NIS2 und ISMS: Was das für Ihr Unternehmen konkret bedeutet

NIS2 und ISMS: Was das für Ihr Unternehmen konkret bedeutet

Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland. Rund 29.500 Unternehmen sind unmittelbar betroffen, darunter Sektoren wie Logistik, Lebensmittelproduktion und Abfallwirtschaft. Für die Unternehmensleitung bedeutet das: Informationssicherheit ist ab sofort eine Führungsaufgabe mit rechtlicher Konsequenz.

Ein Informationssicherheitsmanagementsystem (ISMS) ist dabei der strukturelle Rahmen, den NIS2 voraussetzt. Kein ISMS garantiert automatisch Compliance. Aber ohne einen solchen Rahmen ist die Erfüllung der gesetzlichen Anforderungen kaum systematisch nachweisbar.

Was NIS2 wirklich verlangt

NIS2 verlangt einen dauerhaften, risikobasierten Umgang mit Informationssicherheit. Der Gesetzgeber definiert dabei klare Handlungsfelder, die unmittelbar auf Entscheidungsebene wirken.

In der Praxis bedeutet das:

  • Risiken proaktiv erfassen, bewerten und Gegenmaßnahmen nachvollziehbar dokumentieren
  • Sicherheitsvorfälle erkennen, dokumentieren und innerhalb gesetzlicher Fristen melden; 24 Stunden für die Erstmeldung, 72 Stunden für den vollständigen Bericht
  • Lieferketten und IT-Dienstleister aktiv in die Sicherheitsstrategie einbeziehen
  • Die Unternehmensleitung trägt nach Art. 20 NIS2 persönliche Verantwortung und kann bei Verstößen individuell haftbar gemacht werden – dies gilt auch ohne unmittelbares Verschulden

Wichtig dabei ist vor allem, dass NIS2 nicht nur die vorhandene Technologie bewertet, sondern den organisatorischen Umgang mit Sicherheitsrisiken. Die eigentlichen Prüffragen sind: Greifen die Prozesse? Sind Verantwortlichkeiten klar? Kann im Ernstfall gehandelt werden?

NIS2 kompakt

Bin ich von NIS2 betroffen? Was bedeutet das neue Gesetz für mein Unternehmen? Wo kann ich mich informieren? Diese und weitere Fragen werden auf unserer Schlaglichtthema-Seite kurz, kompakt und verständlich für Sie beantwortet.

Zum Schlaglichtthema NIS2-Richtlinie

Wo ein ISMS den Unterschied macht

Wir sehen immer wieder das Unternehmen meistens schon Sicherheitsmaßnahmen implementiert haben: Backups, Zugriffsregelungen, Virenschutz, vielleicht einen Notfallplan. Das Problem ist, dass diese Maßnahmen häufig nebeneinander existieren, ohne dass jemand den kompletten Überblick hat.

Ein ISMS bringt diese Einzelmaßnahmen überhaupt erst zusammen. Es klärt, wer im Ernstfall entscheidet, welche Systeme geschäftskritisch sind und wer dafür die Verantwortung trägt.

Konkret unterstützt ein ISMS bei den zentralen NIS2-Anforderungen:

Risikomanagement

NIS2 verlangt eine nachvollziehbare Risikobewertung: Welche Bedrohungen bestehen, welche Auswirkungen sind realistisch, und welche Maßnahmen sind verhältnismäßig? Ein ISMS liefert die Methodik, Priorisierungskriterien und Dokumentationsstruktur, um diese Fragen nicht ad hoc, sondern steuerbar zu beantworten. IT-Sicherheit ohne Risikomanagement ist in fast allen Fällen verbesserungsbedürftig.

Umgang mit Sicherheitsvorfällen

NIS2 setzt klare Fristen: Erhebliche Vorfälle müssen innerhalb von 24 Stunden gemeldet werden, eine vollständige Meldung folgt nach 72 Stunden. Wer das improvisiert, wird scheitern. Ein ISMS definiert im Voraus, wer was tut. Eskalationswege, Zuständigkeiten, Dokumentation sind damit gleich geklärt.

Betriebsfähigkeit und Resilienz

Ransomware-Angriffe, Stromausfälle, menschliche Fehler: Unternehmen müssen handlungsfähig bleiben oder es schnell wieder werden. Ein ISMS verzahnt Backup-Strategien, Wiederanlaufplanung und Notfallmanagement zu einem System, statt sie als Einzelthemen zu behandeln.

Sicherheit in der Lieferkette

Viele Angriffe kommen nicht direkt, sondern über Dienstleister und Partner. NIS2 verlangt, dass Unternehmen auch diese Risiken im Blick haben. Ein ISMS hilft, Anforderungen an Dritte zu definieren, vertraglich zu verankern und regelmäßig zu überprüfen.

Dokumentation und Nachweisführung

Bei einer Prüfung durch die Behörde oder im Kundengespräch muss gezeigt werden können, dass Informationssicherheit nicht nur ein Schlagwort ist. Ein ISMS sorgt dafür, dass Entscheidungen, Maßnahmen und Kontrollen dokumentiert sind. Der damit verbundene Aufwand ist nicht zu unterschätzen. Gleichzeitig schafft er die notwendige Nachvollziehbarkeit und damit eine wichtige Grundlage für Absicherung.

ISMS-Werkstatt

ISMS-Werkstatt

Schritt für Schritt zu mehr Informationssicherheit – mit unserer kostenfreien Workshopreihe ISMS-Werkstatt. In zwei aufeinander aufbauenden Kursen (Basis- und Aufbaukurs) erlernen Sie praxisnah und gemeinsam mit anderen Unternehmen, wie Sie ein maßgeschneidertes Informationssicherheits-Managementsystem (ISMS) für Ihr Unternehmen entwickeln und nachhaltig umsetzen.

Mehr erfahren und kostenfrei anmelden!

Die Rolle der Geschäftsführung

NIS2 verankert Informationssicherheit rechtlich verbindlich als Leitungsaufgabe. Die Unternehmensleitung wird dazu verpflichtet, Sicherheitsmaßnahmen zu genehmigen, zu überwachen und aktiv mitzutragen. Bei Verstößen haftet die Geschäftsführung persönlich. Bußgelder können im Bereich von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes liegen.

Das bedeutet nicht, dass die Geschäftsführung jedes technische Detail kennen muss. Aber sie muss verstehen, welche Risiken existieren, welche Maßnahmen dagegen ergriffen werden, und diese Entscheidungen aktiv mittragen.

Ein ISMS schafft genau diese Transparenz: Klare Rollen, nachvollziehbare Berichtswege, regelmäßige Reviews auf Managementebene. Informationssicherheit wird damit Teil der Unternehmenssteuerung und bleibt nicht in der IT-Abteilung stecken.

Martin Dukek

Verfasst von Martin Dukek

Sicherheitsexperte FZI Karlsruhe

Diese News könnte Sie auch interessieren: