Nach der Theorie kommt die Praxis: Wie wird mein Unternehmen NIS2-ready? Viele Firmen stehen Ende 2025 vor der Aufgabe, binnen kurzer Zeit ein ganzes Bündel neuer Sicherheitsmaßnahmen einzuführen. Das wirkt herausfordernd – doch mit einem planvollen Vorgehen lässt sich die Umsetzung meistern. In diesem Beitrag geben wir einen Fahrplan in 10 Schritten, wie Sie Ihr Unternehmen auf NIS2-Linie bringen. Dabei geht es sowohl um technische als auch organisatorische Maßnahmen. Das Ziel: Schutz vor Cyberrisiken erhöhen, gesetzliche Vorgaben erfüllen und Haftung vermeiden.
Schritt 1: Betroffenheitsanalyse – trifft NIS2 auf uns zu?
Am Anfang steht die Klarheit, ob Ihr Unternehmen überhaupt unter NIS2 fällt. Dazu sollten Sie prüfen: Gehören wir zu einem der in den Anhängen gelisteten Sektoren? Erreichen wir die Größenkriterien (Mitarbeiterzahl, Umsatz/Bilanz)? Das BSI stellt hierfür einen Online-Fragenkatalog bereit, mit dem man eine erste Einschätzung erhält. Falls Unsicherheiten bestehen – gerade in komplexen Konzernstrukturen oder bei gemischten Tätigkeitsfeldern – ziehen Sie juristischen Rat hinzu. Es ist wichtig, hier korrekt zu ermitteln, denn eine Fehleinschätzung („wir sind nicht betroffen“) könnte später teuer werden, falls man doch hätte melden müssen. Spezialisierte Anwaltskanzleien (wie RA Pöppel) bieten Unterstützung bei dieser Betroffenheitsanalyse an. Ergebnis dieses Schritts: Sie wissen mit Sicherheit, ob Sie Pflichtunternehmen nach NIS2 sind oder nicht. (Natürlich können auch freiwillig Unternehmen die NIS2-Standards anstreben, aber hier konzentrieren wir uns auf die Pflichtfälle.)
Schritt 2: Registrierung beim BSI
Wenn Sie festgestellt haben, dass NIS2 gilt, ist die allererste Pflichthandlung die Registrierung im neuen NIS2-Portal des BSI. Bereiten Sie dazu möglichst schon jetzt die benötigten Informationen vor: Firmendaten, Rechtsform, Handelsregisternummer, Ansprechpartner, IP-Adressbereiche Ihres Netzwerks, Zuordnung zu Branche/Sektor laut Gesetz, zuständige Aufsichtsbehörden etc. (Diese Punkte sind in § 33 BSIG genau aufgelistet.) Schritt 1 ist die Einrichtung eines BundID-Unternehmenskontos (falls nicht schon vorhanden) und die Verknüpfung mit Ihrem ELSTER-Unternehmenszertifikat zur sicheren Authentifizierung. Schritt 2 ab Januar 2026 ist dann die eigentliche Portal-Registrierung, bei der Sie die genannten Daten eingeben und verifizieren. Planen Sie intern Ressourcen für diesen Prozess ein – jemand muss verantwortlich dafür sein, die Registrierung fristgerecht abzuschließen. Tipp: Notieren Sie sich unbedingt die Frist: Für besonders wichtige Einrichtungen bis 6. März 2026, für alle anderen am besten sofort bei Portalöffnung. Verspätung kann ein Bußgeld nach sich ziehen, daher Priorität darauf! Nach erfolgreicher Registrierung erhalten Sie vermutlich eine Bestätigung und später weitere Anweisungen vom BSI (z.B. über Meldewege für Vorfälle).
Schritt 3: Bestandsaufnahme der bestehenden Sicherheitsmaßnahmen
Bevor man neue Maßnahmen ergreift, sollte man wissen, wo man steht. Führen Sie ein NIS2-Compliance-Check bzw. Gap-Analyse durch: Welche der geforderten zehn Maßnahmenbereiche sind bei uns schon abgedeckt, welche fehlen? Prüfen Sie vorhandene IT-Sicherheitsrichtlinien, Prozesse und Tools. Beispielsweise: Gibt es ein Informationssicherheitskonzept? Haben wir ein Incident-Response-Team und -Plan? Werden regelmäßige Backups gemacht und getestet? Existieren Zugriffsrichtlinien und MFA? Wie schulen wir Mitarbeiter zu IT-Sicherheit? Erstellen Sie eine Liste von Lücken gegenüber den NIS2-Anforderungen. Hierbei kann es hilfreich sein, externe Fachleute hinzuzuziehen, die den Blick von außen haben. Das Ergebnis dieses Schritts ist ein klarer Überblick: „Was haben wir bereits, was müssen wir noch tun?“
Schritt 4: Planung – Sicherheitsstrategie und Ressourcen festlegen
Auf Basis der Lückenanalyse entwickeln Sie nun eine Umsetzungsstrategie. Priorisieren Sie die Maßnahmen nach Risiko und Aufwand. Manche Dinge lassen sich schnell umsetzen (z.B. Policy-Dokumente erstellen, organisatorische Benennungen), andere brauchen längere Vorlaufzeit (etwa Einführung neuer Technologien oder umfangreiche Mitarbeiterschulungen). Führungskräfte sollten in diesen Planungsprozess einbezogen sein, damit die Maßnahmen mit der Geschäftsstrategie vereinbar sind und die nötigen Ressourcen freigegeben werden. Legen Sie fest: Wer ist für welche Maßnahme verantwortlich? Bis wann soll sie umgesetzt sein? Idealerweise entsteht ein Projektplan „NIS2-Compliance 2026“ mit Meilensteinen. Kommunizieren Sie intern klar, dass dies Chefsache ist und volle Rückendeckung hat – so vermeiden Sie Reibungsverluste. Wenn nötig, stellen Sie Budget bereit für externe Beratung, neue Software oder zusätzliches Personal.
Schritt 5: Informationssicherheits-Managementsystem (ISMS) aufbauen
NIS2 verlangt systematisches Risikomanagement – am besten erreicht man das durch ein ISMS (Information Security Management System) nach anerkanntem Standard. Viele Unternehmen orientieren sich an ISO/IEC 27001(internationaler Standard für Informationssicherheit) oder an branchenspezifischen Normen. Allerdings deckt ISO 27001 nicht alle NIS2-Besonderheiten ab (z.B. behördliche Meldepflichten, verpflichtende Schulungen). In Deutschland empfiehlt sich daher der neue Standard VdS 10100, der speziell zur NIS2-Umsetzung entwickelt wurde. Falls Sie bereits ein ISMS nach VdS 10000 oder ISO 27001 haben, können Sie dieses mit relativ überschaubarem Aufwand erweitern auf NIS2-Niveau – es fehlen meist „nur“ zusätzliche Prozesse wie Behördenkommunikation und Managementschulungen. Haben Sie noch gar kein formelles ISMS, ist jetzt der Zeitpunkt, eines aufzusetzen: Definieren Sie Sicherheitsziele, Verantwortliche (z.B. ernennen Sie einen Informationssicherheitsbeauftragten), richten Sie ein ISMS-Handbuch ein, das alle Policies und Verfahren beschreibt. Dieser strukturierte Rahmen stellt sicher, dass nichts Wichtiges vergessen wird und dass ein kontinuierlicher Verbesserungsprozess etabliert wird.
Schritt 6: Technische und organisatorische Maßnahmen umsetzen
Nun geht es ans Eingemachte – die konkrete Implementierung der Sicherheitsmaßnahmen entlang der zehn Themenfelder von NIS2. Einige Beispiele typischer To-dos in diesem Schritt:
-
Netzwerksicherheit verbessern: Evtl. Firewall upgraden, Intrusion-Detection-Systeme einführen, Netzsegementierung prüfen.
-
Identitäts- und Rechtemanagement: Einführung von Multi-Faktor-Authentifizierung auf kritischen Systemen, Berechtigungen nach Minimalprinzip überprüfen, Verfahren für On/Offboarding von Mitarbeitern straffen.
-
Notfallmanagement: Einen Notfallplan für IT-Ausfälle erstellen; Verantwortliche für Incident Response benennen; ggf. Verträge mit externer Incident-Response-Unterstützung (Spezialfirmen) abschließen, falls intern nicht genug Expertise da ist. Ein Notfallkommunikationsplan (inkl. Vorlagen für Meldungen an BSI und Info an Kunden) sollte ebenfalls vorbereitet werden.
-
Backup- und Recovery-Konzept: Überprüfen, ob Backups regelmäßig und sicher erstellt werden (inkl. Offline-Backup, um Ransomware zu überstehen). Testen Sie die Datenwiederherstellung mindestens einmal jährlich unter realistischen Bedingungen.
-
Security Monitoring: Implementieren Sie Überwachung auf Sicherheitsvorfälle (Security Information and Event Management, Log-Management). Frühwarnsysteme helfen, die 24h-Meldepflicht einzuhalten, weil man Vorfälle schneller bemerkt.
-
Schwachstellen-Management: Richten Sie einen Prozess ein, um neu bekanntgewordene Schwachstellen (z.B. Sicherheitslücken in verwendeter Software) zu bewerten und rasch zu schließen. Das beinhaltet Patch-Management und ggf. Workarounds/Abschaltungen bis zur Behebung.
-
Lieferanten prüfen: Entwickeln Sie Richtlinien für Lieferantenmanagement im Bereich IT-Sicherheit. Das kann bedeuten: Sicherheitsklauseln in Verträge aufnehmen, von wichtigen IT-Dienstleistern Nachweise (Zertifikate oder Penetrationstest-Reports) verlangen, beim Einkauf von Software/Hardware auf anerkannte Cybersecurity-Zertifizierungen achten. (Die NIS2 erlaubt dem Bundesinnenministerium, künftig per Verordnung eine Liste „zugelassener“ IKT-Produkte vorzuschreiben – Sie sollten also frühzeitig auf Qualität setzen, bevor unsichere Billigprodukte später verboten werden.)
-
Physische Sicherheit: Stellen Sie sicher, dass Serverräume, Rechenzentren und Büros mit kritischer IT ausreichenden Zutrittsschutz haben (Schlüsselmanagement, Alarmanlage, Zugangslogs).
-
Kryptografie einsetzen: Prüfen Sie, dass sensible Daten – ob in der Datenbank oder in der Kommunikation – angemessen verschlüsselt sind. Dies gilt auch für die gesicherte Kommunikation: z.B. nutzen Sie VPNs für Fernzugriffe, verschlüsseln Sie E-Mails mit vertraulichen Inhalten, etc.
Diese Liste ist nicht abschließend, aber gibt einen Eindruck: Es geht darum, bestehende Lücken zu schließen. Viele Unternehmen werden hier externe Unterstützung in Anspruch nehmen, sei es durch IT-Sicherheitsberater oder den Austausch mit Branchenkollegen. Wichtig ist, dass die Maßnahmen verhältnismäßig zum Risiko und zur Unternehmensgröße sind – ein Mittelständler muss keine Pentagon-Sicherheit aufbauen, aber die Basics müssen sitzen. Das Gesetz spricht ausdrücklich von „angemessen und wirksam“. Nutzen Sie anerkannte Best Practices und – wo möglich – etablierte Normen als Leitfaden.
Schritt 7: Dokumentation aller Maßnahmen
Parallel zur Umsetzung sollten Sie konsequent dokumentieren. Erstellen bzw. aktualisieren Sie schriftliche Policies und Konzepte: IT-Sicherheitsleitlinie (vom Management unterschrieben), Richtlinien für Mitarbeiter (Nutzung von IT, Passwort-Policy, Meldung von Vorfällen intern), ein Business Continuity Plan, ein Notfallhandbuch etc. Auch jede Risikoanalyse gehört verschriftlicht, ebenso Ergebnisse von Sicherheitsaudits oder Tests. Führen Sie eine Maßnahmenübersicht, in der steht: Was wurde wann umgesetzt, wer ist Verantwortlich, wie ist der Status? Diese Unterlagen dienen nicht nur der internen Klarheit, sondern sind im Fall einer Prüfung durch das BSI Gold wert, um Ihre Compliance zu belegen. Zudem erfüllt es die gesetzliche Pflicht nach § 30 BSIG, die ausdrücklich verlangt, sämtliche technischen und organisatorischen Maßnahmen aufzuzeichnen. Das mag lästig sein – aber es schützt Sie auch. Denn sollte es zu einem Sicherheitsvorfall kommen, können Sie anhand der Dokumentation zeigen, dass Sie Ihren Pflichten nachgekommen sind (was Bußgelder mildern oder Haftung ausschließen kann).
Schritt 8: Schulungen und Sensibilisierung
„Human Firewall“ – der Mensch bleibt oft das schwächste Glied. Investieren Sie daher in Schulungen auf allen Ebenen:
-
Geschäftsführungsschulung: Stellen Sie sicher, dass die verantwortlichen Manager die geforderte Weiterbildung absolvieren. Ob in Form eines Seminars, Inhouse-Workshops oder E-Learning: Wichtig ist, dass die Inhalte der BSI-Empfehlung abgedeckt und dokumentiert sind. Idealerweise jährlich, mindestens aber alle 2–3 Jahre, sollten Sie dieses Training wiederholen.
-
Mitarbeiterschulungen: Führen Sie regelmäßige Security-Awareness-Schulungen für alle Beschäftigten durch. Themen: Erkennen von Phishing-Mails, sicheres Passwort-Management, Meldewege für Sicherheitsvorfälle, Social Engineering Awareness etc. Speziell IT-Administratoren und Entwickler benötigen tiefergehende Fortbildungen, z.B. zu Secure Coding oder Incident Response.
-
Übungen: Planen Sie gelegentlich Notfallübungen oder Planspiele, bei denen z.B. ein Cyberangriff simuliert wird. Das schult die Reaktionsfähigkeit und deckt Lücken in Ihren Plänen auf (besser in der Übung als im Ernstfall!).
Durch diese Schulungsmaßnahmen erfüllen Sie nicht nur die NIS2-Vorgaben, sondern stärken auch ganz praktisch Ihre Verteidigungslinien – gut informierte Mitarbeiter sind der beste Schutz vor vielen Angriffen.
Schritt 9: Überprüfung und Auditierung
Nachdem alle neuen Prozesse und Maßnahmen eingeführt sind, sollten Sie überprüfen, ob sie wirksam sind und im Alltag funktionieren. Führen Sie interne Audits durch: z.B. lässt sich ein Auditor (intern oder extern) stichprobenartig die Umsetzung der Policies zeigen – werden die Richtlinien eingehalten, oder gibt es Abweichungen? Überprüfen Sie Kennzahlen: z.B. Patch-Zeiten, Anzahl entdeckter Vorfälle, Ergebnis von Phishing-Tests (wie viele Mitarbeiter fielen herein?). Wenn möglich, streben Sie eine Zertifizierung an – etwa nach dem erwähnten VdS 10100 oder ISO 27001 mit branchenspezifischer Erweiterung. Eine offizielle Zertifizierung ist zwar rechtlich nicht gefordert, kann aber gegenüber Aufsichtsbehörden und Geschäftspartnern Vertrauen schaffen. Außerdem diszipliniert der Zertifizierungsprozess das Team, wirklich alle Anforderungen zu erfüllen. Selbst wenn Sie sich nicht zertifizieren lassen: Ein externer IT-Security-Check oder Pentest kann wertvolle Hinweise geben, wo noch Schwachstellen schlummern.
Schritt 10: Kontinuierliche Verbesserung
IT-Sicherheit ist kein Projekt mit Enddatum, sondern ein dauerhafter Prozess. Richten Sie daher Mechanismen ein, um Ihre Maßnahmen ständig zu verbessern. Das können regelmäßige Management-Reviews des ISMS sein (mindestens jährlich), ein fest etabliertes Risikomanagement-Meeting pro Quartal, oder die Auswertung von Vorfällen und Beinahe-Vorfällen, um daraus zu lernen. Bleiben Sie auch auf dem Laufenden über neue Bedrohungen und gesetzliche Entwicklungen. Zum Beispiel steht bereits der Cyber Resilience Act (CRA) der EU in den Startlöchern, der Hersteller von Hard- und Software verpflichtet, ihre Produkte sicher zu gestalten und Schwachstellen zu melden – falls Ihr Unternehmen digitale Produkte anbietet, müssen Sie auch diese Vorgaben in den nächsten Jahren umsetzen. Es ist sinnvoll, NIS2 und künftige Anforderungen wie CRA ganzheitlich zu betrachten, denn sie greifen ineinander (Stichwort: Wenn Sie Software von Dritten einsetzen, sollte der Lieferant den CRA-Vorgaben entsprechen, damit Sie sicher sein können, langfristig Updates zu erhalten). Kurzum: Schaffen Sie eine Unternehmenskultur, in der Sicherheit Teil der Unternehmensführung ist – so wie Finanzcontrolling oder Qualitätssicherung.
Abschluss:
Die Umsetzung von NIS2 erfordert Einsatz, keine Frage. Gerade für mittelständische Unternehmen mit begrenzten Ressourcen ist es eine Herausforderung, alle Punkte abzuarbeiten. Doch die Mühe zahlt sich aus: Am Ende steht ein höheres Schutzniveau, geringeres Risiko für kostspielige Zwischenfälle und die Gewissheit, rechtlich auf der sicheren Seite zu sein. Rechtsanwalt Axel Pöppel betont: „Ein IT-Sicherheitskonzept ist heute so wichtig wie ein Finanzplan – jedes Unternehmen braucht es.“ Wer strukturiert vorgeht und sich bei Bedarf Hilfe holt (sei es technisch oder rechtlich), kann die NIS2-Compliance erreichen. Nutzen Sie vorhandene Hilfestellungen: Branchenverbände stellen oft Leitfäden bereit, das BSI veröffentlicht Praxisbeispiele und wir als Kanzlei stehen Ihnen für die rechtliche Einordnung gerne zur Verfügung. So verwandeln Sie die gesetzliche Pflicht in einen Wettbewerbsvorteil – indem Sie Vertrauen bei Kunden, Partnern und Aufsichtsbehörden gleichermaßen gewinnen.
Sie benötigen weiteren rechtlichen Rat?
Nutzen Sie unsere Online-Anfrage für einen schnellen Check.
Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.
Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.
Jetzt beraten lassen
Kanzleibewertung
