politisch beschlossen und tritt voraussichtlich in Kürze in Kraft – ohne Übergangsfristen, d. h. unmittelbar am Tag nach der Verkündung. Betroffene Unternehmen müssen sich fortan stärker mit Themen wie Cyber-Risikomanagement und Geschäftskontinuität befassen. Das Gesetz weitet dabei den Anwendungsbereich stark aus, sodass neben Betreibern kritischer Infrastruktur (KRITIS) zahlreiche weitere Branchen und Unternehmen hierunter fallen.
Die NIS-2-Richtlinie bringt eine Vielzahl mittelständischer Unternehmen erstmals in den Anwendungsbereich verbindlicher Cybersicherheitsvorgaben. Die NIS-2-Richtlinie erweitert den Kreis der bislang verpflichteten Unternehmen deutlich, weit über die bisherigen kritischen Infrastrukturen hinaus. Sie gilt zukünftig schon bei 50 Mitarbeitenden oder mehr als 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme als „wichtige Einrichtungen“ im Sinne des Gesetzes. Die Richtlinie stellt also auf die Mitarbeiterzahl bzw. den Umsatz des Unternehmens ab. Es wird künftig zwischen „Besonders wichtigen Einrichtungen“ und „Wichtigen Einrichtungen“ unterschieden. KRITIS-Einrichtungen bleiben weiter bestehen und bemessen sich wie bisher auch an den bekannten Schwellenwerten. KRITIS-Einrichtungen müssen zusätzlich zu den Anforderungen der NIS-2 an besonders wichtige Einrichtungen umfassendere Maßnahmen umsetzen.
Auf betroffene Unternehmen kommen umfangreiche neue Pflichten zu – insbesondere in den Bereichen Informationssicherheit, Risikomanagement und Notfallvorsorge. Die Unternehmen sind angehalten, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer IT-Infrastruktur und damit ihrer erbrachten Dienste und Leistungen zu wahren sowie die Auswirkungen von (Cyber-)Sicherheitsvorfällen gering zu halten.
Im Folgenden haben wir Ihnen die wichtigsten Punkte und neuen Anforderungen kurz zusammengefasst:
Erhöhte Cybersicherheits-Pflichten: Unternehmen müssen unter anderem ein Informationssicherheits-Managementsystem (ISMS) einführen und ein systematisches Risikomanagement sowie Business Continuity Management (BCM) etablieren, um ihre IT-Systeme und Daten nach Stand der Technik zu schützen. Die Anforderungen sind umfassend und betreffen z. B. Zugriffsrechte, Schwachstellen-Management, Monitoring und regelmäßige Schulungen.
Keine Übergangsfrist: Das neue Gesetz tritt ohne Verzögerung in Kraft, sobald es verkündet ist. Unternehmen sollten sich daher dringend bereits jetzt mit den neuen Vorgaben befassen und erforderliche Maßnahmen einleiten – ein „ISMS über Nacht“ lässt sich nicht umsetzen.
Aufwendige Umsetzung: Die Umsetzung der NIS-2-Pflichten ist komplex und wird erhebliche Zeit und Ressourcen in Anspruch nehmen. Es empfiehlt sich, frühzeitig Projektteams zu bilden, um die Anforderungen strukturiert anzugehen, statt bis zur letzten Minute zu warten.
Strenge Meldepflichten: IT-Sicherheitsvorfälle müssen künftig binnen 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Ein gestuftes Verfahren sieht außerdem weitere Detail- und Abschlussberichte in den Tagen und Wochen nach einem Vorfall vor.
Pflicht zur BSI-Registrierung: Betroffene Unternehmen müssen sich beim BSI registrieren und gegenüber der Behörde die Umsetzung ihrer Sicherheitsmaßnahmen nachweisen. Hierfür wird es ein zentrales Register geben; die erstmalige Registrierung ist innerhalb von 3 Monaten nach Inkrafttreten vorgeschrieben.
Einsatz kritischer Komponenten: Betreiber kritischer Anlagen müssen den Einsatz sogenannter kritischer Komponenten vorab dem Bundesministerium des Innern anzeigen. Die Nutzung bestimmter Komponenten kann von dem Bundesministerium untersagt werden, falls diese als nicht vertrauenswürdig gelten und die öffentliche Sicherheit gefährden. In diesem Bereich rückt proaktive Sorgfaltspflicht (Due Diligence) gegenüber Dienstleistern und Zulieferern in den Fokus.
Empfindliche Sanktionen: Bei Verstößen drohen erhebliche Bußgelder – je nach Unternehmen und Verstoß sind Strafen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes möglich. Zudem sieht das Gesetz ausdrücklich eine persönliche Haftung der Geschäftsführung vor: Mitglieder der Leitungsebene haften bei Nichterfüllung der Pflichten mit ihrem Privatvermögen. Cybersicherheit wird somit zur Chefsache.
Für betroffene Unternehmen besteht daher dringender Handlungsbedarf, sich zeitnah auf die neuen Anforderungen einzustellen. Wir empfehlen Ihnen daher, umgehend zu prüfen, ob Ihr Unternehmen unter die NIS-2-Regelungen fällt, und erforderliche Maßnahmen einzuleiten. Insbesondere die Einführung eines ISMS und der oben genannten Sicherheits-Maßnahmen sollte prioritär angegangen werden, um Risiken zu minimieren und die Compliance bei Inkrafttreten nachweisen zu können. Gerne unterstützen wir Sie bei einer ersten Betroffenheitsanalyse sowie bei der Umsetzung der erforderlichen Sicherheitsmaßnahmen in Ihrem Unternehmen. Wenn Sie Fragen zum Thema NIS-2 haben oder eine Beratung wünschen, stehen wir Ihnen jederzeit zur Verfügung.
NIS-2 bringt zahlreiche Anforderungen mit sich. Deshalb ist es ratsam, sich Expert:innen anzuvertrauen, die derartige Prozesse bereits seit vielen Jahren erfolgreich begleiten und umsetzen. Wir sind Ihr Sparringspartner in Sachen Risikomanagement sowie IT- und Cybersicherheit und wir halten angrenzende Fragestellungen aus Recht und Datenschutz für Sie im Blick.
Als Teil einer Wirtschaftsprüfungs-, Rechts- und Steuerberatung ist die IT-Sicherheit ein Teil unserer DNA. Mit der dhpg an Ihrer Seite können Sie sicher sein, gesetzlichen Anforderungen und Compliance jederzeit gerecht zu werden.
Wir bündeln unsere IT-Expertise mit dem von Juristen und Datenschützern und haben somit auch für angrenzende Fragestellungen immer Expert:innen parat. So behalten Sie komplexe Themen in allen Facetten nicht nur im Blick, sondern im Griff.
Wir verfügen über langjährige und umfangreiche Projekterfahrung in allen Fragen der IT- und Cybersicherheit. Mit unseren Best-Practice-Ansätzen, Methoden und Erfahrungen bauen wir auf den bereits in Ihrem Unternehmen vorhandenen Prozessen und Strukturen auf.
Sie wünschen ein persönliches Beratungsgespräch zur Umsetzung von NIS-2 in Ihrem Unternehmen? Gerne vereinbaren wir mit Ihnen einen unverbindlichen Termin, damit wir uns kennenlernen. Wir freuen uns auf Ihren Anruf oder Ihre E-Mail und auf Sie.
Die Anforderungen aus der NIS-2-Richtlinie sind komplex und vielschichtig. Den Überblick zu wahren und den Umsetzungsprozess anzugehen kann betroffene Organisationen vor große Herausforderungen stellen. Nach Verabschiedung des Gesetzes ist keine Umsetzungsfrist geplant, weswegen eine gute Struktur verlangt ist. Wir empfehlen, mit einer GAP-Analyse zu starten und hieraus konkrete Handlungsfelder abzuleiten und das Cybersicherheitsniveau in der Organisation sukzessive zu erhöhen. Die Expert:innen der dhpg IT-Services unterstützen Sie gerne in diesem Prozess und stellen gemeinsam mit Ihnen sicher, dass Ihre Organisation den Anforderungen von NIS-2 entspricht. Sprechen Sie uns gerne an, wenn Sie Unterstützung in den folgenden Punkten benötigen:
Kommt ein betroffenes Unternehmen den Anforderungen der NIS-2-Richtlinie nicht nach, sieht der Referentenentwurf des Bundesinnenministeriums Bußgelder vor. Die Höhe der Bußgelder bemisst sich danach, ob es sich um besonders wichtige Einrichtungen und Betreiber kritischer Infrastrukturen oder um eine wichtige Einrichtung handelt.
Entscheidend ist, dass dem betroffenen Unternehmen bzw. der betroffenen Organisation ein fahrlässiges bzw. vorsätzliches Verschulden nachgewiesen werden kann. Deshalb ist es unerlässlich, angemessene technische und organisatorische Maßnahmen in Bereichen wie Cybersicherheit, Sicherheit in der Lieferkette und Verschlüsselung zu ergreifen und die Berichterstattung an das BSI gewissenhaft durchzuführen.
Ja, auch die Geschäftsführung kann bei Verstößen gegen das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Haftung genommen werden. Bei Nichterfüllung der Anforderungen haften Geschäftsführer:innen mit ihrem Privatvermögen. Die Obergrenze liegt hier bei 2 % des weltweiten Jahresumsatzes des Unternehmens.
Nur Betreiber kritischer Infrastrukturen (KRITIS) sind zur regelmäßigen Meldung an das BSI verpflichtet. Das bedeutet konkret, dass diese Organisationen innerhalb von drei Jahren nach Inkrafttreten des nationalen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) die ordnungsgemäße Umsetzung nachweisen müssen. Dies wiederholt sich anschließend alle drei Jahre.
Anders sieht es bei Sicherheitsvorfällen aus. Kommt es in einer Organisation zu einem Sicherheitsvorfall, sind sowohl KRITIS-Betreiber als auch wichtige und besonders wichtige Einrichtungen dazu verpflichtet, eine Meldung an das BSI abzugeben. Hierbei ist ein dreistufiges Meldesystem vorgesehen:
Kann der Sicherheitsvorfall nach einem Monat nicht behoben werden, ist eine Fortschrittsmeldung nach einem weiteren Monat (und jeweils weiteren Monaten) notwendig. Die Abschlussmeldung ist dann einen Monat nach der Behebung fällig.
Grundsätzlich führt das BSI als Aufsichtsorgan Kontrollen bei wichtigen Einrichtungen nur durch, wenn der Verdacht eines Sicherheitsvorfalls vorliegt. Bei KRITIS und besonders wichtigen Einrichtungen kann das BSI auch ohne Anlass Kontrollen durchführen bzw. Nachweise verlangen. Zu den Kontrollmaßnahmen gehören folgende Punkte:
Die europäische NIS-2-Richtlinie in Form des nationalen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) verfolgt das Ziel, das Sicherheitsniveau in den EU-Mitgliedstaaten zu harmonisieren und zu verbessern, und verpflichtet betroffene Unternehmen, Mindeststandards zum Schutz ihrer Netzwerk- und Informationssysteme einzuhalten. Das Gesetz weitet den Anwendungsbereich stark aus, sodass zahlreiche Branchen und Unternehmen hierunter fallen. Betroffene Unternehmen müssen sich also künftig stärker mit Cybersicherheit, der Sicherheit ihrer Lieferkette und der sicheren Verschlüsselung befassen. Es besteht also dringender Handlungsbedarf, denn die Umsetzung ist vielschichtig und komplex. Gerne unterstützen Sie die IT-Expert:innen der dhpg in diesem Prozess.
Kontaktformular 
+49 228 81000 0 
Newsletter