Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home
  2. News
  3. Diese 5 Schritte müssen Unternehmen jetzt beim NIS-2-Umsetzungsgesetz beachten
  • Datenschutz

Diese 5 Schritte müssen Unternehmen jetzt beim NIS-2-Umsetzungsgesetz beachten

NIS-2-Umsetzungsgesetz: Was Unternehmen jetzt beachten müssen

Einleitung: Bedeutung des NIS-2-Umsetzungsgesetzes

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes wurde ein neues Kapitel im Bereich der Informationssicherheit in Deutschland aufgeschlagen. Unternehmen und Organisationen, die unter den Geltungsbereich dieses Gesetzes fallen, müssen sich jetzt aktiv mit ihren neuen Pflichten auseinandersetzen. Egal ob große Konzerne, mittelständische Betriebe oder öffentliche Einrichtungen – die Anforderungen sind umfassend und betreffen wesentliche Prozesse rund um Risikomanagement, Registrierung und Nachweispflichten.

Wen betrifft das Gesetz?

Das NIS-2-Umsetzungsgesetz gilt für alle Einrichtungen, die von den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) als besonders wichtig oder wichtig eingestuft werden. Dazu zählen neben Unternehmen kritische Versorger, Betreiber wesentlicher Infrastrukturen sowie Einrichtungen der Bundesverwaltung. Die genaue Zuweisung erfolgt anhand definierter Kriterien im Gesetz. Wer als Unternehmen unsicher ist, ob die Vorschriften Anwendung finden, sollte dringend eine sogenannte Betroffenheitsprüfung durchführen lassen und dokumentieren. Nur so können spätere Nachfragen durch Behörden zuverlässig beantwortet werden.

Vom Start bis zur Umsetzung: Die wichtigsten Schritte im Überblick

1. Betroffenheitsprüfung und Dokumentation

Der erste Schritt besteht immer in der Prüfung, ob das jeweilige Unternehmen, die Organisation oder die Einrichtung vom Gesetz betroffen ist. Diese Pflicht liegt bei der Geschäftsleitung. Für viele Unternehmen ergeben sich durch die NIS-2-Richtlinie und das Gesetz neue Melde- und Registrierungspflichten. Das Ergebnis dieser Prüfung sollte stets schriftlich festgehalten werden – dies dient im Zweifel als Nachweis gegenüber Behörden.

Ist klar, dass das Gesetz zutrifft, müssen weitere organisatorische Schritte zeitnah folgen.

2. Initialplanung und Verantwortlichkeiten

Nach der Feststellung der Betroffenheit ist die Geschäftsleitung gefragt: Sie trägt die Verantwortung für die Umsetzung aller gesetzlichen Anforderungen. Dazu gehört das Festlegen klarer Zuständigkeiten, die Definition von geregelten Kommunikations- und Meldewegen sowie die Einteilung einer verantwortlichen Kontaktstelle.

Eine weitere zentrale Anforderung ist die Sicherstellung der notwendigen Kompetenz: Die Geschäftsleitung ist verpflichtet, regelmäßig an entsprechenden Schulungen teilzunehmen, um aktuelles Know-how im Bereich Risiko- und Informationssicherheitsmanagement zu erlangen und aufrechtzuerhalten.

3. Registrierungspflicht

Sobald das Unternehmen als besonders wichtige oder wichtige Einrichtung klassifiziert wurde, muss die gesetzliche Registrierung innerhalb von drei Monaten erfolgen. Hierzu ist ein zweistufiges Verfahren vorgesehen: Zuerst die Anlage eines Unternehmenskontos auf Basis der ELSTER-Technologie, danach die eigentliche Registrierung beim BSI-Portal. Die Digitalisierung der Verwaltungsprozesse ermöglicht eine schlanke, sichere und nachvollziehbare Registrierung sowie künftige Meldungen.

4. Bestandsaufnahme und Gap-Analyse

Das NIS-2-Umsetzungsgesetz verlangt ein umfassendes Risikomanagement sowie konkrete Maßnahmen zur Steigerung der IT-Sicherheit. Eine gezielte Bestandsaufnahme analysiert, inwieweit Unternehmensprozesse und -systeme bereits den Anforderungen genügen. Dies gelingt am besten durch eine Gap-Analyse: Dabei werden die Ist-Situation und die gesetzlichen Soll-Vorgaben gegenübergestellt. Identifizierte Lücken und Verbesserungsbedarf können dadurch gezielt adressiert werden. Besonders relevant sind dabei Aspekte wie Lieferkettensicherheit, das Management von Informationsvorfällen und Notfallpläne.

5. Maßnahmenplanung und nachhaltige Umsetzung

Basierend auf den Ergebnissen der Gap-Analyse, ist ein Maßnahmen- und Zeitplan zu entwickeln. Dabei gilt es, Verantwortlichkeiten, Zuständigkeiten und Ressourcen passend zu planen und vorhandenes Risikomanagement oder vorhandene Sicherheitskonzepte weiterzuentwickeln oder zu ergänzen. Maßnahmen sollten anhand der Priorität und des Risikos umgesetzt werden. Erfolgreiches Management bedeutet zudem, die Wirksamkeit der Maßnahmen kontinuierlich zu überprüfen und Verbesserungen im Prozess zu verankern.

Zusätzliche Pflichten und laufende Optimierung

Meldepflichten und Nachweise

Mit der erfolgreichen Registrierung entstehen weitere Verpflichtungen, darunter:

  • Aktualisierung der übermittelten Registrierungsdaten innerhalb vorgegebener Fristen
  • Meldung erheblicher Sicherheitsvorfälle an das BSI sowie Unterrichtung betroffener Kunden
  • Regelmäßige Nachweispflichten bezüglich der Einhaltung der gesetzlichen Anforderungen, insbesondere für Betreiber kritischer Anlagen

Erhebliche Sicherheitsvorfälle müssen künftig über das BSI-Meldeportal eingereicht werden. Zwischenzeitig steht ein Online-Formular zur Verfügung. Wichtig: Auch Veränderungen bei den Versorgungskennzahlen oder grundlegender Unternehmensdaten müssen unverzüglich gemeldet werden.

Regelmäßige Kontrolle und Verbesserungen

Die Einführung einzelner Maßnahmen allein reicht nicht aus – das Gesetz fordert eine regelmäßige Evaluation der Wirksamkeit. Dazu gehören die Erhebung und Auswertung von Kennzahlen zur Informationssicherheit, die Anpassung an sich ändernde betriebliche Gegebenheiten oder Gesetzesänderungen und die fortwährende Verbesserung nach dem Prinzip „Lessons Learned“. Nur so kann nachhaltig ein robustes Informationssicherheitsniveau erreicht und aufrechterhalten werden.

Fazit: Jetzt aktiv handeln und compliant werden

Das NIS-2-Umsetzungsgesetz stellt Unternehmen, Behörden und Einrichtungen vor neue und anspruchsvolle Herausforderungen. Entscheidend ist ein strukturiertes, dokumentiertes Vorgehen: Von der Betroffenheitsprüfung, über die Planung und Umsetzung spezifischer Maßnahmen, bis hin zur kontinuierlichen Weiterentwicklung Ihrer Informationssicherheit. Wer jetzt systematisch startet, schützt nicht nur sensiblen Daten und Systeme, sondern stellt sich auch optimal für künftige Prüfungen der Behörden auf.

Sie benötigen Unterstützung bei der Gap-Analyse, der Entwicklung und Umsetzung eines ganzheitlichen Risikomanagements oder bei der Schulung Ihrer Geschäftsführung und Mitarbeitenden? Sprechen Sie uns gerne an! Gemeinsam sorgen wir für Ihre Compliance und Sicherheit im Rahmen des NIS-2-Umsetzungsgesetzes.

Zurück
© 2011–2025 GINDAT GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo