NIS2 ist in Deutschland am 06.12.2025 ohne Übergangsfrist in Kraft getreten. Erstmals gelten verbindliche Cybersicherheitsanforderungen auch für Organisationen, die bislang nicht unter Regulierungen wie KRITIS fielen.

Damit stellt sich für viele Unternehmen die Frage: Wie hoch ist der tatsächliche Umsetzungsaufwand? Insbesondere dort, wo in den vergangenen Jahren bereits gezielt in Informationssicherheit investiert wurde, ein ISMS etabliert ist und möglicherweise sogar eine Zertifizierung nach ISO 27001 besteht.

ISO 27001 zertifiziert – und damit NIS2-ready?

Gerade bei ISO-zertifizierten Organisationen entsteht häufig ein trügerisches Gefühl von Sicherheit: Der Aufwand ist jedoch teilweise größer, als auf den ersten Blick erwartet. Zwar decken sich viele der von NIS2 adressierten Themen – etwa Awareness, Risikomanagement oder Incident Handling grundsätzlich mit gängigen Standards und werden im Rahmen eines ISMS und einer Zertifizierung nach ISO27001 typischerweise berücksichtigt. NIS2 geht jedoch in mehreren Punkten über bestehende Implementierungen hinaus.

Insbesondere Scope, Kontrolltiefe und Nachweisbarkeit der umgesetzten Maßnahmen können deutlich höhere Anforderungen stellen, als sie in vielen Organisationen bislang gelebt werden, insbesondere wenn das jeweilige Unternehmen unter die Vorgaben des EU Durchführungsrechtsakts (Implementing Act) fällt.

Über 30.000 deutsche Unternehmen fallen unter NIS2

Mit der europaweit schon im Jahr 2024 festgelegten NIS2-Richtlinie, verfolgt die Europäische Union das Ziel, digitale und wirtschaftliche Souveranität zu stärken und ein einheitliches, hohes Cybersicherheitsniveau im Binnenmarkt zu etablieren. Während bislang vor allem Betreiber Kritischer Infrastrukturen (KRITIS) nach dem BSI-Gesetz reguliert waren, wird der Kreis der betroffenen Unternehmen seit Ende 2025 erheblich ausgeweitet. Konkret wächst der Anwendungsbereich in Deutschland von bislang rund 1.100 KRITIS-Unternehmen auf geschätzt über 30.000 betroffene Organisationen, verteilt über 18 verschiedene Sektoren (Abbildung 1).

Abbildung 1: Alle betroffenen Sektoren im Überblick

Der Maßnahmenkatalog der NIS2 umfasst Themenfelder von Risikomanagement, Incident Handling und Business Continuity über Lieferketten und Zugriffssicherheit bis hin zu Awareness, Governance und Nachweispflichten. Ziel ist ein ganzheitlicher, überprüfbarer Sicherheitsansatz über Technik, Organisation und Führung hinweg.

NIS2 ist nicht gleich NIS2: Der Durchführungsrechtsakt

Für viele Organisationen decken sich diese Themen grundsätzlich mit bestehenden ISMS-Strukturen nach ISO 27001. Relevant wird NIS2 insbesondere dort, wo zusätzliche oder konkretisierende Anforderungen greifen, gerade im Zusammenspiel mit dem europäischen NIS2 Durchführungsrechtsakt.

Der Durchführungsrechtsakt gilt zusätzlich zur nationalen Umsetzung und adressiert digital-kritische Unternehmen wie Cloud-, IT- und Infrastrukturdienstleister, einschließlich IT-Tochtergesellschaften (!). Er konkretisiert die nationalen NIS2-Umsetzungen durch verbindliche technische und organisatorische Mindestanforderungen, etwa zu Zugriffskontrollen, Lieferkettensicherheit und Nachweispflichten. Diese erhöhte Kontrolltiefe kann auch für ISO 27001-zertifizierte Unternehmen zu einem wesentlichen Mehraufwand führen.

Was NIS2 konkret vorschreibt – auch für ISO-zertifizierte Organisationen

In der Praxis zeigt sich immer wieder: Entscheidend ist nicht, ob ein ISMS existiert, sondern wie breit es aufgestellt ist und wie belastbar die bestehenden Maßnahmen gegenüber Aufsichtsbehörden nachgewiesen werden können.

Handlungsfelder sind insbesondere:

  • Scope und Geltungsbereiche: Während der ISMS-Scope bei ISO 27001 frei definierbar (bei KRITIS: anlagen-bezogen) ist, gilt NIS2 unternehmensweit und wird somit in vielen Fällen eine Erweiterung des ISMS-Scopes erfordern.
  • Incident Reporting: Erstmals gelten verbindliche Meldepflichten für erhebliche Sicherheitsvorfälle an die zuständigen Behörden, darunter eine unverzügliche Meldung (spätestens innerhalb von 24 Stunden) nach Bekanntwerden.
  • Registrierungspflicht: Betroffene Unternehmen müssen sich fristgerecht (innerhalb von 3 Monaten) bei der zuständigen Behörde registrieren (Link) und zentrale Angaben zu Organisation, Tätigkeitsbereich und Kontaktstellen bereitstellen.
  • Vorgegebene Zyklen und Frequenzen: Während die ISO 27001 oft allgemein von „geplanten Abständen“ oder „regelmäßiger Überprüfung“ spricht, setzt der Durchführungsrechtsakt konkrete Vorgaben, wie die jährliche Überprüfung des zentralen Sicherheitskonzepts, eine quartalsweise Vorfallsanalyse und das jährliche Review von Rollen.
  • Konkrete, technologische Vorgaben und Angemessenheit per Default: Der Durchführungsrechtsakt gibt – im Vergleich zur ISO 27001 – konkrete technologische Lösungen vor (z.B. MFA/SSO, DNSSEC, USB-Blocking). Die ISO 27001 bleibt hingegen technologieoffen, flexibel in der Ausgestaltung der Kontrollen und verlangt eine risikobasierte Entscheidung hinsichtlich der Angemessenheit von Maßnahmen. Die NIS2 nimmt wiederum die Angemessenheit aller Anforderungen standardmäßig an, weshalb eine Nicht-Umsetzung explizit dokumentiert und begründet werden muss.
  • Supply Chain Risk Management: Durch die NIS2 wird ein Verzeichnis aller direkter Anbieter/Dienstleister sowie derer gelieferten IKT-Produkte, -Dienstleistungen und -Prozesse Pflicht. Anders als bei der ISO 27001 müssen außerdem verbindliche Auswahlkriterien definiert werden, die neben Informationssicherheitsrisiken auch Abhängigkeits- und Konzentrationsrisiken entgegenwirken.

Wie hoch der tatsächliche Umsetzungsaufwand ausfällt, hängt wesentlich vom Reifegrad des bestehenden Informationssicherheitsmanagements ab. Während einige Unternehmen auf vorhandene Strukturen aufbauen können und sich der notwendige Mehraufwand im Rahmen halten wird, werden bei anderen weitergehende organisatorische und prozessuale Anpassungen erforderlich.

Unabhängig davon zeigt NIS2 klar: Cybersicherheit muss strukturiert, nachvollziehbar und unternehmensweit verankert werden. Richtig umgesetzt schafft die Richtlinie damit nicht nur regulatorische Konformität, sondern stärkt Governance, Resilienz und langfristig die digitale Souveranität Europas.

Co-Autoren: Philipp Klaege und Emilia-Isabel Ronald