Zum Inhalt springen
NIS2 Compliance

NIS2-Compliance: Cybersicherheit für kritische Infrastrukturen

Die NIS2-Richtlinie (EU 2022/2555) verpflichtet bis zu 29.000 Einrichtungen in Deutschland zu umfassenden Cybersicherheitsmaßnahmen. KO‑MO‑TEL unterstützt Sie bei der Umsetzung – von der Gap-Analyse bis zum laufenden Compliance-Betrieb.

Grundlagen

Was ist NIS2?

NIS2 (Network and Information Security Directive, Richtlinie EU 2022/2555) ist die EU-Richtlinie für Cybersicherheit kritischer Infrastrukturen. Sie löst die Vorgängerrichtlinie NIS (2016) ab und verschärft die Anforderungen erheblich. Deutschland hat NIS2 am 5. Dezember 2025 durch das NIS2-Umsetzungsgesetz (NIS2UmsG) in nationales Recht überführt. Die Anforderungen gelten für betroffene Einrichtungen ab Veröffentlichung im Bundesgesetzblatt ohne Übergangsfrist.

Der Anwendungsbereich wurde von ca. 4.500 auf bis zu 29.000 regulierte Einrichtungen in Deutschland erweitert. Die Registrierung beim BSI (Bundesamt für Sicherheit in der Informationstechnik) ist binnen 3 Monaten erforderlich. Erste Nachweise über die Umsetzung von Maßnahmen müssen bis 2027 erbracht werden. KO‑MO‑TEL GmbH aus München unterstützt Unternehmen seit über 30 Jahren bei Cybersicherheit und Compliance.

EU-Richtlinie

(EU) 2022/2555, verabschiedet am 14.12.2022

Deutsche Umsetzung

NIS2UmsG, veröffentlicht am 05.12.2025

Betroffene Einrichtungen

Ca. 29.000 in Deutschland (vorher 4.500)

Aufsichtsbehörde

BSI (Bundesamt für Sicherheit in der Informationstechnik)

Anwendungsbereich

Wer muss NIS2 umsetzen?

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (essential entities) und wichtigen Einrichtungen (important entities) in 18 Sektoren gemäß Anhang I und II der Richtlinie. Die Einstufung hängt vom Sektor und den Größenkriterien ab.

Größenkriterien (Art. 2 Abs. 2 NIS2)

  • 50 oder mehr Mitarbeiter
  • 10 Mio. EUR oder mehr Jahresumsatz
  • 10 Mio. EUR oder mehr Bilanzsumme

Bestimmte Einrichtungen (DNS-Diensteanbieter, TLD-Register, Vertrauensdiensteanbieter, öffentliche Kommunikationsnetze) sind unabhängig von der Größe erfasst.

Wesentliche Einrichtungen (Anhang I)

Strengere Aufsicht, proaktive Prüfungen durch das BSI. Mindestens alle 3 Jahre Nachweis der Wirksamkeit.

Energie

Elektrizität, Fernwärme/-kälte, Öl, Gas, Wasserstoff

Verkehr

Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr

Bankwesen

Kreditinstitute gemäß Art. 4 CRR

Finanzmarktinfrastrukturen

Zahlungssysteme, zentrale Gegenparteien

Gesundheitswesen

Krankenhäuser, Labore, pharmazeutische Hersteller

Trinkwasser

Wasserversorgung und -verteilung

Abwasser

Sammlung, Entsorgung, Behandlung

Digitale Infrastruktur

Cloud, Rechenzentren, DNS, TLD-Register, CDN, Vertrauensdienste

IKT-Dienstleistungsmanagement

Managed Service Provider (MSP), Managed Security Service Provider (MSSP)

Öffentliche Verwaltung

Einrichtungen des Bundes und der Länder

Raumfahrt

Betreiber von Bodeninfrastrukturen

Wichtige Einrichtungen (Anhang II)

Anlassbezogene Prüfungen durch das BSI. Ebenfalls umfangreiche Pflichten.

Post- und Kurierdienste

Abfallbewirtschaftung

Produktion, Herstellung und Handel chemischer Stoffe

Lebensmittelproduktion, -verarbeitung und -vertrieb

Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge)

Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)

Forschungseinrichtungen

Art. 21 NIS2

11 Sicherheitsmaßnahmen nach Art. 21 NIS2

Art. 21 Abs. 2 der NIS2-Richtlinie definiert elf Kategorien technischer und organisatorischer Maßnahmen, die wesentliche und wichtige Einrichtungen implementieren müssen. Diese Maßnahmen bilden das Fundament der NIS2-Compliance.

a

a) Konzepte für Risikoanalyse und Informationssicherheit

Jährliche Risikoanalyse nach anerkannten Standards (ISO 27005, BSI IT-Grundschutz). Identifikation von Assets, Bedrohungen, Schwachstellen. Informationssicherheitsleitlinie (ISMS) nach ISO 27001.

b

b) Bewältigung von Sicherheitsvorfällen

Incident-Response-Plan nach NIST SP 800-61 oder ISO 27035. 24/7-Erreichbarkeit eines Incident-Response-Teams. Eskalationsprozesse mit definierten Verantwortlichkeiten. Forensik-Fähigkeiten zur Ursachenanalyse.

c

c) Aufrechterhaltung des Betriebs (Business Continuity)

Business Impact Analysis (BIA) zur Identifikation kritischer Geschäftsprozesse. Business Continuity Plan (BCP) nach ISO 22301. Definierte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO). Regelmäßige Notfallübungen.

d

d) Sicherheit der Lieferkette

Bewertung der Cybersicherheit von Lieferanten und Dienstleistern. Vertraglich vereinbarte Sicherheitsanforderungen (z.B. ISO 27001). Jährliche Audits kritischer Lieferanten. Notfallpläne bei Ausfall von Zulieferern.

e

e) Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen

Security by Design und Security by Default. Secure Software Development Lifecycle (SSDLC). Patch-Management: Kritische Patches binnen 48h, reguläre binnen 30 Tagen. Vulnerability Management mit vierteljährlichen Scans.

f

f) Bewertung der Wirksamkeit von Risikomanagementmaßnahmen

Key Performance Indicators (KPIs) für Cybersicherheit (MTTD, MTTR). Jährliche interne Audits des ISMS. Externe Zertifizierungsaudits (ISO 27001 alle 3 Jahre). Jährliche Penetrationstests durch zertifizierte Experten.

g

g) Cyberhygiene und Schulungen

Verpflichtende Security-Awareness-Schulungen für alle Mitarbeiter (jährlich, min. 2 Stunden). Vierteljährliche Phishing-Simulationen. Passwortrichtlinie (min. 12 Zeichen). Clean-Desk- und Clear-Screen-Policy.

h

h) Einsatz von Kryptografie und Verschlüsselung

TLS 1.3 für Datenübertragungen. AES-256 für ruhende Daten (Data at Rest). IPsec-VPN für standortübergreifende Verbindungen. Full-Disk-Encryption für mobile Geräte. Hardware Security Modules (HSM) für Schlüsselverwaltung.

i

i) Personalsicherheit, Zugangskontrollen, Asset-Management

Hintergrundprüfung bei sicherheitsrelevanten Positionen. Least-Privilege-Prinzip (minimale Rechte). Role-Based Access Control (RBAC). Vierteljährliche Rezertifizierung von Benutzerrechten. Vollständige IT-Inventarisierung.

j

j) Multi-Faktor-Authentifizierung (MFA)

Verpflichtende MFA für VPN, Remote-Zugang, Admin-Accounts und E-Mail von extern. Unterstützte Methoden: Hardware-Token (FIDO2/U2F), Authenticator-Apps (TOTP), Biometrie. Conditional Access Policies.

k

k) Gesicherte Sprach-, Video- und Textkommunikation

Verschlüsselte Sprach-, Video- und Textkommunikation. Notfallkommunikationssysteme (Out-of-Band-Kanäle, Satellitentelefonie). Sichere Messaging-Plattformen mit End-to-End-Verschlüsselung.

Art. 23 NIS2

Meldepflichten bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen gemäß NIS2 Art. 23 in drei Stufen an das BSI gemeldet werden. Ein Vorfall gilt als erheblich bei Systemausfall über 4 Stunden, Datenschutzverletzung, erfolgreichen Cyber-Angriffen oder Beeinträchtigung einer erheblichen Nutzerzahl.

24 Stunden

Frühwarnung (Art. 23 Abs. 4)

Binnen 24 Stunden nach Kenntnis des Vorfalls: Meldung an das BSI via Meldeportal (meldung.bsi.bund.de). Inhalt: Ist der Vorfall mutmaßlich auf rechtswidrige oder bösartige Handlung zurückzuführen? Hat der Vorfall grenzüberschreitende Auswirkungen?

72 Stunden

Vorfallmeldung (Art. 23 Abs. 5)

Binnen 72 Stunden: Aktualisierung mit erster Bewertung. Schweregrad, Indikatoren für Kompromittierung (IoCs), betroffene Systeme und Dienste, ergriffene oder geplante Abhilfemaßnahmen.

1 Monat

Abschlussbericht (Art. 23 Abs. 6)

Spätestens 1 Monat nach der Vorfallmeldung: Detaillierte Beschreibung, Root-Cause-Analyse, Chronologie, ergriffene Abhilfemaßnahmen und deren Auswirkungen, Lessons Learned und geplante Langfristmaßnahmen.

Meldeadressat: BSI via Meldeportal (meldung.bsi.bund.de). Bei parallelen Datenschutzverletzungen ist zusätzlich die Datenschutzbehörde (BayLDA) gemäß DSGVO Art. 33 binnen 72h zu informieren.

Sanktionen

Strafen bei Nicht-Einhaltung

Bei Verstößen gegen NIS2 drohen empfindliche Bußgelder gemäß Art. 34 NIS2 (umgesetzt in § 56 BSIG). Die Sanktionen orientieren sich an der DSGVO und sollen eine abschreckende Wirkung entfalten.

Wesentliche Einrichtungen

Bis 10 Mio. EUR

oder 2% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Wichtige Einrichtungen

Bis 7 Mio. EUR

oder 1,4% des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Persönliche Haftung der Geschäftsführung

NIS2 Art. 20 macht die Geschäftsleitung persönlich verantwortlich für die Umsetzung von Cybersicherheitsmaßnahmen. Bei Verstößen gegen Sorgfaltspflichten drohen temporäre Tätigkeitsverbote und Disqualifikation von Führungskräften. Die Geschäftsführung muss jährlich min. 8 Stunden Cybersecurity-Training absolvieren.

Unsere Leistungen

Wie KO‑MO‑TEL bei NIS2-Compliance unterstützt

KO‑MO‑TEL GmbH unterstützt seit über 30 Jahren Unternehmen bei IT-Sicherheit und Compliance. Unser strukturierter NIS2-Beratungsansatz führt Sie effizient durch alle Phasen der Umsetzung – vom ersten Assessment bis zur laufenden Compliance.

1

NIS2-Readiness-Assessment

2–4 Wochen

Anwendungsbereichsprüfung (Sektor, Größenkriterien, Einstufung als wesentliche oder wichtige Einrichtung). Vollständige Gap-Analyse (IST-SOLL-Vergleich gegen Art. 21 NIS2-Anforderungen). Risikoanalyse nach ISO 27005 mit Business Impact Analysis. Gap-Report mit priorisierten Maßnahmen.

2

Maßnahmenplanung & Roadmap

1–2 Wochen

Priorisierter Maßnahmenkatalog (technisch, organisatorisch, personell). Quick Wins binnen 3 Monaten identifizieren (MFA-Rollout, Patch-Management, Basis-SIEM). Ressourcenplanung und Budgetschätzung. Zeitplan mit Meilensteinen.

3

Technische Implementierung

3–6 Monate

Next-Generation Firewall und Netzwerksegmentierung. SIEM-Implementierung (zentrale Log-Aggregation, Korrelation, Alerting). Endpoint Security (EDR, Full-Disk-Encryption). MFA-Rollout für VPN, E-Mail und Admin-Zugänge. Verschlüsselung (TLS 1.3, IPsec-VPN, AES-256). Backup und Disaster Recovery (3-2-1-Regel, Offsite-Backup).

4

Organisatorische Umsetzung

3–6 Monate

ISMS-Aufbau nach ISO 27001. Incident-Response-Plan mit Eskalationsstufen und Verantwortlichkeiten. Business Continuity Plan (BCP) mit RTO/RPO-Definitionen. Richtlinien (Passwortrichtlinie, Clean-Desk-Policy, Change-Management). BSI-Registrierung und Meldeprozesse.

5

Schulungen & Awareness

Fortlaufend

Security-Awareness-Schulungen für alle Mitarbeiter (4h pro Gruppe). Spezialisierte Schulungen für IT-Administratoren (Incident Response, Forensik). Geschäftsführungs-Schulung zu NIS2-Verantwortung (8 Stunden). Vierteljährliche Phishing-Simulationen.

6

Laufende Compliance & Audits

Jährlich

Jährliche interne Audits des ISMS. Jährliche Penetrationstests durch zertifizierte Experten. Vierteljährliche Schwachstellenscans. Jährliche Business-Continuity-Übungen. Begleitung bei BSI-Prüfungen. Anpassung an regulatorische Änderungen.

Alle Leistungen von KO‑MO‑TEL ansehen
FAQ

Häufig gestellte Fragen zu NIS2

Antworten auf die wichtigsten Fragen rund um die NIS2-Richtlinie und deren Umsetzung in Deutschland.

Bereit für den nächsten Schritt?

Lassen Sie uns gemeinsam herausfinden, wie wir Ihre IT voranbringen können.

Kontakt aufnehmen
AnrufenWhatsAppE-Mail