NIS2UmsuCG
Die drei wichtigsten Schritte nach Veröffentlichung des NIS2UmsuCG
Am 13.November 2025 wurde mit einjähriger Verspätung das NIS2-Umsetzungsgesetz beschlossen. Betroffene Unternehmen haben jetzt einiges zu tun. Die drei wichtigsten ersten Schritte zielen vor allem darauf, im Unternehmen Klarheit zu den Anforderungen zu schaffen.
Rund 30.000 Unternehmen werden allein in Deutschland den Anforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) nachkommen müssen. Damit sind knapp 25.000 mehr Unternehmen verpflichtet, durchgängige Cybersicherheit in ihren kritischen Prozessen und Systemen nachzuweisen, als noch unter dem IT-Sicherheitsgesetz.
Keine Schonfrist!
Und die Zeit ist knapp. Denn eine Übergangsfrist wird es nicht geben. Da die Bundesregierung die Deadline für die Umsetzung der EU-NIS2-Direktive im Oktober 2024 gehörig gerissen hat, gilt das NIS2-Umsetzungsgesetz direkt ab Veröffentlichung im Bundesgesetzblatt. Das dürfte nach der Verabschiedung im Bundestag am 13.11.2025 nur noch eine Frage weniger Wochen sein.
Es ist daher Zeit, sich endlich mit NIS2 auseinanderzusetzen. Trotzdem sollte nicht in Panik verfallen werden. Verschaffen Sie sich erst einmal einen Überblick, ob und was auf Sie zukommt. Mit den folgenden drei Schritten bringen Sie in Erfahrung, woran Sie sind.
1. Rechtliche Betroffenheit und Einordnung prüfen
Für die Unternehmen, die bereits unter dem IT-Sicherheitsgesetz als kritische Infrastruktur definiert wurden, dürfte die Lage klar sein. Alle anderen Unternehmen müssen nun prüfen lassen, ob und in welche Kategorie des NIS2UmsuCG sie fallen. Das sollte nicht der wohlmeinende IT-Dienstleister machen, denn die Frage nach der Betroffenheit ist eine rechtliche. Und IT-Dienstleister dürfen weder eine Rechtsberatung durchführen, noch haben sie in der Regel die nötige Expertise, darüber überhaupt eine Aussage zu tätigen. Die Prüfung sollte die eigene Rechtsabteilung oder eine Rechtskanzlei mit Kompetenzen im IT-Sicherheitsrecht vornehmen.
Davon abgesehen, finden sich Definitionen für wichtige und besonders wichtige Einrichtungen im §28 des NIS2UmsuCG. Die Schwellenwerte für kritische Anlagen werden – wie gehabt – in der BSI Kritis-Verordnung festgelegt. Die Prüfung der Schwellenwerte sollte regelmäßig wiederholt werden, da die gesamte Gesetzgebung noch stark in Bewegung ist. Unternehmen sind selbst verantwortlich, die Betroffenheit zu prüfen und bei positivem Ergebnis der Registrierungspflicht nachzukommen.
2. Lücken identifizieren (ISMS ≠ NIS2-Compliance)
Die meisten Unternehmen haben in ihrer Infrastruktur die eine oder andere Maßnahme für Cybersicherheit bereits umgesetzt. Ob das reicht, um NIS2-konform zu sein, bedarf jedoch einer genaueren Prüfung. Selbst die Implementierung eines ISMS nach ISO 27001 bedeutet nicht automatisch NIS2-Konformität. Denn NIS2 erweitert die Anforderungen über die ISO 27001 hinaus. Das betrifft unter anderem Meldepflichten, die Pflichten der Geschäftsleitung sowie die Risiko- und Haftungstransfers in der Lieferkette.
Als Orientierung, wo organisatorische Lücken bestehen, gelten die zehn Anforderungen aus §30 (2) des NIS2UmsuCG. Für kritische Anlagen gilt zusätzlich die Pflicht für ein System zur Angriffserkennung (SzA) nach §31 (2). Das SzA muss dabei die “informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind” abdecken. Für industriell geprägte Unternehmen ergibt sich damit die Pflicht, auch ihre industriellen Prozesse und Infrastruktur (OT) mit einem SzA abzusichern. Das umfasst logischerweise auch die Steuerungstechnik, Prozessleittechnik, Netzleit- und Fernwirktechnik, kurz: die Operational Technology oder OT.
Da sich vermutlich viele der neu betroffenen, industriell geprägten Unternehmen bis dato nicht mit OT-Cybersicherheit auseinandergesetzt haben, empfiehlt sich als erster Schritt eine Risiko- und Schwachstellenbewertung der OT-Infrastruktur. Dabei wird die OT binnen weniger Wochen auf bestehende Sicherheitslücken, Fehlkonfigurationen und Schwachstellen geprüft. Als Ergebnis erhalten Betreibende der OT (oftmals erstmal) vollständige Sichtbarkeit in ihre Blackbox der OT. Dieses Wissen bildet nachfolgend die Basis, um “low-hanging fruits” der Cybersicherheit schnell umzusetzen und weitere Sicherheitsmaßnahmen sinnvoll priorisieren zu können.
3. Betreiber kritischer Anlagen: Was muss ein SzA leisten?
Betreiber kritischer Anlagen kennen die besondere Anforderung des §31 (2) NIS2UmsuCG bereits aus dem IT-Sicherheitsgesetz 2.0.
“Betreiber kritischer Anlagen sind verpflichtet, für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten.”
Gerade in dezentralen Anlagen, aber auch in der OT ist das kein triviales Unterfangen. Weil das Missverständnis, Firewalls würden bereits ein System zur Angriffserkennung bilden, weit verbreitet ist, hat das BSI in den letzten Jahren die Anforderungen an ein SzA klarer herausgearbeitet.
Wir haben die wichtigsten Anforderungen an ein SzA in der OT in drei Blogposts zusammengefasst:
Für viele Industrieunternehmen (z. B. Energie, Wasser, Öl/Gas, Fertigung, Chemie, Pharma, Lebensmittel) oder Unternehmen mit kritischer Gebäudeautomation (z. B. Datenzenter) ist das Thema SzA in der OT Neuland. Die Integration eines netzbasierten Intrusion Detection Systems (NIDS), wie es das BSI empfiehlt, ist jedoch weitaus einfacher als jedes vergangene IT-Projekt. Zeit für den ersten mutigen Schritt.
