Inhaltsverzeichnis
- 1.Kein Stichtag in der Zukunft mehr
- 2.Selbstcheck: Bin ich überhaupt betroffen?
- 3.Die nicht-delegierbare Geschäftsleitungshaftung
- 4.Die zehn Risikomanagement-Bereiche als Delivery-Praxis
- 5.Die Meldepflichten: 24 Stunden, 72 Stunden, ein Monat
- 6.Lieferkette: Die Pflicht, die niemand auf dem Radar hat
- 7.Nachweisbarkeit: Warum Dokumentation die eigentliche Pflicht ist
- 8.Was bei Nichteinhaltung droht
- 9.Der 90-Tage-Fahrplan für die Geschäftsleitung
Kein Stichtag in der Zukunft mehr
Die meisten Compliance-Themen kommen mit einer komfortablen Vorlaufzeit. Bei NIS2 ist das in Deutschland vorbei. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde am 06.12.2025 verkündet und ist seitdem in Kraft — ohne die Übergangsfrist, mit der viele Unternehmen kalkuliert hatten. Die BSI-Registrierungsfrist für betroffene Einrichtungen lief bereits am 06.03.2026 ab. Wer jetzt erst anfängt, das Thema zu prüfen, prüft nicht mehr eine künftige Pflicht, sondern eine bereits geltende.
Nach Schätzungen, die der Gesetzgebung zugrunde liegen, sind rund 29.500 Unternehmen in Deutschland von NIS2 erfasst — ein Vielfaches der bisherigen KRITIS-Population. Viele dieser Unternehmen wissen nicht, dass sie betroffen sind, weil NIS2 nicht mehr nur klassische kritische Infrastrukturen adressiert, sondern breite Wirtschaftssektoren über Größen- und Umsatzschwellen.
Wir betrachten NIS2 in diesem Beitrag bewusst nicht aus der juristischen, sondern aus der Delivery- und IT-Governance-Perspektive. Die rechtliche Würdigung im Einzelfall gehört in die Hände einer Kanzlei. Die Frage, die wir bei Mandanten am häufigsten hören, ist eine andere: Was bedeuten diese Pflichten konkret für unsere Auslieferungskette, unsere Prozesse und die Nachweisbarkeit unserer Entscheidungen? Genau das beantwortet dieser Fahrplan.
Der wichtigste Satz vorab: NIS2 ist kein reines Security-Thema, das man dem CISO zuschiebt. Die Haftung für die Umsetzung der Risikomanagementmaßnahmen liegt nach dem NIS2UmsuCG bei der Geschäftsleitung — persönlich und nicht delegierbar. Das verändert, wer dieses Thema verantworten muss, fundamental.
Selbstcheck: Bin ich überhaupt betroffen?
Der erste und folgenreichste Fehler ist die stillschweigende Annahme, NIS2 betreffe nur Energieversorger, Krankenhäuser und Telekommunikationsanbieter. Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien: besonders wichtige Einrichtungen und wichtige Einrichtungen. Die Einstufung ergibt sich aus einer Kombination von Sektorzugehörigkeit und Unternehmensgröße — und die Sektorliste ist deutlich breiter als unter der alten NIS-Richtlinie.
Als grobe Orientierung gilt: Wer in einem der erfassten Sektoren tätig ist und die Schwellenwerte eines mittleren Unternehmens überschreitet (vereinfacht: mindestens 50 Beschäftigte oder mehr als 10 Mio. Euro Jahresumsatz und Jahresbilanzsumme), fällt mit hoher Wahrscheinlichkeit unter NIS2. Für bestimmte Sektoren gilt die Einstufung unabhängig von der Größe. Die maßgebliche Prüfung ist eine Einzelfallprüfung am konkreten Geschäftsmodell — der folgende Schnellcheck ersetzt sie nicht, sondern priorisiert sie.
Die gefährlichste Antwort auf die Betroffenheitsfrage ist „wahrscheinlich nicht, haben wir aber nie formal geprüft". Eine undokumentierte Negativeinschätzung schützt die Geschäftsleitung im Haftungsfall nicht.
- 1Sektorzugehörigkeit prüfen: Sind Sie in Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung oder Weltraum tätig (besonders wichtige Sektoren)? Oder in Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste oder Forschung (wichtige Sektoren)?
- 2Größenschwelle prüfen: Beschäftigt Ihr Unternehmen 50 oder mehr Personen, oder erzielt es mehr als 10 Mio. Euro Jahresumsatz bei gleichzeitig mehr als 10 Mio. Euro Jahresbilanzsumme? Für einige Sektoren entfällt die Größenschwelle vollständig.
- 3Lieferketten-Position prüfen: Sind Sie Zulieferer oder IT-Dienstleister für eine betroffene Einrichtung? Dann sind Sie zwar nicht zwingend selbst NIS2-pflichtig, werden aber faktisch über die Lieferkettenanforderungen Ihrer Kunden mitreguliert — eine wachsende Quelle vertraglicher Pflichten.
- 4Registrierungsstatus prüfen: Haben Sie sich beim BSI registriert? Die Frist 06.03.2026 ist abgelaufen. Eine versäumte Registrierung beseitigt die Pflicht nicht, sondern verschärft die Ausgangslage bei einer Prüfung.
- 5Dokumentationslage prüfen: Existiert eine nachvollziehbare, datierte Geschäftsleitungs-Entscheidung über die NIS2-Betroffenheitsbewertung? Falls nicht, ist das die erste zu schließende Lücke — unabhängig vom Ergebnis der Bewertung.
Die nicht-delegierbare Geschäftsleitungshaftung
Der eigentliche Hebel von NIS2 liegt nicht in den technischen Anforderungen — die meisten davon stehen seit Jahren in jedem seriösen Sicherheitsstandard. Der Hebel liegt in der Haftungskonstruktion. Das NIS2UmsuCG verpflichtet die Mitglieder der Geschäftsleitung, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Diese Pflicht ist ausdrücklich nicht delegierbar.
Nicht delegierbar bedeutet in der Praxis: Die Geschäftsführung kann die operative Umsetzung an IT, Security oder externe Dienstleister geben — die Verantwortung dafür, dass es geschieht und dass sie es nachvollziehbar überwacht hat, bleibt bei ihr. Ein „dafür haben wir doch einen CISO" ist im Haftungsfall keine wirksame Entlastung. Wir sehen bei Mandanten regelmäßig, dass die operative Security-Reife solide ist, aber die Brücke zur Geschäftsleitung — die dokumentierte Billigung und Überwachung — schlicht fehlt.
Hinzu kommt eine Schulungspflicht für die Leitungsorgane selbst. Die Geschäftsleitung muss an Schulungen teilnehmen, die ausreichen, um die Risiken bewerten und die Maßnahmen beurteilen zu können. Das ist mehr als ein einmaliges Awareness-Webinar — es ist die Erwartung, dass die Personen, die die Maßnahmen billigen, sie auch verstehen.
Aus Governance-Sicht ist die Konsequenz eindeutig: NIS2 gehört auf die Tagesordnung der Geschäftsleitung mit einem festen, dokumentierten Turnus, nicht als anlassbezogenes Thema nach einem Vorfall. Genau diese Verankerung beschreibt auch die GOVERN-Funktion, die wir in unserem NIST CSF 2.0 Assessment Guide ausführlich behandeln — die regelmäßige, dokumentierte Vorstandsbefassung ist der gemeinsame Nenner moderner Sicherheits-Governance.
NIS2 verschiebt Cybersecurity vom Maschinenraum auf die Brücke. Wer in der Geschäftsleitung sitzt und das Thema bisher delegiert hat, delegiert ab jetzt die Arbeit, aber nicht mehr die Haftung.
Die zehn Risikomanagement-Bereiche als Delivery-Praxis
Das NIS2UmsuCG verlangt geeignete, verhältnismäßige technische und organisatorische Maßnahmen in zehn Bereichen. In der Gesetzessprache klingen diese abstrakt. Der Wert für die Umsetzung entsteht erst, wenn man sie in konkrete Delivery- und Betriebspraktiken übersetzt — also in Dinge, die Teams tatsächlich tun, messen und nachweisen. Genau das leistet die folgende Übersetzung.
Wichtig zum Verhältnismäßigkeitsprinzip: NIS2 verlangt nicht von jedem Unternehmen das Sicherheitsniveau eines Rüstungskonzerns. Die Maßnahmen müssen dem Risiko, der Größe und der Exposition angemessen sein. Das ist eine Chance und eine Falle zugleich — die Angemessenheit muss begründet und dokumentiert sein, sonst ist sie im Streitfall wertlos.
| NIS2-Bereich (sinngemäß) | Konkrete Delivery-/Betriebspraxis | Nachweis im Audit |
|---|---|---|
| Risikoanalyse & Sicherheitskonzepte | Dokumentierte Risikobewertung der kritischen Systeme, jährlich aktualisiert; Risikoakzeptanz durch die Geschäftsleitung | Datierte Risikomatrix + Billigungsbeschluss |
| Bewältigung von Sicherheitsvorfällen | Incident-Response-Plan mit definierten Rollen, Eskalationspfaden und Meldekette ans BSI | IR-Plan + Protokolle durchgeführter Übungen |
| Business Continuity & Krisenmanagement | Getestete Backups (3-2-1), definierte RTO/RPO je kritisches System, regelmäßige Restore-Tests | Restore-Test-Protokolle mit Datum und Ergebnis |
| Sicherheit der Lieferkette | Sicherheitsanforderungen in Lieferantenverträgen, Risikoeinstufung kritischer Dienstleister, SBOM für eingesetzte Software | Lieferantenregister mit Risikoklasse + Vertragsklauseln |
| Sicherheit in Beschaffung, Entwicklung & Wartung | Security by Design im SDLC, SAST/Dependency-Scanning im CI, definierter Patch-Prozess mit SLAs | CI-Pipeline-Konfiguration + Patch-Reporting |
| Bewertung der Wirksamkeit | Definierte Sicherheits-KPIs, regelmäßige interne Reviews, Penetrationstests in festem Turnus | KPI-Dashboard + Pentest-Berichte mit Maßnahmenverfolgung |
| Cyberhygiene & Schulungen | Verpflichtende Awareness-Schulungen für alle, gesonderte Schulung der Leitungsorgane, Phishing-Simulationen | Schulungsnachweise inkl. Teilnahme der Geschäftsleitung |
| Kryptografie & Verschlüsselung | Verschlüsselung sensibler Daten at-rest und in-transit, dokumentierte Schlüsselverwaltung | Krypto-Konzept + Geltungsbereichsnachweis |
| Personalsicherheit & Zugriffskontrolle | Least-Privilege, Multi-Faktor-Authentifizierung auch für privilegierte Konten, Joiner-Mover-Leaver-Prozess | MFA-Abdeckungsbericht + Zugriffsrezertifizierung |
| MFA & gesicherte Kommunikation | MFA flächendeckend ohne Ausnahmen für die Führungsebene, gesicherte Notfallkommunikation außerhalb der Primärinfrastruktur | MFA-Policy + Test der Notfallkommunikation |
Die Meldepflichten: 24 Stunden, 72 Stunden, ein Monat
Keine NIS2-Anforderung scheitert in der Praxis so zuverlässig wie die Meldepflicht — nicht weil sie unbekannt ist, sondern weil sie eine Reaktionsfähigkeit voraussetzt, die viele Organisationen erst im Ernstfall vermissen. Das NIS2UmsuCG sieht ein gestuftes Meldeverfahren für erhebliche Sicherheitsvorfälle vor. Die Fristen sind kurz und laufen ab Kenntnis des Vorfalls, nicht ab dessen vollständiger Aufklärung.
Genau hier zeigt sich, warum ein dokumentierter und geübter Incident-Response-Prozess keine Kür, sondern regulatorische Pflicht ist. Ein Unternehmen, das erst im Vorfall klärt, wer meldet, an wen, mit welchen Informationen und in welcher Sprache, wird die 24-Stunden-Frist nicht halten. Diesen Mechanismus beschreiben wir auch in unserem IT Governance Assessment Guide als typischen Reifegrad-Indikator — die Differenz zwischen einem Plan auf Papier und einem geübten Prozess ist im Meldefall der Unterschied zwischen Compliance und Verstoß.
- 1Frühwarnung innerhalb von 24 Stunden: Erste Meldung an das BSI nach Kenntnis eines erheblichen Sicherheitsvorfalls. Inhalt: Erstindikation, ob ein rechtswidriger oder böswilliger Hintergrund vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind. Keine vollständige Analyse erforderlich — Geschwindigkeit vor Vollständigkeit.
- 2Vorfallmeldung innerhalb von 72 Stunden: Aktualisierte Bewertung mit einer ersten Einschätzung des Vorfalls, Schweregrad, Auswirkungen und gegebenenfalls Kompromittierungsindikatoren. Hier muss der Incident-Response-Prozess bereits belastbare Erkenntnisse liefern.
- 3Zwischenbericht auf Anforderung: Das BSI kann während eines laufenden Vorfalls einen Statusbericht verlangen. Die Organisation muss in der Lage sein, jederzeit einen konsistenten aktuellen Stand zu liefern — ein Argument für durchgehende Vorfalldokumentation statt nachträglicher Rekonstruktion.
- 4Abschlussbericht innerhalb eines Monats: Detaillierter Schlussbericht mit Ursachenanalyse, ergriffenen und geplanten Abhilfemaßnahmen sowie Auswirkungsbewertung. Dieser Bericht ist faktisch ein Post-Incident-Review unter regulatorischer Beobachtung.
- 5Information betroffener Empfänger: Soweit angebracht, müssen Empfänger der eigenen Dienste über erhebliche Vorfälle und mögliche Gegenmaßnahmen informiert werden — die externe Kommunikationsfähigkeit gehört damit zwingend in den Incident-Response-Plan.
Lieferkette: Die Pflicht, die niemand auf dem Radar hat
Von allen zehn Bereichen unterschätzen Unternehmen die Lieferkettensicherheit am deutlichsten. NIS2 verlangt ausdrücklich, dass die Sicherheit der Lieferkette und der Beziehungen zu Anbietern in das Risikomanagement einbezogen wird. Das ist kein Vertragsanhang, sondern eine fortlaufende Steuerungsaufgabe — und sie hat eine Kehrseite, die viele Mittelständler erst spät bemerken.
Die Kehrseite: Auch Unternehmen, die selbst nicht direkt NIS2-pflichtig sind, werden über die Lieferkette mitreguliert. Wer eine besonders wichtige Einrichtung beliefert oder ihr IT-Dienstleistungen erbringt, wird über deren Lieferantenanforderungen faktisch zu denselben Maßnahmen verpflichtet — vertraglich, nicht gesetzlich, aber praktisch gleichwertig. Wir sehen bei Mandanten zunehmend, dass die ersten konkreten NIS2-Anforderungen nicht von einer Behörde, sondern vom größten Kunden kommen.
In der Delivery-Praxis bedeutet das drei Dinge: Erstens ein gepflegtes Lieferantenregister mit Risikoklassifizierung — welche Dienstleister können bei Ausfall oder Kompromittierung welchen Schaden verursachen. Zweitens Sicherheitsklauseln in den Verträgen kritischer Lieferanten, die Meldepflichten, Audit-Rechte und Mindeststandards verbindlich machen. Drittens eine Software-Bill-of-Materials für eingesetzte Software, damit bei der nächsten Log4Shell-artigen Schwachstelle die Frage „sind wir betroffen?" in Stunden statt Wochen beantwortbar ist.
Diese drei Praktiken sind exakt das, was ein strukturiertes Delivery-Audit aufdeckt: nicht ob ein Lieferantenvertrag existiert, sondern ob er die NIS2-relevanten Pflichten überhaupt adressiert und ob die kritischen Abhängigkeiten dokumentiert sind.
Nachweisbarkeit: Warum Dokumentation die eigentliche Pflicht ist
Eine unbequeme Wahrheit aus der Praxis: Die meisten betroffenen Unternehmen sind technisch näher an NIS2-Konformität, als sie glauben — und gleichzeitig weiter von der Nachweisbarkeit entfernt, als ihnen lieb ist. Backups existieren, MFA ist überwiegend ausgerollt, ein Incident-Prozess ist irgendwo beschrieben. Was fehlt, ist die durchgängige, datierte Spur, die einer aufsichtsbehördlichen Prüfung standhält.
NIS2 ist ein Nachweisregime. Die entscheidende Frage in einer Prüfung lautet selten „haben Sie MFA?", sondern „zeigen Sie mir die dokumentierte Geschäftsleitungs-Billigung der Maßnahmen, das Schulungsprotokoll inklusive der Leitungsorgane, die Restore-Test-Ergebnisse der letzten zwölf Monate und das Protokoll der letzten Incident-Übung". Wer diese Artefakte nicht zeigen kann, ist auch dann angreifbar, wenn die Technik solide ist.
Unsere Empfehlung an Mandanten ist daher konsequent dieselbe: Bauen Sie zuerst die Nachweis-Schicht, nicht die zehnte technische Maßnahme. Eine NIS2-Maßnahmenmatrix, die jeden der zehn Bereiche auf konkrete Praktiken, Verantwortliche, Prüfzyklen und Belege abbildet, ist mehr wert als ein weiteres Security-Tool — weil sie das ist, was die Geschäftsleitung zur Erfüllung ihrer nicht-delegierbaren Überwachungspflicht tatsächlich braucht.
Bei der Frage, wie tief diese Maßnahmen reichen müssen, ist die Verbindung zum NIST CSF 2.0 hilfreich: Die zehn NIS2-Bereiche lassen sich nahezu vollständig auf die sechs CSF-Funktionen abbilden. Wer einen strukturierten Cybersecurity-Reifegrad auf Basis von NIST CSF 2.0 ermittelt — wie in unserem NIST CSF 2.0 Assessment Guide beschrieben — deckt damit den Großteil der NIS2-Anforderungen ab und erhält zugleich die Dokumentationsstruktur, die NIS2 verlangt.
Was bei Nichteinhaltung droht
Die Sanktionsarchitektur des NIS2UmsuCG ist bewusst so gestaltet, dass das Thema Vorstandsaufmerksamkeit erzwingt. Sie kombiniert empfindliche Bußgelder mit Aufsichtsbefugnissen und der persönlichen Verantwortlichkeit der Leitungsorgane. Die genaue Höhe ist nach Einrichtungstyp gestaffelt und im Einzelfall rechtlich zu bewerten — die Größenordnung ist jedoch eindeutig auf Abschreckung ausgelegt und orientiert sich am Modell der DSGVO: Bußgelder, die sich am Konzernumsatz bemessen und damit für große Unternehmen schnell zweistellige Millionenbeträge erreichen können.
Ebenso relevant wie die Bußgeldhöhe sind die flankierenden Aufsichtsinstrumente. Das BSI erhält Anordnungs- und Prüfbefugnisse, und in gravierenden Fällen kann die Aufsicht bis zur vorübergehenden Untersagung von Leitungstätigkeiten reichen. Der eigentliche Reputations- und Kontinuitätsschaden eines bekanntgewordenen Verstoßes übersteigt das Bußgeld in vielen Fällen ohnehin.
Aus Governance-Perspektive ist die Botschaft dieser Architektur eindeutig und sie ist kein Detail: Die kostengünstigste NIS2-Maßnahme ist eine ehrliche, dokumentierte Standortbestimmung jetzt. Jeder Monat ohne dokumentierten Maßnahmenstand verschiebt das Risiko nicht in die Zukunft, sondern vergrößert es in der Gegenwart, weil die Pflicht bereits gilt.
Der 90-Tage-Fahrplan für die Geschäftsleitung
NIS2 lässt sich nicht in einem Quartal vollständig umsetzen — aber die haftungsrelevante Ausgangslage lässt sich in 90 Tagen entscheidend verbessern. Der folgende Fahrplan priorisiert nicht nach technischer Eleganz, sondern nach Haftungsexposition: Zuerst kommt, was die Geschäftsleitung im Prüfungs- oder Vorfall schützt.
- 1Woche 1–2 — Betroffenheit verbindlich klären: Lassen Sie die Betroffenheitsbewertung dokumentieren und durch die Geschäftsleitung formal zur Kenntnis nehmen. Ein datierter Beschluss, ob und als welcher Einrichtungstyp Sie betroffen sind, ist das Fundament jeder weiteren Maßnahme.
- 2Woche 2–4 — BSI-Registrierung und Gap-Analyse: Holen Sie eine versäumte Registrierung nach und führen Sie eine strukturierte Gap-Analyse gegen die zehn Bereiche durch. Nutzen Sie ein etabliertes Framework als Raster — die Abbildung der zehn NIS2-Bereiche auf NIST CSF 2.0 spart Doppelarbeit.
- 3Woche 4–6 — Incident-Reporting belastbar machen: Definieren Sie die Meldekette ans BSI mit Namen, Vertretung, Vorlagen und Sprache. Führen Sie eine Tabletop-Übung der 24-Stunden-Frühwarnung durch und protokollieren Sie sie. Dieser eine Schritt schließt die in der Praxis am häufigsten gerissene Frist.
- 4Woche 6–9 — Lieferkette und Backups verifizieren: Erstellen oder aktualisieren Sie das Lieferantenregister mit Risikoklassen, prüfen Sie die Sicherheitsklauseln kritischer Verträge und führen Sie einen echten Restore-Test mit datiertem Protokoll durch. Verifizierte Backups sind die wirksamste Einzelmaßnahme gegen den teuersten Schadensfall.
- 5Woche 9–12 — Nachweis-Schicht und Leitungsschulung: Konsolidieren Sie alle Artefakte in einer NIS2-Maßnahmenmatrix, lassen Sie die Geschäftsleitung die Maßnahmen formal billigen und absolvieren Sie die verpflichtende Leitungsschulung mit Teilnahmenachweis. Damit ist die nicht-delegierbare Überwachungspflicht erstmals nachweisbar erfüllt.
Die wichtigsten Erkenntnisse
- Das NIS2-Umsetzungsgesetz gilt in Deutschland seit dem 06.12.2025 ohne Übergangsfrist; die BSI-Registrierungsfrist lief am 06.03.2026 ab. Rund 29.500 Unternehmen sind betroffen — viele wissen es nicht.
- Die Haftung für die Risikomanagementmaßnahmen liegt bei der Geschäftsleitung, ist persönlich und nicht delegierbar. Ein CISO entlastet operativ, aber nicht in der Verantwortung.
- Die zehn Risikomanagement-Bereiche werden erst durch Übersetzung in konkrete Delivery-Praxis (Lieferkette, getestete Backups, flächendeckende MFA, geübtes Incident-Reporting) umsetzbar und prüfbar.
- Die Meldefristen sind gestuft und kurz: Frühwarnung in 24 Stunden, Vorfallmeldung in 72 Stunden, Abschlussbericht in einem Monat — ab Kenntnis, nicht ab Aufklärung. Ein geübter IR-Prozess ist regulatorische Pflicht.
- NIS2 ist ein Nachweisregime: Die kritische Lücke ist meist nicht die Technik, sondern die datierte, prüfungsfeste Dokumentation der Geschäftsleitungs-Billigung und der durchgeführten Maßnahmen.
- Die zehn NIS2-Bereiche lassen sich nahezu vollständig auf NIST CSF 2.0 abbilden — ein strukturierter CSF-Reifegrad deckt den Großteil der NIS2-Anforderungen ab und liefert zugleich die geforderte Dokumentationsstruktur.
Passende Assessment-Templates
Häufig gestellte Fragen
Das NIS2UmsuCG wurde am 06.12.2025 verkündet und ist seitdem in Kraft — ohne die generelle Übergangsfrist, mit der viele Unternehmen geplant hatten. Die BSI-Registrierungsfrist für betroffene Einrichtungen lief bereits am 06.03.2026 ab. Wer das Thema erst jetzt prüft, prüft eine bereits geltende, nicht eine künftige Pflicht. Konkrete fristbezogene Detailfragen gehören in die rechtliche Einzelfallbewertung durch eine Kanzlei.
Die Einstufung ergibt sich aus der Kombination von Sektorzugehörigkeit und Unternehmensgröße. Vereinfacht: Wer in einem erfassten Sektor tätig ist und mindestens 50 Beschäftigte oder mehr als 10 Mio. Euro Jahresumsatz bei entsprechender Bilanzsumme hat, fällt mit hoher Wahrscheinlichkeit darunter; für einige Sektoren entfällt die Größenschwelle. Entscheidend ist eine dokumentierte Einzelfallprüfung am konkreten Geschäftsmodell — eine undokumentierte Negativeinschätzung schützt die Geschäftsleitung im Haftungsfall nicht.
Die operative Umsetzung kann delegiert werden — die Verantwortung, die Maßnahmen zu billigen und ihre Umsetzung nachvollziehbar zu überwachen, nicht. Das NIS2UmsuCG macht diese Pflicht der Geschäftsleitung ausdrücklich nicht delegierbar und sieht zusätzlich eine eigene Schulungspflicht für die Leitungsorgane vor. Ein CISO entlastet die Geschäftsführung operativ, nicht haftungsrechtlich.
Die Meldepflicht ist gestuft: Frühwarnung innerhalb von 24 Stunden, Vorfallmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Die Fristen laufen ab Kenntnis des erheblichen Vorfalls, nicht ab dessen vollständiger Aufklärung. Ein versäumtes Reporting ist ein eigenständiger Pflichtverstoß. In der Praxis scheitert die 24-Stunden-Frist fast nie an Unkenntnis, sondern an fehlender Reaktionsfähigkeit — der wirksamste Schutz ist ein dokumentierter und tatsächlich geübter Incident-Response-Prozess.
Sehr wahrscheinlich ja, über die Lieferkette. NIS2 verpflichtet betroffene Einrichtungen, die Sicherheit ihrer Lieferanten und Dienstleister in das Risikomanagement einzubeziehen. Wer eine besonders wichtige Einrichtung beliefert oder ihr IT-Dienstleistungen erbringt, wird über deren Lieferantenanforderungen faktisch zu denselben Maßnahmen verpflichtet — vertraglich statt gesetzlich, aber praktisch gleichwertig. In der Praxis kommt die erste NIS2-Anforderung oft nicht von einer Behörde, sondern vom größten Kunden.
Es deckt den Großteil ab, aber nicht alles. Die zehn NIS2-Risikomanagement-Bereiche lassen sich nahezu vollständig auf die sechs Funktionen von NIST CSF 2.0 abbilden, und ein strukturiertes CSF-Assessment liefert zugleich die von NIS2 verlangte Dokumentationsstruktur. NIS2-spezifische Punkte wie die konkrete Meldekette ans BSI, die Registrierungspflicht und die Schulungspflicht der Leitungsorgane gehen jedoch über CSF hinaus. Unsere Empfehlung ist ein kombinierter Ansatz: CSF 2.0 als methodisches Raster, ergänzt um die NIS2-spezifischen Pflichten.
Priorisieren Sie nach Haftungsexposition, nicht nach technischer Eleganz: Zuerst die Betroffenheitsbewertung dokumentiert beschließen, dann BSI-Registrierung nachholen und eine Gap-Analyse gegen die zehn Bereiche durchführen, anschließend die Meldekette belastbar machen und in einer Tabletop-Übung testen, danach Lieferantenregister und Restore-Tests verifizieren und zuletzt alle Artefakte in einer NIS2-Maßnahmenmatrix konsolidieren, die die Geschäftsleitung formal billigt. Damit ist die nicht-delegierbare Überwachungspflicht erstmals nachweisbar erfüllt.