Mehr Informationen zur BPM-Software Aeneis
Inhalt des Videos
Kernaussage: Die NIS-2-Richtlinie ist seit dem 6. Dezember 2025 als deutsches Gesetz in Kraft und betrifft über 30.000 Unternehmen in Deutschland. Wer früh handelt, schützt nicht nur sein Unternehmen vor empfindlichen Bußgeldern und persönlicher Haftung der Geschäftsführung, sondern stärkt vor allem die eigene Resilienz gegenüber Cyberrisiken.
Sprecher: Tom Bormann, ISMS-Berater bei SHD System-Haus-Dresden GmbH, LinkedIn Profil
Sprecherin: Constanze Hetzel, Marketingleitung bei der intellior GmbH, LinkedIn Profil
Dieses Video gibt Ihnen einen ausführlichen Überblick über die neuen Sicherheitsvorgaben der EU: Welche Anforderungen gelten konkret für mein Unternehmen? Und wie lassen sich die Vorgaben mit einem ISMS und BCMS praxisnah umsetzen? Im Gespräch mit ISMS-Experte Tom Bormann ordnet Constanze Hetzel die zentralen Themen ein. Von Risikomanagement über ISO 27001 bis hin zu Business Continuity Management und der Verantwortung der Geschäftsführung im Zuge der NIS-2-Richtlinie.
„Wenn ich einen Vorfall in meinem Unternehmen habe und beispielsweise verschlüsselt werde, ist das Bußgeld, das ich bekomme, weil ich nichts getan habe, ja nur das eine. Aber der wirtschaftliche Ausfall, also wenn ich nicht mehr produzieren oder keine Patienten mehr behandeln kann, wiegt viel schwerer. Das sollte eigentlich der eigentliche Anreiz sein, wirklich Maßnahmen zu ergreifen." – Tom Bormann, ISMS-Berater bei SHD System-Haus-Dresden GmbH, LinkedIn Profil
Kapitel:
00:00 – Einführung: NIS-2 in Deutschland
00:16 – Was ist die NIS-2-Richtlinie?
00:36 – Unterschiede EU vs. Deutschland
02:06 – Welche Unternehmen sind betroffen?
04:13 – Welche Pflichten umfasst NIS-2?
04:38 – Risikomanagementmaßnahmen erklärt
05:41 – Umsetzung der 10 Maßnahmen
07:39 – Business Continuity Management (BCM) bei Notfällen
08:18 – Registrierung beim BSI
09:46 – Haftung, Fristen & Sanktionen
Das Video erklärt kompakt und praxisnah, was die Richtlinie bedeutet, welche Unternehmen jetzt handeln müssen und welche Schritte dafür nötig sind.
Betroffen sind Unternehmen aus rund 18 Sektoren, unterteilt in besonders kritische Sektoren (z. B. Energie, Gesundheit, Finanzwesen, digitale Infrastruktur) und kritische Sektoren (z. B. Post- und Kurierdienste, Abfallwirtschaft, verarbeitendes Gewerbe). Hinzu kommen Größenkriterien: ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz bzw. Jahresbilanz. Auch öffentliche Einrichtungen des Bundes sind verpflichtet, Länder und Kommunen entscheiden über eigene Regelungen.
NIS-2 fordert von Unternehmen vier zentrale Pflichten:
Insgesamt schreibt die Richtlinie zehn Risikomanagement-Maßnahmen vor:
Da diese Maßnahmen recht abstrakt formuliert sind, empfiehlt sich der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 oder BSI-Grundschutz. Für den Notfall sollte zusätzlich ein Business Continuity Management System (BCMS) etabliert werden.
Die Geschäftsführung haftet persönlich für schuldhaft verursachte Schäden und muss sich mindestens alle drei Jahre zu NIS-2-Inhalten schulen lassen. Bei Verstößen drohen Bußgelder von bis zu 7 Millionen Euro bzw. 1,4 prozent des Jahresumsatzes für wichtige Einrichtungen und bis zu 10 Millionen Euro bzw. 2 Prozent des Jahresumsatzes für besonders wichtige Einrichtungen. Eine feste Umsetzungsfrist gibt es zwar nicht, die ersten Überprüfungen finden jedoch nach drei Jahren statt, mit der Umsetzung sollte daher sofort begonnen werden.
Bis wann müssen sich betroffene Unternehmen beim BSI registrieren?
Innerhalb von drei Monaten nach Inkrafttreten. Stichtag ist der 6. März 2026. Die Registrierung erfolgt zweistufig: Zuerst wird ein "Mein Unternehmenskonto" mit Organisationszertifikat angelegt, anschließend folgt die Anmeldung über das BSI-Portal, das seit dem 6. Januar 2026 verfügbar ist.
Wie schnell müssen Sicherheitsvorfälle gemeldet werden?
Erhebliche Sicherheitsvorfälle müssen unmittelbar nach Bekanntwerden, spätestens innerhalb von 72 Stunden an das BSI gemeldet werden. Auf Anforderung sind Zwischenmeldungen erforderlich. Eine Abschlussmeldung mit Details zu Ursache, Gegenmaßnahmen und Ergebnis muss in der Regel spätestens nach 30 Tagen erfolgen.
Bin ich mit einer bestehenden ISO-27001-Zertifizierung bereits NIS-2-konform?
Größtenteils ja. Mit einer ISO-27001-Zertifizierung sind die meisten Maßnahmen bereits abgedeckt. Wichtig ist allerdings, eine Delta-Analyse durchzuführen und zu prüfen, ob der Scope des bestehenden ISMS das gesamte Unternehmen umfasst. NIS-2 betrachtet nämlich das Gesamtunternehmen, nicht nur einzelne Bereiche. Registrierungs- und Meldepflichten gelten unabhängig vom Zertifizierungsstatus.
Warum ist zusätzlich ein BCMS wichtig?
Für Notfall- und Krisenszenarien reicht ein ISMS allein oft nicht aus. Deshalb empfehlen Experten zusätzlich ein Business Continuity Management System (BCMS) nach ISO 22301 oder BSI-Standard 200-4.
Fanden Sie das Video informativ und wollen mehr über unsere Software Aeneis wissen?
30 Tage kostenlos testen: Aeneis unverbindlich ausprobieren
Live-Demo buchen: Persönliche Vorführung durch unsere Experten
Im Gespräch ordnet Tom Bormann zunächst die rechtliche Grundlage ein: Die NIS-2-Richtlinie wurde 2022 auf europäischer Ebene verabschiedet und über das deutsche Umsetzungsgesetz weitgehend unverändert in nationales Recht überführt. Bei der Frage, welche Unternehmen es betrifft, erläutert er das Zusammenspiel aus Sektoren und Größenkriterie auch öffentliche Einrichtungen sind betroffen, wobei Länder und Kommunen eigene Wege gehen können. Sachsen ist hier mit einem eigenen NIS-2-Gesetz bereits vorangegangen.
Ein Schwerpunkt des Gesprächs liegt auf der praktischen Umsetzung. Bormann erklärt, warum die zehn Risikomanagement-Maßnahmen der NIS-2 bewusst abstrakt formuliert sind und wie sich diese über die 93 konkreten Controls der ISO 27001 in greifbare Maßnahmen wie Zutrittsbeschränkungen oder Sicherheitszonen übersetzen lassen. Für den Ernstfall empfiehlt er zusätzlich ein BCMS nach BSI-Standard 200-4 oder ISO 22301, da das ISMS Notfallmanagement nur am Rand abdeckt. Auch der zweistufige Registrierungsprozess über "Mein Unternehmenskonto" und das BSI-Portal wird konkret erklärt.
Zum Abschluss geht Bormann auf das Thema Cyberversicherungen ein: Diese decken zwar Schäden ab, fordern jedoch in der Regel dieselben Maßnahmen wie die NIS 2 selbst. Sein Appell: Angesichts von über 30.000 betroffenen Unternehmen in Deutschland gilt das Prinzip "Wer zuerst kommt, mahlt zuerst". Wer frühzeitig mit einer Betroffenheits- und Reifegradanalyse beginnt, hat deutlich bessere Chancen auf einen passenden Umsetzungsweg.
