Die NIS-2-Richtlinie ist vielen Organisationen bereits ein Begriff. Doch mit dem deutschen NIS-2-Umsetzungsgesetz, das am 6. Dezember 2025 in Kraft getreten ist, rückt vor allem eines in den Mittelpunkt: die konkrete Umsetzung in der Praxis. Besonders für Bundesbehörden, aber ebenso für betroffene Unternehmen, stellt sich nun die Frage, wie sich die umfangreichen neuen Anforderungen wirksam, pragmatisch und ressourcenschonend in bestehende Strukturen integrieren lassen.
Im Fokus steht nicht mehr die Frage nach dem „Ob“, sondern nach dem „Wie“: Wie müssen Behörden und Unternehmen jetzt handeln, um Risiken und Sanktionen zu vermeiden? Wie lässt sich NIS-2 in Organisation, Prozessen und IT nachhaltig verankern? Welche Pflichten gelten im Detail? Und wie lassen sich bestehende Sicherheitsmaßnahmen auf ein nachweisbar angemessenes Niveau heben?
Das NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Deutschland in Kraft getreten und begründet seitdem verbindliche Anforderungen an betroffene Organisationen.
Wichtige und besonders wichtige Einrichtungen sind nach § 33 BSIG verpflichtet, sich innerhalb von drei Monaten nach Inkrafttreten bzw. Betroffenheit beim BSI zu registrieren (für Bestandsunternehmen bis zum 6. März 2026).
Cyber-Sicherheit wird durch § 38 BSIG zur unmittelbaren Verantwortung der Geschäftsleitung mit entsprechenden Haftungsrisiken bei Verstößen.
Ein Risikomanagement ist verpflichtend und nachweisbar umzusetzen.
Meldeprozesse müssen klar definiert und fristgerecht erfüllt werden.
Bei Verstößen drohen Bußgelder bis zu 20 Mio. Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes.
Viele Organisationen wissen, dass die NIS-2-Richtlinie relevant ist, aber nicht, was sie konkret bedeutet. Dabei ist wichtig zu unterscheiden: Die Richtlinie selbst gilt nicht unmittelbar, sondern wurde erst durch die Novellierung und Veröffentlichung des BSIG verbindlich.
Mit dieser Verbindlichkeit fallen nun deutlich mehr Unternehmen und Einrichtungen unter die regulatorischen Anforderungen. Dazu zählen insbesondere sogenannte wichtige und besonders wichtige Einrichtungen in kritischen und wirtschaftlich bedeutenden Sektoren.
Unabhängig von der NIS-2-Richtlinie ist die Lage für die Bundesverwaltung bereits heute eindeutig geregelt. Sie ist auf Grundlage nationaler Vorgaben verpflichtet, verbindliche Mindestanforderungen der Informationssicherheit umzusetzen. Diese ergeben sich insbesondere aus den gesetzlichen Vorgaben des BSI-Gesetzes und deren Konkretisierung durch das BSI.
Die Informationssicherheit in der Bundesverwaltung basiert auf dem IT-Grundschutz, wird durch BSI-Standards methodisch unterstützt und durch verbindliche Mindeststandards konkretisiert.
Diese bestehenden Vorgaben werden durch die NIS-2-Richtlinie nicht ersetzt, sondern gezielt ergänzt und weiter verschärft. Insbesondere steigen die Anforderungen an Risikomanagement, Meldeprozesse und die Verantwortung der Leitungsorgane.
Für viele Organisationen außerhalb der Bundesverwaltung bedeutet das: Sie müssen sich erstmals strukturiert und nachweisbar mit regulatorischen Vorgaben zur Cyber-Sicherheit auseinandersetzen.
Die EU verfolgt mit NIS-2 das Ziel, das europäische Cyber-Sicherheitsniveau deutlich zu erhöhen. Die Richtlinie beinhaltet die folgenden Punkte:
Erweiterung des Adressatenkreises,
Verschärfung von Sicherheits- und Governance-Maßnahmen,
Standardisierung in der Umsetzung,
Stärkung der Cyber-Resilienz innerhalb der EU-Gemeinschaft,
Reduzierung von Versorgungsrisiken,
Stärkung staatlicher und unternehmerischer Informationsbestände
Das NIS-2-Umsetzungsgesetz bezieht etwa 30.000 Einrichtungen ein (zuvor ca. 4.500).
Betroffen sind unter anderem:
Bundesbehörden
öffentlich-rechtliche IT-Dienstleister
bestimmte Körperschaften, Anstalten und Stiftungen
KRITIS-nahe Einrichtungen
große und mittlere Unternehmen in definierten Sektoren
Zwei Kategorien entstehen:
| Kategorie | Beispiele | Pflichten |
| Besonders wichtige Einrichtungen | KRITIS-ähnliche Strukturen, große Unternehmen | Registrierung, strenges Risikomanagement, erweiterte Aufsicht |
| Wichtige Einrichtungen | viele mittlere und große Unternehmen, öffentliche IT-Dienstleister | Registrierung, dokumentierte Sicherheitsmaßnahmen, Meldepflichten |
Rückmeldungen aus Behörden und Unternehmen zeigen ein einheitliches Bild:
Obwohl die Inhalte der NIS-2-Richtlinie bekannt sind, bestehen häufig Zweifel, wie die Anforderungen konkret, pragmatisch und fristgerecht umgesetzt werden sollen. Die Herausforderungen sind oft weniger technischer Natur, sondern organisatorisch und strukturell begründet.
Typische Stolpersteine in der Praxis:
Unklare Verantwortlichkeiten zwischen IT, Compliance, Informationssicherheit und Management
Fehlende Transparenz über die tatsächlichen Anforderungen und deren Priorisierung
Heterogene Sicherheitsreifegrade innerhalb der Organisation
Personelle und fachliche Engpässe, insbesondere in kleineren Einheiten
Zeitdruck durch gesetzliche Fristen und parallele Transformationsprojekte
Zusätzlich entsteht das Risiko des sogenannten „Goldplating“: Maßnahmen werden über das geforderte Maß hinaus umgesetzt – gut gemeint, aber oft ohne zusätzlichen Sicherheitsgewinn. Dies bindet wertvolle Ressourcen, verlangsamt die Umsetzung und erschwert die Steuerung.
Mit der Umsetzung der NIS-2-Richtlinie werden bestehende Anforderungen nicht nur erweitert, sondern auch verbindlicher und prüfbarer. Dabei ist entscheidend: Die konkreten Pflichten unterscheiden sich je nach Organisationstyp.
Für besonders wichtige und wichtige Einrichtungen (Unternehmen und Organisationen im NIS-2-Anwendungsbereich):
Registrierungspflichten
Betroffene Organisationen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und ihre Rolle im regulatorischen Kontext eindeutig ausweisen.
Meldepflichten
Erhebliche Sicherheitsvorfälle sind innerhalb definierter Fristen zu melden. Dabei kommt es sowohl auf die Geschwindigkeit als auch auf die Qualität und Vollständigkeit der Meldung an.
Risikomanagement & Informationssicherheit
Sie sind verpflichtet, ein angemessenes Sicherheitsniveau systematisch umzusetzen und nachzuweisen. Dazu gehören insbesondere:
technische und organisatorische Sicherheitsmaßnahmen
regelmäßige und nachvollziehbare Risikobewertungen
Backup- und Wiederherstellungsprozesse
strukturiertes Patch- und Schwachstellenmanagement
belastbare Notfall- und Krisenreaktionskonzepte
Dokumentations- und Nachweispflichten
Die Nachweisführung ist zentraler Bestandteil der Regulierung:
Aufsichtsbehörden können Prüfungen durchführen
Verstöße können mit erheblichen Bußgeldern (bis zu 20 Mio. Euro) sanktioniert werden
Zusätzlich für die Bundesverwaltung:
Unabhängig von NIS-2 gelten hier bereits heute weitergehende, spezifische Anforderungen:
Umsetzung der Informationssicherheit auf Basis des IT-Grundschutz
Verbindliche Einhaltung der BSI-Mindeststandards
Diese Anforderungen bestehen zusätzlich und werden durch NIS-2 nicht ersetzt, sondern ergänzt.
Für KRITIS-Betreiber:
Organisationen, die als kritische Infrastrukturen eingestuft sind, unterliegen darüber hinaus:
regelmäßigen Prüf- und Nachweispflichten
besonders strengen Anforderungen an Sicherheit und Resilienz
Während die Bundesverwaltung bereits umfassend reguliert ist, bringt NIS-2 vor allem für Unternehmen erstmals klare, verbindliche und überprüfbare Anforderungen an die Cyber-Sicherheit mit sich.
Die Umsetzung der NIS-2-Richtlinie stellt Behörden und Unternehmen vor komplexe organisatorische und technische Anforderungen. Die folgende Schritt-für-Schritt-Anleitung bietet einen klaren, praxisnahen Überblick darüber, wie Organisationen die NIS-2-Compliance systematisch herstellen.
Von der ersten Betroffenheitsprüfung bis zur kontinuierlichen Verbesserung. Ein klar strukturiertes Vorgehen stellt sicher, dass alle organisatorischen und technischen Anforderungen transparent, effizient und nachhaltig umgesetzt werden:
1. Betroffenheitsüberprüfung
Einstufung der Organisation als „wichtig“ oder „besonders wichtig“
Analyse von Sektorzugehörigkeit und gesetzlichen Schwellenwerten
Erstellung einer dokumentierten Betroffenheitsanalyse für das BSI
2. Durchführung einer Gap-Analyse
Vergleich von Soll- und Ist-Zustand der Informationssicherheit
Bewertung des aktuellen Reifegrads
Identifikation der dringendsten Handlungsfelder und Risiken
3. Entwicklung eines maßgeschneiderten Realisierungsplans
Priorisierung nach Risiko, Aufwand und Wirkung
Definition schneller Umsetzungsmöglichkeiten (Quick Wins)
Aufbau eines belastbaren, auditfähigen Maßnahmenkatalogs
4. Umsetzung & Integration (technisch & organisatorisch)
Verankerung der Maßnahmen in vorhandenen Strukturen (z. B. ISMS, IT-Grundschutz)
Durchführung von Schulungen, Sensibilisierung und Rollenklarheit
Implementierung technischer Sicherheitsmaßnahmen
5. Qualitätssicherung
Durchführung von Qualitätssicherungsmaßnahmen
Übungen und Belastbarkeitsprüfungen
Steuerung und Kontrolle des Projektes
6. Monitoring & kontinuierliche Verbesserung
Regelmäßige Audits, Reviews und Wirksamkeitskontrollen
Etablierung von KPIs und Berichtswesen
fortlaufende Weiterentwicklung der Risikoanalyse und Anpassung an neue Bedrohungslagen
Diese strukturierte Vorgehensweise ermöglicht es, NIS-2 nicht nur regelkonform, sondern zugleich strategisch sinnvoll und zukunftsorientiert umzusetzen.
Mit NUPro bietet conet ein durchgängiges Programm zur effizienten und skalierbaren Umsetzung der NIS-2-Richtlinie – ideal für die Bundesverwaltung, aber ebenso für Unternehmen mit hohen Sicherheitsanforderungen.
NUPro umfasst:
übergreifendes Programmmanagement
einheitliches Vorgehensmodell
klare Governance
integrierte Fachdisziplinen (EAM, Prozesse, Rollenmodelle, Architektur)
NIS-2-Compliance in allen Teildisziplinen (ISMS, IT-Grundschutz, BCMS, Risikomanagement)
Durch das breite conet-Portfolio fließen dabei Zukunftsthemen wie Cloud, KI, digitale Souveränität, Netze, Dienste und Green IT direkt in die Umsetzung ein.
conet besitzt jahrzehntelange Erfahrung in der Zusammenarbeit mit Bundesbehörden und öffentlichen Organisationen. Diese Erfahrung bildet die Basis für ein praxiserprobtes Vorgehensmodell, das heute NUPro prägt.
conet unterstützt unter anderem mit:
ISMS-Einführungen
BSI-Grundschutz-Umsetzung
Risikoanalysen & Audits
Organisationsentwicklung & Governance
technische Sicherheitsarchitekturen
conet unterstützt Bundesbehörden bei der strukturierten und nachweisbaren Umsetzung der NIS-2-Anforderungen. Das Leistungsportfolio adressiert alle relevanten Handlungsfelder: von Governance und Risikomanagement über IT-Grundschutz und BSI-Mindeststandards bis hin zu technischen Sicherheitsmaßnahmen.
ISMS nach IT-Grundschutz (2023) & IT-Grundschutz ++
Gap-Analysen
Coaching & Vorlagen
Audit-Vorbereitung
BSI-Mindeststandards
Implementierung der Anforderungen
Umsetzung von Maßnahmen
Konsolidierung mit bestehenden IT-Grundschutzmaßnahmen
Unterstützung bei organisatorischen Implementierungen
Detection & Response Prozess
Schulungskonzeption für Führungskräfte und Mitarbeitende
Notfall- und Krisenmanagement
Schwachstellenmanagement
Unterstützung bei technischen Implementierungen
Netzwerksegmentierung
Zero Trust
Cloud Security
SIEM/SOC-Integration
Auch außerhalb der Bundesverwaltung begleitet conet Unternehmen bei der zuverlässigen Einordnung, Planung und Umsetzung ihrer NIS-2 Pflichten.
Betroffenheitsprüfung
Sektorzuordnung
Dokumentation und Betroffenheitsnachweis
Aufnahme des IST-Zustandes
Durchführung eines NIS-2 Compliance Checks
Identifizierung von offenen Maßnahmen
Erstellung eines risikoorientierten Realisierungsplans
Risikomanagement & Governance
Aufbau eines Risikomanagements mit Wirksamkeitsprüfung (§ 30 BSIG konform)
Identifizierung relevanter nationaler und internationaler Normen als Maßstab
Implementierung von Aufbau- und Ablauforganisationen zur eigenständigen Fortführung
Implementierung technischer & organisatorischer Maßnahmen
Erkennung und Behandlung von erheblichen Sicherheitsvorfällen nach BSIG-Definition
Aufbau einer Melde- und Alarmierungskette
Planung und Umsetzung von technischen Maßnahmen zur Erhöhung der Informationssicherheit
Bei der Umsetzung der NIS-2-Richtlinie kann es zu unterschiedlichen Fehlern kommen. Mit ein paar Tipps können Organisationen diese frühzeitig verhindern und langfristig darauf achten.
Zu spätes Handeln: Fristen laufen bereits.
Reine IT-Perspektive: NIS-2 ist ein Organisations- und Governance-Thema.
Fehlende Dokumentation: Nachweis ist zentraler Bestandteil der Aufsicht.
Unterschätzung der Lieferkette: Dienstleister sind oft Risiko-Hotspots.
Fehlende Rollenklärung: Management, IT und Compliance müssen abgestimmt agieren.
NIS-2 ist kein rein regulatorisches Pflichtprogramm. Richtig umgesetzt stärkt es die Resilienz von Behörden und Unternehmen nachhaltig: Organisatorisch, technisch und strukturell. Für alle betroffenen Organisationen gilt jetzt:
Lücken schließen
Prozesse professionalisieren
Verantwortung klären
Sicherheitsniveau nachweisbar erhöhen
Die Anforderungen der NIS-2-Richtlinie kommen nicht irgendwann – sie gelten jetzt. Entscheidend ist, wie schnell und strukturiert Sie handeln.
Mit conet als Partner gewinnen Sie Klarheit über Ihren aktuellen Status und konkrete Handlungssicherheit. Ein gezielter Readiness- oder Health-Check zeigt Ihnen transparent auf, wo Sie stehen, welche Lücken bestehen und welche Maßnahmen jetzt Priorität haben.
Starten Sie jetzt und machen Sie Ihre Organisation Schritt für Schritt NIS-2-ready.
Wenn Sie zu den betroffenen Organisationen gehören, sind Sie verpflichtet, ein wirksames Risikomanagement einzuführen, klare Meldeprozesse zu etablieren und angemessene technische sowie organisatorische Sicherheitsmaßnahmen umzusetzen.
Die Anforderungen gelten seit Dezember 2025. Organisationen müssen NIS-2 ab diesem Zeitpunkt laufend einhalten ohne Übergangsphase. Für Bundesbehörden gilt zusätzlich: Der vollständige Nachweis muss innerhalb von fünf Jahren vorliegen.
Bei Nichteinhaltung drohen Bußgelder von bis zu 20 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist). Auch persönliche Haftung der Leitungsebene ist möglich.
Das hängt stark vom bestehenden Sicherheitsniveau ab. Organisationen mit etabliertem ISMS müssen Maßnahmen erweitern und nachschärfen. Organisationen ohne strukturiertes Risikomanagement müssen grundlegende Governance und Sicherheitsprozesse aufbauen.
Die Leitungsebene. Sie muss Sicherheitsentscheidungen aktiv steuern, überwachen und dokumentieren. Delegation ist möglich, Verantwortung nicht.
Ja. Externe Dienstleister und die gesamte Lieferkette werden Teil der Risiko- und Sicherheitsbetrachtung. Auftraggeber müssen prüfen, nachweisen und vertraglich absichern, dass Dienstleister sicherheitskonform arbeiten.
NIS-2 gilt für deutlich mehr Organisationen, ist konkreter, strenger und fordert mehr Nachweisbarkeit. KRITIS bleibt bestehen und werden von NIS-2 ergänzt und erweitert die Anforderungen.
Setzen Sie auf ganzheitliche Cyber Security, um Bedrohungen abzuwehren und im Ernstfall handlungsfähig zu bleiben - technisch, organisatorisch und regulatorisch belastbar.
Vice President Security Engineering & Consulting
Cyber Security
Digitale Verwaltung
Cloud
Cyber Security
Künstliche Intelligenz (KI)
Digitale Verwaltung
Cloud
