
Seit dem 6. Dezember 2025 ist das nationale NIS-2-Umsetzungsgesetz in Kraft. Damit steigt der Druck auf Unternehmen, ihre Cybersicherheitsmaßnahmen nicht nur technisch umzusetzen, sondern auch organisatorisch sauber zu dokumentieren und nachweisbar zu machen. Besonders relevant wird das mit Blick auf die erwarteten BSI-Prüfungen ab 2026.
Viele Unternehmen stehen jetzt vor ähnlichen Fragen: Bin ich von NIS-2 betroffen? Reicht eine bestehende ISO-27001-Zertifizierung aus? Welche Nachweise wird das BSI prüfen? Und wie lässt sich ein realistischer Umsetzungsplan aufbauen?
Dieser Beitrag gibt einen Überblick über den aktuellen Stand, typische Lücken und konkrete Schritte zur NIS-2-Konformität.
Das Wichtigste in Kürze
Seit dem 6. Dezember 2025 ist das nationale NIS-2-Umsetzungsgesetz in Kraft.
Rund 30.000 deutsche Unternehmen sind betroffen und rund 16.000 sind beim BSI registriert.
Die ersten BSI-Prüfungen starten 2026 und orientieren sich methodisch an den etablierten KRITIS-Audits.
ISO 27001 allein reicht für die NIS-2-Konformität nicht aus.
Die größten Lücken liegen im Mittelstand bei Business Continuity Management und Risikomanagement.
Ein abgenommener Projektplan verbessert die Position in der Prüfung erheblich.
Unsere Berater:innen analysieren Ihren NIS-2-Reifegrad in einem kostenlosen Initialgespräch. Sie erhalten eine erste Einschätzung Ihrer Compliance-Lücken.
Jetzt kostenloses Erstgespräch anfragenDie NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz(NIS2UmsuCG) in nationales Recht überführt wurde. Sie verpflichtet rund 30.000 Unternehmen in 18Sektoren zu Risikomanagement, Meldepflichten bei Sicherheitsvorfällen, technischen und organisatorischen Schutzmaßnahmen sowie der persönlichen Haftung der Geschäftsleitung.
NIS-2 erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie von 2016 deutlich. Während sich NIS-1 noch auf wenige hochkritische Sektoren beschränkte, fallen unter NIS-2 jetzt auch Maschinenbauer, Chemieunternehmen, IT-Dienstleister, Lebensmittelhersteller, Post- und Kurierdienste sowie viele weitere Mittelständler. Damit wird Cybersecurity erstmals zur breiten wirksamen Compliance-Pflicht in Deutschland.
Am 6. Dezember 2025 ist das nationale NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft getreten. Seitdem erhöht sich der Druck auf deutsche Unternehmen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet derzeit an konkreten Prüfrichtlinien für die Umsetzung der gesetzlich geltenden Vorgaben.
Laut einem Vortrag von EY auf dem NIS-2-Kongress, der vom 11. bis 13. Mai 2026 in Frankfurt am Main stattfand, sind erste Prüfungen nur noch eine Frage der Zeit. Methodisch werden sie sich voraussichtlich stark an den etablierten KRITIS-Prüfungen orientieren. Damit endet die Phase, in der NIS-2 zwar gesetzlich gilt, eine systematische Kontrolle aber faktisch fehlte. Weitere Informationen zur Umsetzung stellt das BSI auf seiner offiziellen NIS-2-Seite bereit.
Aus Sicht von Orange Cyberdefense ist insbesondere der Mittelstand jenseits klassischer KRITIS- und Finanzregulierung jetzt gefordert: Hier bestehen aktuell die größten Lücken, vor allem in den Bereichen Risikomanagement und Business Continuity Management (BCM).
Von den rund 30.000 in Deutschland von NIS-2 betroffenen Unternehmen haben sich bislang etwa 16.000 beim BSI registriert. Das bedeutet: Nahezu die Hälfte der betroffenen Organisationen hat den ersten formalen Schritt noch nicht vollzogen.
Anhand dieser Zahlen ist davon auszugehen, dass viele Unternehmen überhaupt nicht wissen, dass sie betroffen sind oder dass sie sich registrieren müssen. Gerade in Unternehmensverbünden ist die Lage oft unklar. Zugleich haben viele Unternehmen erkannt, dass ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem allein nicht ausreicht, um NIS-2-konform zu sein.
„Ein ISMS nach ISO 27001 ist eine wichtige Grundlage, aber kein Freifahrtschein. NIS-2 verlangt einen wesentlich breiteren Blick – auf das Unternehmen als Ganzes, auf seine Resilienz und auf die kritischen Wertschöpfungsprozesse. Wer in der Vergangenheit nur einen sehr engen Geltungsbereich zertifiziert hat, etwa einzelne Büros oder Standorte, kommt damit unter NIS-2 nicht mehr durch.“ – David Mayer, Manager Security Consulting, Orange Cyberdefense
Ein verbreitetes Missverständnis: Wer ISO 27001 zertifiziert ist, sei automatisch auch NIS-2-konform. Das stimmt nicht. Die beiden Frameworks überschneiden sich, NIS-2 geht aber in mehreren Dimensionen deutlich weiter.
| Aspekt | ISO 27001 | NIS-2 |
|---|---|---|
| Geltungsbereich | Frei wählbar, oft eng definiert | Gesamtes Unternehmen inkl. kritischer Wertschöpfungsprozesse |
| Resilienz / BCM | Optional | Ggf. kritische Anlagen, wenn KRITIS, verpflichtend |
| Risikomanagement | Methodenfreiheit | Konkrete Mindestanforderungen |
| Meldepflicht | Keine gesetzliche | 24 Stunden / 72 Stunden / 1 Monat |
| Haftung | Keine persönliche Haftung | Geschäftsleitung haftet persönlich |
| Lieferketten-Sicherheit | Optional | Verpflichtend |
| Sanktionen | Verlust der Zertifizierung | Bußgelder bis zu 10 Mio. € oder 2 % des Jahresumsatzes |
Eine bestehende ISO-27001-Zertifizierung ist also ein wertvoller Ausgangspunkt. Sie deckt jedoch typischerweise nur 40 bis 60 Prozent der NIS-2-Anforderungen ab. Die übrigen Bereiche, vor allem Business Continuity, Geltungsbereichserweiterung und Lieferketten-Sicherheit, müssen ergänzt werden.
Stark regulierte Branchen wie Banken, Versicherungen oder bisherige KRITIS-Unternehmen sind in der Regel gut aufgestellt. Im Gegensatz dazu gibt es vor allem bei klassischen Mittelständlern erheblichen Nachholbedarf. Maschinenbauer, Chemie- und IT-Dienstleister sowie viele weitere Branchen, die bisher weder unter KRITIS noch unter andere branchenspezifische Regulierung fielen, haben in puncto Risikomanagement und Business Continuity Management oft nur Stückwerk vorzuweisen – es finden sich zwar dokumentierte Notfallpläne, jedoch ist fraglich, ob diese im Ernstfall funktionieren.
„Wir sehen die größte Diskrepanz zwischen Anforderung und tatsächlicher Umsetzung beim Thema Resilienz. Es reicht nicht zu wissen, wie man auf einen Cyberangriff reagiert. Entscheidend ist die Frage: Wie können wir weiterarbeiten, wenn etwas passiert – und passieren wird es. Genau hier haben viele Unternehmen wenig bis gar nichts vorzuweisen.“ – David Mayer, Manager Security Consulting, Orange Cyberdefense
Das zweite große Defizit liegt im Risikomanagement, dessen Reifegrad oft ausbaufähig ist, weil der betrachtete Scope in der Vergangenheit bewusst klein gehalten wurde. NIS-2 verlangt jedoch eine ganzheitliche Sicht: vom IT-System über die Wertschöpfungsprozesse bis zur OT-Umgebung in Produktion und Logistik.
Es ist keinesfalls zielführend, NIS-2 allein mit isolierten Einzelmaßnahmen begegnen zu wollen. So gibt es Unternehmen, die schnell eine SIEM-Lösung (Security Information and Event Management) kaufen und annehmen, damit sei die Alarmmeldungen bearbeiten kann. Auch Gap-Analysen, deren Ergebnis Hunderte Maßnahmen ohne Priorisierung und ohne Abhängigkeiten sind, gehören zu typischen Stolpersteinen. Damit kann die Geschäftsführung nichts anfangen.
Die klare Empfehlung von Orange Cyberdefense: ganzheitlich denken, mit den Grundlagen beginnen und auf einem soliden Fundament aufbauen. Der strukturierte Weg umfasst fünf Schritte:
Auf Basis der bisherigen Erfahrungen aus KRITIS-Audits und der angekündigten BSI-Prüfrichtlinien werden voraussichtlich folgende Artefakte im Mittelpunkt der NIS-2-Prüfungen stehen:
Dokumentierter Geltungsbereich mit Begründung der Scope-Festlegung
Aktuelle Business-Impact-Analyse mit RTO- und RPO-Werten für kritische Prozesse
Nachweisbare Risikoanalyse mit dokumentierter Methodik und Bewertungsmaßstab
Übersicht der technischen und organisatorischen Maßnahmen (TOM)
Durchgängige Dokumentation, inklusive Nachweis über regelmäßige Tests und Übungen
Belege für Schulung und Sensibilisierung der Geschäftsleitung und Mitarbeitenden
Funktionierender Meldeprozess für Sicherheitsvorfälle (24h / 72h / 1 Monat)
Wie lange Unternehmen brauchen, um NIS-2-konform zu werden, hängt stark von der Ausgangslage ab. Entlang der Erfahrungswerte von Orange Cyberdefense reicht das Spektrum von wenigen Monaten bis zu mehrjährigen Programmen:
„Wer erst im nächsten Quartal anfängt und im darauffolgenden den Brief vom BSI öffnen muss, hat ein Problem. Wer aber zeigen kann, dass ein abgenommener Projektplan, ein Budget und konkrete Maßnahmen vorhanden sind, verbessert seine Ausgangsposition in einer Prüfung erheblich. Wichtig ist, zu jedem Zeitpunkt sichtbar und strukturiert vorzugehen.“ – David Mayer, Manager Security Consulting, Orange Cyberdefense
Das nationale NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten. Seitdem gelten die neuen Anforderungen für betroffene Unternehmen in Deutschland.
Betroffen sind rund 30.000 Unternehmen in Deutschland aus insgesamt 18 Sektoren. Dazu gehören nicht nur klassische KRITIS-Unternehmen, sondern auch viele mittelständische Unternehmen, etwa aus Maschinenbau, Chemie, IT-Dienstleistungen, Lebensmittelproduktion sowie Post- und Kurierdiensten.
Nein. Eine ISO-27001-Zertifizierung ist eine sehr gute Grundlage, reicht allein aber nicht automatisch für NIS-2-Konformität aus. NIS-2 verlangt zusätzlich unter anderem einen breiteren Geltungsbereich, belastbares Business Continuity Management, klare Meldeprozesse, Lieferkettensicherheit und die Einbindung der Geschäftsleitung.
Alle von NIS-2 betroffenen Unternehmen müssen sich beim BSI registrieren. Bislang sind rund 16.000 von etwa 30.000 betroffenen Unternehmen registriert. Die Registrierung ist Voraussetzung für die Meldepflicht und für die Kommunikation mit dem BSI im Prüf- und Vorfallsfall.
Bei Verstößen gegen NIS-2 können empfindliche Bußgelder drohen. Je nach Einstufung des Unternehmens sind Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich.
Das BSI wird voraussichtlich insbesondere prüfen, ob Unternehmen ihren Geltungsbereich sauber dokumentiert haben, eine belastbare Risikoanalyse vorliegt, kritische Prozesse bewertet wurden, technische und organisatorische Maßnahmen umgesetzt sind und Meldeprozesse sowie Notfallpläne funktionieren.
Die Dauer hängt stark vom Reifegrad des Unternehmens ab. Unternehmen mit etabliertem ISMS und vorhandenem BCM können Lücken oft innerhalb von 3 bis 6 Monaten schließen. Bei engem ISO-27001-Scope sind eher 6 bis 12 Monate realistisch. Ohne strukturiertes Sicherheitsmanagement kann die Umsetzung 12 bis 24 Monate dauern.
NIS-2 ist keine ferne Drohung mehr, sondern wird ab 2026 systematisch geprüft. Wer jetzt mit einem klar definierten Geltungsbereich, einer Business-Impact-Analyse, einer dokumentierten Risikoanalyse und einem belastbaren Business Continuity Management startet, schafft die Grundlage für eine erfolgreiche Prüfung und für nachhaltige Cyber-Resilienz im Unternehmen.
Entscheidend ist nicht die Geschwindigkeit, sondern die Sichtbarkeit des Vorgehens: Ein abgenommener Projektplan, ein zugewiesenes Budget und konkrete Maßnahmen verbessern die Ausgangsposition in einer Prüfung erheblich – selbst dann, wenn das Programm noch nicht vollständig abgeschlossen ist.
Unsere Berater:innen analysieren Ihren NIS-2-Reifegrad in einem kostenlosen Initialgespräch. Sie erhalten eine erste Einschätzung Ihrer Compliance-Lücken.
Kostenloses Erstgespräch anfragenDavid Mayer
Manager Security Consulting
Orange Cyberdefense Germany
David Mayer ist Manager Security Consulting bei Orange Cyberdefense Germany und berät Unternehmen seit über 15 Jahren bei der Umsetzung regulatorischer Anforderungen wie NIS-2, KRITIS und ISO 27001. Sein Fokus liegt auf der praxisorientierten Verbindung von Risikomanagement, Business Continuity und Informationssicherheit für mittelständische und große Organisationen in Deutschland.