NIS-2-Registrierung erfolgt – Was Unternehmer jetzt tun sollten

Bis 06.03.2026 sind Unternehmen, die unter das NIS-2 Umsetzungsgesetz fallen, verpflichtet sich beim BSI als wichtige oder besonders wichtige Einrichtung zu registrieren. Leicht gesagt, leicht getan. Doch was wie geht es weiter?

Die nächste Frist, die für viele Unternehmen wichtig sein wird, ist der 06.09.2026. Bis dahin ist von betroffenen Einrichtungen eine vollständige Umsetzung der in NIS-2 geforderten Maßnahmen gefordert. Eine sehr ambitionierte Frist, da in den meisten Fällen für die Einführung eines solchen Informationssicherheits-Managementsystems (ISMS) mindestens ein dreiviertel bis volles Jahr geplant wird. Also wie anfangen?

Wir haben Ihnen die drei wichtigsten ersten Schritte zusammengefasst:

  1. Bilden Sie ein Cybersicherheitsteam

    Sie sind als Geschäftsleitung zwar persönlich für die Umsetzung der NIS-2 Richtlinie verantwortlich, jedoch müssen Sie dies nicht allein tun. Suchen und befähigen Sie mindestens zwei Personen in Ihrem Unternehmen, die Sie bei der Koordination der Informationssicherheit unterstützen. Dabei ist nicht nur eine fachliche Eignung wichtig, sondern vor allem die Einstellung, dass IT-Sicherheit gelebt werden muss.
     

  2. Kommen Sie ihrer Meldepflicht nach

    Die Umsetzung der NIS-2 Vorgaben ist abschließend zwar erst bis Anfang September 2026 gefordert, dennoch sind Sie jetzt schon dazu verpflichtet, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden zu melden. (Erheblich beschreibt hierbei, wenn durch den Vorfall rechtliche, monetäre oder reputative Folgen zu erwarten sind.)

    Legen Sie Rollen und Prozesse fest, sodass es im Ernstfall schnell geht. Als wichtige oder besonders wichtige Einrichtung sind Sie nun Teil eines europaweiten Cybersicherheitsnetzwerks, welches nur funktionieren kann, wenn jede/r seinen Pflichten nachkommt.
     

  3. Überprüfen Sie den IST-Zustand und setzten Sie dementsprechende Maßnahmen um

    Sobald Ihr Cybersicherheitsteam gebildet ist, sollten sie zeitnah mit der Umsetzung der NIS-2 Forderungen anfangen. Dazu gehört eine Umfangreiche Risikoanalyse, welche nur erfolgen kann, wenn Sie sich über die Risiken für Unternehmen bewusst sind.

    Nutzen Sie Leitfäden wie die DIN 27076 um Ihre Informationssicherheit grundlegend zu evaluieren und arbeiten Sie mit bekannten Standards wie ISO 27001 oder dem BSI Grundschutz um systematisch ein ISMS aufzubauen. Beachten Sie dabei, dass diese Standards nur als Grundlage für eine NIS-2 Umsetzung gelten. Bereiche wie die Schulung der Geschäftsführenden oder die Kontrolle von Meldeprozessen für Sicherheitsvorfälle werden von Ihnen nicht abgedeckt.

IT-Sicherheit wirkt nur, wenn sie auch verstanden wird. Informieren Sie daher regelmäßig sich als Geschäftsleitung und Ihre Mitarbeiter:innen über aktuelle Neuerungen in der internen und externen Welt der Informationssicherheit. Eine Möglichkeit dafür ist die Teilnahme an unserem WEITER-Netzwerk. Bei regelmäßigen Treffen mit fachlichem Austausch und Teilnehmer:innen getriebenen Themendiskussion halten wir Sie und uns auf den aktuellen Stand der Cybersicherheit im Business-Kontext.