NIS-2-konform werden? Ein praktischer Weg für Unternehmen
Die Frage klingt einfach, ist aber tückisch. Denn "NIS-2-konform" ist kein hübsches Zertifikat, das man einmal kauft und dann abhakt. NIS-2 ist ein gesetzlicher Pflichtenkatalog. In Deutschland ist das Thema seit dem 6. Dezember 2025 nicht mehr Zukunftsmusik, sondern geltendes Recht. Das BSI beschreibt inzwischen sehr konkret, was betroffene Unternehmen tun müssen: sich registrieren, erhebliche Sicherheitsvorfälle melden sowie Risikomanagementmaßnahmen implementieren und dokumentieren.
Die kurze Antwort
Wenn Sie NIS-2-konform werden wollen, brauchen Sie keinen Magietrick, sondern einen sauberen Ablauf. In der Praxis läuft das meist auf fünf Kernfragen hinaus:
- Sind wir überhaupt betroffen?
- Wer trägt intern die Verantwortung?
- Welche Pflichten treffen uns konkret?
- Welche Risikomanagementmaßnahmen fehlen noch?
- Können wir Vorfälle und Registrierung praktisch abwickeln?
Genau so stellt das BSI das Thema auch auf: Betroffenheit prüfen, Pflichten verstehen, Maßnahmen aufbauen und die Melde- und Registrierungspflichten über das BSI-Portal erfüllen.
Schritt 1: Erst prüfen, ob Sie überhaupt betroffen sind
Der erste sinnvolle Schritt ist nicht Aktionismus, sondern saubere Einordnung. Das BSI bietet dafür eine Betroffenheitsprüfung und einen Entscheidungsbaum an. Wichtig ist: Die Online-Prüfung hilft, ersetzt aber keine belastbare juristische Einordnung in jedem Grenzfall. Wer guten Gewissens sagen will "betrifft uns nicht", sollte das nicht aus dem Bauch heraus entscheiden.
Schritt 2: Die Geschäftsleitung ins Boot holen
NIS-2 ist kein Thema, das man einfach an die IT delegiert. BSIG stellt ausdrücklich klar, dass die Verantwortung für Umsetzung und Überwachung der Risikomanagementmaßnahmen bei der Geschäftsleitung liegt. Gleichzeitig gibt es für Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen eine Schulungspflicht. Wer also NIS-2 ernsthaft umsetzen will, braucht nicht nur Fachleute, sondern sichtbare Führung von oben.
Schritt 3: Verstehen, was NIS-2 konkret verlangt
Viele Unternehmen suchen nach einer festen NIS-2-Checkliste. Die gibt es in dieser simplen Form nicht. Für einige bestimmte Unternehmen gilt die EU-Durchführungsverordnung 2024/2690, die in Anhang 2 schon sehr präzise ist - und selbstverständlich dürfen auch andere Unternehmen als die in der Einleitung genannten diese Richtlinie umsetzen. Sie ist aber für alle nicht explizit genannten Unternehmensarten nicht verpflichtend.
Schritt 4: Risikomanagementmaßnahmen aufbauen
Hier entscheidet sich, ob NIS-2 in Ihrem Unternehmen nur ein Rechtsbegriff bleibt oder tatsächlich in die Praxis kommt. ENISA beschreibt in ihrer technischen Leitlinie unter anderem diese Themenfelder als zentral: Sicherheitsrichtlinie für Netz- und Informationssysteme, Risikomanagement-Policy, Incident Handling, Business Continuity und Krisenmanagement, Lieferkettensicherheit, Asset Management, Zugangskontrolle, Kryptografie, sichere Entwicklung und Wirksamkeitsbewertung. Das ist deutlich breiter als "wir härten ein paar Systeme".
Schritt 5: Vorfallmanagement wirklich vorbereiten
"Wir melden dann halt, wenn etwas passiert" ist keine belastbare Strategie. Für erhebliche Sicherheitsvorfälle gelten frühe Meldepflichten. Das BSI stellt für die Erstmeldung auf 24 Stunden nach Kenntniserlangung ab. Wer dann erst anfängt zu klären, wer entscheidet, wer meldet und wie ein Vorfall eingestuft wird, ist praktisch schon zu spät. NIS-2-Konformität heißt deshalb auch: Meldeweg, Rollen, Bewertung und Kommunikation müssen vorher stehen.
Schritt 6: Registrierung nicht vergessen
Betroffene Einrichtungen müssen sich beim BSI registrieren. Das läuft inzwischen praktisch über einen zweistufigen Prozess: erst Anmeldung über Mein Unternehmenskonto, dann Registrierung im BSI-Portal. Wer betroffen ist, sollte die Anmeldung zügig durchführen.
Schritt 7: Dokumentation von Anfang an mitdenken
Ein häufiger Fehler ist, Maßnahmen erst dann aufzuschreiben, wenn jemand fragt. Genau dann ist es zu spät. Das BSI formuliert ausdrücklich, dass Risikomanagementmaßnahmen nicht nur umzusetzen, sondern auch zu dokumentieren sind. Das betrifft nicht nur Policies, sondern auch Verantwortlichkeiten, Vorfallwege, Entscheidungen, Schulungen und Nachweise. Wenn Aufsicht, Kunden oder Versicherer später wissen wollen, was wirklich geregelt und umgesetzt war, hilft improvisiertes Nachschreiben nur begrenzt.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "NIS-2-konform werden heißt, ein paar Dokumente zu schreiben." Das ist zu kurz gedacht. Es geht nicht um Dokumente, sondern um einen funktionierenden Satz technischer und organisatorischer Maßnahmen geht. Also um Steuerung, Rollen, Reaktion, Lieferanten, Resilienz und Wirksamkeit - nicht nur um Textproduktion.
Wie kann ich nachweisen, dass ich NIS-2-konform bin?
Die Anforderungen aus NIS-2 sind sehr nah dran an denen der internationalen Norm ISO 27001. Und für die kann man von unabhängiger Stelle ein Zertifikat erhalten.
FAQ
Unser Tipp
NIS-2-konform wird man nicht durch einen Trick, sondern durch einen sauberen Weg: Betroffenheit prüfen, Geschäftsleitung einbinden, Pflichten verstehen, Risikomanagementmaßnahmen aufbauen, Vorfallmanagement vorbereiten, Registrierung erledigen und alles belastbar dokumentieren. Die gute Nachricht ist: Das ist machbar. Die schlechte Nachricht ist: Es wird nicht besser, wenn man es verdrängt.
Interesse geweckt?
Ist Ihr Unternehmen von NIS-2 betroffen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!