Die NIS2-Richtlinie ist beschlossen, die Frist zur nationalen Umsetzung läuft – und für viele Unternehmen stellt sich jetzt die Frage: Wie fange ich an?
Die Umsetzung ist mehr als ein paar technische Anpassungen. Sie erfordert ein strukturiertes Vorgehen, das rechtliche Anforderungen, organisatorische Prozesse und technische Maßnahmen miteinander verbindet.
Wer unvorbereitet in die Umsetzung startet, verliert leicht den Überblick oder verzettelt sich in Detailfragen. Gleichzeitig wächst der Zeitdruck: Spätestens am 17. Oktober 2024 müssen die Anforderungen in nationales Recht umgesetzt sein – ab dann drohen Bußgelder und Prüfungen.
Dieser Artikel zeigt die fünf wichtigsten Schritte, um NIS2 rechtzeitig und effizient umzusetzen, und erläutert, warum sie in genau dieser Reihenfolge Sinn ergeben.
Schritt 1 – Betroffenheitsanalyse
Am Anfang steht die Frage: Bin ich überhaupt von NIS2 betroffen?
Das klingt trivial, ist es aber nicht. Die Richtlinie umfasst zwei Kategorien: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Sie nennt klare Branchen – von Energie und Gesundheit über Transport und digitale Infrastruktur bis hin zu Lebensmittelproduktion und IT-Dienstleistungen – und definiert Größenkriterien (mindestens 50 Mitarbeitende oder 10 Millionen Euro Umsatz).
Hinzu kommt ein entscheidender Punkt: Auch Unternehmen, die kleiner sind, können erfasst werden, wenn sie eine Schlüsselrolle in einer kritischen Lieferkette einnehmen. Das kann etwa ein spezialisiertes Softwareunternehmen sein, das für einen Energieversorger arbeitet.
Eine gründliche Betroffenheitsanalyse prüft daher:
- Branche und Tätigkeitsfeld
- Unternehmensgröße und Umsatz
- Rolle in der Lieferkette
- Vertragliche Verpflichtungen gegenüber kritischen Kunden
Ergebnis dieser Analyse ist eine klare Einordnung, ob und in welchem Umfang NIS2 für das Unternehmen gilt.
Schritt 2 – Gap-Analyse
Wenn feststeht, dass NIS2 relevant ist, folgt der Abgleich zwischen den aktuellen Sicherheitsmaßnahmen und den gesetzlichen Anforderungen.
Die Richtlinie schreibt keine einzelnen Tools oder Systeme vor, sondern nennt Ziele: Risikomanagement, Incident-Handling, Business Continuity, Lieferkettensicherheit, Awareness, technische Schutzmaßnahmen und regelmäßige Audits.
In der Gap-Analyse werden diese Anforderungen einer Bestandsaufnahme gegenübergestellt:
- Welche Prozesse und Richtlinien existieren bereits?
- Sind Meldewege definiert und dokumentiert?
- Gibt es ein funktionierendes Incident-Response-Management?
- Werden Lieferanten regelmäßig auf Sicherheitsstandards geprüft?
- Sind Mitarbeitende geschult?
Das Ziel ist, die Lücken (Gaps) zu identifizieren und zu priorisieren. Dabei zeigt sich oft, dass einzelne Bausteine vorhanden sind, aber nicht formalisiert oder dokumentiert wurden – was bei einer Prüfung problematisch wäre.
Schritt 3 – Maßnahmenplan entwickeln
Aus den Ergebnissen der Gap-Analyse ergibt sich ein konkreter Fahrplan. Dieser Maßnahmenplan legt fest:
- Was muss umgesetzt werden?
- Wer ist verantwortlich?
- Bis wann muss es fertig sein?
- Welche Ressourcen werden benötigt?
Hier ist es wichtig, Prioritäten zu setzen:
Meldepflichten und Incident-Response-Strukturen gehören zu den ersten Aufgaben, da sie bei Vorfällen sofort relevant werden. Technische Maßnahmen wie Netzwerksegmentierung, Zugriffskontrollen oder Verschlüsselung können parallel geplant und eingeführt werden.
Ein realistischer Maßnahmenplan berücksichtigt auch interne Abhängigkeiten: Manche technischen Upgrades sind erst nach Prozessanpassungen sinnvoll, Schulungen sollten nach Einführung neuer Richtlinien stattfinden.
Schritt 4 – Umsetzung
Die eigentliche Umsetzung ist der umfangreichste Schritt. Sie umfasst:
- Technische Maßnahmen wie Firewalls, Endpoint Security, Multi-Faktor-Authentifizierung, Verschlüsselung, Patch-Management und Monitoring-Systeme.
- Organisatorische Maßnahmen wie klare Rollenbeschreibungen, Krisenhandbücher, regelmäßige Lageberichte an die Geschäftsführung und Lieferantenaudits.
- Vertragliche Anpassungen, um Sicherheitsanforderungen auch bei externen Partnern verbindlich zu machen.
- Schulungen für Mitarbeitende, damit Richtlinien nicht nur auf dem Papier existieren, sondern gelebt werden.
Wichtig ist, dass alle Schritte dokumentiert werden – nicht nur, um im Prüfungsfall Nachweise zu haben, sondern auch, um die Wirksamkeit der Maßnahmen langfristig zu sichern.
Schritt 5 – Überprüfung und kontinuierliche Verbesserung
NIS2 ist kein einmaliges Projekt, sondern eine dauerhafte Verpflichtung. Nach der ersten Umsetzung müssen Unternehmen regelmäßig prüfen, ob ihre Maßnahmen noch dem Stand der Technik entsprechen und den gesetzlichen Anforderungen genügen.
Das bedeutet:
- Regelmäßige Audits (intern oder extern)
- Penetrationstests und Schwachstellenanalysen
- Überprüfung der Lieferkettensicherheit
- Aktualisierung von Richtlinien und Prozessen bei Änderungen in der Bedrohungslage oder der Organisation
Ein gelebter Verbesserungsprozess sorgt nicht nur für Compliance, sondern erhöht die tatsächliche Resilienz gegen Angriffe.
Praxisbeispiel – Strukturierte Umsetzung spart Zeit
Ein mittelständischer Lebensmittelhersteller begann direkt nach Bekanntwerden der NIS2-Kriterien mit einer Betroffenheitsanalyse. Durch eine frühe Gap-Analyse stellte er fest, dass die Meldeprozesse und Lieferantenkontrollen fehlten, die technische Infrastruktur jedoch schon gut aufgestellt war. Mit einem klaren Maßnahmenplan konnten die organisatorischen Lücken innerhalb von acht Monaten geschlossen werden – und die Umsetzung verlief ohne Hektik kurz vor Fristende.
Das Beispiel zeigt: Wer früh startet und strukturiert vorgeht, spart nicht nur Zeit, sondern auch Kosten.
Fazit – Struktur ist der Schlüssel
Die Umsetzung von NIS2 ist machbar – wenn man strukturiert vorgeht.
Die fünf Schritte Betroffenheitsanalyse, Gap-Analyse, Maßnahmenplan, Umsetzung und Überprüfung bieten einen klaren Rahmen, um die Anforderungen effizient zu erfüllen und gleichzeitig die Sicherheit nachhaltig zu verbessern.
Wer diese Schritte beherzigt, reduziert nicht nur das Risiko von Bußgeldern, sondern stärkt auch das Vertrauen von Kunden, Partnern und Investoren in die eigene Widerstandsfähigkeit.