Die Umsetzung von NIS-2 stellt viele Unternehmen vor organisatorische und regulatorische Herausforderungen. Häufig besteht zunächst Unsicherheit darüber, welche Anforderungen tatsächlich gelten und welche Massnahmen notwendig sind. Entscheidend ist dabei nicht primär der Einsatz zusätzlicher Sicherheitstechnologien, sondern ein strukturiertes Vorgehen. Unternehmen müssen Risiken nachvollziehbar bewerten, Verantwortlichkeiten definieren und Prozesse sauber dokumentieren. Grundlage dafür sind unter anderem das BSI-Gesetz sowie für bestimmte digitale Anbieter die EU-Durchführungsverordnung 2024/2690. Besonders wichtig wird eine belastbare Dokumentation, etwa für Vorfallmanagement, Lieferkettenbewertung und Sicherheitskontrollen. Ein schrittweiser Einstieg reduziert Aufwand und schafft Orientierung.
Für viele Unternehmen beginnt das Thema NIS-2 mit Unsicherheit: Die eigene Organisation fällt unter neue regulatorische Anforderungen, während gleichzeitig unklar bleibt, welche Maßnahmen konkret notwendig sind. Zwischen laufendem Betrieb und komplexen Vorgaben wirkt die Umsetzung schnell schwer überschaubar.
Dabei liegt die größte Herausforderung meist nicht in einzelnen Sicherheitsmaßnahmen, sondern in einem strukturierten Vorgehen. Denn NIS-2 verlangt vor allem nachvollziehbare Prozesse, dokumentierte Entscheidungen und klare Verantwortlichkeiten.
Welche Anforderungen gelten überhaupt?
Bevor Unternehmen Maßnahmen umsetzen, sollten sie zunächst klären, auf welcher Grundlage die eigene Betroffenheit beruht. Für viele Organisationen ist dabei das deutsche BSI-Gesetz entscheidend. Dort wird geregelt, welche Einrichtungen als wichtig oder besonders wichtig eingestuft werden.
Darüber hinaus gelten für bestimmte digitale Anbieter zusätzliche Vorgaben. Dazu zählen beispielsweise Cloud-Dienstleister, Rechenzentren, Managed Services oder digitale Plattformen. In diesen Fällen spielt insbesondere die EU-Durchführungsverordnung 2024/2690 eine wichtige Rolle, weil sie konkrete technische und organisatorische Anforderungen beschreibt. Diese Einordnung ist entscheidend, denn erst wenn klar ist, welche Regelwerke tatsächlich relevant sind, lassen sich die weiteren Schritte sinnvoll planen.
Die Anforderungen systematisch strukturieren
Nach der Einordnung der eigenen Betroffenheit sollten Unternehmen die relevanten Anforderungen systematisch erfassen. Für viele Organisationen bildet dabei § 30 BSI-Gesetz den zentralen Ausgangspunkt. Dort werden Themen wie Risikoanalysen, Vorfallmanagement, Lieferkettensicherheit, Zugriffskontrollen oder Schulungen beschrieben.
Für bestimmte digitale Anbieter gelten zusätzlich die Vorgaben der EU-Durchführungsverordnung 2024/2690. Diese beschreibt technische und organisatorische Anforderungen deutlich konkreter und erhöht damit auch den Aufwand für Dokumentation und Nachweise.
Deshalb sollten Unternehmen zunächst prüfen, welche Regelwerke tatsächlich relevant sind und welche Anforderungen bereits durch bestehende Prozesse abgedeckt werden. Wichtig ist dabei vor allem ein strukturiertes Vorgehen. Denn NIS-2 ist kein klassisches IT-Projekt, das sich mit einzelnen technischen Maßnahmen erledigen lässt. Entscheidend sind nachvollziehbare Prozesse, klare Verantwortlichkeiten und eine saubere Dokumentation.
Technik allein reicht nicht aus
NIS-2 wird häufig vorschnell als reines IT-Projekt verstanden. Dadurch entsteht schnell der Eindruck, zusätzliche Sicherheitssoftware oder neue Systeme würden bereits ausreichen. Tatsächlich geht es jedoch vor allem darum, Risiken nachvollziehbar zu bewerten, Verantwortlichkeiten festzulegen und Sicherheitsvorfälle strukturiert zu behandeln.
Zudem müssen Unternehmen dokumentieren können, welche Maßnahmen umgesetzt wurden und wie Entscheidungen zustande kommen. Genau deshalb stehen unter NIS-2 weniger einzelne Produkte als vielmehr belastbare Prozesse und organisatorische Verlässlichkeit im Mittelpunkt.
Dokumentation wird zur zentralen Aufgabe
Viele Vorgaben bleiben bewusst allgemein formuliert. Zwar definieren die gesetzlichen Regelungen den Rahmen, sie beschreiben jedoch nicht im Detail, wie Unternehmen die Umsetzung konkret gestalten sollen.
Gerade für Organisationen ohne Erfahrung mit Compliance-Projekten entsteht dadurch zusätzlicher Aufwand. Schließlich müssen bestehende Abläufe angepasst und gleichzeitig neue Dokumentationspflichten aufgebaut werden.
In der Praxis betrifft das unter anderem:
- die strukturierte Bewertung von Risiken
- klar definierte Verantwortlichkeiten
- dokumentierte Abläufe für Sicherheitsvorfälle
- die Bewertung externer Dienstleister
- regelmäßige Kontrollen bestehender Maßnahmen
Damit zeigt sich deutlich, dass NIS-2 nicht nur technische Sicherheit fordert, sondern vor allem organisatorische Nachvollziehbarkeit.
Ein strukturierter Einstieg spart Aufwand
Um unnötigen Aktionismus zu vermeiden, empfiehlt sich ein schrittweises Vorgehen. Zunächst sollte die eigene Betroffenheit geprüft werden. Anschließend gilt es festzulegen, welche Anforderungen tatsächlich relevant sind. Erst danach sollten Maßnahmen strukturiert umgesetzt werden.
Hilfreich sind dabei insbesondere die Leitfäden der ENISA sowie die aktuellen Handreichungen des BSI. Beide bieten praktische Orientierung und erläutern, welche Nachweise typischerweise erwartet werden.
Trotzdem bleibt die Umsetzung anspruchsvoll. Wer bislang kein vergleichbares Compliance-Projekt begleitet hat, steht häufig vor der Herausforderung, regulatorische Vorgaben in bestehende Prozesse zu integrieren. Deshalb kann es sinnvoll sein, frühzeitig externe Unterstützung einzubeziehen, um Zeit zu sparen und Fehlentscheidungen zu vermeiden.
Letztlich entscheidet nicht die Anzahl eingesetzter Sicherheitslösungen über den Umsetzungserfolg, sondern die Fähigkeit, Risiken nachvollziehbar zu steuern, Prozesse dauerhaft zu etablieren und Maßnahmen und nachvollziehbar umzusetzen.
