NIS2 im Jahr 2026: Was Unternehmen jetzt tun müssen

NIS2 ist kein Zukunftsthema mehr. Da die nationalen Umsetzungsgesetze in den meisten EU-Mitgliedstaaten in Kraft sind, hat sich die Frage für mittelständische Unternehmen von „Betrifft uns das?" zu „Können wir nachweisen, dass wir konform sind?" verschoben.

Zuerst: Sind Sie im Anwendungsbereich?

NIS2 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen in 18 Sektoren, darunter Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur, Fertigung und Lebensmittel. Auch die Größe ist entscheidend: Mittlere und große Organisationen sind in der Regel erfasst.

• Ordnen Sie Ihren Sektor den NIS2-Anhängen zu — gehen Sie nicht von einer Ausnahme aus.
• Prüfen Sie, ob Sie Zulieferer einer wesentlichen Einrichtung sind; deren Pflichten wirken auf Sie.
• Dokumentieren Sie die Einstufung. „Wir sind nicht betroffen" braucht einen Nachweis.

Die zehn Basismaßnahmen

Artikel 21 legt einen Mindestkatalog an Risikomanagementmaßnahmen fest. Sie brauchen kein 300-seitiges Handbuch, aber Nachweise, dass jeder Bereich tatsächlich abgedeckt ist:

• Risikoanalyse und Informationssicherheitsrichtlinien
• Behandlung und Meldung von Vorfällen
• Geschäftskontinuität und Krisenmanagement
• Sicherheit der Lieferkette
• Sicherheit bei Beschaffung, Entwicklung und Wartung
• Bewertung der Wirksamkeit der Maßnahmen
• Grundlegende Cyberhygiene und Schulungen
• Kryptographie und Verschlüsselung
• Zugriffskontrolle und Asset-Management
• Multi-Faktor-Authentifizierung und sichere Kommunikation

Enge Meldefristen

Ein erheblicher Vorfall löst eine Frühwarnung innerhalb von 24 Stunden, eine ausführlichere Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats aus. Üben Sie dies in einer Tabletop-Übung.

Die Leitung ist verantwortlich

Eine der größten Änderungen in NIS2 ist die persönliche Verantwortung der Leitungsorgane. Die Führung muss Risikomaßnahmen genehmigen, die Umsetzung überwachen und geschult werden.

Die Organisationen, die Schwierigkeiten haben, sind nicht die mit schwacher Technik — sondern die, die keine Verantwortung und Nachweise vorweisen können.

Eine praktische 90-Tage-Sequenz

• Woche 1–2: Bestimmung des Anwendungsbereichs und Gap-Analyse zu Artikel 21.
• Woche 3–6: Schließen der größten Risikolücken und Aufbau der Vorfallmeldung.
• Woche 7–10: Lieferkettenprüfung und Schulung der Leitung.
• Woche 11–13: Tabletop-Übung, Nachweissammlung und lebendiges Compliance-Register.

NIS2 belohnt Organisationen, die Sicherheit als laufendes Programm statt als einmaliges Projekt behandeln. Beginnen Sie mit einer klaren Bewertung und halten Sie Ihre Nachweise aktuell.