Informationssicherheit für NIS-2-regulierte Einrichtungen
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes wurde auch das BSI-Gesetz (BSIG) im Dezember 2025 neu gefasst. Das BSIG regelt nunmehr „die Sicherheit in der Informationstechnik von Einrichtungen“ und unterscheidet besonders wichtige Einrichtungen und wichtige Einrichtungen. Die Betreiber kritischer Infrastrukturen zählen dabei immer zu den besonders wichtigen Einrichtungen. Auf dieser Seite erfahren Sie, was NIS-2-regulierte Einrichtungen jetzt mit Blick auf die Informationssicherheit beachten müssen.
Welche Einrichtungen sind von NIS 2 betroffen?
Die Zuordnung von Sektoren und Einrichtungsarten erfolgt über Anlage 1 und Anlage 2 des BSIG. Wer in einem dort definierten Sektor tätig ist und entweder mehr als 50 Beschäftigte hat oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als 10 Millionen Euro erzielt, fällt unter die Regelungen. Die konkrete Bestimmung kritischer Anlagen wird durch eine Rechtsverordnung nach § 56 Abs. 4 BSIG näher festgelegt; die Zahl der Beschäftigten sowie Umsatz und Bilanzsumme sind hier unerheblich.
Für Anbieter digitaler Infrastrukturen und digitaler Dienste konkretisiert die Durchführungsverordnung (EU) 2024/2690 die EU-weit geltenden Mindestanforderungen an die umzusetzenden Risikomanagementmaßnahmen. Zusätzlich gibt es in Deutschland spezifische IT-Sicherheitskataloge der Bundesnetzagentur (BNetzA), die Mindeststandards für den Energiesektor festlegen (§ 11 EnWG). Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die die betriebliche Resilienz von Finanzunternehmen gegenüber IT-Risiken regelt. Auch für Telekommunikationsanbieter gelten spezielle Sicherheitsanforderungen. Darüber hinaus existieren weitere branchenspezifische Regelungen zur Informationssicherheit, die je nach Sektor spezifische Anforderungen festlegen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine NIS-2-Betroffenheitsprüfung zur Verfügung. Bei der Klärung der Frage, ob Ihre Einrichtung der NIS-2-Richtlinie unterliegt, unterstützen wir Sie gerne.
Anforderungen aus dem BSIG
Alle besonders wichtigen und wichtigen Einrichtungen müssen geeignete, verhältnismäßige und wirksame Risikomanagementmaßnahmen umsetzen, die den Stand der Technik berücksichtigen. Diese Maßnahmen umfassen mindestens:
- Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik
- grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik
- Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren
- Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Sowohl besonders wichtige Einrichtungen als auch wichtige Einrichtungen unterliegen einer Registrierungspflicht und durchlaufen einen zweistufigen Registrierungsprozess: Zunächst erfolgt eine Anmeldung über „Mein Unternehmenskonto (MUK)“ und dann im BSI-Portal.
Erhebliche Sicherheitsvorfälle sind dem BSI über das Portal innerhalb von 24 Stunden zu melden, nach spätestens 72 Stunden muss eine detaillierte Meldung erfolgen und innerhalb eines Monats ein Abschluss- bzw. Fortschrittsbericht nachgereicht werden.
Die Geschäftsleitung muss die Maßnahmen zum Risikomanagement billigen und überwachen, unterliegt einer Schulungspflicht und haftet bei Verstößen.
Betreiber kritischer Anlagen sind verpflichtet, über die allgemeinen Pflichten hinaus spezielle Anforderungen zu erfüllen, wie etwa den Einsatz von Systemen zur Angriffserkennung (SzA). Zusätzlich müssen sie alle drei Jahre gegenüber dem BSI nachweisen, dass die entsprechenden Maßnahmen umgesetzt wurden. Dieser Nachweis muss durch eine sog. „Prüfende Stelle“ erstellt werden, die den Betreiber überprüft.
Sanktionierung und Haftungsfragen
Es können erhebliche Bußgelder von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes verhängt werden.
Des Weiteren spielt im neuen BSIG auch die Organhaftung (Geschäftsführer, Vorstand, Aufsichtsrat) eine wichtige Rolle. Die Geschäftsleitung haftet bei Verstößen und mit Blick auf sog. Directors-and-Officers-Versicherungen ist genau zu prüfen, welche Nachweise hier erbracht werden müssen, um eine persönliche Haftung ausschließen zu können. Unser Compliance-Team unterstützt Sie hierbei gerne!
Praxisfolgen für betroffene Einrichtungen
Die Pflicht zur Maßnahmenerfüllung folgt aus § 30 BSIG. In der Regel sind ein Informationssicher-Managementsystem (ISMS), z. B. nach ISO/IEC 27001 oder IT-Grundschutz, und ein Business Continuity Management System (BCMS), z. B. nach ISO 22301 oder BSI 200-4, die effizienteste Struktur, um die Mindestanforderungen konsistent und auditierbar zu erfüllen. Eine gesetzliche Verpflichtung, dies explizit über Managementsysteme umzusetzen, besteht jedoch in den meisten Fällen nicht. Die Umsetzung muss für die jeweilige Organisation angemessen sein.
Mit einem ISMS und einem BCMS sind die vom NIS-2-Umsetzungsgesetz betroffenen Organisationen und Einrichtungen jedoch optimal vorbereitet, um die neuen Anforderungen zu erfüllen.
Weitere Informationen zum Thema finden Sie auch auf dieser Seite:
So können wir Sie unterstützen:
Wir unterstützen Sie bei Ihrer Prüfung der NIS-2-Betroffenheit
Manchmal ist die Betroffenheit offensichtlich, in anderen Fällen ist die Betroffenheitsprüfung komplex. Diese Themen fallen in den Bereich Compliance und erfordern eine spezifische fachliche Perspektive. Wir bieten juristisch fundierte Betroffenheitsprüfungen, die Rechtssicherheit gewährleisten und bei Bedarf neben den Anforderungen des BSIG auch weitere spezifische Anforderungen berücksichtigen.
Gap-Analyse der Maßnahmen zum Risikomanagement
Wir gleichen die bestehenden Maßnahmen mit den für Ihre Einrichtung geforderten Maßnahmen zum Risikomanagement ab. Auch für Lieferanten von NIS-2-regulierten Einrichtungen, die indirekt betroffen sind.
Umsetzung der Maßnahmen zum Risikomanagement
Informationssicherheits-Risiken betreffen die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und Systemen. Hier beraten wir umfassend zu geeigneten technischen und organisatorischen Maßnahmen. Ob mit Einführung eines ISMS und BCMS oder nicht – wir finden gemeinsam die passende Lösung.
Meldepflichten durch Prozesse sicher einhalten
Die Meldepflichten gemäß § 32 BSIG geben kurze Meldefristen vor: Bei einem erheblichen Sicherheitsvorfall ist 24 Stunden nach Kenntniserlangung eine frühe Erstmeldung abzugeben. Nach 72 Stunden ist eine weitere Meldung zur Bestätigung oder Aktualisierung abzugeben. Spätestens einen Monat nach dem Vorfall ist eine Abschlussmeldung zu übermitteln.
Wir unterstützen Sie dabei, geeignete Prozesse und Abläufe einzuführen, um diese engen Fristen zuverlässig einhalten zu können – von der Identifikation relevanter Vorfälle bis zur strukturierten Kommunikation mit den Behörden.
Wir unterstützen Sie als externer ISB beim ISMS-Betrieb
Als externer Informationssicherheits-Beauftragter (ISB) übernehmen wir dauerhaft die Organisation Ihrer Informationssicherheit. Neben der Überwachung und Steuerung des ISMS unterstützen wir Sie auch bei externen Auditierungen. Wir beraten zudem bei der Kommunikation mit Aufsichtsbehörden und stellen sicher, dass Ihre Organisation bei Audits und Prüfungen bestens vorbereitet ist.
Schulungen für die Geschäftsleitung und Mitarbeitende
Der § 38 BSIG sieht eine Schulungspflicht für die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen vor. Zur Umsetzung dieser Pflicht können Sie den Kurs „NIS-2-Geschäftsleitungsschulung“ unserer DSN Akademie besuchen, der sich inhaltlich an der BSI-Handreichung „NIS-2-Geschäftsleitungsschulung“ orientiert.
Nehmen Sie gerne mit uns Kontakt auf, wenn Sie eine individuelle Inhouse-Schulung für die Geschäftsleitung und andere Mitarbeitende zum Thema NIS 2 möchten. Diese führen wir direkt vor Ort in Ihrer Einrichtung durch oder in den Räumlichkeiten unserer Akademie. Je nach Umfang der gewünschten Schulung zu NIS 2, kann diese ggf. auch als Webinar stattfinden.
Des Weiteren bieten wir zur Sensibilisierung von Beschäftigen den Kurs „NIS-2-Basiswissen für Mitarbeitende“ an und ergänzend die DSN train eLearnings „Grundkurs Cybersicherheit“ und „Auffrischung Cybersicherheit“.
Unser Angebot sorgt dafür, dass sowohl Ihre Führungskräfte als auch Ihre Mitarbeitenden optimal auf die Anforderungen der Informationssicherheit und der gesetzlichen Vorgaben vorbereitet sind.
Unsere Expertise – Ihr Vorteil
Mit der DSN GROUP haben Sie einen kompetenten Partner für Informationssicherheit und Compliance an Ihrer Seite. Unsere Informationssicherheits-Expert*innen verfügen über langjährige Erfahrung in der Beratung zu den ISO/IEC 27000-Normen, IT-Grundschutz, branchenspezifischen Anforderungen und der Bereitstellung von externen Informationssicherheits-Beauftragten (ISB).
Haftungsrisiken entstehen, wenn rechtliche oder vertragliche Pflichten verletzt werden. Diese Themen fallen in den Bereich Compliance und erfordern eine spezielle fachliche Perspektive. Ihr Vorteil: Während andere Anbieter häufig nur in Rechts- oder Informationssicherheitsfragen beraten, vereinen wir beide Perspektiven in einem starken Team – über 120 Jurist*innen sind für die DSN GROUP tätig.
Wir unterstützen sowohl Konzerne als auch kleine und mittlere Unternehmen, öffentliche Stellen und kirchliche Einrichtungen. Betreiber kritischer Infrastrukturen aus verschiedenen Sektoren verlassen sich bei der Umsetzung der NIS-2-Anforderungen auf unsere Expertise.
Wir stellen Ihr Unternehmen informationssicher und compliant auf: Als DSN GROUP freuen wir uns darauf, Ihnen ein umfassendes Angebot zu machen – nehmen Sie Kontakt mit uns auf!
Ihre Ansprechpartner
Unsere Teams aus den Bereichen Informationssicherheit und Compliance stehen Ihnen mit Fachexpertise und jahrelanger Erfahrung gerne zur Seite. Wir freuen uns auf Ihre Anfrage!
Thomas Wennemann
Prokurist | Leiter Informationssicherheit
E-Mail: twennemann@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-346
Dominik Bleckmann, Volljurist
Prokurist | Leiter Compliance
E-Mail: dbleckmann@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-349
Markus Schönmann, Volljurist
Leiter Compliance | Senior Berater Datenschutz
E-Mail: mschoenmann@re-move-this.datenschutz-sued.de
Telefon: +49 931 30 49 76-24
Auch interessant:
Weitere ausgewählte Leistungen aus dem Bereich Informationssicherheit finden Sie über diese Buttons. Bei Fragen stehen wir Ihnen jederzeit zur Verfügung.
Kennen Sie schon unseren Blog?
Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests:
