NIS2 ist verabschiedet – Handlungsbedarf für Geschäftsführungen

NIS2 betrifft nicht nur die IT – sondern die Unternehmensleitung

Die NIS2-Richtlinie ist verabschiedet und inzwischen verbindlich umgesetzt. Mit dem NIS2-Umsetzungsgesetz, das am 06.12.2025 in Kraft getreten ist, gelten die neuen Anforderungen nun auch in Deutschland.
Für viele Unternehmen heißt das konkret: Informationssicherheit ist nicht länger nur ein technisches Thema, sondern eine verantwortliche Managementaufgabe. Damit verbunden sind eine Meldepflicht beim BSI, klar definierte Fristen und eine persönliche Verantwortung der Geschäftsleitung und damit verbunden eine persönliche Haftung!

STEGMÜLLER unterstützt NIS2-betroffene Unternehmen dabei, diese Anforderungen strukturiert und praxisnah umzusetzen – von der ersten Einordnung über den Aufbau der notwendigen Dokumentation, Strukturen und Prozesse bis hin zur technischen Absicherung mit passender Sicherheits-Hard- und Software.

Sind Sie als Geschäftsführer persönlich von NIS2 betroffen?

NIS2 macht IT-Sicherheit zur Chefsache: Geschäftsführungen sind verpflichtet, sich schulen zu lassen und sicherzustellen, dass angemessene organisatorische und technische Sicherheitsmaßnahmen umgesetzt werden – auf Basis klarer gesetzlicher Vorgaben, die seit dem 06. Dezember 2025 gelten. Es ist wichtig, jetzt Klarheit zu schaffen:

Fällt Ihr Unternehmen unter die Regelungen der NIS2?
Welche Fristen sind für Ihr Unternehmen relevant?
Welche Pflichten und Verantwortlichkeiten betreffen Sie persönlich?

>> Jetzt NIS2-Checkliste anfordern und Klarheit gewinnen.

Was ist NIS2 – kurz erklärt

NIS2 ist die neue EU-Richtlinie zur Stärkung der Cyber- und Informationssicherheit. Sie baut auf der bisherigen NIS-Richtlinie auf, geht jedoch deutlich weiter und erweitert sowohl den Kreis der betroffenen Unternehmen als auch die Anforderungen an Organisation und Führung. Konkret bedeutet das:

mehr Branchen fallen künftig unter die Regulierung
die relevanten Schwellenwerte werden abgesenkt
Pflichten und Nachweisanforderungen werden verschärft
und die Verantwortung der Geschäftsleitung wird klar benannt.

IT-Sicherheit ist damit kein isoliertes Technikthema mehr, sondern ein fester Bestandteil verantwortungsvoller Unternehmensführung.

Fristen & Meilensteine auf einen Blick

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 06.12.2025 sind die neuen Pflichten verbindlich geworden. Für betroffene Unternehmen ergeben sich daraus klare zeitliche Meilensteine, die frühzeitig berücksichtigt werden sollten.

Registrierung beim BSI
Unternehmen, die unter NIS2 fallen, müssen sich aktiv beim BSI registrieren. Diese sogenannte Selbstidentifikation ist verpflichtend und bildet die Grundlage für alle weiteren Pflichten.
Das BSI sieht hierfür einen zweistufigen Registrierungsprozess vor.
Zunächst ist ein Konto bei „Mein Unternehmenskonto“ (MUK) anzulegen, das als zentrales Zugangskonto für digitale Verwaltungsleistungen dient. Das BSI empfiehlt, diesen Schritt bis spätestens Ende 2025 abzuschließen.

Ab dem 06.01.2026 steht zusätzlich das neue BSI-Portal zur Verfügung. Über dieses Portal erfolgt die eigentliche Registrierung nach NIS2 sowie – im Ereignisfall – die Meldung erheblicher Sicherheitsvorfälle. Bis dahin können Unternehmen über diesen Link Sicherheitsvorfälle melden.

Zwei Jahre Zeit für die Umsetzung
Mit Inkrafttreten des Gesetzes beginnt zugleich die Umsetzungsphase.
Betroffene Unternehmen haben 24 Monate, um die Anforderungen der NIS2 vollständig umzusetzen. Die Frist endet damit am 06.12.2027.
Auch wenn dieser Zeitraum auf den ersten Blick großzügig erscheint, zeigt die Praxis:
Der Aufbau tragfähiger Strukturen, klarer Prozesse und geeigneter technischer Maßnahmen benötigt Zeit. Ein früher Start schafft Planungssicherheit und reduziert den Umsetzungsdruck erheblich.

Der zentrale Baustein: ISMS

Was ist ein ISMS? Ein ISMS (Informationssicherheits-Managementsystem) bildet das organisatorische Fundament der NIS2-Compliance. Es handelt sich dabei nicht um eine einzelne Maßnahme oder ein Tool, sondern um ein strukturiertes System, mit dem Informationssicherheit geplant, gesteuert und kontinuierlich verbessert wird. Ein ISMS umfasst unter anderem:

die systematische Identifikation und Bewertung von Risiken
verbindliche Sicherheitsrichtlinien und Prozesse
klar geregelte Zuständigkeiten
technische und organisatorische Schutzmaßnahmen
eine nachvollziehbare Dokumentation und regelmäßige Überprüfung

Kurz gesagt: Ein ISMS schafft Transparenz, Verlässlichkeit und Nachweisbarkeit. Ohne ein funktionierendes ISMS ist eine nachhaltige NIS2-Compliance kaum möglich.

Achtung Pflicht: NIS2-Schulung der Geschäftsleitung

Eine der wesentlichen Neuerungen unter NIS2 betrifft die Rolle der Geschäftsleitung. Diese wird ausdrücklich in die Verantwortung genommen.
Die Geschäftsleitung

muss geschult werden,
die Schulung ist verpflichtend und nachweispflichtig,
und sie ist integraler Bestandteil der gesetzlichen Anforderungen.

Inhaltlich geht es dabei nicht um technische Details, sondern um: • das Verständnis aktueller Cyber-Risiken, • die rechtliche Verantwortung der Unternehmensleitung, • sowie mögliche Haftungsfolgen bei unzureichender Umsetzung. NIS2 macht damit deutlich: Informationssicherheit ist Teil verantwortungsvoller Unternehmensführung.

Technische & organisatorische Mindestmaßnahmen

NIS2 schreibt keine konkreten Produkte oder Einzellösungen vor. Stattdessen fordert die Richtlinie ein angemessenes Sicherheitsniveau, das sich an den individuellen Risiken des Unternehmens orientiert.
Typische Maßnahmen sind unter anderem:

eine abgesicherte Netzwerk- und Systemarchitektur
wirksamer Endpoint- und Zugriffsschut
belastbare Backup- und Wiederherstellungskonzepte
klar definierte Incident-Response-Prozesse
sowie die regelmäßige Sensibilisierung der Mitarbeitenden.

Welche Maßnahmen im Einzelfall erforderlich sind, ergibt sich aus der Risikoanalyse im Rahmen der Erstellung des ISMS. Genau hier zeigt sich der Vorteil eines strukturierten Vorgehens.

Rolle von IT-Dienstleistern und Lieferketten

Auch IT-Dienstleister und externe Partner rücken unter NIS2 stärker in den Fokus. Unternehmen bleiben verantwortlich dafür, dass Sicherheitsanforderungen entlang der Lieferkette angemessen berücksichtigt werden. Dazu zählen unter anderem:

nachvollziehbare Sicherheitsnachweise
klar geregelte Verantwortlichkeiten
sowie definierte Meldewege bei Sicherheitsvorfällen.

Ein erfahrener IT-Partner wird damit nicht nur zum technischen Dienstleister, sondern zu einem wesentlichen Bestandteil der eigenen NIS2-Compliance.

So unterstützt Sie STEGMÜLLER bei NIS2

STEGMÜLLER begleitet Unternehmen ganzheitlich auf dem Weg zur NIS2-Compliance – mit einem klar strukturierten und praxisnahen Ansatz. Beratung

- Einordnung der Betroffenheit
- Entwicklung eines realistischen Entscheidungs- und Maßnahmenfahrplan

Umsetzung

Aufbau und Einführung eines ISMS
Umsetzung organisatorischer und technischer Maßnahmen

Technik

passende Security-Hardware
Netzwerk-, Endpoint- und Backup-Lösungen

Wir bündeln Beratung, Umsetzung und Technik für Sie zu einem durchgängigen NIS2-Konzept.

Unsere NIS2-Checkliste – Ihr strukturierter Fahrplan

Unsere NIS2-Checkliste unterstützt Sie dabei, den Überblick zu behalten und die nächsten Schritte gezielt zu planen.

Sie erhalten:

eine klare Entscheidungshilfe zur Betroffenheit
eine Übersicht aller relevanten Fristen
priorisierte Maßnahmen
eine gemeinsame Orientierung für Geschäftsführung und IT

>> Fordern Sie die Checkliste hier an und gewinnen Sie Klarheit.

FAQ

In der Praxis tauchen häufig sehr konkrete Fragen auf – insbesondere dann, wenn es um Meldepflichten, Meldeprozesse und die Bewertung von Risiken geht. Die folgenden Fragen und Antworten greifen genau diese Punkte auf und geben Orientierung zu den Themen, die im Alltag oft entscheidend sind – sachlich, verständlich und auf Basis der aktuellen BSI-Vorgaben.

Wann liegt ein meldepflichtiger Sicherheitsvorfall vor?

Eine Meldung an das BSI ist erforderlich, wenn ein erheblicher Sicherheitsvorfall vorliegt. Dazu zählen insbesondere Vorfälle, die:

zu schwerwiegenden Betriebsstörungen führen,
finanzielle Verluste verursachen oder
materielle oder immaterielle Schäden für andere Unternehmen oder Personen nach sich ziehen.

Ob ein Vorfall als „erheblich“ einzustufen ist, hängt vom Ausmaß und den Auswirkungen ab. Genau deshalb ist eine strukturierte Bewertung im Vorfeld so wichtig.

Welche Fristen gelten bei der Meldung an das BSI?

Die NIS2-Richtlinie sieht mehrstufige Meldefristen vor, die ab dem Zeitpunkt der Kenntniserlangung gelten:

innerhalb von 24 Stunden: frühe Erstmeldung mit einer ersten Einschätzung des Vorfalls
innerhalb von 72 Stunden: weitergehende Meldung mit Bewertung von Schweregrad, Auswirkungen und möglichen Kompromittierungsindikatoren
innerhalb von 30 Tagen: Abschluss- bzw. Folgemeldung mit detaillierter Beschreibung, Ursachenanalyse und ergriffenen Maßnahmen.

Diese Fristen machen deutlich: Meldeprozesse müssen vorbereitet sein, bevor ein Vorfall eintritt.

Was muss bei einer Meldung konkret angegeben werden?

Eine Meldung an das BSI umfasst mehr als die reine Information, dass etwas passiert ist. Gefordert sind unter anderem:

eine Bewertung des Vorfalls (Schweregrad, Auswirkungen),
Hinweise auf mögliche Kompromittierungsindikatoren (IoC),
eine Einschätzung zu Ursachen und Reichweite,
sowie Kontaktinformationen für Rückfragen.

Das BSI bestätigt den Eingang der Meldung, kann Rückfragen stellen und verarbeitet die Informationen weiter für seine Lagebilder.

Was bedeutet der Meldeprozess für die interne Organisation?

Der Meldeprozess folgt einem klaren Ablauf – von der ersten Einschätzung bis zur Abschlussmeldung. Für Unternehmen heißt das:

Zuständigkeiten müssen vorab festgelegt sein,
Entscheidungswege müssen klar und kurz sein,
Informationen müssen schnell zusammengeführt und bewertet werden können.

Ohne definierte Prozesse entsteht im Ernstfall Zeitdruck – und genau der birgt das größte Risiko.

Warum spielt die Risikoanalyse eine so zentrale Rolle?

Die Risikoanalyse ist das Fundament aller NIS2-Maßnahmen. Sie bestimmt, welche Sicherheitsmaßnahmen als angemessen und verhältnismäßig gelten. Berücksichtigt werden dabei unter anderem:

Art und Größe des Unternehmens,
Eintrittswahrscheinlichkeit möglicher Vorfälle,
Schwere und Auswirkungen potenzieller Schäden.

Das Ergebnis der Risikoanalyse begründet, warum bestimmte Maßnahmen notwendig sind – und andere nicht.

Gibt es Vorgaben zur Methode der Risikoanalyse?

Die NIS2-Richtlinie schreibt keine konkrete Methode vor. Unternehmen sind in der Wahl der Methodik frei. Das BSI empfiehlt jedoch ausdrücklich, sich an bestehenden Standards zu orientieren, z. B.:

BSI-Standard 200-3
ISO/IEC 27001

Wichtig ist nicht die Methode selbst, sondern dass die Risikoanalyse nachvollziehbar, dokumentiert und in das Sicherheitsmanagement integriert ist.

Wie hängen Risikoanalyse und Meldepflicht zusammen?

Die Risikoanalyse schafft die Grundlage dafür,

Vorfälle richtig einzuordnen,
deren Schwere realistisch zu bewerten
und Meldepflichten korrekt auszulösen.

Sie sorgt damit nicht nur für Sicherheit, sondern auch für Rechtssicherheit im Umgang mit NIS2.

Downloads & weiterführende Informationen

Anlagen zum offiziellen Entscheidungsbaum des BSI

Sektoren wichtiger & besonders wichtiger Einrichtungen – Teil 1
Sektoren wichtiger & besonders wichtiger Einrichtungen – Teil 2
(Quelle www.bsi-bund.de:)

Fachartikel

NIS2 ist verbindlich. Die Fristen laufen.

Seit dem 06.12.2025 gelten die gesetzlichen Anforderungen, die 24-monatige Umsetzungsfrist endet am 06.12.2027.
Jetzt ist der richtige Zeitpunkt, strukturiert vorzugehen und fundierte Entscheidungen zu treffen.
➡️ NIS2-Checkliste anfordern
➡️ Unverbindliche Beratung anfragen