Der Weg zur NIS-2-Richtlinie: Was Unternehmen über das neue Cyber-Sicherheitsgesetz wissen müssen
Die Cyberwelt steht nie still, und mit den aktuellen Änderungen des Sicherheitsgesetzes befinden wir uns an einem Wendepunkt. Seit dem 6. Dezember 2025 ist die NIS-2-Richtlinie in deutsches Recht umgesetzt worden. Mit dem „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wird nun ein breiter Ordnungsrahmen für Cybersicherheit geschaffen, der viele Bereiche der deutschen Wirtschaft betrifft.
Erweiterte Anforderungen an unternehmerische Vorsorge
Beim neuen BSIG stehen Risikomanagementmaßnahmen im Fokus. Diese werden durch die NIS-2-Umsetzungsverordnung und ihren technischen Anhang detaillierter beschrieben. Unternehmen sind nun gefordert, ein kohärentes Konzept für Informationssicherheit zu entwickeln, einschließlich belastbarer Prozesse zur Bewältigung von Sicherheitsvorfällen, stabile Backup-Strategien und die Sicherung der Lieferkette mit klaren Anforderungen an IKT-Produkte und -Dienste.
Die Verantwortung der Geschäftsleitung
Mit der Einführung der Governance-Komponente nach § 38 BSIG trägt die Geschäftsleitung nun die direkte Verantwortung für die Umsetzung der geforderten Maßnahmen. Dazu gehört auch die regelmäßige Schulung und Fortbildung zu Cyber-Risiken. Diese regulatorische Veränderung verknüpft Managementverantwortung mit persönlicher Haftung, was den Druck auf Führungskräfte erhöht, sich intensiv mit Informationssicherheit auseinanderzusetzen.
Sektoren und Einrichtungen im Fokus der NIS-2-Umsetzung
Kategorie der regulierten Organisationen
Das erweiterte BSIG differenziert zwischen „besonders wichtigen Einrichtungen“ wie Betreibern kritischer Infrastrukturen und „wichtigen Einrichtungen“, die eine Vielzahl von Sektoren abdecken. Je nach Umsatz, Unternehmensgröße und Tätigkeit besteht die Pflicht zur Einhaltung der neuen Regelungen in unterschiedlichem Maße. Dies betrifft auch mittlere und größere Unternehmen jenseits der klassischen KRITIS-Regulierung.
Spezielle Regelungen für bestimmte Branchen
Für Sektoren wie Telekommunikation und Energie gelten weiterhin spezielle Regulierungsvorgaben, um Doppelregulierungen zu minimieren. Dennoch bleiben übergeordnete Pflichten der NIS-2-Richtlinie relevant, um etwa in Krisensituationen schnell und effizient handeln zu können. Diese branchenspezifischen Anforderungen müssen genau beachtet werden, um gesetzeskonform zu agieren.
Ihre Unterstützung für die Einhaltung der NIS-2-Richtlinie
Unsere Dienstleistungen als zertifizierende Stelle
Wir bieten umfassende Prüfungen der Anforderungen gemäß § 30 des BSIG an. Durch unsere unabhängige Prüfung erhalten Unternehmen einen prüffähigen Audit-Bericht, der Konformität und mögliche Abweichungen aufzeigt. Besonders der Bereich Lieferkette und Dienstleister wird genau untersucht, um potenzielle Nachweislücken zu schließen.
Zusätzliche Services für KRITIS-Betreiber
Betreiber kritischer Anlagen profitieren von unseren speziellen Prüfungsservices, die auch Systeme zur Angriffserkennung umfassen. Diese Dienstleistungen helfen dabei, den notwendigen Nachweis für die Einreichung beim BSI zu erstellen oder zu validieren, und gewährleisten somit eine rechtskonforme Umsetzung der Vorgaben.
Benötigen Sie Unterstützung bei der Einhaltung der neuen Cybersicherheitsregulierungen? Zögern Sie nicht, sich bei uns zu melden. Unser Expertenteam freut sich darauf, Ihnen weiterzuhelfen und Ihre Fragen zu beantworten. Kontaktieren Sie uns noch heute für eine individuelle Beratung!
