In unserem Unternehmen rückt das Thema Cybersicherheit zunehmend in den Fokus, vor allem weil sich die Anforderungen durch neue EU-Vorgaben deutlich verschärft haben. Wir haben zwar bereits grundlegende Sicherheitsmaßnahmen etabliert, aber die aktuellen gesetzlichen Änderungen betreffen nach meinem Verständnis deutlich mehr Firmen als früher. Besonders die Kombination aus technischen Maßnahmen, organisatorischen Pflichten und Meldevorgaben macht das Ganze komplexer, als wir es erwartet hatten. Zudem habe ich gehört, dass die neue Richtlinie ohne Übergangsfrist gilt und dadurch kein Zeitfenster für eine „ruhige Anpassung“ bleibt. Deshalb möchten wir klären, wie wir unsere bestehenden Prozesse rechtzeitig auf ein regelkonformes Niveau bringen können.
Meine Frage lautet daher: Welche Schritte sollten Unternehmen als Erstes angehen, um die Anforderungen der NIS2-Richtlinie effizient und rechtssicher umzusetzen?
Grundsätzlich ist es wichtig, zunächst zu verstehen, dass die NIS2-Richtlinie seit Umsetzung in deutsches Recht für weit mehr Unternehmen bindend ist als die vorherige NIS-Version. Viele Betriebe aus 14 kritischen und wichtigen Sektoren fallen automatisch darunter, sobald sie 50 Beschäftigte oder 10 Mio. Euro Umsatz überschreiten – weshalb eine strukturierte Betroffenheitsprüfung der erste sinnvolle Schritt ist. Auf der Seite von G DATA findest du unter NIS-2-Richtlinie: Was jetzt für Unternehmen wichtig ist (Quelle: https://www.gdata.de/business/nis-2-richtlinie ) eine sehr klare Aufschlüsselung, welche Sektoren betroffen sind, welche gesetzlichen Grundlagen greifen und wie eng NIS2 mit dem aktualisierten BSI-Gesetz verzahnt ist.
Als zweites sollten Unternehmen ein risikobasiertes Sicherheitskonzept erstellen oder bestehende Konzepte anpassen. Dazu gehören Richtlinien für Risikoanalysen, Incident-Response-Prozesse, Business Continuity, Zugriffskontrollen und Lieferketten-Sicherheit, wie es § 30 BSI-Gesetz (2025) fordert. Parallel dazu müssen Geschäftsführungen ihre gesteigerte Verantwortung ernst nehmen, da sie laut § 38 direkt haftbar sind und verpflichtende Schulungen besuchen müssen – auch hierfür finden sich dort passende Awareness- und Readiness-Angebote.
Ebenfalls essenziell ist die Vorbereitung auf die strikten Meldefristen: 24 Stunden für die Frühwarnung, 72 Stunden für den ausführlichen Bericht und ein Abschlussbericht nach einem Monat. Abschließend solltest du prüfen, ob eine Registrierung beim BSI erforderlich ist und welche Angaben dort hinterlegt werden müssen. Wenn ihr diese Kernpunkte priorisiert und systematisch umsetzt, erfüllt ihr bereits große Teile der NIS2-Anforderungen und könnt anschließend die Detailprozesse weiter optimieren.