{"id":893556,"date":"2026-03-19T10:03:53","date_gmt":"2026-03-19T10:03:53","guid":{"rendered":"https:\/\/www.capgemini.com\/de-de\/?p=893556"},"modified":"2026-03-19T10:03:56","modified_gmt":"2026-03-19T10:03:56","slug":"verschaerfte-cybersicherheitsregeln-was-nis2-fuer-unternehmen-wirklich-bedeutet","status":"publish","type":"post","link":"https:\/\/www.capgemini.com\/de-de\/insights\/blog\/iso-27001-reicht-nicht-mehr-was-nis2-fuer-unternehmen-wirklich-bedeutet\/","title":{"rendered":"Versch\u00e4rfte Cybersicherheitsregeln: Was NIS2 f\u00fcr Unternehmen wirklich bedeutet"},"content":{"rendered":"\n

Versch\u00e4rfte Cybersicherheitsregeln: Was NIS2 f\u00fcr Unternehmen wirklich bedeutet<\/h1><\/div><\/div><\/div><\/div>
\"\"<\/div>
Robin Lengsholz<\/h5>
19.03.2026<\/h5><\/div><\/div>
\"capgemini-invent\"\/<\/div><\/div><\/div><\/div><\/header>\n\n\n\n
\n

NIS2 ist in Deutschland am 06.12.2025 ohne \u00dcbergangsfrist in Kraft getreten. Erstmals gelten verbindliche Cybersicherheitsanforderungen auch f\u00fcr Organisationen, die bislang nicht unter Regulierungen wie KRITIS fielen.<\/p>\n\n\n\n

Damit stellt sich f\u00fcr viele Unternehmen die Frage: Wie hoch ist der tats\u00e4chliche Umsetzungsaufwand? Insbesondere dort, wo in den vergangenen Jahren bereits gezielt in Informationssicherheit investiert wurde, ein ISMS etabliert ist und m\u00f6glicherweise sogar eine Zertifizierung nach ISO 27001 besteht.<\/p>\n\n\n\n

ISO 27001 zertifiziert \u2013 und damit NIS2-ready?<\/strong><\/h2>\n\n\n\n

Gerade bei ISO-zertifizierten Organisationen entsteht h\u00e4ufig ein tr\u00fcgerisches Gef\u00fchl von Sicherheit: Der Aufwand ist jedoch teilweise gr\u00f6\u00dfer, als auf den ersten Blick erwartet. Zwar decken sich viele der von NIS2 adressierten Themen – etwa Awareness, Risikomanagement oder Incident Handling grunds\u00e4tzlich mit g\u00e4ngigen Standards und werden im Rahmen eines ISMS und einer Zertifizierung nach ISO27001 typischerweise ber\u00fccksichtigt. NIS2 geht jedoch in mehreren Punkten \u00fcber bestehende Implementierungen hinaus.<\/p>\n\n\n\n

Insbesondere Scope, Kontrolltiefe und Nachweisbarkeit der umgesetzten Ma\u00dfnahmen k\u00f6nnen deutlich h\u00f6here Anforderungen stellen, als sie in vielen Organisationen bislang gelebt werden, insbesondere wenn das jeweilige Unternehmen unter die Vorgaben des EU Durchf\u00fchrungsrechtsakts (Implementing Act) f\u00e4llt.<\/p>\n\n\n\n

\u00dcber 30.000 deutsche Unternehmen fallen unter NIS2<\/strong><\/h2>\n\n\n\n

Mit der europaweit schon im Jahr 2024 festgelegten NIS2-Richtlinie, verfolgt die Europ\u00e4ische Union das Ziel, digitale und wirtschaftliche Souveranit\u00e4t zu st\u00e4rken und ein einheitliches, hohes Cybersicherheitsniveau im Binnenmarkt zu etablieren. W\u00e4hrend bislang vor allem Betreiber Kritischer Infrastrukturen (KRITIS) nach dem BSI-Gesetz reguliert waren, wird der Kreis der betroffenen Unternehmen seit Ende 2025 erheblich ausgeweitet. Konkret w\u00e4chst der Anwendungsbereich in Deutschland von bislang rund 1.100 KRITIS-Unternehmen auf gesch\u00e4tzt \u00fcber 30.000 betroffene Organisationen, verteilt \u00fcber 18 verschiedene Sektoren (Abbildung 1). <\/p>\n\n\n\n

\"\"
Abbildung 1: Alle betroffenen Sektoren im \u00dcberblick<\/figcaption><\/figure>\n\n\n\n

Der Ma\u00dfnahmenkatalog der NIS2 umfasst Themenfelder von Risikomanagement, Incident Handling und Business Continuity \u00fcber Lieferketten und Zugriffssicherheit bis hin zu Awareness, Governance und Nachweispflichten. Ziel ist ein ganzheitlicher, \u00fcberpr\u00fcfbarer Sicherheitsansatz \u00fcber Technik, Organisation und F\u00fchrung hinweg.<\/p>\n\n\n\n

NIS2 ist nicht gleich NIS2: Der Durchf\u00fchrungsrechtsakt<\/strong><\/h2>\n\n\n\n

F\u00fcr viele Organisationen decken sich diese Themen grunds\u00e4tzlich mit bestehenden ISMS-Strukturen nach ISO 27001. Relevant wird NIS2 insbesondere dort, wo zus\u00e4tzliche oder konkretisierende Anforderungen greifen, gerade im Zusammenspiel mit dem europ\u00e4ischen NIS2 Durchf\u00fchrungsrechtsakt.<\/p>\n\n\n\n

Der Durchf\u00fchrungsrechtsakt gilt zus\u00e4tzlich zur nationalen Umsetzung und adressiert digital-kritische Unternehmen wie Cloud-, IT- und Infrastrukturdienstleister, einschlie\u00dflich IT-Tochtergesellschaften (!). Er konkretisiert die nationalen NIS2-Umsetzungen durch verbindliche technische und organisatorische Mindestanforderungen, etwa zu Zugriffskontrollen, Lieferkettensicherheit und Nachweispflichten. Diese erh\u00f6hte Kontrolltiefe kann auch f\u00fcr ISO 27001-zertifizierte Unternehmen zu einem wesentlichen Mehraufwand f\u00fchren. <\/p>\n\n\n\n

Was NIS2 konkret vorschreibt \u2013 auch f\u00fcr ISO-zertifizierte Organisationen<\/strong><\/h2>\n\n\n\n

In der Praxis zeigt sich immer wieder: Entscheidend ist nicht, ob<\/em> ein ISMS existiert, sondern wie<\/em> breit <\/em>es aufgestellt ist und wie<\/em> belastbar<\/em> die bestehenden Ma\u00dfnahmen gegen\u00fcber Aufsichtsbeh\u00f6rden nachgewiesen werden k\u00f6nnen.<\/p>\n\n\n\n

Handlungsfelder sind insbesondere:<\/p>\n\n\n\n