Login

Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

NIS2 umsetzen: Warum Cybersecurity zur Führungsaufgabe wird

Veröffentlicht am: 10. Juni 2025

Max Mustermann

Veröffentlicht am: 10.06.2025

Ein Bild der EU-Flagge im Wind

Mit der Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht gelten für zahlreiche Unternehmen und Einrichtungen in Deutschland erweiterte Anforderungen an Cybersecurity, Risikomanagement und Governance. Im Fokus stehen insbesondere Registrierungspflichten, Meldeprozesse für Sicherheitsvorfälle sowie die Implementierung und nachvollziehbare Dokumentation von Risikomanagementmaßnahmen.

Mit NIS2 steigt der Druck, Cybersicherheit nicht nur technisch, sondern organisatorisch belastbar aufzustellen. Entscheidend ist dabei weniger, wer formal an wen berichtet, sondern ob Verantwortlichkeiten, Nachweise und Maßnahmen so geregelt sind, dass sie gegenüber Geschäftsführung, Aufsicht und internen Gremien Bestand haben. Genau daran scheitert die Umsetzung in der Praxis häufig: Zuständigkeiten sind verteilt, Informationen liegen in Excel, E‑Mails und Einzelwissen, und im Ernstfall ist unklar, wer was bis wann veranlasst. Wer NIS2 nachhaltig umsetzen will, braucht deshalb eine verlässliche Struktur, mit der Risiken, Maßnahmen und Nachweise nachvollziehbar dokumentiert und Entscheidungen sauber abgesichert werden können.

Deutschland verzeichnet zwar Fortschritte, dennoch erfüllen weiterhin viele Betreiber kritischer Infrastrukturen die Mindestanforderungen an Informationssicherheit nicht vollständig. Doch „bleibt die Lage angespannt, da die mangelnde Umsetzung von Schutzmaßnahmen dazu führt, dass digitale Systeme angreifbar sind,“ enthüllt der BSI-Jahresbericht zur Lage der IT-Sicherheit in Deutschland 2025. Mit der Umsetzung der europäischen NIS2-Richtlinie in nationales Recht sollen Mindeststandards für Cybersecurity und organisatorische Resilienz verbindlicher etabliert werden.

BSI-Präsidentin Claudia Plattner betonte: „Die Letzten beißen die Hunde!“ Denn „Cyberkriminelle dringen überall ein, wo es ihnen möglich ist„. Diese Richtlinie soll die Cyber-Resilienz stärken und hat zweifellos das Potenzial dazu.

NIS2: Ein Blick auf die EU-Richtlinie für die Cybersicherheit

Das BSI kommuniziert für betroffene Unternehmen aktuell vor allem drei Kernpflichten: Registrierung, Meldung erheblicher Sicherheitsvorfälle sowie Implementierung und Dokumentation von Risikomanagementmaßnahmen. Zusätzlich ist Cybersicherheit ausdrücklich Geschäftsleitungsaufgabe; die Leitung muss die Maßnahmen umsetzen, ihre Umsetzung überwachen und sich schulen lassen. Cybersicherheit sollte letztlich als integraler Bestandteil der Unternehmensstrategie betrachtet werden und nicht als nachgelagerte Funktion.

Entscheidend ist dabei jedoch nicht, dass die Geschäftsleitung operative Sicherheitsmaßnahmen selbst umsetzt. Vielmehr muss sie sicherstellen, dass Risiken, Verantwortlichkeiten, Maßnahmen und Nachweise nachvollziehbar gesteuert und überwacht werden können. Genau daran scheitern viele Organisationen in der Praxis weniger technisch als organisatorisch.

NIS2 Entities: Folgende Unternehmen sind betroffen

Herausforderungen und Potenziale der NIS2-Implementierung in Deutschland

Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, bringt es auf den Punkt: Beim Schutz vor den Folgen eines Cyberangriffs gibt es kein Maßnahmen–, sondern ein Umsetzungsproblem. Manches Unternehmen glaubt das BSI sei für die Verteidigung von Unternehmen zuständig. Unternehmen, die erkannt haben, dass sie selbst für ihre Sicherheit sorgen müssen, scheitern in der Praxis an Kompetenzverteilung: Wer muss im Falle des Falles was bis wann tun? In Anbetracht der steigenden Komplexität und des Umfangs von Cyberbedrohungen müssen CIOs, CISOs und CEOs als Sicherheits- und Risikomanager (SRM) zusammenarbeiten, um eine Kultur der Cybersicherheit zu fördern, die über die IT-Abteilung hinausgeht und das gesamte Unternehmen einbezieht – ansonsten sind folgende, die NIS2 umfassende Disziplinen nicht zu bewältigen: 

NIS2 in der Praxis: Diese Maßnahmen jetzt priorisieren

  1. Cyber-Risikomanagement: Es ist notwendig, Risikomanagementprozesse zu etablieren, um Cyberrisiken zu verwalten und Bedrohungen für kritische Dienste zu mindern. NIS2 verknüpft Kontrollen und Schutz unmittelbar mit dem Risikomanagement. Sowohl die EU-Staaten als auch die Europäische Agentur für Cybersicherheit (ENISA) werden koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten durchführen. Wer NIS2 umsetzen will, muss Kontrollen und Schutzmaßnahmen als integralen Bestandteil der Unternehmenssteuerung verstehen, nicht als isoliertes IT-Projekt.
  2. Unternehmensverantwortung: Interne Berichtsmechanismen sollen eingerichtet werden, um das Top-Management über Risikoexposition und Sicherheitslage zu informieren und so die Verantwortlichkeit zu fördern. Es sollen Strukturen geschaffen werden, die es dem Unternehmensmanagement ermöglichen, Cybersicherheitsmaßnahmen zu überwachen, zu genehmigen und auf Cyber-Risiken zu reagieren. 
  3. Meldepflichten: Externe Berichtsfähigkeiten sollen etabliert werden, um den Anforderungen an die Berichterstattung von Sicherheitsvorfällen gerecht zu werden und die Einhaltung der NIS2-Richtlinie zu gewährleisten. Prozesse für die umgehende Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen auf die Dienstleistung oder die Empfänger müssen etabliert werden. Die zuständigen Behörden könnten dann den Vorfall bewerten und den betroffenen Betreibern oder Anbietern Anleitungen geben. Neben verpassten Meldepflichten gibt es bei NIS2 weitere Umsetzungsfehler, die sie unbedingt vermeiden sollten. Diese finden Sie hier.
  4. Business Continuity Management (BCM): Unternehmen müssen sicherstellen, dass kritische Geschäftsprozesse auch während Sicherheitsvorfällen handlungsfähig bleiben. Dazu gehören unter anderem Notfallplanung, Wiederanlaufstrategien, Krisenmanagement sowie belastbare Wiederherstellungs- und Kommunikationsprozesse.

Warum viele NIS2-Programme in der Praxis scheitern

Die Herausforderung liegt selten darin, einzelne Sicherheitsmaßnahmen zu definieren. Die eigentliche Schwierigkeit besteht darin, Risiken, Verantwortlichkeiten, Maßnahmen und Nachweise dauerhaft konsistent miteinander zu verbinden.

In vielen Unternehmen existieren Risikoanalysen, Maßnahmenlisten, BCM-Dokumentationen, Auditberichte und Richtlinien bereits. Häufig jedoch verteilt über unterschiedliche Systeme, Excel-Dateien und organisatorische Silos.

Genau dadurch entstehen in der Praxis typische Probleme:

  • unklare Verantwortlichkeiten,
  • doppelte Datenpflege,
  • fehlende Nachvollziehbarkeit,
  • inkonsistente Bewertungen
  • und hoher manueller Abstimmungsaufwand.

Unter NIS2 wird genau diese organisatorische Nachvollziehbarkeit jedoch entscheidend – sowohl im Audit als auch im Sicherheitsvorfall.

Wer muss an einem Strang ziehen?

NIS2 macht aus Cybersicherheit ein Betriebsthema. Denn wenn ein Vorfall zentrale Prozesse trifft, reicht es nicht, dass die IT reagiert. Dann müssen Geschäftsführung, Betrieb, Compliance, Lieferkette und Kommunikation ineinandergreifen – schnell, klar und ohne Reibungsverluste. In vielen Unternehmen scheitert genau das nicht an fehlenden Maßnahmen, sondern an unklaren Zuständigkeiten, verstreuten Informationen und zu viel Abstimmung im falschen Moment. Wer unter NIS2 handlungsfähig bleiben will, braucht deshalb vor allem eines: einen zentralen Überblick über Risiken, Maßnahmen, Verantwortlichkeiten und Nachweise.

Empfehlung: Warum ein integriertes Managementsystem für NIS2 sinnvoll ist

Wer NIS2 umsetzen will, braucht nicht noch mehr Einzellösungen, Listen und Abstimmungsschleifen. Entscheidend ist, dass Risiken, Maßnahmen, Verantwortlichkeiten und Nachweise so zusammenlaufen, dass sie im Alltag steuerbar bleiben und im Ernstfall tragen. Genau hier spielt ein integriertes Managementsystem seine Stärke aus: Es verbindet Informationssicherheit, Risikomanagement und Business Continuity in einer gemeinsamen Struktur, statt sie getrennt voneinander zu verwalten.

Für Unternehmen mit kritischen Prozessen ist das vor allem eine Frage der Handlungsfähigkeit. Wenn Sicherheitsvorfälle Auswirkungen auf Betrieb, Produktion oder Lieferfähigkeit haben, muss klar sein, welche Risiken priorisiert werden, welche Maßnahmen greifen und wer verantwortlich ist. Ein integriertes Managementsystem schafft dafür den nötigen Überblick und reduziert Reibungsverluste zwischen IT, Betrieb, Compliance und Geschäftsführung.

Standards wie ISO 27001 für Informationssicherheitsmanagement, ISO 22301 für Business Continuity und ISO 31000 für Risikomanagement lassen sich dabei sinnvoll zusammenführen. Der Vorteil liegt nicht in möglichst viel Dokumentation, sondern in einer Struktur, die Doppelarbeit vermeidet, Abhängigkeiten sichtbar macht und Entscheidungen beschleunigt.

So wird Cybersicherheit nicht nur dokumentiert, sondern organisatorisch steuerbar, nachvollziehbar und auditfähig. Genau das wird unter NIS2 zunehmend zum entscheidenden Faktor. Und genau das ist unter NIS2 entscheidend: nicht mehr Komplexität, sondern mehr Klarheit, Verbindlichkeit und Stabilität. Ein integriertes Managementsystem sorgt dafür, dass aus einzelnen Sicherheitsmaßnahmen ein belastbarer Ablauf wird – bevor aus einem Vorfall ein Betriebsproblem wird.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GRC Technologies GmbH

Siegel Software Made and Hosted in Germany
Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

GRASP Dokumentation

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GRC Technologies GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen