NIS 2-Umsetzungsgesetz: Lieferketten und IT-Sicherheit

Kurzfassung

NIS-2 ist das wichtigste EU-Regelwerk zur Cybersicherheit. Es verpflichtet „wesentliche“ und „wichtige“ Einrichtungen, Cyberrisiken strukturiert zu managen, passende Schutzmaßnahmen umzusetzen und schwere Vorfälle innerhalb klarer Fristen zu melden, mit besonderem Blick auf die Lieferkette. In Deutschland gilt die Umsetzung seit dem 06.12.2025. Registrierung und Meldungen laufen über das BSI-Portal, das Anfang 2026 freigeschaltet wurde. Ob ein Unternehmen betroffen ist, hängt vor allem von Sektor, Größe und Sonderfällen ab: Neben klassischen KRITIS-Bereichen können auch IT-Dienstleister, Teile der Industrie, Logistik-nahe Branchen und bestimmte Plattformmodelle darunterfallen. Häufig werden Anforderungen außerdem über Verträge an Dienstleister und Zulieferer weitergegeben. Inhaltlich geht es nicht nur um „mehr IT-Sicherheit“, sondern um ein funktionierendes Gesamtpaket aus Vorbeugung, Erkennung, Reaktion und Wiederherstellung, inklusive messbarer Wirksamkeit und klarer Regeln für kritische Anbieter. Wer Meldungen zu spät abgibt, Nachweise nicht liefern kann oder die Lieferkette nicht im Griff hat, setzt sich schnell erhöhtem Prüf- und Bußgeldrisiko aus.

Aktuelle Updates zur Umsetzung in Deutschland

In Deutschland gilt das NIS-2-Umsetzungsgesetz seit 06.12.2025. Zuvor hatte Deutschland, wie mehrere andere EU-Staaten, die Umsetzungsfrist nicht rechtzeitig vollständig gemeldet, weshalb die EU-Kommission ein Vertragsverletzungsverfahren gestartet hat.

Was ist die NIS-2-Richtlinie?

Definition der NIS-2-Richtlinie

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist das zentrale EU-Regelwerk zur Cybersicherheit. Sie verpflichtet bestimmte Unternehmen („wesentliche“ und „wichtige“ Einrichtungen), Cyberrisiken systematisch zu steuern und schwere Sicherheitsvorfälle nach festen Vorgaben zu melden.

Ein zentraler Punkt ist die Lieferkettensicherheit: NIS-2 bezieht ausdrücklich auch direkte Lieferanten und Dienstleister ein, etwa Cloud- und SaaS-Anbieter, IT-Provider, Managed Service Provider oder Software-Zulieferer. Damit wird Lieferantenmanagement zur Compliance-Pflicht.

Hintergrund und Entstehung

NIS-2 ist die Weiterentwicklung der NIS-Richtlinie von 2016. Sie wurde nötig, weil Cyberangriffe professioneller geworden sind und längst nicht mehr nur klassische KRITIS treffen. Besonders wichtig sind heute digitale Abhängigkeiten, etwa Cloud-Dienste, Fernwartung, IT-Dienstleister und Software-Lieferketten. Das NIS-2-Umsetzungsgesetz erweitert den Kreis der betroffenen Unternehmen und macht Lieferkettenrisiken zu einem Pflicht-Thema.

Zeitlicher Ablauf:

• Ende 2022: NIS-2 wird beschlossen und im EU-Amtsblatt veröffentlicht.
• 17.10.2024: Umsetzungsfrist für die Mitgliedstaaten.
• Nov 2024 / 07.05.2025: EU-Kommission startet Vertragsverletzungsverfahren (Aufforderungsschreiben, später begründete Stellungnahme, auch gegen Deutschland).
• 05./06.12.2025 (DE): Veröffentlichung und Inkrafttreten des deutschen Umsetzungsgesetzes.
• 06.01.2026 (DE): Freischaltung des BSI-Portals für die NIS-2-Registrierung.

Parallel zur nationalen Umsetzung sorgt die EU dafür, dass wichtige digitale Grunddienste, zum Beispiel Cloud, Rechenzentren, IT-Dienstleister sowie Internetdienste in allen EU-Ländern nach ähnlichen Mindestregeln arbeiten.

Das wird besonders bei der Lieferkettensicherheit deutlich: Unternehmen sollen ihre wichtigsten IT-Dienstleister aktiv im Blick behalten. Dazu gehören eine Liste der zentralen Anbieter, klare Sicherheitsanforderungen, passende Vertragsregeln, regelmäßige Nachweise und feste Abläufe, wie Sicherheitslücken schnell geschlossen werden.

Umsetzung in Deutschland

Deutschland hat NIS-2 national umgesetzt: Das Umsetzungsgesetz gilt seit 06.12.2025 (verkündet am 05.12.2025). Für betroffene Unternehmen geht es damit um konkrete Pflichten wie Risikomanagement, Dokumentation, Registrierung und Vorfallmeldungen.

Hauptziele des NIS 2 Umsetzungsgesetzes

Cybersicherheit als Management- und Governance-Thema verankern

NIS-2 macht klar: Cyberrisiken sind kein reines IT-Thema, sondern gehören in die Verantwortung der Leitung. Die EU-Kommission hebt ausdrücklich die Accountability des Top-Managements hervor.

Resilienz erhöhen: nicht nur verhindern, sondern auch durchhalten und wieder anlaufen

Ziel ist, dass Unternehmen über den ganzen Verlauf eines Sicherheitsvorfalls hinweg handlungsfähig bleiben, von der Risikoanalyse und Vorbeugung über Erkennung und Reaktion bis hin zu Wiederanlauf und Krisenmanagement. Das ist gerade in Lieferketten entscheidend: Fällt ein Dienstleister aus, sollen die wichtigsten Prozesse nicht automatisch mit ausfallen, weil Notfallpläne und Wiederherstellungswege vorher festgelegt sind.

Lieferketten absichern: Drittparteien als Pflichtbestandteil des Risikomanagements

NIS-2 soll Angriffe über die Lieferkette erschweren. Dafür reicht es nicht, nur die eigene IT zu schützen. Auch zentrale Dienstleister und Lieferanten müssen aktiv gesteuert werden, mit klaren Sicherheitsanforderungen, passenden Vertragsregeln, Nachweisen und regelmäßigen Checks. Lieferkettensicherheit ist damit keine reine IT-Aufgabe, sondern betrifft auch Einkauf, Recht und das Lieferantenmanagement.

Schnellere, einheitlichere Reaktion auf Vorfälle – auch grenzüberschreitend

Ein Kernziel ist, dass relevante Vorfälle schneller dort landen, wo Koordination möglich ist, und dass große Ereignisse EU-weit abgestimmt gehandhabt werden können. Dafür gibt es das CSIRTs-Netzwerkund die EU-Krisenkoordination über EU-CyCLONe.

Mehr Harmonisierung im Binnenmarkt (weniger Flickenteppich)

Unternehmen operieren grenzüberschreitend, vor allem ihre Dienstleister. NIS-2 zielt darauf, Mindestanforderungen, Aufsicht und Zusammenarbeit EU-weit konsistenter zu machen. Dass die Umsetzung dennoch in vielen Ländern verzögert war und die Kommission formell nachfassen musste, zeigt, wie wichtig dieses Harmonisierungsthema ist.

Was ist neu gegenüber NIS 1?

Ziel & Grundprinzip

NIS 1 (2016) war der erste EU-Rahmen für Cybersicherheit. Er betraf vor allem Betreiber wesentlicher Dienste und einige digitale Anbieter, mit Pflicht zu Sicherheitsmaßnahmen und zur Meldung schwerer Vorfälle.

NIS 2 baut darauf auf, geht aber deutlich weiter: Sie setzt stärker auf risikobasiertes Management und Resilienz (vorbeugen, erkennen, reagieren, wiederherstellen) und bezieht die Lieferkette ausdrücklich mit ein.

Welche Unternehmen sind betroffen?

Kategorien & Logik: Sektor, Größe, Sonderfälle

Die Grundlogik von NIS-2 lässt sich auf drei Prüfschritte herunterbrechen, auch wenn die Details je nach Mitgliedstaat in der nationalen Umsetzung variieren können:

EU-Systematik: Auf EU-Ebene unterscheidet NIS 2 zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Grundsätzlich gelten für beide ähnliche Pflichten: Cyberrisiken müssen gesteuert werden, und schwere Vorfälle sind zu melden. Der Unterschied zeigt sich vor allem in der Praxis: Wesentliche Einrichtungen stehen meist unter strengerer, teils vorbeugender Aufsicht, und auch der Sanktionsrahmen ist in der Regel höher.

NIS 2 Umsetzung in Deutschland: In Deutschland gilt seit 06.12.2025 die nationale Umsetzung. Die Einordnung erfolgt, wie auf EU-Ebene, entlang von Sektor, Unternehmenskennzahlen und Sonderfällen. In der deutschen Systematik wird u. a. mit Kategorien wie „wichtige“ und „besonders wichtige“ Einrichtungen gearbeitet.

Lieferanten-Fokus: Auch wenn Unternehmen selbst nicht unmittelbar unter NIS-2 fallen, können sie dennoch betroffen sein, etwa indirekt über Kunden. Wenn ein Unternehmen z. B. IT-Dienstleister, Cloud- oder Hosting-Anbieter, Managed Service Provider, Software-Zulieferer, Wartungs- oder Fernzugriffs-Dienstleister oder ein kritischer Logistik- oder Plattform-Partner ist, werden NIS-2-Pflichten häufig durchgereicht: über Verträge, Ausschreibungen, Sicherheitsfragebögen, Nachweisanforderungen und Vorgaben zu Vorfallmeldungen.

Wer ist betroffen? Sektoren kurz erklärt

NIS-2 unterscheidet grob zwischen besonders kritischen Bereichen und weiteren kritischen Bereichen.

Typisch hohe Kritikalität (häufig „wesentlich“):

• Energie
• Verkehr, Transport
• Banken & Finanzmarktinfrastrukturen
• Gesundheit
• Trinkwasser & Abwasser
• Digitale Infrastruktur (z. B. Cloud, Rechenzentren, DNS/TLD, CDNs, Vertrauensdienste)
• ICT-Service-Management (z. B. Managed Services, Managed Security Services)
• Öffentliche Verwaltung
• Weltraum

Weitere kritische Sektoren (häufig „wichtig“):

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemie
• Lebensmittel
• Verarbeitendes Gewerbe (z. B. Maschinenbau, Elektronik, Fahrzeugbau)
• Digitale Anbieter (z. B. Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschung

Warum das für Lieferketten entscheidend ist

Viele Unternehmen unterschätzen ihre Betroffenheit, weil sie sich nicht als „klassische KRITIS“ sehen. Gerade in Produktion, Logistik, Plattformbetrieb oder IT-Services entstehen aber oft die größten digitalen Abhängigkeiten und damit Pflichten (direkt) oder Anforderungen aus Kundenbeziehungen (indirekt).

Praxis-Check: typische Beispiele

IT-Dienstleister & Provider

Viele Unternehmen unterschätzen das: Auch wer nicht „KRITIS“ ist, kann als digitaler Dienstleister unter NIS-2 fallen, etwa Cloud-Anbieter oder Rechenzentren. Diese Anbieter sind oft für viele Kunden gleichzeitig kritisch und stehen deshalb besonders im Fokus. In dieser Rolle werden häufig vertragliche Pflichten erwartet, z. B. 24/7-Kontakt, schnelle Vorfallinfos, geregeltes Patch- und Schwachstellenmanagement, Nachweise und klare Regeln für Subunternehmer.

Produzierende Unternehmen

NIS 2 erfasst auch Teile des verarbeitenden Gewerbes. Dadurch können auch mittelständische Industrieunternehmen betroffen sein, vor allem, wenn sie eine Schlüsselrolle in Versorgungsketten haben oder stark digitalisierte bzw. automatisierte Produktion betreiben. Häufige Risiken entstehen über ERP/EDI-Schnittstellen, Logistik-IT, Fernwartung, Updates der Produktionssteuerung und externe Servicepartner. Genau solche Abhängigkeiten sollen unter NIS 2 aktiv gemanagt werden.

Chemie, Lebensmittel, Abfallwirtschaft, Post, Kurier

Diese Branchen werden oft unterschätzt, sind in NIS-2 aber als kritische Sektoren genannt. Entscheidend sind hier weniger Hightech-Themen als die Folgen eines Ausfalls für Versorgung und Betrieb. Typisch ist außerdem eine starke Abhängigkeit von wenigen Dienstleistern. Fällt ein Schlüsselpartner aus, kann das schnell den Betrieb treffen und eine Meldepflicht auslösen.

Digitale Geschäftsmodelle

NIS 2 nennt auch bestimmte Online-Plattformen ausdrücklich. Gemeint ist nicht jeder Online-Shop, sondern vor allem Plattformmodelle wie Marktplätze mit Drittanbietern. Solche Plattformen hängen meist stark von externen Diensten ab, zum Beispiel Cloud-Infrastruktur, Zahlungsdienstleistern, Identitäts- und Login-Diensten oder externen DevOps- und Security-Services. Genau deshalb spielt bei ihnen die Steuerung von Dienstleistern und Lieferanten eine besonders große Rolle.

Pflichten: Was verlangt NIS-2 konkret?

Risikomanagement & Sicherheitsmaßnahmen

NIS 2 verlangt, dass betroffene Einrichtungen ihre IT so absichern, dass zentrale Systeme stabil laufen und Vorfälle möglichst wenig Schaden anrichten. In Deutschland steht das im § 30 BSIG, inklusive eines Mindestkatalogs von zehn Risikomanagementmaßnahmen.

1) Vorbeugen / Prävention

Unter Prävention versteht NIS 2 vor allem: Risiken früh erkennen, Angriffsflächen klein halten und besonders wichtige Zugänge gut absichern. Dazu gehören eine solide Risikoanalyse und ein IT-Sicherheitskonzept, sichere Regeln für Einkauf, Entwicklung und Betrieb von Systemen sowie Themen wie Verschlüsselung, Personalsicherheit, klare Zugriffsrechte und ein Überblick über alle wichtigen IT-Geräte und Anwendungen. Auch Multi-Faktor-Authentifizierung wird ausdrücklich genannt, gerade für kritische Konten und Zugänge.

• IAM (Identity & Access Management): beschreibt Regeln und Systeme, die steuern, wer auf welche IT-Ressourcen zugreifen darf (inkl. Rollen, Berechtigungen, Rezertifizierung).
• MFA (Multi-Faktor-Authentifizierung): zusätzliche Absicherung beim Login, besonders relevant für Admin-Konten und Remote-Zugänge.
• Secure Development oder Secure Procurement: Sicherheit wird bei Einkauf und Entwicklung „mitgebaut“ (z. B. sichere Konfigurationen, Updatefähigkeit, Lieferantenvorgaben, Abnahmechecks).

2) Erkennen

NIS 2 erwartet, dass Sicherheitsvorfälle nicht einfach durchrutschen“. In der Praxis heißt das: Es braucht saubere Protokolle (Logging), laufende Überwachung (Monitoring) und ein verlässliches Schwachstellenmanagement, damit Sicherheitslücken schnell erkannt und behoben werden. Außerdem reicht es nicht, diese Maßnahmen nur auf dem Papier zu haben, sie müssen im Betrieb funktionieren und regelmäßig überprüft werden.

• Logging oder Monitoring: Protokolle sicherheitsrelevanter Aktivitäten (z. B. Admin-Aktionen, Anmeldeversuche, Änderungen an kritischen Systemen) plus Auswertung und Alarmierung.
• Schwachstellenmanagement: Verfahren, um Sicherheitslücken zu identifizieren, zu bewerten, zu priorisieren und fristgerecht zu beheben (Patchen oder Mitigation). Das BSI hebt Schwachstellenmanagement als zentralen Bestandteil der NIS-2-Sicherheitsmaßnahmen hervor.

3) Reagieren

NIS 2 verlangt, dass Unternehmen Sicherheitsvorfälle nicht nur feststellen, sondern auch sauber handhaben können: erkennen, eindämmen, Ursachen prüfen, Spuren sichern, die Kommunikation steuern und konkrete Gegenmaßnahmen umsetzen. Im deutschen § 30 BSIG ist diese Bewältigung von Sicherheitsvorfällen deshalb ausdrücklich als Pflicht genannt.

Das hängt direkt mit den Meldepflichten zusammen (24 Stunden / 72 Stunden / 1 Monat). Ohne klare Abläufe, also feste Rollen, Eskalationswege, 24/7-Erreichbarkeit und definierte Entscheidungskriterien lassen sich diese Fristen in der Praxis kaum zuverlässig einhalten.

4) Resilienz

Ein Kernpunkt von NIS 2 ist Resilienz: Ein Sicherheitsvorfall soll nicht automatisch zu einem langen Stillstand führen. Deshalb nennt § 30 BSIG als Mindestanforderung die Aufrechterhaltung des Betriebs, etwa durch Backups, Wiederherstellungspläne und Krisenmanagement. BCM (Business Continuity Management) meint genau diese Fähigkeit, kritische Abläufe trotz Störungen weiterzuführen oder schnell wiederherzustellen.

Meldungen und Registrierung

Meldepflichten - wer macht was wann?

NIS-2 setzt bei Vorfällen auf ein dreistufiges Meldesystem. Maßgeblich ist dabei der Zeitpunkt der Kenntniserlangung: Die Fristen laufen ab dem Moment, in dem eine Einrichtung von einem erheblichen Sicherheitsvorfall erfährt und nicht erst, wenn alle Details geklärt sind. Meldungen gehen an eine gemeinsame Meldestelle, die vom BSI zusammen mit dem BBK eingerichtet wird.

Die drei Stufen im Überblick (BSIG § 32):

Frühe Erstmeldung (spätestens 24 Stunden)

Spätestens nach 24 Stunden muss eine erste Meldung raus. Darin geht es vor allem um eine schnelle Einschätzung: Spricht etwas dafür, dass der Vorfall absichtlich verursacht wurde und könnte er auch Auswirkungen über Deutschland hinaus haben?

Folgemeldung / Meldung (spätestens 72 Stunden)

Innerhalb von 72 Stunden folgt die nächste Meldung. Darin wird die erste Meldung ergänzt oder korrigiert und es gibt eine erste Einschätzung, wie schwer der Vorfall ist und welche Auswirkungen er hat. Wenn verfügbar, können auch Kompromittierungsindikatoren („IoCs“) mitgeschickt werden, also technische Hinweise, die auf einen Angriff hindeuten, zum Beispiel auffällige IP-Adressen oder Domains, Malware-Hashwerte oder verdächtige Log-Einträge.

Abschlussmeldung (spätestens 1 Monat nach der 72h-Meldung)

Spätestens einen Monat nach der 72-Stunden-Meldung ist eine Abschlussmeldung fällig: ausführliche Beschreibung, Ursache, Bedrohungsart, Abhilfemaßnahmen und ggf. grenzüberschreitende Auswirkungen. Dauert der Vorfall zu diesem Zeitpunkt noch an, ist zunächst eine Fortschrittsmeldung einzureichen. Die Abschlussmeldung folgt nach Abschluss der Bearbeitung.

Zwischenmeldungen: Zusätzlich kann das BSI während eines laufenden Vorfalls Zwischenmeldungen zu Statusaktualisierungen anfordern.

Spezialfall KRITIS-Betreiber: Betreiber kritischer Anlagen müssen in ihrer Meldung zusätzlich angeben, welche Anlage bzw. kritische Dienstleistung betroffen ist und wie sich der Vorfall auf diese Leistung auswirkt.

Warum das intern organisatorisch anders ist als viele bisherige Vorfallprozesse: Das Stufenmodell verlangt, dass sehr früh eine belastbare Ersteinschätzung verfügbar ist (Was ist betroffen? Wie schlimm? Welche Services? Welche Indikatoren?). In der Praxis bedeutet das meist: Incident-Response (Technik), Management-Lagebild, Kommunikation, PR, Recht, Compliance und, je nach Datenbezug, Datenschutz müssen so verzahnt sein, dass innerhalb von 24/72 Stunden entscheidungs- und meldefähige Informationen zusammengeführt werden können.

Zusammenspiel mit anderen Pflichten

1) DSGVO: Cybervorfall ≠ automatisch Datenschutzvorfall

Ein NIS-2-Vorfall kann gleichzeitig eine DSGVO-Datenpanne sein, wenn personenbezogene Daten betroffen sind. Dann muss zusätzlich meist innerhalb von 72 Stunden an die Datenschutzaufsicht gemeldet werden. Das BSI weist darauf hin, dass NIS-2-Meldungen daher oft mit anderen Pflichten, wie der DSGVO, abgestimmt werden müssen.

2) Information von Kunden oder Empfängern

Neben der Meldung an die Behörde kann das BSI verlangen, dass Kunden oder Nutzer schnell informiert werden, wenn ein Vorfall die Leistung beeinträchtigen könnte, auch über einen Hinweis auf der Website. Das ist besonders wichtig, wenn der Auslöser in der Lieferkette liegt, etwa bei einem Dienstleister.

3) Sektorspezifische Regime und Vertragsketten

Je nach Branche können zusätzlich weitere Meldepflichten gelten. Unabhängig davon werden NIS-2-Anforderungen in der Lieferkette oft vertraglich weitergegeben: Dienstleister müssen schnell informieren, damit die eigenen 24h/72h-Fristen überhaupt eingehalten werden können.

Aufsicht & Sanktionen

Wer überwacht?

In Deutschland ist vor allem das BSI zuständig, wenn es um die Aufsicht über die NIS-2-Pflichten geht, also für wichtige und besonders wichtige Einrichtungen, KRITIS-Betreiber und auch für die Bundesverwaltung. Bei einigen digitalen Diensten, die oft grenzüberschreitend genutzt werden, zum Beispiel DNS, TLD oder bestimmte Cloud- und Plattformdienste, spielt zusätzlich eine Rolle, welche Behörde in der EU federführend zuständig ist.

Da zwischen wesentlichen und wichtigen Einrichtungen unterschieden wird, gibt es hier auch verschiedene Überwachungen. Wesentliche Einrichtungen werden intensiver überwacht, teilweise auch ohne konkreten Anlass. Bei wichtigen Einrichtungen greift die Aufsicht eher dann, wenn es Hinweise auf Probleme gibt. Diese Logik findet sich auch im deutschen Recht wieder, in den Regelungen für besonders wichtige Einrichtungen (§ 61 BSIG) und wichtige Einrichtungen (§ 62 BSIG).

Sanktionen: welche Risiken realistisch sind

Was droht grundsätzlich?

Sanktionen bestehen nicht nur aus Bußgeldern. Das Gesetz gibt dem BSI ein Instrumentarium aus Aufsichts- und Durchsetzungsmaßnahmen, und zusätzlich ist, wenn Anordnungen nicht befolgt werden, auch Verwaltungszwang möglich, z. B. Zwangsgelder.

Welche Risiken sind in der Praxis am häufigsten?

Erfahrungsgemäß sind die realistischen Risikofelder weniger die theoretischen Maximalbußgelder, sondern wiederkehrende Basics, bei denen Behörden und Prüfer schnell ansetzen können:

• Verspätete oder unvollständige Meldungen: Ein häufiges Risiko sind zu späte oder unvollständige Meldungen, etwa weil intern noch abgestimmt wird, Informationen vom Dienstleister fehlen oder Entscheidungen zu lange dauern. Das dreistufige Meldesystem ist klar vorgegeben. Ob die Fristen eingehalten werden, steht und fällt deshalb mit eingespielten Prozessen und einer 24/7-Erreichbarkeit.
• Registrierung oder Änderungsmeldungen nicht sauber oder nicht fristgerecht, insbesondere, wenn Betroffenheit falsch eingeschätzt oder nicht dokumentiert wurde.
• Papier-Compliance ohne Wirksamkeitsnachweis: Maßnahmen existieren, aber Tests oder Belege fehlen. Das ist deshalb kritisch, weil NIS-2 auf Resilienz und nachweisbare Wirksamkeit zielt, nicht nur auf Richtlinien.
• Lieferkette oder Dienstleister: Gerade bei Audits zeigt sich schnell, ob die Lieferkette wirklich im Griff ist: Gibt es eine Liste kritischer Dienstleister? Sind Sicherheitsanforderungen im Vertrag geregelt? Werden Vorfälle rechtzeitig gemeldet? Wie wird mit Subunternehmern umgegangen und welche Nachweise liegen vor? Genau das erwartet NIS 2 ausdrücklich als Teil des Risikomanagements.

Prüfungen und Audits: womit Unternehmen rechnen sollten

1. Prüfintensität nach Kategorie: Bei besonders wichtigen Einrichtungen kann das BSI Audits, Prüfungen oder Zertifizierungen anordnen, um die Pflichten zu kontrollieren. Bei wichtigen Einrichtungen erfolgt die Prüfung meist anlassbezogen, also wenn konkrete Hinweise auf Verstöße oder Lücken vorliegen.
2. KRITIS-Betreiber: formalisierte Nachweispflichten: Für Betreiber kritischer Anlagen sind Nachweise besonders zentral: Das BSIG enthält eigene Nachweispflichten, die regelmäßig zu erbringen sind. Das Verfahren und Anforderungen an Nachweise können durch das BSI konkretisiert werden.
3. Was wird in Audits typischerweise „gesehen“ werden wollen? Bei Audits wird selten gefragt, ob ein bestimmtes Tool eingesetzt wird. Entscheidend ist, ob Sicherheit vernünftig gesteuert und belegt werden kann. Typisch sind vier Themenblöcke: Risikomanagement, Incident Response & Meldefähigkeit, Lieferkette und Governance bzw. Schulung.

Fazit

NIS-2 macht Cybersicherheit für viele Unternehmen zur Pflicht und zwar nicht nur intern, sondern auch in der Lieferkette. Entscheidend ist, dass Risikomanagement und Notfallprozesse im Alltag wirklich funktionieren: Wer Vorfälle schnell einordnen und melden kann, ist klar im Vorteil. Genauso wichtig ist der Blick auf Dienstleister wie Cloud-Provider oder Managed Services, denn ohne verlässliche Infos aus der Lieferkette lassen sich Fristen und Maßnahmen kaum sauber umsetzen. Wer Betroffenheit, Zuständigkeiten und Mindeststandards früh klärt und nachweisbar umsetzt, stärkt nicht nur die Compliance, sondern vor allem die eigene Widerstandsfähigkeit.