Neue regulatorische Verschärfungen für mehr Resilienz, Sicherheit und Krisenvorsorge
Mit dem KRITIS-Dachgesetz und dem NIS2-Umsetzungsgesetz wurden zum Jahreswechsel zwei Gesetze verabschiedet, die erstmals bundesweit einheitliche, sektorübergreifende Mindeststandards für den physischen Schutz kritischer Infrastrukturen festlegen und einen stabilen Rahmen für die Informations- und Netzsicherheit schaffen.
Die KRITIS-Gesetzgebung und NIS2 verpflichten dabei zu nachweisbarer IT- und Resilienz-Sicherheit. Sie erhöhen den Audit- und Dokumentationsdruck erheblich und verlagern die Haftung erstmals klar auf die Geschäftsführung.
Für Unternehmen bedeuten die neuen regulatorischen Verschärfungen, nicht mehr nur irgendwann einmal zu handeln, sondern konkret jetzt Strukturen zu schaffen, Prozesse anzupassen und Verantwortlichkeiten zu klären. Doch was bedeutet das genau für Ihr Unternehmen? Was ist zu tun?
Das Wichtigste im Überblick
KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz sind verabschiedet: Unternehmen müssen sich jetzt aktiv und verbindlich mit Resilienz, Cybersicherheit und regulatorischen Anforderungen auseinandersetzen.
Mehr Unternehmen betroffen als gedacht: Neben klassischen KRITIS-Betreibern werden jetzt auch IT-Dienstleister, Softwareanbieter, Industrie und Logistik adressiert.
Konkrete Umsetzungspflichten: Risikoanalysen, technische und organisatorische Sicherheitsmaßnahmen, Incident-Response-Prozesse sowie abgesicherte Lieferketten sind nunmehr verpflichtend umzusetzen und zu dokumentieren.
Management in der Verantwortung: Cybersicherheit ist jetzt auch gesetzlich Chefsache – inklusive Haftung, klarer Governance-Strukturen und regelmäßiger Einbindung der Geschäftsführung.
Was ist NIS2?
Das NIS2-Umsetzungsgesetz überführt die gleichnamige EU-Richtlinie in deutsches Recht. Es verpflichtet deutlich mehr Unternehmen zu Risikomanagement, technischen Sicherheitsmaßnahmen und schnellen Meldungen von Cybervorfällen. Neu sind dabei eine strengere Aufsicht, klare Governance-Vorgaben sowie empfindliche Bußgelder und die persönliche Verantwortung der Geschäftsführung bei Verstößen.
NIS2-Umsetzungsgesetz und KRITIS-Dachgesetz: Zwei Regelwerke – ein gemeinsames Ziel
Das KRITIS-Dachgesetz und NIS2 verfolgen im Grunde dasselbe Ziel: nämlich die Resilienz kritischer und sicherheitsrelevanter Unternehmen zu erhöhen.
Was sie dabei verbindet:
- Ein risikobasierter Ansatz: Unternehmen müssen Gefahren systematisch analysieren.
- Die Pflicht zu Schutzmaßnahmen: Technisch, organisatorisch und nachvollziehbar dokumentiert.
- Meldepflichten bei Vorfällen: Eine schnelle Reaktion ist entscheidend.
- Nunmehr stehen auch Lieferketten im Fokus: Die Risiken enden nicht am eigenen Werkstor.
- Management-Verantwortung: Sicherheit ist keine reine IT-Aufgabe mehr.
Kurz gesagt: Beide fordern strukturierte Sicherheit statt Einzelmaßnahmen.
Dennoch unterscheiden sie sich in ihren Schwerpunkten.
So stehen etwa beim KRITIS-Dachgesetz nicht mehr nur einzelne IT-Systeme, sondern Strukturen für eine gesamtbetriebliche ganzheitliche Resilienz im Fokus. Das beinhaltet die physische Sicherheit von Standorten, den Schutz kritischer Prozesse, ein effektives Notfall- und Krisenmanagement sowie organisatorische Vorsorgemaßnahmen.
Betroffen ist das Rückgrat unserer Gesellschaft, also Unternehmen und Einrichtungen aus den Bereichen Energie, Wasser, Gesundheit, Ernährung, IT und Telekommunikation sowie Transport und Verkehr. Im Mittelpunkt steht dabei die Frage: Wie bleibt der Betrieb unter allen Umständen funktionsfähig?
NIS2 richtet den Fokus auf die IT- und Informationssicherheit. Neu sind dabei vor allem klar definierte Mindeststandards, verschärfte Meldepflichten, eine persönliche Verantwortung des Managements sowie empfindliche Sanktionen bei Verstößen. Und das auch für Nicht-KRITIS-Unternehmen.
Das erweitert den bisherigen Anwendungsbereich massiv. Künftig fallen deutlich mehr mittlere und große Unternehmen unter die verschärften Cybersicherheitsanforderungen – auch dann, wenn sie „nur“ eine kritische Rolle in Lieferketten einnehmen.
Vereinfacht kann man also sagen:
Das KRITIS-Dachgesetz und NIS2 sind keine Alternativen, sondern sie greifen ineinander. Während das KRITIS-Dachgesetz den Rahmen für physische und organisatorische Resilienz setzt, beschreibt NIS2 konkrete Anforderungen an die Cyber- und Informationssicherheit.
Unternehmen sollten daher beide Regelwerke nicht getrennt, sondern in Wechselwirkung miteinander betrachten.
Erfolgreich ist, wer Resilienz ganzheitlich denkt (KRITIS), Cybersicherheit systematisch umsetzt (NIS2) und beides in einem integrierten Sicherheitskonzept verbindet. Denn in der Realität gilt: Ein IT-Ausfall ist immer auch ein Betriebsrisiko – und umgekehrt.
Wer ist betroffen – und warum viele Unternehmen das unterschätzen
Unter die Gesetzesanforderungen fallen deutlich mehr Unternehmen – und oft indirekt. Viele Unternehmen stellen daher gerade erst spät fest, dass sie betroffen sind.
Direkte Normadressaten sind:
- Betreiber kritischer Infrastrukturen (z. B. Energie, Wasser, Gesundheit, Transport)
- mittelgroße und große Unternehmen in definierten Sektoren (NIS2)
- IT- und Cloud-Dienstleister
- Managed Service Provider und Rechenzentrumsbetreiber
Indirekt betroffen sind nunmehr aber auch:
- Zulieferer und Dienstleister von KRITIS-Unternehmen
- Softwareanbieter mit hoher Marktrelevanz
- Industrieunternehmen mit kritischer Produktionsrolle sowie
- Logistik- und Verkehrsunternehmen
Entscheidend ist nicht nur die Branche, sondern auch die Bedeutung für Versorgung, Wirtschaft oder digitale Infrastruktur.
Warum viele Unternehmen das auch heute noch unterschätzen:
- Typische Fehleinschätzungen („Wir sind kein KRITIS-Unternehmen.“, eigene Größe verkannt etc.)
- Lieferketten werden ignoriert: Wer selbst nicht reguliert ist, wird oft über Kunden oder Partner indirekt verpflichtet.
- Fokus nur auf IT: Das KRITIS-Dachgesetz zielt auf eine ganzheitliche gesamtbetriebliche Resilienz – inklusive physischer Sicherheit und Organisation.
- „Das kommt erst noch.“: Beide Gesetze sind verabschiedet und sanktionsbehaftet verpflichtend.
Kurz: Wer für das Funktionieren von Wirtschaft oder Gesellschaft relevant ist, sollte seine Betroffenheit prüfen – proaktiv, nicht erst bei einer Anfrage der Aufsichtsbehörden.
NIS2-Anforderungen: Was Unternehmen jetzt konkret umsetzen müssen
Unternehmen müssen geeignete Maßnahmen nicht mehr nur definieren, sondern diese auch nachvollziehbar umsetzen und dokumentieren.
1. Ganzheitliche Risikoanalyse etablieren
Sowohl das KRITIS-Dachgesetz als auch NIS2 verlangen eine systematische Risikoanalyse – und zwar nicht nur auf IT-Ebene.
Dazu gehören:
- die Identifikation kritischer Geschäftsprozesse
- die Bewertung von Cyber-, physischen und organisatorischen Risiken
- die Analyse von Abhängigkeiten (z. B. Dienstleister, Energieversorgung, Lieferketten)
Wichtig ist dabei: Die Risikoanalyse ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.
2. Sicherheitsmaßnahmen umsetzen und dokumentieren
Unternehmen müssen angemessene technische und organisatorische Maßnahmen einführen und belegen können.
Das umfasst:
- Zugriffskontrollen und Identity Management (ein Schwerpunkt der OEDIV SecuSys)
- Netzwerksicherheit und Segmentierung
- Patch- und Schwachstellenmanagement
- Backup- und Wiederanlaufkonzepte
- den physischen Schutz kritischer Anlagen
Entscheidend dabei ist nicht nur die Umsetzung, sondern die nachprüfbare Dokumentation und deren Nachvollziehbarkeit in Audits.
3. Incident Response und Meldepflichten umsetzen
Mit NIS2 werden Meldepflichten deutlich verschärft:
- Frühwarnmeldung innerhalb von 24 Stunden
- Detaillierte Berichte innerhalb weniger Tage
- Nachvollziehbare Ursachen- und Maßnahmenanalyse
Dafür benötigen Unternehmen ein belastbares Incident-Response-Konzept, klare Rollen und Eskalationswege sowie regelmäßig getestete Abläufe (z. B. Tabletop-Übungen, die in der Praxis leider noch allzu oft vernachlässigt werden).
4. Cybersicherheit zur Managementaufgabe machen
Cybersicherheit ist längst kein reines IT-Thema mehr. Sie ist von gesamtbetrieblicher strategischer Relevanz. Eine der größten Veränderungen mit NIS2: Die Unternehmensführung trägt nunmehr die Umsetzungsverantwortung – auch persönlich.
Konkret bedeutet das: Cybersicherheit gehört dringlich auch beim Top-Management auf die Agenda. Das beinhaltet eine regelmäßige Berichterstattung und Entscheidungsprozesse sowie gezielte Schulungen für die Führungskräfte. „Delegieren und vergessen“ funktioniert also nicht mehr.
5. Lieferketten und Dienstleister absichern
Beide Regelwerke verlangen den Blick über die eigene Organisation hinaus. Es geht auch um Sicherheitsanforderungen an Dienstleister, entsprechende vertragliche Regelungen und Nachweise sowie eine regelmäßige Überprüfung kritischer Partner. Gerade IT-Dienstleister stehen dabei zunehmend im Fokus der Aufsichtsbehörden.
Typische Fehler, die Unternehmen jetzt vermeiden sollten, sind also:
- die Betroffenheit zu unterschätzen
- den Fokus nur auf die IT und nicht auf eine Gesamtresilienz zu richten
- Maßnahmen ohne eine saubere Dokumentation umzusetzen
- keine Einbindung der Geschäftsleitung
- fehlende Notfalltests
Diese Schwächen werden spätestens bei Audits oder Sicherheitsvorfällen sichtbar – mit entsprechend schwerwiegenden Konsequenzen.
In unserem Blogartikel Security Trends 2026 erfahren Sie übrigens, worauf Sie ansonsten in Sachen Cybersicherheit achten sollten.
Warum Identity & Access Management zentral für die NIS2-Compliance ist
Identity & Access Management (IAM) ist nicht nur ein Baustein – es ist eine der zentralen Voraussetzungen für die NIS2-Compliance. Warum? Weil sich ein Großteil der NIS2-Anforderungen direkt um Zugriffskontrolle, Nachvollziehbarkeit und Risikominimierung dreht.
IAM bietet:
- Zugriffskontrolle als Kernanforderung: NIS2 verlangt, dass nur autorisierte Personen Zugriff auf Systeme und Daten haben. Ein integriertes IAM stellt sicher: Wer darf nach dem Least-Privilege-Prinzip rollenbasiert und nachvollziehbar wann worauf zugreifen? Ohne IAM gibt es daher keine kontrollierte Zugriffssicherheit.
- Schutz vor den häufigsten Angriffsvektoren: Ein Großteil erfolgreicher Angriffe basiert auf kompromittierten Accounts und zu weitreichenden Berechtigungen. IAM reduziert genau diese Risiken durch Multi-Faktor-Authentifizierung (MFA), starke Authentifizierung und regelmäßige Rechteüberprüfung.
- Nachweisbarkeit für Audits und Behörden: NIS2 fordert prüfbare Maßnahmen. IAM liefert Protokolle (wer hat wann worauf zugegriffen), Berechtigungskonzepte und Audit-Trails. Das ist entscheidend für Compliance-Nachweise.
- Schnelle Reaktion im Incident-Fall: Bei Sicherheitsvorfällen zählt jede Minute. IAM ermöglicht ein sofortiges Sperren von Accounts, den Entzug von Zugriffsrechten sowie die Isolation kompromittierter Identitäten.
- Kontrolle über externe Zugriffe: NIS2 bezieht auch Lieferketten und Dienstleister ein. IAM regelt den Zugriff externer Partner, zeitlich begrenzte Berechtigungen und sichere Remote-Zugriffe.
Fazit: IAM ist die Grundlage für fast alle NIS2-Anforderungen. Es verbindet Sicherheit, Compliance und Betriebsfähigkeit. Ohne funktionierendes IAM sind Zugriffskontrolle, Auditfähigkeit und Incident Response nicht wirksam umsetzbar. Oder klar gesagt: Ohne IAM gibt es keine echte NIS2-Compliance.
Mit mehr als 25 Jahren Erfahrung sind wir der ideale Ansprechpartner für Unternehmen, die zuverlässige und innovative Lösungen im Bereich Identity & Access Management (IAM) suchen. Wir beraten Sie auch gerne, welche IAM Tools in Ihrem Unternehmen sinnvoll sind. Vereinbaren Sie jetzt Ihr kostenloses Beratungsgespräch.
NIS2-Checkliste: Erste Schritte für Unternehmen
NIS2-Compliance ist kein Projekt, sondern ein fortlaufender Prozess. Unternehmen, die die nachfolgenden Punkte systematisch und strukturiert umsetzen, sind nicht nur compliant, sondern auch deutlich resilienter gegenüber realen Bedrohungen.
1. Betroffenheit klären
- Gehört das Unternehmen zu den betroffenen Sektoren?
- Erfüllt es die Größenkriterien (mittel/groß)?
- Bestehen kritische Rollen in Lieferketten?
2. Governance und Verantwortung
- Geschäftsleitung ist eingebunden und informiert.
- Verantwortlichkeiten für Cybersicherheit definiert.
- Regelmäßiges Reporting an das Management etabliert.
- Schulungen für Führungskräfte durchgeführt.
3. Risikoanalyse
- Kritische Geschäftsprozesse identifiziert.
- Cyber- und physische Risiken bewertet.
- Abhängigkeiten (IT, Dienstleister, Energie etc.) analysiert.
- Regelmäßige Aktualisierung der Risikoanalyse.
4. Technische und organisatorische Maßnahmen
- Zugriffskontrollen (IAM, MFA) umgesetzt.
- Netzwerksicherheit und Segmentierung vorhanden.
- Patch- und Schwachstellenmanagement etabliert.
- Backup- und Wiederherstellungsstrategie definiert.
- Physische Sicherheitsmaßnahmen berücksichtigt.
5. Incident Response und Meldepflichten
- Incident-Response-Plan dokumentiert.
- Meldeprozesse (z. B. 24h-Frist) definiert.
- Eskalationswege klar geregelt.
- Notfallübungen/Testläufe durchgeführt.
6. Lieferketten und Dienstleister
- Kritische Dienstleister identifiziert.
- Sicherheitsanforderungen vertraglich geregelt.
- Nachweise und Audits eingeplant.
- Risiken entlang der Lieferkette bewertet.
7. Dokumentation und Nachweisfähigkeit
- Sicherheitsmaßnahmen dokumentiert.
- Audit-Trails und Protokollierung vorhanden.
- Compliance-Nachweise jederzeit abrufbar.
- Vorbereitung auf Prüfungen/Audits erfolgt.
8. Kontinuierliche Verbesserung
- Regelmäßige Überprüfung der Maßnahmen.
- Lessons Learned aus Vorfällen integriert.
- Anpassung an neue Bedrohungen und Vorgaben.
- Klare Roadmap für Weiterentwicklung.
Wann ist das NIS2-Umsetzungsgesetz verpflichtend?
Mit Inkrafttreten am 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz ohne Übergangsfrist geltendes Recht. Die Registrierungspflicht beim BSI lief bereits bis 6. März 2026. Etwa 29.000 auch mittelgroße Unternehmen sind hiervon betroffen, inklusive Haftung der Geschäftsführung. Entscheidend ist ihre sicherheitsrelevante Bedeutung, auch in Lieferketten.
So unterstützt Sie OEDIV SecuSys bei der Umsetzung
Als herstellerunabhängiger Cybersecurity- und IAM-Spezialist unterstützt die OEDIV SecuSys praxisorientiert und pragmatisch. Wir verstehen uns dabei als langfristigen Partner auf Augenhöhe. Unser Fokus liegt auf der Beratung, Umsetzung und dem langfristigen Betrieb in komplexen IT-Landschaften.
Vereinbaren Sie noch heute ein Strategiegespräch mit uns und melden Sie sich auch zu unserem Webinar zum NIS2-konformen Lieferketten-Monitoring am 10. Juni 2026 an. Es erwarten Sie Praxisbeispiele und konkrete Lösungen für Ihre Supply Chain Security.
KRITIS-Dachgesetz und NIS2: Handeln Sie jetzt!
Die Normenumsetzungen in deutsches Recht zeigen: Resilienz und Cybersicherheit sind längst keine Zukunftsthemen mehr, sondern akute Managementaufgaben. Unternehmen, die jetzt strukturiert analysieren, pragmatisch umsetzen und Verantwortung klar regeln, schaffen nicht nur regulatorische Sicherheit, sondern stärken auch nachhaltig ihre eigene Stabilität.
Gemeinsam mit unserem starken Partnernetzwerk unterstützen wir Unternehmen aller Größenordnungen und Organisationsstrukturen dabei, die Anforderungen aus dem KRITIS-Dachgesetz und dem NIS2-Umsetzungsgesetz praxisnah, nachprüfbar und zukunftssicher umzusetzen – von der ersten Analyse bis zu einem belastbaren ganzheitlichen Sicherheitskonzept und einer erfolgreichen Maßnahmenimplementierung.
Vereinbaren Sie noch heute ein Strategiegespräch mit uns!
FAQs zum NIS2-Umsetzungsgesetz
Contact:
Waldemar Ahrend-Reimche
CEO,
OEDIV SecuSys GmbH, Rostock
Patrick Piotrowski
Senior Business Consultant IAM
and Sales Representative,
OEDIV SecuSys GmbH, Rostock